Metody realizacji połączeń zdalnych, VPN, integracja odległych sieci lokalnych.

Poniższy artykuł opracowałem dla tych z Państwa, którzy chcą dokonać świadomego wyboru rozwiązania zapewniającego dostęp zdalny do odległej infrastruktury informatycznej opartej o systemy Microsoft Windows lub szczególne przypadki systemów Linux, tj. implementowanych w routerach i serwerach NAS.

Dostęp zdalny, najczęściej kojarzony jest z połączeniem przez sieć Internet z odległym komputerem/serwerem, celem przejęcia jego pulpitu. W ten sposób, realizowany jest bezpośredni dostęp do komputera lub serwera oraz pośredni do pozostałych zasobów sieci lokalnej, o ile są udostępnione systemowi z jakim nawiązane zostało połączenie. Poza plikami czy bazami danych, mogą to być też urządzenia jak np.: drukarki, rejestratory monitoringu wizyjnego itp.

Metody realizacji:

Wariant 1A
Użycie dedykowanego do tego celu, komercyjnego oprogramowania np. TeamViewer, które jest instalowane (bądź jedynie uruchamiane na żądanie) na komputerze / serwerze przyjmującym połączenie, jak i komputerze je nawiązującym.
Zalety:
- prostota wdrożenia
- nie wymaga odpowiedniego sprzętu
- brak konieczności posiadania RDP (ang. Remote Desktop Protocol) – protokołu wbudowanego w system operacyjny MS Windws Pro lub wyższy, w systemie operacyjnym przyjmującym połączenie
- połączenia są szyfrowane i wymagają autoryzacji
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na pulpicie)
Wady:
- wysoka cena licencji komercyjnej, w połączeniu z tym, że jest to usługa abonamentowa
- zestawianie połączeń realizowane jest przez serwery pośredniczące, które już nie raz stawały się celem ataku hakerskiego
- blokowanie ewentualnej pracy użytkownika na tym komputerze (przejęty pulpit), jeżeli celem połączenia było uzyskać dostęp tylko do plików czy baz danych np. systemu handlowego, księgowego itp.
- w niektórych scenariuszach znacznie bardziej zostaje obciążone łącze, niż gdyby zastosować VPN, szczególnie gdy realizowanych jest wiele połączeń w tym samym czasie
Zaleta lub wada - zależnie od punktu widzenia:
- podgląd na pulpicie tego co robi osoba połączona zdalnie

Wariant 1B
Bezpośrednie przekierowanie porów w routerze, na komputer / serwer, z którym ma być zrealizowane połączenie + użycie pulpitu zdalnego RDP lub innego programu realizującego tę funkcję (istnie wiele aplikacji bezpłatnych, również do zastosowań komercyjnych).
Zalety:
- w miarę proste wdrożenie
- nie wymaga odpowiedniego sprzętu
- nie wymaga instalowania dodatkowego oprogramowania pod warunkiem posiadania RDP w systemie
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na pulpicie)
Wady:
- brak szyfrowania, chyba, że zastosujemy dodatkowe oprogramowanie szyfrujące w tandemie z oprogramowaniem realizującym funkcje RDP
- "odsłonięcie" komputera / serwera dla połączeń przychodzących bezpośrednio z Internetu, np. ataków hakerskich
- stabilność i szybkość działania oprogramowania na licencji opensource (bezpłatnego) jest nieco niższa od rozwiązań komercyjnych i nie jest to działanie na natywnym poziomie jaki oferuje RDP wbudowany w system operacyjny
- blokowanie ewentualnej pracy użytkownika na tym komputerze (przejęty pulpit), jeżeli celem połączenia było uzyskać dostęp tylko do plików czy baz danych np. systemu handlowego, księgowego itp.
- w niektórych scenariuszach znacznie bardziej zostaje obciążone łącze, niż gdyby zastosować VPN, szczególnie gdy realizowanych jest wiele połączeń w tym samym czasie
- potrzebny jest stały publiczny adres IP w Internecie, w miejscu, z którym ma być nawiązane połączenie, alternatywnie bezpłatna albo płatna usługa DDNS zastępująca stały adres IP, którą należy dodatkowo skonfigurować
Zaleta lub wada - zależnie od punktu widzenia:
- podgląd na pulpicie tego co robi osoba połączona zdalnie nie jest możliwy przy systemowym RDP


Drugim typem połączeń zdalnych, jest realizacja bezpośredniego dostępu do zasobów sieci lokalnej LAN, za pomocą tzw. usługi serwera VPN – specjalnego programu przyjmującego połączenie. Oczywiście nic nie stoi na przeszkodzie, by "sieć lokalną" stanowił jeden komputer.
Połączenie VPN (ang. Virtual Private Network) to szyfrowany tunel dla transferu danych, zestawiany pomiędzy urządzeniami w sieci lokalnej, połączonymi poprzez publiczną sieć Internet lub też wpiętymi bezpośrednio do Internetu. Urządzenia spięte w ten sposób "widzą się" tak jakby pracowały fizycznie w jednej sieci lokalnej.

