Omówienie udostępnionych wirtualnych sieci prywatnych dostawcy (PPVPN)

Provisioned Virtual Private Networks (PPVPN) to sieci VPN na poziomie przedsiębiorstwa, wykorzystywane głównie przez firmy, aby umożliwić pracownikom bezpieczny zdalny dostęp do ich sieci korporacyjnej. PPVPN są również używane do bezpiecznego łączenia fizycznie oddzielnych witryn i sieci ze sobą przez Internet.


W ten sposób różne witryny wyglądają dla użytkowników jako jedna w pełni zintegrowana pojedyncza sieć. Firma chcąca uruchomić korporacyjną sieć VPN może zbudować i obsługiwać własną dedykowaną sieć VPN. Ewentualnie może wydzierżawić usługę PPVPN od dostawcy usług telekomunikacyjnych lub usługodawcy internetowego świadczącego usługi dla sektora biznesowego.

Dostawca Provisioned VPNs mają tę zaletę, że są łatwe w implementacji i obsłudze. Sieć VPN jest zazwyczaj przezroczysta dla użytkowników i nie wymaga osobnego uwierzytelnienia użytkownika. W zależności od protokołów i architektury VPN po skonfigurowaniu uczestniczące maszyny hosta użytkownika końcowego po obu stronach sieci VPN mogą nie wymagać zainstalowania żadnego specjalnego oprogramowania VPN, aby korzystać z sieci VPN udostępnianej przez dostawcę.

kw1kw1

W tym artykule

Jak działają PPVPN

PPVPN korzystają z wirtualnych łączy ruchu w Internecie. znane jako „tunele”, które są tworzone przy użyciu protokołów takich jak GRE, MPLS, PPTP, L2TP i Ipsec. Protokoły te pozwalają prywatnemu korporacyjnemu ruchowi na przeglądanie publicznego Internetu bez narażania połączenia lub danych.

W przypadku sieci VPN z dostępem zdalnym, które łączą pojedynczego użytkownika z siecią korporacyjną za pośrednictwem połączenia telefonicznego, routera DLS lub bezprzewodowej sieci LAN, zwykle używane protokoły to PPTP lub L2TP. W przypadku sieci VPN łączących ze sobą dwie lub więcej sieci lokacyjnych protokołami będą zwykle GRE, IPsec lub MPLS.

Tunel VPN jest ustanawiany między bramami sieci VPN każdej witryny, zwanymi “Krawędź dostawcy” i “Krawędź klienta” urządzenia. Tunele VPN działają w jednym lub dwóch z Warstwy komunikacyjne zdefiniowane przez OSI.

Zwykle jest to OSI Layer 2 lub Layer 3. Tunele warstwy 2 używają PPTP i L2TP. Jest to warstwa ramek, w której proste ramki Ethernet są transportowane przez VPN. Pozwala to również na przekazywanie pakietów rozgłoszeniowych przez VPN. Sieci VPN MPLS również działają w tej warstwie.

Przykładami tuneli warstwy 3 są Generyczna enkapsulacja trasy (GRE), stosowany do enkapsulacji ruchu innego niż IP do transportu przez Internet bez szyfrowania. Warstwa 3 jest również używana przez protokół IPsec, który obejmuje zarówno tunelowanie, jak i szyfrowanie.

Topologie VPN

Istnieją dwie główne możliwe topologie konfiguracji VPN. - Na bazie siatki, gdzie każdy zestaw urządzeń końcowych komunikuje się ze sobą bezpośrednio, bez potrzeby przechodzenia przez punkt centralny. Zapewnia to lepsze możliwości routingu, ale oznacza również, że potrzeba więcej tuneli.

Hub i oparte na szprychach, gdzie każdy zestaw urządzeń końcowych komunikuje się ze sobą za pośrednictwem centralnego punktu. Taka konfiguracja zmniejsza złożoność i liczbę tuneli, ale stawia także wyższe wymagania dotyczące niezawodności i powoduje większy ruch w centralnym punkcie. Oznacza to również, że do systemu wprowadzono pojedynczy punkt awarii.

