A szolgáltató által biztosított virtuális magánhálózatok (PPVPN) áttekintése

A szolgáltató által biztosított virtuális magánhálózatok (PPVPN-k) olyan vállalati szintű VPN-k, amelyeket főleg az üzleti vállalkozások használnak annak érdekében, hogy a személyzet biztonságos távoli hozzáférést biztosítsanak vállalati hálózatához. A PPVPN-ket a fizikailag elkülönített helyek és hálózatok biztonságos összekapcsolására is használják az interneten keresztül.


Ilyen módon a különböző webhelyek úgy jelennek meg a felhasználók számára, mint egy teljesen integrált egyetlen hálózat. A vállalati VPN-t üzemeltetni kívánó vállalat saját dedikált VPN-t építhet és üzemeltethet. Alternatív megoldásként bérelhet PPVPN szolgáltatást egy távközlési szolgáltatótól vagy egy, az üzleti szférát kiszolgáló ISP-től.

A szolgáltató által biztosított VPN-k előnye a könnyű megvalósítás és működtetés. A VPN-hálózat általában átlátható a felhasználók számára, külön felhasználói hitelesítésre nincs szükség. A protokolloktól és a VPN architektúrától függően, a konfigurálás után a részt vevő végfelhasználói gazdagépeknek a VPN egyik oldalán sem lehet szükségük speciális VPN szoftverre, amely telepítve van a szolgáltató által biztosított VPN használatához.

KW1KW1

Ebben a cikkben

Hogyan működik a PPVPN?

A PPVPN-k virtuális forgalmi linkeket használnak az interneten keresztül. úgynevezett alagutak, amelyeket olyan protokollokkal hoznak létre, mint például GRE, MPLS, PPTP, L2TP és Ipsec. Ezek a protokollok lehetővé teszik a magán vállalati forgalom számára a nyilvános internet átjárását anélkül, hogy a kapcsolat vagy az adatok veszélybe kerülnének.

Távoli elérésű VPN-k esetében, amelyek egyetlen felhasználót csatlakoznak a vállalati hálózathoz tárcsázás, DLS útválasztó vagy vezeték nélküli LAN útján, a használt protokollok általában PPTP vagy L2TP. Két vagy több helyiséghálózatot egymással összekötő VPN-k esetén a protokollok általában GRE, IPsec vagy MPLS.

A VPN alagút az egyes helyek VPN hálózati átjárói között jön létre, a továbbiakban: “Szolgáltató él” és “Customer Edge” eszközöket. A VPN alagutak az egyik vagy kettőnél működnek OSI által meghatározott kommunikációs rétegek.

Ez általában az OSI 2. vagy 3. réteg. A 2. rétegű alagutak PPTP-t és L2TP-t használnak. Ez a keretréteg, amelyben az egyszerű Ethernet kereteket a VPN-en továbbítják. Ez lehetővé teszi a sugárzott csomagok átjutását a VPN-en. Az MPLS VPN-k szintén ezen a rétegen működnek.

Példák a 3. réteg alagutakra Általános útvonal-beágyazás (GRE), nem-IP forgalom titkosítás nélküli, az interneten történő szállításának beágyazására szolgál. A 3. réteget az IPsec protokoll is használja, amely magában foglalja mind az alagút, mind a titkosítási funkciókat.

VPN topológiák

Két lehetséges topológia létezik a VPN beállításához. - Mesh-alapú, ahol minden végkészlet közvetlenül kommunikál egymással, anélkül, hogy át kellene mennie egy központi ponton. Ez jobb útválasztási képességeket tesz lehetővé, de azt is jelenti, hogy további alagutakra van szükség.

Hub és beszéd alapú, ahol minden végkészlet egy központi ponton keresztül kommunikál egymással. Ez a konfiguráció csökkenti az összetettséget és az alagutak számát, ugyanakkor magasabb követelményeket támaszt a megbízhatósággal szemben, és a központi ponton nehezebb forgalmat eredményez. Ez azt is jelenti, hogy a rendszer egyetlen hibapontot vezet be.

A választott topológia típusa az érintett hálózatok jellegétől, a csatlakoztatandó helyek számától és az egyedi kapcsolódási követelményektől függ. A VPN-k által használt topológiák és architektúrák mélyebb megvitatását lásd a cikkben A virtuális magánhálózati megoldások elemzése közzétette a New South Wales University.