Po zestawieniu połączenia VPN, możliwe jest oczywiście przejęcie pulpitu komputera czy serwera – korzystając np. z usługi RDP lub innego programu realizującego tę funkcję.

Metody realizacji:

Wariant 2A
Usługę serwera VPN można skonfigurować w oparciu o funkcje zaimplementowane w systemach MS Windows.
Kluczowym jest wybór protokołu, od którego zależy przede wszystkim bezpieczeństwo i sposób implementacji na danej infrastrukturze.

Zalety:
- nie wymaga odpowiedniego sprzętu
- nie wymaga dodatkowego oprogramowania (jednak w wersji stanowiskowej a nie serwerowej MS Windows wspiera jedynie protokół PPTP, oferujący bardzo niskie bezpieczeństwo!)
- możliwe zestawienie połączenia do całej lokalnej sieci docelowej i jej zasobów, nie tylko do konkretnego odległego serwera / komputera
- nie blokuje to ewentualnej pracy użytkownika na tym komputerze (przejęty pulpit), jeżeli celem połączenia było uzyskać dostęp tylko do plików czy baz danych np. systemu handlowego, księgowego itp.
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na zdalnym pulpicie z wykorzystaniem systemowej usługi RDP bądź dodatkowego oprogramowania)
- wysokie bezpieczeństwo z wykorzystaniem protokołów: L2TP/IPsec, SSTP, IKEv2 oraz OpenVPN (protokół z licencją opensource)
- możliwość integracji odległych sieci lokalnych w jedną logiczną infrastrukturę (np. oddziałów firmy)
- wygodne zarządzanie przydzielaniem dostępu
Wady:
- "odsłonięcie" komputera / serwera dla połączeń przychodzących bezpośrednio z Internetu, np. ataków hakerskich
- potrzebny jest stały publiczny adres IP w Internecie, w miejscu, z którym ma być nawiązane połączenie, alternatywnie bezpłatna albo płatna usługa DDNS zastępująca stały adres IP, którą należy dodatkowo skonfigurować

Wariant 2B
Usługa serwera VPN w oparciu o dodatkowe oprogramowanie instalowane w systemie MS Windows. Celem może być implementacja protokołu, który nie jest natywnie wspierany przez system MS Windows (np. OpenVPN) lub wdrożenie protokołu bezpieczniejszego od PPTP, na systemie w wersji stanowiskowej a nie serwerowej (oferującej wsparcie natywne). Oprogramowanie realizujące funkcję serwera dostępne jest również w wersji bezpłatnej do zastosowań komercyjnych, nawet w przypadku tzw. komercyjnych protokołów.

Wariant 2C
W niektórych routerach zaimplementowano funkcje serwera VPN lub jest taka opcja, poprzez wgranie alternatywnego systemu (tzw. firmware). W serwerach NAS (ang. Network Attached Storage), podobnie jak w routerach także zazwyczaj zaimplementowane są funkcje serwera VPN. Nie polecam jednak tego rozwiązania, głównie ze względów bezpieczeństwa - lepiej by celem bezpośredniego ataku był router, nie zaś serwer na którym trzymamy cenne pliki.

Zalety:
- wysokie bezpieczeństwo z wykorzystaniem protokołów: L2TP/IPsec lub OpenVPN (protokół z licencją opensource)
- ukrycie komputera / serwera dla połączeń przychodzących bezpośrednio z Internetu, np. ataków hakerskich
- połączenie może być zestawiane niezależnie od działania serwera czy komputera w docelowej sieci lokalnej
- możliwe zestawienie połączenia do całej lokalnej sieci docelowej i jej zasobów, nie tylko do konkretnego odległego serwera / komputera
- nie blokuje to ewentualnej pracy użytkownika na tym komputerze (przejęty pulpit), jeżeli celem połączenia było uzyskać dostęp tylko do plików czy baz danych np. systemu handlowego, księgowego itp.
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na zdalnym pulpicie z wykorzystaniem systemowej usługi RDP bądź dodatkowego oprogramowania)
- możliwość integracji odległych sieci lokalnych w jedną logiczną infrastrukturę (np. oddziałów firmy) i to niezależną od serwerów i komputerów
Wady:
- wymaga odpowiedniego sprzętu
- potrzebny jest stały publiczny adres IP w Internecie, w miejscu, z którym ma być nawiązane połączenie, alternatywnie bezpłatna albo płatna usługa DDNS zastępująca stały adres IP, którą należy dodatkowo skonfigurować
- mało wygodne zarządzanie przydzielaniem dostępu (jeżeli ten trzeba często zmieniać lub ilość użytkowników jest znaczna)

Wariant 2D
Najnowszym rozwiązaniem promowanym przez firmę Microsoft, jest funkcja DAC (ang. Direct Access Control), która działa fizycznie podobnie jak VPN.
Jednak na ten moment, wdrażanie tego rozwiązania jest dość karkołomne i kosztowne, można je jednak rozważyć przy konkretnych scenariuszach, szczególnie w sieciach korporacyjnych, przy dużej ilości użytkowników i częstych zmianach w przydzielaniu dostępu.