Zavolat Další kontakty >
E-mail Kontakty

Vzdálený přístup

Realizujeme různorodá řešení pro bezpečné propojení poboček a vzdálené připojení pracovníků (VPN). Konkrétní řešení volíme podle použitých aktivních prvků.

Rozlišujeme dva různé druhy vzdálených přístupů - propojení poboček (Site-to-Site VPN) a vzdálené připojení uživatelů (Remote access VPN).

Propojení poboček:

Výběr vhodného typu propojení určují dva základní faktory – použité aktivní prvky a vlastnosti konektivity mezi pobočkami. Lze zvolit, zda se na centrální pobočku bude skrze VPN tunelovat veškerý provoz, nebo pouze provoz ke zdrojům uvnitř pobočky.

Pokud jsou aktivními prvky Linuxové servery, routerboardy Mikrotik nebo routery se systémem OpenWRT, je nejvýhodnější použít propojení pomocí OpenVPN. Mezi jeho výhody patří široké možnosti nastavení a skutečnost, že pro spojení používá pouze jeden port. Není tak problém VPN terminovat i na prvcích uvnitř sítě za NATem.

V případě, že jsou použity na obou koncích jako hraniční zařízení Cisco prvky (ASA, ISR - integrated service router), nabízí se využití IPsec VPN.

Pro propojení poboček je možné využití i dalších protokolů jako je PPTP, L2TP, SSTP. Tyto protokoly jsou však určené především pro vzdálený přístup uživatelů, to však nebrání jejich využití pro připojení vzdálené pobočky a je tak možné pro oba přístupy používat jeden typ VPN.

Vzdálené připojení uživatelů:

Důležitým faktorem pro vzdálené připojení uživatelů může být snadnost jeho konfigurace. Pokud uživatelé využívají operační systém Windows, může být výhodné použití protokolů PPTP, nebo lépe mnohem bezpečnější L2TP, pro které je klient již do Windows integrován. Možnou nevýhodou těchto protokolů je, že nelze nastavit tzv. split-tunnel (přes VPN jsou tunelované pouze zvolené podsítě) řízený z VPN serveru, je tedy možné tunelovat pouze jednu podsíť, nebo celý provoz. Lze však připravit skripty pro klientský systém, které po připojení do VPN naroutují další podsítě.

Pro větší kontrolu nad VPN je vhodné využít OpenVPN (Mikrotik, Linux) nebo různé typy Cisco VPN, např. EasyVPN (ISR) nebo AnyConnect (ASA).

Tato řešení poskytují možnosti využití split-tunnelu, k jejich funkčnosti je však třeba nainstalovat příslušný software. Na routerech z řady Cisco Small Business je možné vzdálený přístup nakonfigurovat pomocí QuickVPN.

Dalším faktorem pro výběr vhodného typu VPN je možnost připojení i ze sítí s velkou restrikcí provozu (např. omezením jen na HTTP/HTTPS). Řešením je zvolit typ VPN, který k provozu používá pouze jeden TCP port. Tyto požadavky splňuje OpenVPN, dále SSL VPN na Cisco ISR a Cisco ASA (která podporuje i WEB VPN pomocí Java appletu, spouštěného z webového prohlížeče) a protokol SSTP od společnosti Microsoft, který je dostupný na Windows Server 2008 a výše, a Mikrotik. Podpora SSTP je z hlediska klientů dostupná až od Windows Vista.