VPN – Czym jest wirtualna sieć prywatna?

Czym jest tajemniczy VPN? do czego się go stosuje? Jakie są dostępne rodzaje VPN'ów? Odpowiedzi na to i więcej pytań w artykule.
vpn-virtual-private-network

Profesorowie z Kalifornijskiego uniwersytetu w Los Angeles projektując ARPANET w 1969 roku, mieli bardzo proste zadanie, stworzyć sieć komunikacyjną pomiędzy zaufanymi urządzeniami bez centralnego punktu wymiany danych. W tamtych czasach nikt nie brał pod uwagę, jak bardzo na przestrzeni lat powiększy się ilość urządzeń podłączonych do Internetu. Wraz ze wzrostem ilości oraz rangi przesyłanych danych pojawiła się potrzeba odseparowania ruchu konkretnych użytkowników, oraz zabezpieczenia pakietów przed podsłuchaniem (ang. sniffing).

Ogromna ilości technologii pozwalających na implementację rozwiązań VPN tworzących prywatną, wirtualną sieć sprawia, że bardzo ciężko podać jednolitą i pasująca do wszystkich rozwiązań definicję. Jedną z popularniejszych jest „sieć stworzona z publicznie dostępnych połączeń z zastosowaniem szyfrowania oraz innych mechanizmów zapewniających bezpieczeństwo danych, oraz pozwalających na dostęp wyłącznie autoryzowanym użytkownikom.” 

Osobiście wolę znacznie prostszą definicję VPN to połączenie, zazwyczaj szyfrowane, pomiędzy dwoma elementami sieciowymi (urządzenia końcowymi lub całymi sieciami), które nie koniecznie są bezpośrednio połączone.

V – Virtual (Wirtualna)
Sieć korzystająca z publicznie dostępnych połączeń (zazwyczaj internetu) tworząca logiczną całością, niezależnie od infrastruktury. Taka sieć nie musi być fizycznie odseparowana od innych użytkowników.

P – Private (Prywatna)
Jedynie autoryzowani użytkownicy są w stanie zrozumieć przesyłane dane dzięki zastosowaniu między innymi szyfrowania oraz numerowaniu pakietów.

N – Network (Sieć)
Utworzone połączenie z punktu widzenia użytkownika jest zwykle podobne do połączenia w sieci LAN np. poprzez zastosowanie prywatnej puli adresów.

Po co w ogóle stosujemy VPN?

Większość protokołów, które powstawały we wczesnych latach istnienia internetu, były projektowe do rozwiązania jednego konkretnego problemu. I tak telnet powstał, aby umożliwić zdalne zalogowanie się do innego urządzenia, oczywiście pomyślano o wykorzystaniu pary login/hasło, ale te dane są nadal przesyłane czystym tekstem poprzez niezabezpieczoną sieć. POP oraz SMTP umożliwiają przesyłanie, oraz odbieranie wiadomości e-mail, ale również powtarzają błędy telnetu. Wyobraź sobie teraz przesyłanie danych swojej karty kredytowej przez internet, kiedy każdy mógłby je podejrzeć i dowolnie wykorzystać. Prawda, że nie brzmi to dobrze?

VPN stosujemy w celu uniknięcia trzech rodzajów ataków sieciowych:

  • Podsłuchiwanie pakietów
    • Atakujący przechwytuje pakiety oraz odczytuje dane przesyłane czystym tesktem
  • Podszywanie się (spoofing)
    • Atakujący udaje (np. poprzez zmianę źródłowego adresu ip) autoryzowanego nadawcę
  • Man in the middle
    • Atakujący przechwytuje pakiet, podmienia dane w nim zawarte oraz przesyła później tak przygotowany pakiet dalej do docelowego odbiorcy.

Rodzaje VPN

Zanim przejdziemy do omówienia głównych typów VPN’ów oraz 3 głównych kategorii należy również wspomnieć o 2 typach, w jaki sposób dane są przesyłane w ramach sieci VPN:

  • Tunel
  • Transport

Transport

W tym trybie połączenie jest zestawione z użyciem prawdziwego źródłowego oraz docelowego adresu IP. W podanym poniżej przykładzie transport mode jest wykorzystywany do przesyłania danych pomiędzy routerem w głównej siedzibie oraz serwerem syslog.

Tunel

W tym trybie połączenie nie jest zestawiane bezpośrednie pomiędzy urządzeniami, które nawiązują połączenie, ale jeszcze po drodze są wykorzystywane inne elementy sieciowe, które ukrywają prawdziwe adresy ip. W tym przypadku tunel mode będzie wykonywany, aby przesyłać dane użytkowników w biurze regionalnym oraz pracownika zdalnego do serwera syslog gdzie routery służą jako bramy domyślne dla komunikacji w ramach VPN.

