Ime strani: Varna oddaljena povezava

Varna oddaljena povezava do omrežja IJS

Za varno povezavo s servisi na Institutu "Jožef Stefan" omogočamo šifriran oddaljeni dostop preko navideznega zasebnega omrežja (Virtual Private Network, VPN). Ta storitev vzpostavi šifrirano omrežno povezavo med vašim fizičnim naslovom in IJS. Zunanje povezave so izvedene iz naslova znotraj IJS, tako da imate dostop do internih storitev IJS, vaš dejanski naslov in lokacija pa nista razvidna zunaj omrežja IJS.

Podpiramo protokol SSL-VPN. Servis omogoča neposredno namestitev odjemalcev za operacijske sisteme MS Windows, Mac OS X in GNU/Linux.

Kot alternativno rešitev varni povezavi iz fiksnih naslovov (npr. domače omrežje, če ima fiksni IP naslov) omogočamo tudi neposredni dostop do posameznih naslovov na IJS z izjemami v požarnem zidu: navodila najdete v razdelku Požarni zid in izjeme za neposredni dostop

Varna oddaljena povezava do omrežja Reaktorskega centra

Uporabniki, ki so upravičeni do dostopa do omrežja RCP, lahko pri zahtevku navedejo, da potrebujejo tudi dostop do omrežja RCP. Uporabniki za dostop uporabljajo enake nastavitve. (Nekdanja nastavite strežnika za navidezno zasebno omrežje: https://ned.ijs.si/ namesto https://kali.ijs.si/ ni več potrebna, ned.ijs.si pa je le drugo ime za kali.ijs.si).

Če imate vpisano nastavitev strežnika ned.ijs.si, vam je ni treba spremeniti.

Pogoji za uporabo varne oddaljene povezave

Dostop do navideznega zasebnega omrežja za varno oddaljeno povezavo do IJS je omejen na uporabnike, ki imajo pravico do uporabe omrežja IJS (zaposleni, pogodbeni in projektni sodelavci, posebni primeri preko potrdila vodje odseka) in so že sprejeli pravila dopustne uporabe omrežja IJS. Če niste zaposleni, se izkažete z memom vodje odseka, kjer naj bo navedeno vaše ime, e-poštni naslov in strinjanje, da boste imeli do preklica zunanji dostop o omrežja IJS.

Če želite sprejeti pravila dopustne uporabe omrežja IJS, odtisnite Pravila dopustne uporabe, podpišite dokument in ga pošljite na CMI preko interne pošte. (Če že imate uporabniško ime za Eduroam, ste to že opravili. Koraka ni treba ponavljati.)

Če ste upravičeni do uporabe omrežja, ste sprejeli pravila dopustne uporabe omrežja in že imate vsaj eno uporabniško ime IJS (pošta, eduroam), lahko dobite uporabniško ime za uporabo oddaljenega dostopa do omrežja preprosto tako, da pošjete zahtevek po elektronski pošti na: support@ijs.si

Če potrebujete dostop do reaktorskega omrežja, ne pozabite tega posebej navesti. Če sicer ne delate na reaktroskem centru, prosimo, navedite utemeljitev ali kontakt.

Pozor: S stališča drugih strežnikov videti, da komunikacija v celoti poteka z IJS. To je pomembno:

Prosimo, da se zato ne glede na svojo fizično lokacijo dosledno držite pravil dopustne uporabe omrežja.

Tehnična navodila za namestitev odjemalca

Po želji lahko uporabite tudi druge odjemalce, npr. OpenVPN, pri čemer je uporaba dovoljena, ne pa podprta (če imate težave, si boste morali navodila prebrati sami). Npr. na Ubuntu GNU/Linux tipično deluje VPN povezava v privzetem odjemalcu Network Manager, če namestite in izberete tip povezave Cisco AnyConnect.

Na sistemih iOS in Android morate s pomočjo sistemskega vmesnika za nameščanje aplikacij namestiti aplikacijo Cisco AnyConnect ter kot ime strežnika za VPN nastaviti kali.ijs.si.

Uporaba z drugimi odjemalci in na platformah brez neposredne podpore

Če želite nastaviti IJS VPN na kakšnem drugem odjemalcu, ki podpira Cisco AnyConnect (oz. http://www.infradead.org/openconnect/, kakor se imenuje prostokodna implementacija), morate ustvariti novo povezavo VPN, izbrati ustrezen protokol (Cisco AnyConnect oz. OpenConnect) in vnesti naslednje parametre:

Primer z gonilnikom OpenConnect in vmesnikom NetworkManager na namizju GNU/Linux

Zdaj lahko vedno, ko imate omrežno povezavo, izberete VPN->IJS in vključite varno oddaljeno povezavo. V pogovrnem oknu lahko zahtevat stalno uporabo VPN, sicer pa za prijavo lahko uporabite uporabniško ime in geslo VPN ali pa osebno potrdilo (ki ima po možnosti tudi svoj geslo).

