Profesorowie z Kalifornijskiego uniwersytetu w Los Angeles projektując ARPANET w 1969 roku, mieli bardzo proste zadanie, stworzyć sieć komunikacyjną pomiędzy zaufanymi urządzeniami bez centralnego punktu wymiany danych. W tamtych czasach nikt nie brał pod uwagę, jak bardzo na przestrzeni lat powiększy się ilość urządzeń podłączonych do Internetu. Wraz ze wzrostem ilości oraz rangi przesyłanych danych pojawiła się potrzeba odseparowania ruchu konkretnych użytkowników, oraz zabezpieczenia pakietów przed podsłuchaniem (ang. sniffing).

Ogromna ilości technologii pozwalających na implementację rozwiązań VPN tworzących prywatną, wirtualną sieć sprawia, że bardzo ciężko podać jednolitą i pasująca do wszystkich rozwiązań definicję. Jedną z popularniejszych jest „sieć stworzona z publicznie dostępnych połączeń z zastosowaniem szyfrowania oraz innych mechanizmów zapewniających bezpieczeństwo danych, oraz pozwalających na dostęp wyłącznie autoryzowanym użytkownikom.” 

Osobiście wolę znacznie prostszą definicję VPN to połączenie, zazwyczaj szyfrowane, pomiędzy dwoma elementami sieciowymi (urządzenia końcowymi lub całymi sieciami), które nie koniecznie są bezpośrednio połączone.

V – Virtual (Wirtualna)
Sieć korzystająca z publicznie dostępnych połączeń (zazwyczaj internetu) tworząca logiczną całością, niezależnie od infrastruktury. Taka sieć nie musi być fizycznie odseparowana od innych użytkowników.

P – Private (Prywatna)
Jedynie autoryzowani użytkownicy są w stanie zrozumieć przesyłane dane dzięki zastosowaniu między innymi szyfrowania oraz numerowaniu pakietów.

N – Network (Sieć)
Utworzone połączenie z punktu widzenia użytkownika jest zwykle podobne do połączenia w sieci LAN np. poprzez zastosowanie prywatnej puli adresów.

Po co w ogóle stosujemy VPN?

Większość protokołów, które powstawały we wczesnych latach istnienia internetu, były projektowe do rozwiązania jednego konkretnego problemu. I tak telnet powstał, aby umożliwić zdalne zalogowanie się do innego urządzenia, oczywiście pomyślano o wykorzystaniu pary login/hasło, ale te dane są nadal przesyłane czystym tekstem poprzez niezabezpieczoną sieć. POP oraz SMTP umożliwiają przesyłanie, oraz odbieranie wiadomości e-mail, ale również powtarzają błędy telnetu. Wyobraź sobie teraz przesyłanie danych swojej karty kredytowej przez internet, kiedy każdy mógłby je podejrzeć i dowolnie wykorzystać. Prawda, że nie brzmi to dobrze?

VPN stosujemy w celu uniknięcia trzech rodzajów ataków sieciowych:

• Podsłuchiwanie pakietów
  • Atakujący przechwytuje pakiety oraz odczytuje dane przesyłane czystym tesktem
• Podszywanie się (spoofing)
  • Atakujący udaje (np. poprzez zmianę źródłowego adresu ip) autoryzowanego nadawcę
• Man in the middle
  • Atakujący przechwytuje pakiet, podmienia dane w nim zawarte oraz przesyła później tak przygotowany pakiet dalej do docelowego odbiorcy.

Rodzaje VPN

Zanim przejdziemy do omówienia głównych typów VPN’ów oraz 3 głównych kategorii należy również wspomnieć o 2 typach, w jaki sposób dane są przesyłane w ramach sieci VPN:

• Tunel
• Transport

Transport

W tym trybie połączenie jest zestawione z użyciem prawdziwego źródłowego oraz docelowego adresu IP. W podanym poniżej przykładzie transport mode jest wykorzystywany do przesyłania danych pomiędzy routerem w głównej siedzibie oraz serwerem syslog.

Tunel

W tym trybie połączenie nie jest zestawiane bezpośrednie pomiędzy urządzeniami, które nawiązują połączenie, ale jeszcze po drodze są wykorzystywane inne elementy sieciowe, które ukrywają prawdziwe adresy ip. W tym przypadku tunel mode będzie wykonywany, aby przesyłać dane użytkowników w biurze regionalnym oraz pracownika zdalnego do serwera syslog gdzie routery służą jako bramy domyślne dla komunikacji w ramach VPN.

Jak zapewne się domyślasz, tunelowanie jest zdecydowanie częściej wykorzystywane dla zestawiania połączeń VPN. Dzieje się tak, ponieważ ta metoda oferuje nastepujące zalety względem transport mode:

• Zapewnia skalowalność – Za samo zestawienia połączenia odpowiada odpowiednie, zwykle dedykowane do tego urządzenie oferujące odpowiednią wydajność dla wykonywania wszystkich procesów związanych z szyfrowaniem oraz deszyfrowaniem ruchu.
• Zapewnia elastyczność – Dołożenie urządzeń do sieci VPN wymaga minimalnych nakładów pracy, ponieważ nowy element będzie ukryty za swoją bramą domyślną VPN, jego obecność nie wymaga zmian w konfiguracji pozostałych urządzeń.
• Ukrywa komunikację – Prawdziwy adres IP zarówno nadawcy jak i odbiorcy jest ukryty przed podsłuchaniem w przypadku przechwycenia pakietów przez atakującego znajdującego się pomiędzy gateway’a VPN.
• Wykorzystuje prywatne adresy – Odbiorca i nadawca mogą używać tej samej puli adresów zarówno prywatnej jak i publicznej, ponieważ pakiet i tak jest enkapsulowany, przechodząc przez bramę domyślną VPN.

Typy VPN

Typy sieci VPN generalnie mówiąc, określają jakie urządzenia są odpowiedzialne za zestawienie połączenia. Wyróżniamy 2 główne typy VPN:

• Site-to-Site VPN
  • Zwany również LAN-to-LAN (L2L VPN) tworzy tunel łączący dwa VPN gateway. W takim przypadku na dwóch końcach tego tunelu znajdują się urządzenia  dokonujące translacji adresów i zabezpieczenia pakietów oraz przesłania ich poprzez publiczną sieć.
• Remote Access VPN
  • Połączenie jest zestawiane pomiędzy gateway VPN w centralnym biurze, a pojedynczym urządzeniem użytkownika w zdalnej lokalizacji.

Możesz się również spotkać z dwoma innymi typami:

• Firewall VPN
  • Zasada działania jest identyczna jak przy site-to-site jednakże z dodatkową warstwą zabezpieczeń poprzez wykorzystanie reguł bezpieczeństwa firewalli.
• User-to-User VPN
  • Typ VPN wykorzystujący tryb transportu danych w sieci VPN pomiędzy dwoma urządzeniami, dla których zestawiono dedykowane połączenie.