Czym jest VPN, jak działa, czy warto w niego inwestować?

Sieci VPN są jednym z najskuteczniejszych sposobów na zabezpieczenie wewnętrznych zasobów organizacji przed nieuprawnionym dostępem z zewnątrz. Poza tym można zastosować tunelowanie przez VPN w celu zapewnienia dostępu do zasobów normalnie niedostępnych, a więc na przykład serwera firmowego z poziomu komputera domowego pracownika. Zrealizowanie tego zadania jednak nie jest proste i wymaga zastosowania specjalnego oprogramowania i sprzętu.

Czym jest VPN?

VPN, czyli wirtualna sieć prywatna, jest niewydzieloną fizycznie częścią sieci, chronioną przez odpowiednie ograniczenie transferu pakietów wymienianych z wnętrza sieci z jej otoczeniem. Sieć VPN daje także możliwość szyfrowania lub kompresji danych, co może zwiększyć efektywność wykorzystania urządzeń sieciowych oraz znacząco podnieść bezpieczeństwo łącza. Stacje końcowe korzystające z sieci VPN zachowują się z logicznego punktu widzenia tak samo, jak by się zachowały, gdyby istniało między nimi łącze prywatne, a więc sieć VPN jest tylko i wyłącznie strukturą logiczną.

Typy sieci prywatnych

Zasadniczo sieć prywatną można zestawić na każdym poziomie sieci publicznej, jednak ze względów praktycznych bardzo rzadko stosuje się VPN peer-to-peer. Znacznie częściej w zastosowaniach biznesowych spotyka się modele z bramą VPN, a więc dodatkowym urządzeniem służącym do zaznaczania VPN w warstwie sprzętowej (warstwa 2 modeli OSI):

  • Site to site: zapewnia możliwość komunikacji przez tunel dla dwóch sieci lokalnych, a więc na przykład tunelowanie ruchu pomiędzy dwoma odległymi fizycznie placówkami tej samej firmy.
  • Client to site: daje możliwość połączenia pojedynczego klienta do sieci lokalnej oddalonej w sensie fizycznym.

Połączenia realizowane w obrębie sieci VPN wykorzystują dedykowane protokoły, które, w zależności od struktury danych, mogą zwiększać lub ograniczać możliwości komunikacji.

Protokoły dla sieci VPN wykorzystujących co najmniej jedną bramę

  • IPsec: jest to protokół najpopularniejszy, ale też dość mocno ograniczony choćby z tego względu, że nie radzi sobie z NAT-em. Obecnie problem ten można zniwelować dzięki zastosowaniu specjalnego oprogramowania. W obrębie protokołu IPsec mogą być transportowane protokoły TCP, IMCP oraz UDP (to ograniczenia narzucone przez niektóre urządzenia sieciowe), co może być kłopotliwe, gdyż wymiana danych w tunelu odbywa się w protokole ESP – trzeba zwrócić uwagę na możliwość obsługi tego protokołu przez wszystkie urządzenia sieciowe. Samo tworzenie sieci VPN wykorzystującej protokół IPsec też może być skomplikowane ze względu na niedopracowanie software’u.
  • L2TP: ten protokół jest prostszy niż IPsec, ale także ma pewne ograniczenia (mniejsze niż w przypadku popularniejszego protokołu). Najczęściej wykorzystywany do podłączania pojedynczego klienta, który loguje się do sieci nazwą i hasłem.
  • PPTP: popularny, ale niezapewniający wysokiego poziomu bezpieczeństwa protokół, który w istotnych szczegółach przypomina L2TP. Problemem jest dawno już złamane szyfrowanie MPPE (opcjonalne) i autoryzacja przez MS-CHAP. Transmisja danych przez protokół GRE.

Nawet w przypadku routerów, w których można podmienić oryginalny soft na wersje obsługujące wszystkie wymagane protokoły pojawić się może problem ze współpracą urządzeń, gdyż normy stosowane przez producentów sprzętu i oprogramowania mogą różnić się istotnymi technicznie szczegółami.

Czy VPN ma sens?

Nie w każdej organizacji wdrożenie dedykowanej sieci VPN ma sens, a najprostsze rozwiązania, które często mogą skonfigurować administratorzy sieci bez dodatkowego sprzętu, nie zapewniają wysokiego bezpieczeństwa. Wyznacznikiem opłacalności tworzenia VPN-u jest przede wszystkim wartość przesyłanych danych. Jeśli jest to korespondencja niezawierająca szczególnie istotnych danych, to zestawienie VPN może nie być opłacalne. Jeśli jednak łącza są regularnie wykorzystywane do transferu danych o kluczowym znaczeniu, to nie tylko należy zdecydować się na zestawienie VPN, ale również na dobranie najlepszej bramy i jak najmocniejsze szyfrowanie. VPN będzie potrzeby również w przypadku konieczności ograniczenia dostępu np. do przesyłanych danych z systemu monitoringu jedynie do grona wybranych osób.

Dowiedz się więcej o konfiguracji VPN z morele.net

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

300-101   400-101   300-320   300-070   300-206   200-310   300-135   300-208   810-403   400-050   640-916   642-997   300-209   400-201   200-355   352-001   642-999   350-080   MB2-712   400-051   C2150-606   1Z0-434   1Z0-146   C2090-919   C9560-655   642-64   100-101   CQE   CSSLP   200-125   210-060   210-065   210-260   220-801   220-802   220-901   220-902   2V0-620   2V0-621   2V0-621D   300-075   300-115   AWS-SYSOPS   640-692   640-911   1Z0-144   1z0-434   1Z0-803   1Z0-804   000-089   000-105   70-246   70-270   70-346   70-347   70-410