A VPN biztonság szempontjai

A VPN biztonsága felhasználói engedélyezést, hitelesítést és adattitkosítási funkciókat igényel. A VPN-alagutak önmagukban nem mindig nyújtanak megfelelő biztonságot. A használt protokolltól függ. Egyes szállítási protokollok tartalmaznak titkosítási funkciókat. Mások nem.

Még ha biztonságos is is, a VPN-en átmenő adatok általában továbbra is csak a két átjáró szélén lévő eszköz között vannak védettek. Ez azt jelenti, hogy a gazdagépek és az átjáró széle között a VPN mindkét végén utazó adatok nem védettek.

VPN szállítási protokollok

Mivel a VPN-ek nyilvános interneten keresztül működnek, az alkalmazott szállítási protokollok alapvető fontosságúak az adatok és a kapcsolat biztonsága szempontjából. Az alábbiakban bemutatjuk a PPVPN-khez használt leggyakrabban használt VPN-protokollokat.

Általános útválasztási beágyazás (GRE) A GRE-t bármely protokollnak az IP-be kapszulázására használják. A GRE újabb verziója Továbbfejlesztett GRE lehetővé teszi a hatékonyabb átvitelt. A GRE-t a PPTP-vel együtt használják VPN-alagutak létrehozására.

Pont-pont alagút protokoll (PPTP) A PPTP egy 2. rétegű protokoll, amelyet pont-pont kapcsolatokhoz használnak. Hagyományosan ezek dial-up vagy ISDN voltak, amelyek a Pont-pont protokoll (PPP). A PPTP a PPP továbbfejlesztése volt, és a Microsoft védett biztonsági mechanizmusát használja CHAP (Challenge Handshake Authentication Protocol) hitelesítéshez. A PPTP VPN alagutat biztosít egy PPTP végfelhasználó, például PC vagy laptop, és egy PPTP-kompatibilis szerver között.

Minden PPTP-t használni kívánó eszköznek rendelkeznie kell a PPTP-ügyfélszoftver telepítésével és konfigurálásával. A PPTP viszont GRE-t használ a PPP-keretek IP-csomagokba való beágyazására. Vegye figyelembe, hogy sok csomagszűrő tűzfalkészülék alapértelmezés szerint blokkolja a PPTP-portot, ezért valószínűleg újra kell konfigurálniuk a PPTP-forgalom átjutását. A PPTP-vel kapcsolatos további probléma az, hogy a protokoll már régóta bizonyítottan lényegében bizonytalan.

Általában véve nem akarja a PPTP-t egy szolgáltató által kiépített VPN-sel használni. 2. réteg alagút protokoll (L2TP) Az L2TP a PPTP pótlása. A PPTP-hez hasonlóan az L2TP kommunikációt biztosít egy L2TP-kliens és egy L2TP-kompatibilis szerver között. Az L2TP kliens szoftver telepítéséhez és konfigurálásához minden rendszeren szükség van.

Ellentétben a PPTP-vel, amely GRE-t használ az adatok alagútjához, az L2TP-nek saját alagút-protokollja van, amely az 17DP UDP porton fut. Ez megkönnyíti az L2TP számára az akadálytalan akadálymentesség nélküli áthaladást a csomagszűrő eszközökön, mint a PPTP esetében. Az L2TP alagút a PPP kapcsolatot emulálja, és minden L2TP alagút két csatornát tartalmaz: egy vezérlőcsatornát, amely a kommunikációs szekciót kezeli, és az adatcsatornát, amely a tényleges adatcsomagokat PPP formátumban hordozza. Az elveszett vezérlő üzenetek mindig újraküldésre kerülnek.

Ugyanakkor, akárcsak a PPTP-hez, a CHAP-t használó kezdeti kihívás-alapú hitelesítésen kívül a munkamenet elején az L2TP sem biztosít biztonságot, ezért az L2TP-t önmagában nem szabad használni a VPN-hez. Az L2TP biztonságának növelésének egyik leggyakoribb módja az, hogy az IPsec-hez csomagolják, hogy az L2TP alagúton keresztül titkosítást nyújtsanak..

Internetprotokoll biztonság (IPsec) Az IPsec egy bevált és bevált protokollkészlet, amely három elsődleges összetevőből áll: a hitelesítési fejléc (AH), a beágyazó biztonsági hasznos teher (ESP) és az Internet Key Exchange (IKE) amely gondoskodik az IPsec adattitkosításáról. Az IPsec biztonságot nyújt az IP csomag rétegnél.

