Virtual Private Network
10
Virtual Private Network - o reţea virtuală privată (VPN) este o reţea a companiei implementată pe o infrastructură comună, folosind aceleaşi politici de securitate, management şi performanţă care se aplică de obicei într-o reţea publică. Soluţii VPN - există trei posibilităţi de realiza un VPN : Access VPN – permite conectarea individuală (utilizatori mobili) sau a unor birouri la sediul central al unei firme, aceasta realizându-se în cele mai sigure condiţii. Intranet VPN – permite conectarea diferitelor sedii ale unei firme folosind legături dedicate. Diferenţa fată de Access VPN constă în faptul că se folosesc legături dedicate cu rata de transfer garantată, fapt care permite asigurarea unei foarte bune calitaţi a transmisiei pe lângă securitate şi bandă mai largă. Extranet VPN – este folosit pentru a lega diferiţi clienţi sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni partajate, securitate maximă. Remote Access VPN (Acces de la distanţă) Există doua tipuri de conexini VPN de acest fel: conexiune iniţiată de client şi conexiune iniţiată de server. Conexiune iniţiata de client
description
VPN
Transcript of Virtual Private Network
Virtual Private Network - o reea virtual privat (VPN) este o reea a companiei implementat pe o infrastructur comun, folosind aceleai politici de securitate, management i performan care se aplic de obicei ntr-o reea public. Soluii VPN - exist trei posibiliti de realiza un VPN : Access VPN permite conectarea individual (utilizatori mobili) sau a unor birouri la sediul central al unei firme, aceasta realizndu-se n cele mai sigure condiii. Intranet VPN permite conectarea diferitelor sedii ale unei firme folosind legturi dedicate. Diferena fat de Access VPN const n faptul c se folosesc legturi dedicate cu rata de transfer garantat, fapt care permite asigurarea unei foarte bune calitai a transmisiei pe lng securitate i band mai larg. Extranet VPN este folosit pentru a lega diferii clieni sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni partajate, securitate maxim.Remote Access VPN (Acces de la distan) Exist doua tipuri de conexini VPN de acest fel: conexiune iniiat de client i conexiune iniiat de server. Conexiune iniiata de client
Clienii care vor s se conecteze la site-ul firmei trebuie s aib instalat un client de VPN, acesta asigurndu-le criptarea datelor ntre computerul lor i sediul ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea n mod criptat, n concluzie ntregul circuit al informaiei se face n mod criptat. Trebuie precizat c n cazul acestui tip de VPN sunt folosii o multitudine de clieni de VPN. Un exemplu este Cisco Secure VPN dar i Windows NT sau 2000 au integrat clieni de VPN. Urmtoarea imagine schematizeaz acest tip de Access VPN :Access VPN iniiat de serverul de accesEste ceva mai simpl pentru c nu implic folosirea unui client de VPN. Tunelul cripatat se realizeaz ntre server-ul de acces al ISP-ului i sediul firmei la care se vrea logarea. ntre client i server-ul de acces securitatea se bazeaz pe sigurana liniilor telefonice ( fapt care uneori poate fi un dezavantaj ).
Intranet VPN - Permite realizarea unei reele interne complet sigur pentru o firm. - Permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot s ating rate de transfer foarte bune ( E1) limita fiind determinat de suma pe care firma respectiv este dispus s o investeasc n infrastructura sa informaional . Arhitectura aceasta utilizeaz dou routere la cele dou capete ale conexiunii, ntre acestea realizndu-se un tunel criptat. n acest caz nu mai este necesar folosirea unui client de VPN ci folosirea IPSec. IPSec (IP Security Protocol) este un protocol standardizat de nivel 3 care asigur autentificarea, confidenialitatea i integritatea transferului de date ntre o pereche de echipamente care comunic. Folosete ceea ce se numete Internet Key Exchange ( IKE ) care necesit introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciproc.Schematic conexiunea arat :
Extranet VPN Acest tip de VPN seamn cu precedentul cu deosebirea c extinde limitele intranetului permind legarea la sediul corporaiei a unor parteneri de afaceri , clieni etc.; acest tip permite accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru.
Figura. Extranet VPNSecuritate i VPNReelele private virtuale sunt un produs derivat al clasei de elemente de securitate ale unei reele. Clientul acceseaz Internetul prin dial-up ctre un ISP, dup care stabilete un tunel autentificat i criptat ntre el i firewall-ul din intranetul accesat.