Rodzaj wybranej topologii będzie zależeć od charakteru zaangażowanych sieci, liczby witryn do połączenia i ich indywidualnych wymagań dotyczących łączności. Szczegółowa dyskusja na temat topologii i architektur używanych przez VPN znajduje się w artykule Analiza rozwiązań wirtualnej sieci prywatnej opublikowane przez University of New South Wales.

Aspekty bezpieczeństwa VPN

Zabezpieczenia VPN wymagają autoryzacji użytkownika, uwierzytelniania i szyfrowania danych. Same tunele VPN nie zawsze zapewniają odpowiednie bezpieczeństwo. To zależy od konkretnego używanego protokołu. Niektóre protokoły transportowe zawierają funkcje szyfrowania. Inni nie.

Nawet jeśli jest zabezpieczony, dane przesyłane przez VPN nadal będą zwykle chronione tylko między dwoma urządzeniami brzegowymi bramy. Oznacza to, że dane przesyłane między hostami a krawędzią bramy na każdym końcu sieci VPN nie są chronione.

Protokoły transportu VPN

Ponieważ sieci VPN działają za pośrednictwem publicznego Internetu, stosowane protokoły transportowe są kluczowe, jeśli chodzi o bezpieczeństwo danych i połączeń. Poniżej znajdują się obecnie najczęściej spotykane protokoły VPN używane dla PPVPN.

Generic Routing Encapsulation (GRE) GRE służy do enkapsulacji dowolnego protokołu do IP. Nowsza wersja GRE znana jako Ulepszony GRE pozwala na bardziej wydajną transmisję. GRE jest używany razem z PPTP do tworzenia tuneli VPN.

Point-to-Point Tunneling Protocol (PPTP) PPTP jest protokołem warstwy 2 używanym do połączeń punkt-punkt. Tradycyjnie były to dial-up lub ISDN, które korzystały z Protokół Point-to-Point (PPP). PPTP był dalszym rozwinięciem PPP i wykorzystuje zastrzeżony przez Microsoft mechanizm bezpieczeństwa CHAP (Challenge Handshake Authentication Protocol) do uwierzytelnienia. PPTP zapewnia tunel VPN między klientem końcowym PPTP, takim jak komputer osobisty lub laptop, a serwerem obsługującym PPTP.

Każde urządzenie, które chce korzystać z PPTP, musi mieć zainstalowane i skonfigurowane oprogramowanie klienckie PPTP. Z kolei PPTP używa GRE do enkapsulacji ramek PPP w pakiety IP. Zauważ, że wiele urządzeń zaporowych z filtrowaniem pakietów domyślnie blokuje port PPTP, więc mogą wymagać ponownej konfiguracji, aby umożliwić przepływ ruchu PPTP. Innym problemem związanym z PPTP jest to, że protokół od dawna jest wewnętrznie niepewny.

Ogólnie rzecz biorąc, nie chcesz używać PPTP z VPN udostępnianym przez dostawcę. Protokół tunelowania warstwy 2 (L2TP) L2TP jest zamiennikiem PPTP. Podobnie jak w przypadku PPTP, L2TP zapewnia komunikację między klientem L2TP a serwerem obsługującym L2TP. Wymaga zainstalowania i skonfigurowania oprogramowania klienckiego L2TP w każdym systemie.

Jednak w przeciwieństwie do PPTP, który wykorzystuje GRE do tunelowania danych, L2TP ma własny protokół tunelowania, który działa na porcie UDP 1701. Ułatwia to L2TP przechodzenie bez przeszkód przez urządzenia do filtrowania pakietów niż w przypadku PPTP. Tunel L2TP emuluje połączenie PPP, a każdy tunel L2TP zawiera dwa kanały: kanał sterujący, który zarządza sesją komunikacyjną, oraz kanał danych, który przenosi rzeczywiste pakiety danych w formacie PPP. Zgubione wiadomości kontrolne są zawsze wysyłane ponownie.

Jednak, podobnie jak w przypadku PPTP, poza początkowym uwierzytelnianiem opartym na wyzwaniach przy użyciu protokołu CHAP na początku sesji, L2TP nie zapewnia żadnych zabezpieczeń, dlatego L2TP nie powinien być używany samodzielnie w sieci VPN. Jednym z powszechnych sposobów dodawania bezpieczeństwa do L2TP jest łączenie go z IPsec w celu zapewnienia szyfrowania przez tunel L2TP.

