Katsaus palveluntarjoajan tarjoamiin virtuaalisiin yksityisiin verkkoihin (PPVPN)

Palveluntarjoajan ylläpitämät virtuaaliset yksityiset verkot (PPVPN) ovat yritystason VPN-verkkoja, joita yritykset käyttävät pääasiassa salliakseen henkilöstölle etäkäytön yrityksen verkkoon.. PPVPN-tunnuksia käytetään myös fyysisesti erillisten sivustojen ja verkkojen turvalliseen yhdistämiseen Internetin kautta.


Tällä tavalla eri sivustot näkyvät käyttäjille yhtenä kokonaisuutena yhtenäisenä verkkona. Yritys, joka haluaa ylläpitää yrityksen VPN: ää, voi rakentaa ja käyttää omaa VPN: ää. Vaihtoehtoisesti se voi vuokrata PPVPN-palvelun teleyritykseltä tai Internet-palveluntarjoajalta, joka palvelee yritystä yrityssektorille.

Palveluntarjoajan tarjoamien VPN-verkkojen etuna on helppo toteutus ja toiminta. VPN-verkko on yleensä läpinäkyvä käyttäjille, eikä erillistä käyttäjän todennusta tarvita. Protokoloista ja VPN-arkkitehtuurista riippuen, kun ne on määritetty, osallistuvat loppukäyttäjän isäntäkoneet VPN: n molemmilla puolilla eivät ehkä tarvitse mitään erityisiä VPN-ohjelmistoja, jotka on asennettu palveluntarjoajan tarjoaman VPN: n käyttämiseen.

kw1kw1

Tässä artikkelissa

Kuinka PPVPN: t toimivat

PPVPN: t käyttävät virtuaalisia liikenneyhteyksiä Internetin kautta. tunnetaan nimellä "tunnelit", jotka luodaan käyttämällä sellaisia ​​protokollia kuten GRE, MPLS, PPTP, L2TP ja Ipsec. Nämä protokollat ​​mahdollistavat yksityisen yritysliikenteen kulkemisen julkisessa Internetissä ilman, että yhteys tai tiedot vaarantuvat.

Etäyhteydessä oleville VPN-verkoille, jotka yhdistävät yhden käyttäjän yritysverkkoon puhelinsoiton, DLS-reitittimen tai langattoman lähiverkon kautta, käytettävät protokollat ​​ovat yleensä PPTP tai L2TP. VPN: lle, joka yhdistää kaksi tai useampia sivustoverkkoja toisiinsa, protokollat ​​ovat yleensä GRE, IPsec tai MPLS.

VPN-tunneli muodostetaan kunkin sivuston VPN-verkkoyhdyskäytävien, joihin viitataan nimellä “Palvelun tarjoaja” ja “Asiakkaan reuna” laitteet. VPN-tunnelit toimivat yhdessä tai kahdessa OSI-määritellyt kommunikaatiotasot.

Tämä on yleensä joko OSI-kerros 2 tai kerros 3. Kerroksen 2 tunneleissa käytetään PPTP: tä ja L2TP: tä. Tämä on kehyskerros, jossa yksinkertaisia ​​Ethernet-kehyksiä kuljetetaan VPN: n kautta. Tämä mahdollistaa myös lähetyspakettien kulkemisen VPN: n läpi. MPLS VPN: t toimivat myös tässä kerroksessa.

Esimerkkejä kerroksen 3 tunneleista ovat Yleinen reittikapselointi (GRE), joita käytetään kapseloimaan ei-IP-liikenne Internetin kautta tapahtuvaa kuljetusta varten ilman salausta. Kerrosta 3 käyttää myös IPsec-protokolla, joka sisältää sekä tunnelointi- että salaustoiminnot.