Figura FirewallO soluie complet pentru realizarea unei reele VPN necesit mbinarea a trei componente tehnologice critice: securitatea, controlul traficului i administrarea la nivelul organizaiei
Securitatea Tehnologiile importante care acoper componenta de securitate a unei reele VPN sunt: controlul accesului pentru garantarea securitii conexiunilor din reea, criptarea, pentru protejarea confidenialitii datelor, autentificarea, pentru a verifica identitatea utilizatorului, ca i integritatea datelor. Controlul traficului O a dou component critic n implementarea unei reele VPN este dat de controlul traficului, realizat pentru un scop simplu i clar: garantarea fiabilitii, calitii serviciilor i a unor performane optime n ceea ce privete ratele de transfer. Comunicaiile n Internet pot duce la apariia unor zone de congestie, impropii unor aplicaii critice n domenniul afacerilor. Alternativa este dat de stabilirea unor prioriti de rutare a traficului, astfel nct transferul datelor s fie realizat cu fiabilitate maxim.
Administrarea la nivelul organizaiei Ultima component critic este dedicat garantrii unei intergrri complete a reelei VPN n politica de securitate global, unei administrri centralizate (fie de la o consol local, fie de la una la distan) i unei scalabilti a soluiei alese.Tehnici de realizare a reelelor VPNpatru moduri de transmisie ntlnite n soluiile VPN: In Place Transmision Mode (Modul de Transmisie In-place) - este de obicei o soluie specific unui anumit productor, n care doar datele sunt criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele de transport nu sunt afectate. Transport Mode (modul transport) - doar segmentul de date este criptat, deci mrimea pachetului va crete. Acest mod ofer o confidenialitate adecvat a datelor pentru reele VPN de tip nod-la-nod. Encrypted Tunnel Mode (modul tunel criptat) - informaia din antetul IP i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele terminale ale VPN. Se asigur o confidenialitate global a datelor. Non-encrypted Tunnel Mode (modul tunel necriptat) - nici o component nu este criptat, toate datele sunt transportate n text clar. Nu se ofer nici un mijloc de asigurare a confidenialitii datelor.Metode de realizare a soluiilor VPNO soluie VPN bazat pe Internet este alctuit din patru componente principale: 1. Internet-ul, 2. porile de securitate(gateways), 3. politicile de securitate ale server-ului, i 4. autoritaile de certificare Internet-ul furnizeaz mediul de transmitere. Porile de securitate stau ntre reeaua public i reeaua privat, mpiedicnd intruziunile neautorizate n reeaua privata. Ele, deasemenea, dispun de capaciti de tunelare i criptare a datelor nainte de a fi transmise n reeaua public. In general, o poart de securitate se ncadreaz n una din urmatoarele categorii: routere, firewall, dispozitive dedicate VPN harware i software.Router trebuie s examineze i s proceseze fiecare pachet care parsete reeaua, deci trebuie s aib i funcia de criptare a pachetelor. Comerciantii de routere dedicate VPN, de obicei ofer dou tipuri de produse: ori cu un suport software pentru criptare, ori cu un circuit adiional echipat cu un co-procesor care se ocup strict de criptarea datelor. Exemple:
Echipamente harware dedicate - proiectate s ndeplineasc sarcinile de tunelare, criptare i autentificarea utilizatorilor. Aceste echipamente operez de obicei ca nite puni de criptare care sunt amplasate ntre router-ele reelei i legatura WAN( legatura cu reeaua public). Dei aceste echipamente sunt proiectate pentru configuraiile LAN-to-LAN, unele dintre ele suport i tunelare pentru cazul client-to-LAN.
Soluii software dedicate Componente software VPN sunt disponibile pentru creearea i ntreinerea de tuneluri, fie ntre dou pori de securitate, fie ntre un client i o poarta de securitate. Aceste sisteme sunt agreeate datorit costurilor reduse i sunt folosite pentru companiile mici, care nu au nevoie s procesese o cantitate prea mare de date. Aceste soluii pot rula pe servere existente, mprind astfel resursele cu acestea. Reprezint soluia cea mai potrivit pentru conexiunile de tipul clientto-LAN. Practic, se instaleaz o aplicaie software pe calculatorul clientului care stabilete conexiunea cu serverul VPN. Principalele avantaje ale reelelor virtuale private Reducerea costurilor Reelele private virtuale sunt mult mai ieftine dect reelele private proprietare ale companiilor. Se reduc costurile de operare a reelei (linii nchiriate, echipamente, administratori reea). Integrare, simplitate Se simplific topologia reelei companiei private. De asemenea, prin aceeai conexiune se pot integra mai multe aplicaii: transfer de date, Voice over IP, Videoconferine.
