Varna oddaljena povezava do omrežja IJS

Za varno povezavo s servisi na Institutu "Jožef Stefan" omogočamo šifriran oddaljeni dostop preko navideznega zasebnega omrežja (Virtual Private Network, VPN). Ta storitev vzpostavi šifrirano omrežno povezavo med vašim fizičnim naslovom in IJS. Zunanje povezave so izvedene iz naslova znotraj IJS, tako da imate dostop do internih storitev IJS, vaš dejanski naslov in lokacija pa nista razvidna zunaj omrežja IJS.

Podpiramo protokol SSL-VPN. Servis omogoča neposredno namestitev odjemalcev za operacijske sisteme MS Windows, Mac OS X in GNU/Linux.

Kot alternativno rešitev varni povezavi iz fiksnih naslovov (npr. domače omrežje, če ima fiksni IP naslov) omogočamo tudi neposredni dostop do posameznih naslovov na IJS z izjemami v požarnem zidu: navodila najdete v razdelku Požarni zid in izjeme za neposredni dostop

Varna oddaljena povezava do omrežja Reaktorskega centra

Uporabniki, ki so upravičeni do dostopa do omrežja RCP, lahko pri zahtevku navedejo, da potrebujejo tudi dostop do omrežja RCP. Uporabniki za dostop uporabljajo enake nastavitve. (Nekdanja nastavite strežnika za navidezno zasebno omrežje: https://ned.ijs.si/ namesto https://kali.ijs.si/ ni več potrebna, ned.ijs.si pa je le drugo ime za kali.ijs.si).

Če imate vpisano nastavitev strežnika ned.ijs.si, vam je ni treba spremeniti.

Pogoji za uporabo varne oddaljene povezave

Dostop do navideznega zasebnega omrežja za varno oddaljeno povezavo do IJS je omejen na uporabnike, ki imajo pravico do uporabe omrežja IJS (zaposleni, pogodbeni in projektni sodelavci, posebni primeri preko potrdila vodje odseka) in so že sprejeli pravila dopustne uporabe omrežja IJS. Če niste zaposleni, se izkažete z memom vodje odseka, kjer naj bo navedeno vaše ime, e-poštni naslov in strinjanje, da boste imeli do preklica zunanji dostop o omrežja IJS.

Če želite sprejeti pravila dopustne uporabe omrežja IJS, odtisnite Pravila dopustne uporabe, podpišite dokument in ga pošljite na CMI preko interne pošte. (Če že imate uporabniško ime za Eduroam, ste to že opravili. Koraka ni treba ponavljati.)

Če ste upravičeni do uporabe omrežja, ste sprejeli pravila dopustne uporabe omrežja in že imate vsaj eno uporabniško ime IJS (pošta, eduroam), lahko dobite uporabniško ime za uporabo oddaljenega dostopa do omrežja preprosto tako, da pošjete zahtevek po elektronski pošti na: support@ijs.si

Če potrebujete dostop do reaktorskega omrežja, ne pozabite tega posebej navesti. Če sicer ne delate na reaktroskem centru, prosimo, navedite utemeljitev ali kontakt.

Pozor: S stališča drugih strežnikov videti, da komunikacija v celoti poteka z IJS. To je pomembno:

• kadar gre za storitve, ki so odvisne od lokacije (zdelo se bo, da se povezujete s Slovenije, tudi če ste v tujini):
• v kontekstu pogodb in pravnih obveznosti (imeli boste dostop do strežnikov in storitev, ki omogočajo dostop z omrežij IJS);
• v kontekstu dopustne uporabe omrežja in pravne odgovornosti (hkrati uporabljate lokalno omrežje in omrežje IJS, tako da se morate držati pravil dopustne uporabe, vaš naslov IP pa je tudi povezan z vašo prijavo).

Prosimo, da se zato ne glede na svojo fizično lokacijo dosledno držite pravil dopustne uporabe omrežja.

Tehnična navodila za namestitev odjemalca

• Če še niste namestili korenskega elektronskega potrdila SiGNET CA, ga prenesite s strani http://signet-ca.ijs.si/ (Predvidoma ste ga namestili zaradi uporabe poštnih in drugih storitev IJS oz. ob prevzemu osebnega elektronskega potrdila SiGNET CA) - neposredna povezava za namestitev: http://signet-ca.ijs.si/pub/cacert/signet02cacert.crt (oziroma priloga k tej strani: signet02cacert.crt ).

  • Pri nameščanju korenskega potrdila pazite, da boste potrdilo tudi omogočili. Za Mozilla Firefox to pomeni, da v pogovornem oknu omogočite vse tipe zaupanja (trust), pri MS Explorer pa morate potrdilo namestiti tudi za lokalnega uporabnika in paziti, da potrdilo nameščeno v shrambo zaupanja vrednih izdajateljev (Place in the following store: Trusted CA Authorities).

• Zdaj lahko uporabite spletni brskalnik in odprete stran https://kali.ijs.si/ .

• Prijavite se s svojim uporabniškim imenom (zapisano mora biti v formatu username@ijs.si).