VPN-topologiat

VPN: n asettamisessa on kaksi mahdollista topologiaa. - Mesh-pohjainen, jossa jokainen päätelaitteiden sarja on yhteydessä toisiinsa suoraan ilman, että tarvitsee kulkea keskipisteen läpi. Tämä parantaa reititysominaisuuksia, mutta tarkoittaa myös sitä, että tarvitaan enemmän tunneleita.

Napa ja puhepohjainen, missä kukin päätelaitteiden sarja on yhteydessä keskuksen kautta. Tämä kokoonpano vähentää monimutkaisuutta ja tunneleiden määrää, mutta asettaa myös korkeampia vaatimuksia luotettavuudelle ja johtaa raskaampaan liikenteeseen ydinpisteessä. Se tarkoittaa myös, että järjestelmässä on yksi vikakohta.

Valitun topologian tyyppi riippuu mukana olevien verkkojen luonteesta, linkitettävien sivustojen lukumäärästä ja niiden yksilöllisistä liitettävyysvaatimuksista. Katso artikkelissa perusteellinen keskustelu VPN: n käyttämistä topologioista ja arkkitehtuureista Virtuaalisen yksityisen verkon ratkaisujen analyysi julkaissut New South Walesin yliopisto.

VPN-tietoturvan näkökohdat

VPN-suojaus vaatii käyttäjän valtuutuksen, todennuksen ja tietojen salaustoiminnot. VPN-tunnelit itsessään eivät aina tarjoa riittävää turvallisuutta. Se riippuu käytetystä protokollasta. Jotkut siirtoprotokollat ​​sisältävät salaustoiminnot. Toiset eivät.

Vaikka se olisi suojattu, VPN: n läpi kulkevat tiedot ovat normaalisti suojattuja vain kahden yhdyskäytävän reunalaitteen välillä. Tämä tarkoittaa, että isäntien ja yhdyskäytävän reunan välillä kulkevaa tietoa VPN: n kummassakin päässä ei ole suojattu.

VPN-siirtoprotokollat

Koska VPN-verkot toimivat julkisen internetin välityksellä, käytettävät kuljetusprotokollat ​​ovat tärkeitä tiedon ja yhteyden tietoturvalle. Seuraavat ovat nykyisiä yleisimmin esiintyviä VPN-protokollia, joita käytetään PPVPN-protokolloihin.

Yleinen reitityskapselointi (GRE) GRE: tä käytetään minkä tahansa protokollan kapselointiin IP: hen. GRE: n uudempi versio, joka tunnetaan nimellä Parannettu GRE mahdollistaa tehokkaamman tiedonsiirron. GRE: tä käytetään yhdessä PPTP: n kanssa VPN-tunnelien luomiseen.

Piste-piste-tunnelointiprotokolla (PPTP) PPTP on Layer 2 -protokolla, jota käytetään pisteiden välisiin yhteyksiin. Perinteisesti nämä olivat puhelinverkkoyhteydet tai ISDN, jotka käyttivät Piste-piste-protokolla (PPP). PPTP oli PPP: n jatkokehitys ja käyttää Microsoftin omaa tietoturvamekanismia CHAP (Challenge Handshake Authentication Protocol) todennusta varten. PPTP tarjoaa VPN-tunnelin PPTP-pääasiakkaan, kuten tietokoneen tai kannettavan, ja PPTP-yhteensopivan palvelimen välillä.

Jokaisella laitteella, joka haluaa käyttää PPTP: tä, on oltava PPTP-asiakasohjelmisto asennettuna ja määritettynä. PPTP puolestaan ​​käyttää GRE: tä kapseloimaan PPP-kehykset IP-paketteihin. Huomaa, että monet pakettisuodatuspalomuurilaitteet estävät PPTP-porttia oletuksena, joten niiden on ehkä määritettävä uudelleenmääritykset PPTP-liikenteen läpi kulkemiseksi. Toinen PPTP: n ongelma on, että protokollan on jo kauan osoitettu olevan sisäisesti epävarma.