Jak zapewne się domyślasz, tunelowanie jest zdecydowanie częściej wykorzystywane dla zestawiania połączeń VPN. Dzieje się tak, ponieważ ta metoda oferuje nastepujące zalety względem transport mode:

  • Zapewnia skalowalność – Za samo zestawienia połączenia odpowiada odpowiednie, zwykle dedykowane do tego urządzenie oferujące odpowiednią wydajność dla wykonywania wszystkich procesów związanych z szyfrowaniem oraz deszyfrowaniem ruchu.
  • Zapewnia elastyczność – Dołożenie urządzeń do sieci VPN wymaga minimalnych nakładów pracy, ponieważ nowy element będzie ukryty za swoją bramą domyślną VPN, jego obecność nie wymaga zmian w konfiguracji pozostałych urządzeń.
  • Ukrywa komunikację – Prawdziwy adres IP zarówno nadawcy jak i odbiorcy jest ukryty przed podsłuchaniem w przypadku przechwycenia pakietów przez atakującego znajdującego się pomiędzy gateway’a VPN.
  • Wykorzystuje prywatne adresy – Odbiorca i nadawca mogą używać tej samej puli adresów zarówno prywatnej jak i publicznej, ponieważ pakiet i tak jest enkapsulowany, przechodząc przez bramę domyślną VPN.

Typy VPN

Typy sieci VPN generalnie mówiąc, określają jakie urządzenia są odpowiedzialne za zestawienie połączenia. Wyróżniamy 2 główne typy VPN:

  • Site-to-Site VPN
    • Zwany również LAN-to-LAN (L2L VPN) tworzy tunel łączący dwa VPN gateway. W takim przypadku na dwóch końcach tego tunelu znajdują się urządzenia  dokonujące translacji adresów i zabezpieczenia pakietów oraz przesłania ich poprzez publiczną sieć.
  • Remote Access VPN
    • Połączenie jest zestawiane pomiędzy gateway VPN w centralnym biurze, a pojedynczym urządzeniem użytkownika w zdalnej lokalizacji.

Możesz się również spotkać z dwoma innymi typami:

  • Firewall VPN
    • Zasada działania jest identyczna jak przy site-to-site jednakże z dodatkową warstwą zabezpieczeń poprzez wykorzystanie reguł bezpieczeństwa firewalli.
  • User-to-User VPN
    • Typ VPN wykorzystujący tryb transportu danych w sieci VPN pomiędzy dwoma urządzeniami, dla których zestawiono dedykowane połączenie.
19 aplikacji, które musi znać każdy sieciowiec

Blog wspiera partner diamentowy

Borg5 - Diamentowy partner bloga

Narzędziownik sieciowca

19 aplikacji newsletter

Grupa na Facebooku

Pierwsze kroki w sieciach

Najnowsze artykuły

Jak zadbać o bezpieczeństwo BGP?

Jak zadbać o bezpieczeństwo BGP?

Podcast w wersji wideoSłuchaj na spotifyZ podcastu dowiesz się Czy czeka nas rok IPv6? Czym różnią się sieci Service Provider od sieci Enterprise? Dlaczego Border Gateway Protocol to najlepszy protokół routingu? Kiedy warto wdrożyć BGP? Jakie zagrożenia wiążą się ze...

Monitoring infrastruktury

Monitoring infrastruktury

Podcast w wersji wideoSłuchaj na spotifyZ podcastu dowiesz się Czym monitorować infrastrukturę? i dlaczego Zabbix jest najlepszą opcją monitoringu? Jakie mamy alternatywy dla Zabbixa i kiedy warto rozważyć ich wdrożenie?  Jakie wyzwania stawia wdrożenie monitoringu...

Nadchodzi PLNOG 30!

Nadchodzi PLNOG 30!

Najstarsza w Polsce, telekomunikacyjna konferencja powraca w formie stacjonarnej. Tej jesieni, 6-7 września, daj się porwać w pasjonującą kosmiczną podróż z najnowszymi technologiami i inspirującymi rozwiązaniami. Razem z najlepszymi specjalistami rynku telco...

Czym jest chmura obliczeniowa?

Czym jest chmura obliczeniowa?

Podcast w wersji wideoSłuchaj na spotifyZ podcastu dowiesz się Czym jest chmura obliczeniowa? Jakie są zalety chmury? W jakich przypadkach warto wdrożyć chmurę? Jak nie pójść z torbami korzystając z chmury? Jak wygląda bezpieczeństwo w chmurze? Czy chmura zabierze...

bITconf 2022 – Bydgoska konferencja IT

bITconf 2022 – Bydgoska konferencja IT

bITconf 2022 – święto bydgoskiego IT  Już we wrześniu, po dwóch latach przerwy, odbędzie się największa konferencja technologiczna w województwie kujawsko – pomorskim. bITconf 2020, czyli Bydgoszcz IT conference, to konferencja organizowana przez lokalne społeczności...

Jesteśmy partnerem  konferencji

PLNOG
Bydgoszcz konferencja IT

O autorze

Rafał Rudewicz

Specjalizuję się w rozwiązaniach Enterprise oraz Service Provider. Projektuję, wdrażam oraz naprawiam sieci dla największych firm na świecie.

Komentarze

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane posty

IPsec VPN

IPsec VPN

IP security lub w skrócie IPsec to zbiór narzędzi do stworzenia VPN’a szytego na miarę Twoich potrzeb. Poznaj podstawy teoretyczne stojące za tym protokołem.

czytaj dalej

Zapisz się na newsletter