Az IPsec egy hálózati szintű protokoll, amelyet be lehet építeni a kiszolgálókba, az ügyfelekbe és más eszközökbe, például egy útválasztóban, egy dedikált VPN-koncentrátorban vagy tűzfalban. Az összes Windows verzió a 2000 / XP és a Mac OSX 10.3 vagy újabb verzió óta, és a legtöbb mobil operációs rendszer natív támogatással rendelkezik mind az L2TP, mind az IPsec számára. Az IPsec minden IP-csomagot védi, függetlenül attól, hogy TCP, UDP vagy más típusú csomag van-e. Az IPsec-t általában a legbiztonságosabb és leghatékonyabb VPN-átviteli protokollnak tekintik, de van bizonyos korlátozásai is.

A hitelesítési fejléc (AH) Az AH felhasználói hitelesítést, valamint integritásvédelmet biztosít a csomagfejlécek és adatok számára. Az AH azonban nem végez semmilyen csomagos titkosítást. Ezért az AH és az ESP hajlamosak voltak összekapcsolódni. Mivel a hitelesítési képességeket hozzáadták az ESP-hez, az AH kevésbé vált jelentősé, és egyes IPsec rendszerek már nem tartalmazzák azt.

Az AH azonban továbbra is hasznos szolgáltatás, mivel visszamenőleges kompatibilitást biztosít azokkal az eszközökkel és szoftverekkel, amelyek még mindig támaszkodnak rá. Fontos megjegyezni, hogy az AH-nak két módja van: szállítás és alagút. Alagút módban az AH új IP fejlécet hoz létre minden adatcsomaghoz. Szállítási módban, amelyet általában host-host közötti közvetlen kapcsolatokhoz használnak (például PC-szerver vagy szerver-szerver), az AH nem módosítja az eredeti IP-fejlécet, és nem hoz létre új IP-fejlécet. Ez azt jelenti, hogy ha átjáró-átjáró vagy gazda-átjáró VPN-t használ, akkor ellenőriznie kell, hogy készülékei úgy vannak-e beállítva, hogy újrakonfigurálják a csomagok forrás- vagy rendeltetési IP-címét az átjáró IP-címeihez. Ellenkező esetben a csomagok nem érik el rendeltetési helyüket.

Beágyazó biztonsági hasznosság (ESP) Az ESP kezdetben csak a csomag adatok titkosítását biztosította az integritásvédelemmel, amelyet az AH protokoll gondoskodott. Az IPsec későbbi verzióiban az ESP most együtt végezhet titkosítást, integritásvédelmet vagy titkosítást és integritásvédelmet. Az AH-hoz hasonlóan, az ESP-nek is van szállítási és alagútja. A legtöbb VPN-hez alagút üzemmód van használatban. Ebben az esetben az ESP minden egyes csomaghoz hozzáad egy új IP-fejlécet, amely az alagút végpont-címét tartalmazza.

Lehetséges problémák az IPsec-rel

Az IPsec használata NAT (hálózati címfordítás) átjárókkal problémás lehet. Az AH-t csak alagút üzemmódban szabad használni, ha a forgalom a NAT átjárók áthaladására irányul, mivel az AH szállítási mód nem NAT-kompatibilis. Egy másik probléma az, hogy az AH hitelesíti a teljes IPsec csomagot, beleértve az IP fejlécet is, míg a NAT-nak képesnek kell lennie a csomagok IP-címeinek módosítására..

Ennek eredményeként az alagút üzemmódban az IPsec hitelesítés nem működhet bizonyos alkalmazásprotokoll-forgalom esetén, például FTP, SIP / VOIP vagy IRC, amely a beágyazott IP-címeken alapszik a megfelelő működéshez. Ennek egyik megoldása a NAT-funkciók végrehajtása az IPsec alkalmazása előtt. Ezt megteheti egy IPsec átjáró használatával, amely szintén NAT-ot végzi.

Egy másik alternatíva az ESP-csomagok UDP-beágyazása, ha minden egyes csomaghoz hozzáad egy UDP-fejlécet, amely biztosítja a NAT által használható IP-címet és UDP-portot. Az IPsec különösen hasznos a végső külső végnél, ahol a titkosítás kifejezetten szükséges, amikor a felhasználói PC-khez és a laptopokhoz kapcsolódnak. Az IPsec az egyetlen protokoll, amely biztonságos VPN hozzáférést kínál a távoli bejelentkezési gazdagépek számára. A Nemzeti Szabványügyi és Technológiai Intézet (NIST) részletesen közzétette Útmutató az Ipsec VPN-khez amelyet érdemes elolvasni, ha komolyan fontolja meg az IPsec-alapú VPN megvalósítását.