  • Če imate kot uporabnik IJS lastno uporabniško elektronsko potrdilo (certifikat) SiGNET CA nameščeno v operacijski sistem, ga bo sistem samodejno uporabil za overjanje namesto gesla. Na nekaterih operacijskih sistemih (večina distribucij GNU/Linux) morate potrdilo naknadno ročno namestiti v odjemalec, če ga želite uporabljati.
• Sistem ob prvi priključitvi ponudi namestitev programske opreme. Dovolite namestitev. Po uspešni namestitvi se povezava VPN tipično samodejno vzpostavi. (Velja za sodobne različice operacijskih sistemov MS Windows, Mac OS X in GNU/Linux).
• V nekaterih primerih, ko namestitev ni samodejna (npr. če imate onemogočene vtičnike ActiveX in Java), boste dobili povezavo do programskega paketa za namestitev in boste morali slediti navodilom.
• Aplikacija je dostopna med nameščeno programsko opremo in vam omogoča ročno vključevanje in izključevanje povezave VPN.

• Če se pojavi napaka The Service Provider at your location is restricting access to the internet, potrebujete dodatno nastavitev. Poženite aplikacijo AnnyConnect in v prvem zaslonu izberite Options (zobato kolesce levo spodaj), nato pa v prvem ušesu (Preferences) vklopite "Disable Captive Portal Detection".

Po želji lahko uporabite tudi druge odjemalce, npr. OpenVPN, pri čemer je uporaba dovoljena, ne pa podprta (če imate težave, si boste morali navodila prebrati sami). Npr. na Ubuntu GNU/Linux tipično deluje VPN povezava v privzetem odjemalcu Network Manager, če namestite in izberete tip povezave Cisco AnyConnect.

Na sistemih iOS in Android morate s pomočjo sistemskega vmesnika za nameščanje aplikacij namestiti aplikacijo Cisco AnyConnect ter kot ime strežnika za VPN nastaviti kali.ijs.si.

Uporaba z drugimi odjemalci in na platformah brez neposredne podpore

Če želite nastaviti IJS VPN na kakšnem drugem odjemalcu, ki podpira Cisco AnyConnect (oz. http://www.infradead.org/openconnect/, kakor se imenuje prostokodna implementacija), morate ustvariti novo povezavo VPN, izbrati ustrezen protokol (Cisco AnyConnect oz. OpenConnect) in vnesti naslednje parametre:

• VPN server (strežnik) oz. VPN Gateway (prehod): kali.ijs.si

• CA Certificate: korensko potrdilo SiGNET CA s strani http://signet-ca.ijs.si/ - http://signet-ca.ijs.si/pub/cacert/signet02cacert.crt ali http://signet-ca.ijs.si/pub/cacert/signet02cacert.pem (oziroma priloga k tej strani: signet02cacert.crt ).

• Če imate osebno potrdilo SiGNET CA, izdano uporabniku IJS, ga lahko navedete.

• Strežniki DNS, če se ne nastavijo samodejno, so enaki kakor znotraj IJS, torej 193.2.4.247, 193.2.4.248 za IPv4 ter 2001:1470:ff80::53:247, 2001:1470:ff80::53:248 za IPv6 (v nekaterih primerih se DNS ne nastavi samodejno)

• Način povezave (samodejen ob vzpostavitvi omrežne povezave ali ročen)

Primer z gonilnikom OpenConnect in vmesnikom NetworkManager na namizju GNU/Linux

• Ustvarite novo povezavo VPN:

  • Na ikoni za povezavo izberete VPN -> Configure VPN)

  • V oknu za izbiro povezave izberite gumb Add

  • V pogovornem oknu {Choose a Connection Type} izberite VPN / Cisco !AnyConnect Compatible VPN (oz., če te možnosti nimate namestite paket openconnect in poskusite ponovno)

  • Pritisnite gumb Create...

  • Connection name: vpišite ime povezave, da jo boste prepoznali, npr. IJS
• Vnesite nastavitve v ušesu VPN:

  • Gateway: kali.ijs.si

  • CA Certificate: prenesite korensko potrdilo SiGNET CA s strani

    http://signet-ca.ijs.si/ - http://signet-ca.ijs.si/pub/cacert/signet02cacert.crt - shranite ga, kliknite na gumb CA Certificate in poiščite datoteko

  • Če imate osebno potrdilo SiGNET CA, izdano uporabniku IJS, ga na

    enak način vnesite v polji User Certificate in Private Key

  • Druga polja pustite prazna
• Po potrebi vnesite nastavitve v ušesih IPv4 in IPv6:

  • DNS servers: 193.2.4.247, 193.2.4.248 za IPv4 ter 2001:1470:ff80::53:247, 2001:1470:ff80::53:248 za IPv6 (v nekaterih primerih se DNS ne nastavi samodejno)

  • Search domains: ijs.si (tako lahko uporabljate imena strežnikov brez .ijs.si, kakor na internem omrežju IJS

• Shranite povezavo VPN: gumb Save

Zdaj lahko vedno, ko imate omrežno povezavo, izberete VPN->IJS in vključite varno oddaljeno povezavo. V pogovrnem oknu lahko zahtevat stalno uporabo VPN, sicer pa za prijavo lahko uporabite uporabniško ime in geslo VPN ali pa osebno potrdilo (ki ima po možnosti tudi svoj geslo).