Yleisesti ottaen et halua käyttää PPTP: tä palveluntarjoajan tarjoaman VPN: n kanssa. Kerroksen 2 tunnelointiprotokolla (L2TP) L2TP korvaa PPTP: n. Kuten PPTP, L2TP tarjoaa yhteyden L2TP-asiakkaan ja L2TP-yhteensopivan palvelimen välillä. Se vaatii L2TP-asiakasohjelmiston asentamisen ja konfiguroinnin jokaiseen järjestelmään.

Toisin kuin PPTP, joka käyttää GRE: tä tunnelointiin, L2TP: llä on kuitenkin oma tunnelointiprotokolla, joka toimii UDP-portilla 1701. Tämä helpottaa L2TP: n kuljettamista esteettä pakettisuodatuslaitteiden läpi kuin PPTP: n tapauksessa. L2TP-tunneli emuloi PPP-yhteyttä ja jokainen L2TP-tunneli käsittää kaksi kanavaa: ohjauskanavan, joka hallitsee viestintäistuntoa, ja datakanavan, joka kuljettaa todelliset datapaketit PPP-muodossa. Kadonneet ohjaussanomat lähetetään aina uudelleen.

Kuten PPTP: lläkin, L2TP ei kuitenkaan tarjoa mitään suojausta, lukuun ottamatta muuta kuin alkuperäistä haastepohjaista todennusta istunnon alussa CHAP: lla, joten L2TP: tä ei pitäisi käyttää itsessään VPN: ään. Yksi yleinen tapa lisätä tietoturvaa L2TP: hen on yhdistää se IPsec: n kanssa salauksen tarjoamiseksi L2TP-tunnelin kautta.

Internet-protokollan suojaus (IPsec) IPsec on vakiintunut ja todistettu protokollien sarja, joka koostuu kolmesta pääkomponentista: autentikointiotsikko (AH), koteloiva tietoturvan hyötykuorma (ESP) ja Internet Key Exchange (IKE) joka huolehtii IPsecin tietojen salauksesta. IPsec tarjoaa suojauksen IP-pakettikerroksessa.

IPsec on verkkotason protokolla, joka voidaan sisällyttää palvelimiin, asiakkaisiin ja muihin laitteisiin, esimerkiksi reitittimeen, erilliseen VPN-keskittymään tai palomuuriin. Kaikissa Windows-versioissa vuodesta 2000 / XP ja Mac OSX 10.3 tai uudemmissa, ja useimmissa mobiili-käyttöjärjestelmissä on alkuperäinen tuki sekä L2TP: lle että IPsec: lle. IPsec suojaa jokaisen IP-paketin riippumatta siitä, onko kyse TCP, UDP vai muun tyyppinen paketti. IPseciä pidetään yleensä turvallisimpana ja tehokkaimpana VPN-siirtoprotokollana, mutta sillä on myös joitain rajoituksia.

Todennusotsikko (AH) AH tarjoaa käyttäjän todennuksen sekä pakettien otsikoiden ja datan eheyden suojauksen. AH ei kuitenkaan suorita mitään paketin salausta. Tästä syystä AH: lla ja ESP: llä oli taipumus olla niputettu toisiinsa. Sen jälkeen kun todennusominaisuudet lisättiin ESP: hen, AH: sta on tullut vähemmän merkityksellistä, ja jotkut IPsec-järjestelmät eivät enää sisällä sitä.

AH on kuitenkin edelleen hyödyllinen ominaisuus, koska se tarjoaa taaksepäin yhteensopivuuden laitteiden ja ohjelmistojen kanssa, jotka siihen edelleen luottavat. On tärkeää huomata, että AH: lla on kaksi moodia: kuljetus ja tunneli. Tunnelitilassa AH luo uuden IP-otsikon jokaiselle datapaketille. Kuljetusmuodossa, jota käytetään yleensä isäntä-isäntä-suoriin yhteyksiin (esimerkiksi PC-palvelin-palvelin tai palvelin-palvelin), AH ei muuta alkuperäistä IP-otsikkoa, eikä se luo uutta IP-otsikkoa. Tämä tarkoittaa, että jos käytät yhdyskäytävää tai isäntä-yhdyskäytävä-VPN-verkkoa, sinun on varmistettava, että laitteesi on määritetty määrittämään uudelleen paketin lähde- tai kohde-IP-osoitteet osoittamaan yhdyskäytävän IP-osoitteisiin. Muutoin paketit eivät pääse määränpäähänsä.