V primeru napake lahko povezavo VPN spreminjate tudi kasneje (desni klik na ikono za povezave vam da možnost Edit connections..., kjer izberete ustrezno povezavo.

Varnostna opozorila

So vse povezave zaščitene?

Če VPN ne vključite samodejno ob zagonu sistema, morate upoštevati, da lahko nekateri pogrami vzpostavijo povezave po običajnem omrežju, in da te povezave lahko ostanejo aktivne tudi potem, ko vključite VPN. Takšne programe morate po zagonu VPN, vključiti in izključiti, da bodo vzpostavili povezavo po varnem omrežju.

Je zaščitena celotna povezava?

Šifrirana povezava VPN ščiti prenos podatkov med odjemalcem in omrežjem IJS. Če preko VPN vzpostavite nezaščiteno (nešifrirano) povezavo s servisom zunaj IJS, bo torej povezava od IJS do tega servisa še vedno nezaščitena. Na ta način lahko ob vnašanju občutljivih podatkov in gesel v nezaščitene spletne formularje in servise zunaj IJS pride do izgube podatkov kljub uporabi VPN.

Vaš sistem je mogoče nastaviti tudi tako, da so šifrirane le povezave med vašim računalnikom in omrežjem IJS. To je praktično, ker tako lokalne povezave in povezave v svet niso upočasnjene zaradi prometa po ovinku do IJS, vendar morate upoštevati, da torej niso zaščitene in šifrirane. (To je privzeti način, če se povezujete v omrežje Reaktorskega centra). Običajno pa gredo vse povezave preko IJS, kar pomeni, da utegnejo biti povezave na druge stražnike počasnješe in da lahko pride do zamikov, ker gredo podatki preko IJS in se šifrirajo.

Iz navedenih razlogov tudi ob uporabi varne oddaljene povezave vedno uporabljajte šifirane povezave in protokole (SSL, TLS, SSH) in nikdar ne vpisujte gesel in osebnih podatkov, če povezave ni zaščitena.

Kaj smem početi z VPN?

Omrežne povezave VPN ne smete uporabljati za zagotavljanje dostopa tretjih oseb do omrežja IJS in servisov, ki jih zagotavlja IJS. Tako npr. ne smete svojega celotnega domačega omrežja priljučiti na VPN, ker bi s tem kršili pravila dopustne uporabe in pogodbe z različnimi ustanovami, ki ponujajo svoje storitve uporabnikom IJS (knjižnice, arhivi člankov ipd.).

Ko uporabljate omrežno povezavo VPN, hkrati uporabljate omrežje lokacije, kjer ste (vaša oprema ima tam lokalni naslov in vzpostavlja šifrirane povezave) ter omrežje IJS in Arnesa. Strežniki, na katere se povezujejo, zaznajo vašo povezavo kot povezavo z omrežja IJS. Za vas torej ob uporabi VPN ne glede na fizično lokacijo hkrati veljajo pravila dopustne uporabe omrežja in pravila ter zakonske obligacije lokalnega omrežja.

Šifriranje ščiti le vašo povezavo do IJS, od IJS do zunanjih strežnikov pa VPN vaše povezave ne ščiti. Vaša povezava tudi ni anonimna, temveč je povezana z vašo prijavo v VPN.

Kako deluje povezava VPN s sistemom Cisco AnyConnect

Sistem za varno oddaljeno povezavo Cisco AnyConnect VPN (oz. v prosti implementaciji OpenConnect) je razmeroma preprosten in prilagodljiv, saj temelji skoraj v celoti na standarih in protokolih HTTPS and DTLS protocols. Varna oddaljena povezava se vzpostavi s povezavo na strežnik VPN, ki poteka kot povezave HTTPS na port 443, zato večinoma ni težav s požarnimi zidovi in drugimi omejitvami na uporabnikovi lokaciji. Za overjanje in avtorizacijo se uporablja bodisi elektronska potrdila (certifikate) ali spletni formular, avtorizacijski žeton pa je preprosto šifriran HTTP piškotek.

Varna povezava potem poteka z zahtevki HTTP CONNECT do strežnika, ki uporabljajo piškotek za avtorizacijo seje ter vsebujejo mrežni promet, pri čemer so podatki o mrežnih nastavitvah posredovani v glavi odgovora.

Takšna povezava deluje skoraj povsod, kjer je mogoče brskati po spletu, ni pa zelo učinkovita. Zato strežnik in odjemalec preverita, ali je na lokaciji mogoče izmenjevati promet v obliki podatkovnih paketov UDP. Če je to mogoče, se uporablja protokol DTLS (Datagram TLS).

Če paketov UDP ni mogoče izmejevati, npr. zaradi požarnega zidu na odjemalčevi lokaciji, bo povezava tekla izključno po kanalu HTTPS, kar je manj učinkovito, a dovolj zanesljivo. Zato je ta protokol zelo praktičen in prilagodljiv.