30-08-2014, 12:24
VPN (Virtual Private Network, jest to wirtualna sieć prywatna, która jest siecią transmitującą pewne prywatne dane poprzez publiczną infrastrukturę telekomunikacyjną. Przykładowo, jeżeli mamy dwa oddziały jakiejś firmy, które chcielibyśmy ze sobą połączyć w jedną funkcjonalną całość, możemy zdecydować się na stworzenie między nimi połączenia VPN. U operatora telekomunikacyjnego możemy wykupić taką usługę, musimy jednak ponieść związane z tym dodatkowe opłaty.
Dostawca usług wydziela nam ze swojej sieci połączenie, które będzie należało do nas. Dzięki temu połączeniu pomiędzy routerami granicznymi w naszych sieciach LAN powstanie połączenie, a już od nas będzie zależało, co będziemy nimi transmitowali. W efekcie możemy traktować wszystkie nasze sieci oddziałowe jako jedną sieć LAN połączoną routerami.
Jeśli sieci lokalne, które chcemy połączyć ze sobą, mają już dostęp do Internetu, możemy sami utworzyć kanał VPN transmitujący nasze dane poprzez Internet. Dzięki takiemu rozwiązaniu oszczędzamy na dodatkowych opłatach za zestawienie sieci VPN. Technologia stosowana w takim przypadku zapewnia szyfrowanie oraz integralność danych oraz uwierzytelnianie obu stron połączenia. Musimy jednak zdecydować się, czy będzie nam potrzebne wykupienie gwarantowanej przepustowości CIR, co zwiększy koszty rozwiązania.
Warto też zwrócić uwagę, że w przypadku programowego VPN zamiast łączenia sieci LAN możemy połączyć ze sobą zwykłe komputery. Przykładowo handlowiec, będąc u klienta może potrzebować bezpiecznego dostępu do serwerów znajdujących się w sieci lokalnej firmy. Wystarczy, że połączy się on w dowolny sposób z Internetem, a następnie zaktywizuje połączenie VPN z naszą siecią lokalną.
W Internecie wykorzystywany jest najczęściej tryb tunelowy, a dzięki jego konstrukcji po przechwyceniu transmisji nie dowiemy się nawet adresów IP, pomiędzy którymi zachodzi komunikacja. Mamy jedynie adresy bramek zapewniających szyfrowany tunel VPN. Taki bezpieczny tunel określamy skrótem SA (Security Association), a bramki szyfrujące nazywamy SG (Security Gateway). Każdy tunel jest identyfikowany poprzez unikalny numer SPI ([b]Security Parameters Index[/i]). Tunel ten ze względu na uproszczenie konstrukcji jest jednokierunkowy i aby zapewnić komunikację musimy utworzyć dwa tunele IPSec. Możemy (ale nie jest to konieczne) każdy z tych tuneli szyfrować za pomocą innego klucza. Bazę zawierającą wpisy określające numery SPI, początek, koniec, algorytm i klucz szyfrowania nazywamy SAD (SA Database). Systemową bazę określającą, czy dana transmisja musi lub może być szyfrowana , określamy mianem SPD (Security Policy Database).
Korzystanie z VPN, poza potrzebą konfiguracji, powoduje ujawnienie dodatkowych zagadnień związanych z bezpieczeństwem. Chociaż sam kanał VPN jest z założenia bezpieczny, musisz się zastanowić, czy zdalny pracownik (handlowiec, administrator sieci w oddziale) będzie potrafił odpowiednio chronić hasło (klucz prywatny) i zabezpieczyć się przed włamywaczami z Internetu. Jeśli komuś uda się wykraść hasło z jego komputera, dostęp do sieci zostanie otwarty. Z tego względu taki pracownik nie powinien mieć pełnego dostępu do sieci lokalnej a jedynie do bezwzględnie potrzebnych mu zasobów. W przypadku uruchomienia dużej liczby połączeń VPN, warto zastanowić się nad rozwiązaniami sprzętowymi (kartami szyfrującymi) wspomagającymi proces szyfrowania transmisji.
Dostawca usług wydziela nam ze swojej sieci połączenie, które będzie należało do nas. Dzięki temu połączeniu pomiędzy routerami granicznymi w naszych sieciach LAN powstanie połączenie, a już od nas będzie zależało, co będziemy nimi transmitowali. W efekcie możemy traktować wszystkie nasze sieci oddziałowe jako jedną sieć LAN połączoną routerami.
Jeśli sieci lokalne, które chcemy połączyć ze sobą, mają już dostęp do Internetu, możemy sami utworzyć kanał VPN transmitujący nasze dane poprzez Internet. Dzięki takiemu rozwiązaniu oszczędzamy na dodatkowych opłatach za zestawienie sieci VPN. Technologia stosowana w takim przypadku zapewnia szyfrowanie oraz integralność danych oraz uwierzytelnianie obu stron połączenia. Musimy jednak zdecydować się, czy będzie nam potrzebne wykupienie gwarantowanej przepustowości CIR, co zwiększy koszty rozwiązania.
Warto też zwrócić uwagę, że w przypadku programowego VPN zamiast łączenia sieci LAN możemy połączyć ze sobą zwykłe komputery. Przykładowo handlowiec, będąc u klienta może potrzebować bezpiecznego dostępu do serwerów znajdujących się w sieci lokalnej firmy. Wystarczy, że połączy się on w dowolny sposób z Internetem, a następnie zaktywizuje połączenie VPN z naszą siecią lokalną.
W Internecie wykorzystywany jest najczęściej tryb tunelowy, a dzięki jego konstrukcji po przechwyceniu transmisji nie dowiemy się nawet adresów IP, pomiędzy którymi zachodzi komunikacja. Mamy jedynie adresy bramek zapewniających szyfrowany tunel VPN. Taki bezpieczny tunel określamy skrótem SA (Security Association), a bramki szyfrujące nazywamy SG (Security Gateway). Każdy tunel jest identyfikowany poprzez unikalny numer SPI ([b]Security Parameters Index[/i]). Tunel ten ze względu na uproszczenie konstrukcji jest jednokierunkowy i aby zapewnić komunikację musimy utworzyć dwa tunele IPSec. Możemy (ale nie jest to konieczne) każdy z tych tuneli szyfrować za pomocą innego klucza. Bazę zawierającą wpisy określające numery SPI, początek, koniec, algorytm i klucz szyfrowania nazywamy SAD (SA Database). Systemową bazę określającą, czy dana transmisja musi lub może być szyfrowana , określamy mianem SPD (Security Policy Database).
Korzystanie z VPN, poza potrzebą konfiguracji, powoduje ujawnienie dodatkowych zagadnień związanych z bezpieczeństwem. Chociaż sam kanał VPN jest z założenia bezpieczny, musisz się zastanowić, czy zdalny pracownik (handlowiec, administrator sieci w oddziale) będzie potrafił odpowiednio chronić hasło (klucz prywatny) i zabezpieczyć się przed włamywaczami z Internetu. Jeśli komuś uda się wykraść hasło z jego komputera, dostęp do sieci zostanie otwarty. Z tego względu taki pracownik nie powinien mieć pełnego dostępu do sieci lokalnej a jedynie do bezwzględnie potrzebnych mu zasobów. W przypadku uruchomienia dużej liczby połączeń VPN, warto zastanowić się nad rozwiązaniami sprzętowymi (kartami szyfrującymi) wspomagającymi proces szyfrowania transmisji.