Multiprotocol Label Switching (MPLS)

A 2000-es évek elejéig az IPsec volt az alapértelmezett VPN-szolgáltató protokoll, amelyet a vállalkozásoknak a telekommunikáció és az internetszolgáltatók kínáltak. Azóta az MPLS egyre népszerűbbé vált. Az MPLS-t gyakran az OSI 2. és 3. réteg közötti illesztésnek tekintik. Ennek oka az, hogy az MPLS megérti mind a 3. réteg IP-útválasztását, mind a 2. réteg csomagkapcsoló funkcióját. MPLS, mint a “Multiprotocol” A név azt sugallja, hogy csomagokat képes szállítani a különféle hálózati protokollok sokféleségéből. Az MPLS-t most számos szolgáltatóhálózat kínálja, valamint saját Internet gerincére telepíti.

Az MPLS továbbítja a csomagokat a 2. rétegben (a kapcsoló réteg). Az IP-útválasztás szükségessége ebben a szakaszban elkerülhető, mivel a szolgáltató hálózatába történő belépéskor minden csomagra fel van tüntetve a bejövő vagy „belépő” címke-útválasztó vagy az LER. Az összes ezt követő MPLS-ben részt vevő címkekapcsoló-útválasztó (LSR) csak ezeknek a címkéknek megfelelően hajtja végre a csomagküldést, anélkül, hogy az IP-fejlécben hivatkoznánk.

Végül, a kimenő vagy „kilépő” LER útválasztó eltávolítja az MPLS címkét, és továbbítja az IP csomagot a végső rendeltetési helyére. Az MPLS VPN-eket a szolgáltatók időnként virtuális magánhálózati szolgáltatásnak (VPLS) vagy virtuális magánhálózatnak (VPRN) nevezik. Az MPLS számos előnyt kínál az IPsec-hez képest.

Először is, ahelyett, hogy az egyes csomagok útvonaltervező táblázatainak sorozatára támaszkodna, az MPLS saját előre meghatározott útvonalakat használ, Label-Switched Paths néven, hogy előre megválasztja az optimális útvonalat az összes csomaghoz. Ez nagyban felgyorsítja az adatátvitelt.

Az MPLS kiváló szolgáltatási minőség (QoS) képességgel is rendelkezik. Az MPLS támogatja a többszintű szolgáltatási szint meghatározását saját, Label Switching Protocol (LSP) útvonalainak felhasználásával, hogy megfeleljen a szolgáltatási szintű megállapodásoknak a forgalmi jellemzők, késés, csomagvesztés és leállási problémák alapján. Például egy hálózat három szolgáltatási szintet definiálhat - egyet a VOIP forgalomhoz, egyet időérzékeny forgalomhoz és egy a normál adatforgalomhoz. Az EETimes mélyreható cikket tett közzé a MPLS-alapú PPVPN megoldások megvalósítása.

Tehát melyik protokoll a legjobb a PPVPN-hez?

Az IPsec-t általában a kisvállalkozások részesítik előnyben az OSI 3-as szintű VPN-k és különösen a távoli elérésű állomások számára. Ezekben az esetekben az IPsec L2TP-vel vagy az IPsec GRE-vel lesz a preferált protokollok. A PPTP előnye, hogy egyszerűen megvalósítható, mivel beépített formában érhető el az MS-Windows és sok más rendszer számára.

A biztonsági hátrányok miatt azonban a PPTP használata nem javasolt a biztonságos VPN számára. Ne feledje, hogy az IPsec és a GRE nem önmagában támogatják a QoS funkciókat. Az IPSec-et ritkábban találják közép- és nagyvállalatok körében hálózati csatlakozási követelményeik összetettsége miatt.

A mobil felhasználók és a távoli elérésű bejelentkezések esetében az MPLS nem választható. Az MPLS az „ügyfél szélén” vagy a CE eszköznél (általában egy útválasztónál) áll meg. Az MPLS leginkább a helyszíni VPN-ek telepítésére szolgál a hálózati helyek router szélei között és nagyobb vállalkozások számára, különös tekintettel a nagyobb forgalomú és különféle típusú forgalomú hálózatokra, amelyek részesülnek a QoS szegregációból. Ha megfelelő MPLS VPN szolgáltatót keres, akkor nézze meg a Az Egyesült Királyság és a globális MPLS VPN kereskedelmi szolgáltatók listája fenntartja a Hálózati Unió.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me