Usługa VPN
VPN – wirtualne sieci prywatne (virtual private network) to połączenia typu punkt-punkt przez sieć prywatną lub sieć publiczną, taką jak Internet.
Klient sieci VPN używa specjalnych, opartych na protokole TCP/IP protokołów, nazywanych protokołami tunelowania, do wirtualnego wywoływania wirtualnego portu na serwerze sieci VPN.
Połączenie sieci VPN
W typowej sieci VPN klient inicjuje przez Internet wirtualne połączenie typu punkt-punkt z serwerem dostępu zdalnego.
Serwer dostępu zdalnego odpowiada na wywołanie, uwierzytelnia wywołującego i przesyła dane między klientem sieci VPN a prywatną siecią organizacji.
Aby umożliwić emulację łącza typu punkt-punkt, dane są hermetyzowane, czyli opatrywane nagłówkiem. Nagłówek zawiera informacje routingu, które umożliwiają przesyłanie danych przez sieć udostępnioną lub publiczną i dotarcie do punktu końcowego. Aby umożliwić emulację łącza prywatnego, wysyłane dane są szyfrowane w celu zachowania poufności. Pakiety przechwycone w sieci udostępnionej lub publicznej są nierozpoznawalne bez kluczy szyfrowania.
Łącze, w którym prywatne dane są hermetyzowane i szyfrowane, jest nazywane połączeniem sieci VPN.
Istnieją dwa typy połączeń VPN:
Połączenie VPN dostępu zdalnego, Połączenie VPN typu lokacja-lokacja.
Połączenie VPN dostępu zdalnego
Połączenia VPN dostępu zdalnego umożliwiają użytkownikom pracującym w domu lub poza biurem uzyskiwanie dostępu do serwera w sieci prywatnej przy użyciu infrastruktury udostępnionej przez sieć publiczną, taką jak Internet. Z punktu widzenia użytkownika połączenie VPN to połączenie typu punkt-punkt między komputerem (klientem sieci VPN) a serwerem organizacji. Typ infrastruktury sieci udostępnionej lub publicznej nie jest istotny, ponieważ dane są przesyłane przy użyciu sieci VPN podobnie jak w przypadku dedykowanego łącza prywatnego.
Połączenie VPN typu lokacja-lokacja
Połączenia VPN typu lokacja-lokacja (nazywane również połączeniami VPN typu router-router) umożliwiają organizacjom nawiązywanie połączeń trasowanych między biurami lub z innymi organizacjami przez sieć publiczną przy zachowaniu bezpieczeństwa komunikacji. Trasowane połączenie VPN przez Internet działa jak logiczne dedykowane łącze sieci rozległej (WAN). Gdy sieci są połączone przez Internet, jak pokazano na poniższym rysunku, router przesyła pakiety dalej do następnego routera za pośrednictwem połączenia VPN. Dla routerów połączenie VPN działa jak łącze warstwy łącza danych.
Połączenie VPN typu lokacja-lokacja łączy dwie części sieci prywatnej. Serwer sieci VPN udostępnia połączenie trasowane z siecią, do której jest dołączony. Router wywołujący (klient sieci VPN) uwierzytelnia się na routerze odpowiadającym (serwerze sieci VPN), a router odpowiadający uwierzytelnia się na routerze wywołującym (w celu zachowania uwierzytelniania wzajemnego). Pakiety wysyłane przez każdy router za pośrednictwem połączenia VPN typu lokacja-lokacja zazwyczaj nie są generowane przez te routery.
Właściwości połączeń VPN
Połączenia VPN używające protokołów PPTP, L2TP/IPsec i SSTP mają następujące właściwości:
Hermetyzacja Uwierzytelnianie Szyfrowanie danych
Hermetyzacja
W technologii VPN prywatne dane są hermetyzowane przy użyciu nagłówka, który zawiera informacje routingu umożliwiające przesyłanie danych przez sieć tranzytową.
Uwierzytelnianie
Uwierzytelnianie połączeń VPN ma trzy różne formy:
1. Uwierzytelnianie na poziomie użytkownika przy użyciu uwierzytelniania protokołu PPP
W celu ustanowienia połączenia VPN serwer sieci VPN uwierzytelnia klienta sieci VPN, który próbuje nawiązać połączenie, przy użyciu metody uwierzytelniania na poziomie użytkownika opartej na protokole PPP (Point-to-Point Protocol) i sprawdza, czy klient sieci VPN ma odpowiednią autoryzację. W przypadku uwierzytelniania wzajemnego klient sieci VPN również uwierzytelnia serwer sieci VPN, co zapewnia ochronę przed komputerami podającymi się za serwery sieci VPN.
2. Uwierzytelnianie na poziomie komputera
przy użyciu usługi IKE (Internet Key
Exchange)
W celu ustanowienia skojarzenia zabezpieczeń protokołu IPsec (Internet Protocol security) klient sieci VPN i serwer sieci VPN dokonują wymiany certyfikatów komputerów lub klucza wstępnego przy użyciu protokołu IKE. W obu przypadkach zarówno klient, jak i serwer sieci VPN uwierzytelniają się wzajemnie na poziomie komputera. Stanowczo zaleca się stosowanie uwierzytelniania opartego na certyfikatach komputerów, p o n i e w a ż j e s t t o z d e c y d o w a n i e s i l n i e j s z a m e t o d a uwierzytelniania. Uwierzytelnianie na poziomie komputera jest stosowane tylko w przypadku połączeń L2TP/IPsec.
3. Uwierzytelnianie pochodzenia danych oraz integralność danych
Dane przesyłane za pośrednictwem połączenia VPN zawierają kryptograficzną sumę kontrolną opartą na kluczu szyfrowania znanym tylko nadawcy i odbiorcy, co umożliwia sprawdzenie, czy dane pochodzą od nadawcy po drugiej stronie połączenia i czy nie były modyfikowane podczas przesyłania. Uwierzytelnianie pochodzenia danych oraz integralność danych są dostępne tylko dla połączeń L2TP/IPsec.
Szyfrowanie danych
Aby zapewnić poufność danych podczas przesyłania przez tranzytową sieć udostępnioną lub publiczną, dane są szyfrowane przez nadawcę oraz odszyfrowywane przez odbiorcę. Procesy szyfrowania i odszyfrowywania są oparte na wspólnym kluczu szyfrowania używanym przez nadawcę i odbiorcę.
Przechwycone pakiety przesyłane przez połączenie VPN w sieci tranzytowej nie mogą zostać odczytane przez osobę, która nie dysponuje wspólnym kluczem szyfrowania. Długość klucza szyfrowania jest istotnym parametrem zabezpieczeń. Klucz szyfrowania można określić przy użyciu odpowiednich technik obliczeniowych. Techniki tego typu wymagają jednak większej
mocy obliczeniowej i większej ilości czasu w przypadku dłuższego klucza szyfrowania. Aby więc zapewnić poufność danych, należy używać możliwie najdłuższego klucza.