Koteloiva tietoturvan hyötykuorma (ESP) Aluksi ESP tarjosi vain salauksen pakettitiedoille eheyden suojauksella, josta AH-protokolla huolehtii. IPsec: n myöhemmissä versioissa ESP voi nyt suorittaa salauksen, eheyden suojauksen tai salauksen ja eheyden suojauksen yhdessä. Kuten AH: lla, ESP: llä on sekä kuljetus- että tunnelimuodot. Useimmissa VPN-verkoissa käytetään tunnelitilaa. Tällöin ESP lisää uuden IP-otsikon jokaiselle paketille, joka sisältää tunnelin pääteosoitteet.

IPsecin mahdolliset ongelmat

IPsecin käyttäminen NAT (Network Address Translation) -yhdyskäytävien kanssa voi olla ongelmallista. AH: ta tulisi käyttää vain tunnelitilassa, jos liikenne kulkee NAT-yhdyskäytävien läpi, koska AH-kuljetusmuoto ei ole NAT-yhteensopiva. Toinen ongelma on, että AH todentaa koko IPsec-paketin, mukaan lukien IP-otsikko, kun taas NAT: ien on kyettävä muuttamaan pakettien IP-osoitteita.

Seurauksena on, että IPsec-todennus tunnelitilassa ei välttämättä toimi tietyissä sovellusprotokolliliikenteissä, kuten FTP, SIP / VOIP tai IRC, jotka tukeutuvat sulautettuihin IP-osoitteisiin toimiakseen oikein. Yksi kiertotapa tähän on NAT-toimintojen suorittaminen ennen IPsecin asentamista. Tämä voidaan tehdä käyttämällä IPsec-yhdyskäytävää, joka suorittaa myös NAT: n.

Toinen vaihtoehto on soveltaa ESP-pakettien UDP-kapselointia lisäämällä jokaiseen pakettiin UDP-otsikko, joka tarjoaa IP-osoitteen ja UDP-portin, jota NAT voi käyttää. IPsec on erityisen hyödyllinen lopullisissa ulommissa päissä, joissa salausta halutaan nimenomaisesti muodostaa yhteyden käyttäjän tietokoneisiin ja kannettaviin tietokoneisiin. IPsec on myös ainoa protokolla, joka tarjoaa suojatun VPN-pääsyn etäkäyttöisäntäkoneille. Kansallinen standardi- ja teknologiainstituutti (NIST) on julkaissut yksityiskohtaisen Opas Ipsec VPN: iin joka on lukemisen arvoinen, jos harkitset vakavasti IPsec-pohjaisen VPN: n käyttöönottoa.

Moniprotokollainen etiketinvaihto (MPLS)

2000-luvun alkuun saakka IPsec oli VPN-palveluntarjoajan oletusprotokolla, jota yrityksille tarjosi televiestintä ja Internet-palveluntarjoajat. Mutta siitä lähtien MPLS on alkanut olla suositumpi. MPLS: n kuvataan usein sopivan OSI-kerrosten 2 ja 3 välille. Tämä johtuu siitä, että MPLS ymmärtää sekä IP-reitityksen kerroksessa 3 että kerroksen 2 pakettikytkentätoiminnon. MPLS, kuten “Multiprotocol” nimi tarkoittaa, pystyy kuljettamaan paketteja monenlaisista verkkoprotokollista. MPLS: ää tarjoavat nyt monet palveluntarjoajien verkot, ja ne otetaan käyttöön omille Internet-runkoilleen.

