Virtual Private Network

Kilka słów o VPN

VPN – Virtual Private Network!

Profesorowie z Kalifornijskiego uniwersytetu w Los Angeles projektując ARPANET w 1969 roku mieli bardzo proste zadanie, stworzyć sieć komunikacyjną pomiędzy zaufanymi urządzeniami bez centralnego punktu wymiany danych. W tamtych czasach nikt nie brał pod uwagę jak bardzo na przestrzeni lat powiększy się ilość urządzeń podłączonych do Internetu. Wraz ze wzrostem ilości oraz rangi przesyłanych danych pojawiła się potrzeba odseparowania ruchu konkretnych użytkowników oraz zabezpieczenie przed podsłuchaniem pakietów(ang. sniffing).

Z powodu ogromnej ilości technologii pozwalających na implementację rozwiązań razem tworzących prywatną wirtualną sieć bardzo ciężko podać jednolitą i pasująca do wszystkich rozwiązań definicję. Jedną z popularniejszych jest „sieć stworzona z publicznie dostępnych połączeń z zastosowaniem szyfrowania oraz innych mechanizmów zapewniających bezpieczeństwo danych oraz pozwalających na dostęp wyłącznie autoryzowanym użytkownikom.” 

Osobiście wolę znacznie prostszą definicję VPN to połączenie, zazwyczaj szyfrowane, pomiędzy dwoma elementami sieciowymi (urządzenia końcowymi lub całymi sieciami) które nie koniecznie są bezpośrednio połączone.

V – Virtual (Wirtualna)
Sieć korzystajaca z publicznie dostępnych połączeń (zazwyczaj internetu) będąc wyłącznie logiczną całością, nie musi być fizycznie odseparowana od innych użytkowników.

P – Private (Prywatna)
Jedynie autoryzowanie użytkownicy są w stanie zrozumieć przesyłane dane dzięki zastosowaniu między innymi szyfrowaniu oraz numerowaniu pakietów .

N – Network (Sieć)
Utworzone połączenie z punktu widzenia użytkownika jest zwykle podobne do połączenia w sieci LAN np. poprzez zastosowanie prywatnej puli adresów.

 

Po co w ogóle stosujemy VPN ?

Większość protokołów które powstawały we wczesnych latach istnienia internetu były projektowe do rozwiązania jednego konkretnego problemu. I tak telnet powstał aby umożliwić zdalne zalogowanie się do innego urządzenia, oczywiście pomyślano o wykorzystaniu pary login/hasło ale te dane są nadal przesyłane czystym tekstem poprzez niezabepieczoną sieć. POP oraz SMTP umożliwiają przesyłanie oraz odbieranie wiadomości email ale równiez powtarzają błędy telnetu. Wyobraż sobie teraz przesyłanie danych swojej karty kredytowej przez internet kiedy każdy mógłby podejrzeć te dane i później dowolnie je wykorzystać. Prawda, że nie brzmi to dobrze?

VPN stosujemy w celu uniknięcia trzech rodzajów ataków sieciowych:

  • Podsłuchiwanie pakietów
    • Atakujący przechwytuje pakiety oraz odczytuje dane przesyłane czystym tesktem
  • Podszywanie się (spoofing)
    • Atakujący udaje (np. poprzez zmianę źródłowego adresu ip) autoryzowanego nadawcę
  • Man in the middle
    • Atakujący przechwytuje pakiet, podmienia dane w nim zawarte oraz przesyłana później tak przygotowany pakiet dalej do docelowego odbiorcy.

Rodzaje VPN

Zanim przejdziemy do omówienia głównych typów VPN’ów oraz 3 głównych kategorii należy również wspomnieć o 2 typach w jaki sposób dane są przesyłane w ramach sieci VPN:

  • Tunel
  • Transport

Transport
W tym trybie połączenie jest zestawione z użyciem prawdziwego źródłowego oraz docelowego adresu IP. W podanym poniżej przykładzie transport mode jest wykorzystywany do przesyłania danych pomiędzy routerem w głównej siedzibie oraz serwerem syslog.

Tunel

W tym trybie połączenie nie jest zestawiane bezpośrednie pomiędzy urządzeniami które nawiązują połączenie, ale jeszcze po drodze są wykorzystywane inne elementy sieciowe które ukrywają prawdziwe adresy ip. W tym przypadku tunel mode będzie wykonywany aby przesyłać dane użytkowników w biurze regionalnym oraz pracownika zdalnego do serwera syslog gdzie routery służą jako bramy domyślne dla komunikacji w ramach VPN.

 

Jak zapewne się domyślasz tunelowanie jest zdecydowanie częściej wykorzystywane dla zestawiania połączeń VPN. Dzieje się tak ponieważ ta metoda oferuje nastepujące zalety względem transport mode:

  • Zapewnia skalowalność – Za samo zestawienia połączenia odpowiada odpowiednie, zwykle dedykowane do tego urządzenie oferujące odpowiednią wydajność dla wykonywania wszystkich procesów związanych z szyfrowaniem oraz deszyfrowaniem ruchu.
  • Zapewnia elastyczność – Dołożenie urządzeń do sieci VPN wymaga minimalnych nakładów pracy, ponieważ nowy element będzie ukryty za swoją bramą domyślną VPN jego obecność nie wymaga zmian w konfiguracji pozostałych urządzeń.
  • Ukrywa komunikację – Prawdziwy adres IP zarówno nadawcy i odbiorcy jest ukryty przed podsłuchaniem w przypadku przechwycenia pakietów przez atakującego znajdującego się pomiędzy gateway’a VPN.
  • Wykorzystuje prywatne adresy – Odbiorca i nadawca mogą używać tej samej puli adresów zarówno prywatnej jak i publicznej ponieważ pakiet i tak jest enkapsulowany przechodząc przez bramę domyślną VPN.

Typy VPN

Typy sieci VPN generalnie mówiąc określaja jakie urządzenia są odpowiedzialne za zestawienie połączenia. Wyróżniamy 2 główne typy VPN:

  • Site-to-Site VPN
    • Zwany również LAN-to-LAN (L2L VPN) tworzy tunel łączacy dwa VPN gateway. W takim przypadku na dwóch końcach tego tunelu znajdują się urządzenia  dokonujące translacji adresów i zabezpieczenia pakietów oraz przesłania ich poprzez publiczną sieć.
  • Remote Access VPN
    • Połączenie jest zestawiane pomiędzy gateway VPN w centralnym biurze, a pojedyńczym urządzeniem użytkownika w zdalnej lokalizacji.

Możesz się również spotkać z dwoma innymi typami:

  • Firewall VPN
    • Zasada działania jest identyczna jak przy site-to-site jednakże z dodatkową warstwą zabezpieczeń poprzez wykorzystanie reguł bezpieczeństwa firewalli.
  • User-to-User VPN
    • Typ VPN wykorzystujący tryb transportu danych w sieci VPN pomiędzy dwoma urządzeniami dla których zestawiono dedykowane połączenie.

 

 

O mnie

O mnie

Cześć! Nazywam się Rafał i jestem sieciowcem pasjonatem. Na blogu chciałbym podzielić się z Tobą swoimi przemyśleniami na temat sieci komputerowych.

Więcej o mnie…