W trybie transportu informacje o tym, z kim prowadzona jest transmisja, są jawne. Dopiero enkapsulacja całości pakietu w trybie tunelu zapewnia pełną dyskrecję.

Użytkownik systemu informatycznego zwykle loguje się do domeny, uruchamia swoje aplikacje i rozpoczyna pracę w sieci lokalnej. Tak dzieje się najczęściej, lecz co powinniśmy zrobić jako administratorzy, kiedy użytkownik będzie zmuszony korzystać z zasobów urzędu spoza naszej lokalnej sieci? W pierwszej kolejności powinniśmy dowiedzieć się, jakie jest uzasadnienie takiego dostępu. Może być ich kilka, np. praca w delegacji służbowej lub telepraca w domu. Jeżeli nie ma przeciwwskazań formalnych i polityka bezpieczeństwa informacji zawiera odpowiednie zapisy o dostępie z zewnątrz, możemy zastanowić się nad kolejnym krokiem, czyli odpowiedzią na pytanie, jakich technologii powinniśmy użyć, aby właściwie skonfigurować dostęp do zasobów sieci oraz zabezpieczyć dane podczas przesyłania przez sieć publiczną.

Stare i nowe

Dostęp do sieci jest problemem, na którego rozwiązanie składa się wiele czynników, które musimy wziąć po uwagę. Rodzaj uwierzytelniania, forma zapakowania i zabezpieczenia danych podczas przesyłania, ograniczenia dostępu do wskazanych zasobów sieci wewnętrznej. Istnieje obecnie wiele rodzajów oprogramowania i technologii, które pozwalają na bezpieczną komunikację z zasobami sieci wewnętrznej.

Najpopularniejszym rozwiązaniem jest technologia VPN, pozwalająca zabezpieczyć dane podczas przesyłania, a także potwierdzić tożsamość podmiotu próbującego się uwierzytelnić. VPN tłumaczymy jako Wirtualną Sieć Prywatną (Virtual Private Network) i terminem tym posługujemy się w przypadku wielu technologii, różniących się budową oraz możliwościami. Najważniejszymi i obecnie najczęściej używanymi są VPN-y oparte na standardach IPSec i SSL. Ten pierwszy jest najbardziej rozpowszechnionym i bezpiecznym standardem połączeń VPN, korzystającym ze zbioru protokołów sieciowych IP. Rodzaje wykorzystywanych protokołów w IPSec to AH (Authentication Header, protokół nr 51), ESP (Encapsulating Security Protocol, protokół nr 51) oraz IKE (Internet Key Exchange, działający na porcie UDP nr 500, inaczej zwany również ISAKMP). W zależności od trybu IPSec enkapsuluje całe datagramy protokołu (enkapsulację należy rozumieć jako opakowanie oryginalnego pakietu).

[...]

Autor jest wieloletnim menedżerem Działu Integracji Systemów. Obecnie jest audytorem bezpieczeństwa systemów sieciowych oraz trenerem kadr IT w sektorze administracji publicznej. Specjalizuje się w zabezpieczeniach systemów i aplikacji oraz projektowaniu wielopoziomowych rozwiązań bezpieczeństwa.