MPLS välittää paketit edelleen kerroksessa 2 (kytkentäkerros). IP-reitityksen tarvetta tässä vaiheessa vältetään, koska saapuva tai "sisäänpääsy" Label Edge Router tai LER merkitsee jokaisen paketin saapuessaan palveluntarjoajan verkkoon. Kaikki myöhemmät MPLS: ään osallistuvat Label Switching Reitittimet (LSR) suorittavat paketin edelleenlähetyksen vain näiden merkintöjen mukaisesti, ilman viittausta IP-otsikon osoitteeseen.

Lopuksi lähtevä tai “poistuva” LER-reititin poistaa MPLS-tarran ja välittää IP-paketin lopulliseen määränpäähänsä. Palveluntarjoajat kutsuvat toisinaan MPLS VPN -verkkoja virtuaaliseksi yksityiseksi LAN-palveluksi (VPLS) tai virtuaaliseksi yksityiseksi reititetyksi verkkoksi (VPRN). MPLS tarjoaa useita etuja IPseciin nähden.

Ensinnäkin sen sijaan, että luotettaisiin reitittimien taulukkohakuihin matkan varrella jokaiselle paketille, MPLS käyttää omia ennalta määrättyjä polkuja nimeltään Label-Switched Paths valitakseen optimaalisen reitin etukäteen kaikille paketeille. Tämä nopeuttaa tiedonsiirtoa huomattavasti.

MPLS: llä on myös erinomainen palvelun laadun (QoS) kyky. MPLS tukee useiden palvelutasojen määrittelyä käyttämällä omia Label Switching Protocol (LSP) -reittejä täyttääksesi tietyt palvelutasosopimukset, jotka perustuvat liikenteen ominaisuuksiin, viiveeseen, paketin menettämiseen ja seisokkeihin. Verkko voisi esimerkiksi määritellä kolme palvelutasoa - yhden VOIP-liikenteelle, yhden aikaherkälle liikenteelle ja toisen normaalille tietoliikenteelle. EETimes on julkaissut perusteellisen artikkelin aiheesta MPLS-pohjaisten PPVPN-ratkaisujen toteuttaminen.

Joten mikä protokolla on paras PPVPN: lle?

Pienyritykset suosivat IPseciä yleensä OSI-kerroksen 3 VPN-verkkoille ja etenkin etäkäyttöisäntäyrityksille. Näissä tapauksissa joko IPsec L2TP: n kanssa tai IPsec GRE: n kanssa ovat suositeltavia protokollia. PPTP: n etuna on, että se on helppo toteuttaa, koska se on saatavana sisäänrakennettuna MS-Windowsin ja monien muiden järjestelmien kanssa.

Turvallisuushaitojen vuoksi PPTP: n käyttäminen ei ole kuitenkaan suositeltavaa suojatulle VPN: lle. Muista, että IPsec ja GRE eivät tue yksinään QoS-toimintoja. IPSeciä esiintyy harvemmin keskisuurten ja suurten yritysten keskuudessa, koska niiden verkkoyhteysvaatimukset ovat monimutkaisia.

Matkapuhelinkäyttäjille ja etäkäytön tunnuksille MPLS ei ole vaihtoehto. MPLS pysähtyy asiakkaan reunalla tai CE-laitteella (yleensä reitittimellä). MPLS soveltuu parhaiten VPN-verkkojen käyttöönottoon verkkosivustojen reitittimien reunojen välillä ja suuremmille yrityksille, etenkin verkoille, joiden liikennemäärät ovat suurempia ja erityyppisiä liikenteelle, jotka hyötyvät QoS-erottelusta. Jos etsit sopivaa MPLS VPN-palveluntarjoajaa, tutustu Luettelo Yhdistyneestä kuningaskunnasta ja globaaleista MPLS VPN -palvelun tarjoajista ylläpitää The Network Union.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me