V primeru napake lahko povezavo VPN spreminjate tudi kasneje (desni klik na ikono za povezave vam da možnost Edit connections..., kjer izberete ustrezno povezavo.

Varnostna opozorila

So vse povezave zaščitene?

Če VPN ne vključite samodejno ob zagonu sistema, morate upoštevati, da lahko nekateri pogrami vzpostavijo povezave po običajnem omrežju, in da te povezave lahko ostanejo aktivne tudi potem, ko vključite VPN. Takšne programe morate po zagonu VPN, vključiti in izključiti, da bodo vzpostavili povezavo po varnem omrežju.

Je zaščitena celotna povezava?

Šifrirana povezava VPN ščiti prenos podatkov med odjemalcem in omrežjem IJS. Če preko VPN vzpostavite nezaščiteno (nešifrirano) povezavo s servisom zunaj IJS, bo torej povezava od IJS do tega servisa še vedno nezaščitena. Na ta način lahko ob vnašanju občutljivih podatkov in gesel v nezaščitene spletne formularje in servise zunaj IJS pride do izgube podatkov kljub uporabi VPN.

Vaš sistem je mogoče nastaviti tudi tako, da so šifrirane le povezave med vašim računalnikom in omrežjem IJS. To je praktično, ker tako lokalne povezave in povezave v svet niso upočasnjene zaradi prometa po ovinku do IJS, vendar morate upoštevati, da torej niso zaščitene in šifrirane. (To je privzeti način, če se povezujete v omrežje Reaktorskega centra). Običajno pa gredo vse povezave preko IJS, kar pomeni, da utegnejo biti povezave na druge stražnike počasnješe in da lahko pride do zamikov, ker gredo podatki preko IJS in se šifrirajo.

Iz navedenih razlogov tudi ob uporabi varne oddaljene povezave vedno uporabljajte šifirane povezave in protokole (SSL, TLS, SSH) in nikdar ne vpisujte gesel in osebnih podatkov, če povezave ni zaščitena.

Kaj smem početi z VPN?

Omrežne povezave VPN ne smete uporabljati za zagotavljanje dostopa tretjih oseb do omrežja IJS in servisov, ki jih zagotavlja IJS. Tako npr. ne smete svojega celotnega domačega omrežja priljučiti na VPN, ker bi s tem kršili pravila dopustne uporabe in pogodbe z različnimi ustanovami, ki ponujajo svoje storitve uporabnikom IJS (knjižnice, arhivi člankov ipd.).

Ko uporabljate omrežno povezavo VPN, hkrati uporabljate omrežje lokacije, kjer ste (vaša oprema ima tam lokalni naslov in vzpostavlja šifrirane povezave) ter omrežje IJS in Arnesa. Strežniki, na katere se povezujejo, zaznajo vašo povezavo kot povezavo z omrežja IJS. Za vas torej ob uporabi VPN ne glede na fizično lokacijo hkrati veljajo pravila dopustne uporabe omrežja in pravila ter zakonske obligacije lokalnega omrežja.

Šifriranje ščiti le vašo povezavo do IJS, od IJS do zunanjih strežnikov pa VPN vaše povezave ne ščiti. Vaša povezava tudi ni anonimna, temveč je povezana z vašo prijavo v VPN.

Kako deluje povezava VPN s sistemom Cisco AnyConnect

Sistem za varno oddaljeno povezavo Cisco AnyConnect VPN (oz. v prosti implementaciji OpenConnect) je razmeroma preprosten in prilagodljiv, saj temelji skoraj v celoti na standarih in protokolih HTTPS and DTLS protocols. Varna oddaljena povezava se vzpostavi s povezavo na strežnik VPN, ki poteka kot povezave HTTPS na port 443, zato večinoma ni težav s požarnimi zidovi in drugimi omejitvami na uporabnikovi lokaciji. Za overjanje in avtorizacijo se uporablja bodisi elektronska potrdila (certifikate) ali spletni formular, avtorizacijski žeton pa je preprosto šifriran HTTP piškotek.

Varna povezava potem poteka z zahtevki HTTP CONNECT do strežnika, ki uporabljajo piškotek za avtorizacijo seje ter vsebujejo mrežni promet, pri čemer so podatki o mrežnih nastavitvah posredovani v glavi odgovora.

Takšna povezava deluje skoraj povsod, kjer je mogoče brskati po spletu, ni pa zelo učinkovita. Zato strežnik in odjemalec preverita, ali je na lokaciji mogoče izmenjevati promet v obliki podatkovnih paketov UDP. Če je to mogoče, se uporablja protokol DTLS (Datagram TLS).

Če paketov UDP ni mogoče izmejevati, npr. zaradi požarnega zidu na odjemalčevi lokaciji, bo povezava tekla izključno po kanalu HTTPS, kar je manj učinkovito, a dovolj zanesljivo. Zato je ta protokol zelo praktičen in prilagodljiv.