Zabezpieczenia protokołu internetowego (IPsec) IPsec to sprawdzony zestaw protokołów składający się z trzech podstawowych elementów: nagłówek uwierzytelniania (AH), enkapsulujący ładunek bezpieczeństwa (ESP) i Internet Key Exchange (IKE) który zajmuje się szyfrowaniem danych dla IPsec. IPsec zapewnia bezpieczeństwo w warstwie pakietów IP.

IPsec to protokół na poziomie sieci, który można zintegrować z serwerami, klientami i innymi urządzeniami, na przykład w routerze, dedykowanym koncentratorze VPN lub zaporze. Wszystkie wersje Windows od 2000 / XP i Mac OSX 10.3+ oraz większość mobilnych systemów operacyjnych są wyposażone w natywną obsługę zarówno L2TP, jak i IPsec. IPsec zabezpiecza każdy pakiet IP, niezależnie od tego, czy jest to pakiet TCP, UDP, czy inny rodzaj. IPsec jest ogólnie uważany za najbezpieczniejszy i najskuteczniejszy protokół transportowy VPN, ale ma też pewne ograniczenia.

Nagłówek uwierzytelnienia (AH) AH zapewnia uwierzytelnianie użytkowników oraz ochronę integralności nagłówków pakietów i danych. Jednak AH nie wykonuje żadnego szyfrowania pakietów. Z tego powodu AH i ESP zwykle były powiązane. Ponieważ funkcje ESP zostały dodane do ESP, AH stało się mniej znaczące i niektóre systemy IPsec już go nie uwzględniają.

Jednak AH jest nadal przydatną funkcją, ponieważ zapewnia wsteczną kompatybilność z urządzeniami i oprogramowaniem, które nadal na nim polegają. Należy zauważyć, że AH ma dwa tryby: transport i tunel. W trybie tunelowym AH tworzy nowy nagłówek IP dla każdego pakietu danych. W trybie transportu, który jest zwykle używany do bezpośrednich połączeń host-host (na przykład komputer-serwer lub serwer-serwer), AH nie zmienia oryginalnego nagłówka IP ani nie tworzy nowego nagłówka IP. Oznacza to, że jeśli używasz sieci VPN typu bramka-brama lub host-brama, musisz upewnić się, że urządzenia są skonfigurowane do rekonfiguracji źródłowego lub docelowego adresu IP, aby pakiety wskazywały adresy IP bramy. W przeciwnym razie pakiety nie dotrą do miejsca docelowego.

Hermetyzacja ładunku bezpieczeństwa (ESP) Początkowo ESP zapewniał tylko szyfrowanie danych pakietowych z ochroną integralności, o którą dba protokół AH. W późniejszych wersjach protokołu IPsec ESP może teraz wykonywać szyfrowanie, ochronę integralności lub szyfrowanie i ochronę integralności. Podobnie jak w przypadku AH, ESP ma tryby transportu i tunelu. W przypadku większości sieci VPN używany jest tryb tunelowy. W takim przypadku ESP dodaje nowy nagłówek IP dla każdego pakietu zawierającego adresy punktów końcowych tunelu.

Potencjalne problemy z IPsec

Korzystanie z IPsec z bramami NAT (Network Address Translation) może być problematyczne. AH należy używać tylko w trybie tunelowym, jeśli ruch ma przechodzić przez bramki NAT, ponieważ tryb transportu AH nie jest zgodny z NAT. Innym problemem jest to, że AH uwierzytelnia cały pakiet IPsec, w tym nagłówek IP, podczas gdy NAT musi mieć możliwość modyfikowania adresów IP pakietów.

W rezultacie uwierzytelnianie IPsec w trybie tunelowym może nie działać z niektórymi ruchami protokołów aplikacji, takimi jak FTP, SIP / VOIP lub IRC, które do prawidłowego działania wymagają wbudowanych adresów IP. Jednym z obejść tego problemu jest wykonanie funkcji NAT przed zastosowaniem protokołu IPsec. Można to zrobić za pomocą bramy IPsec, która również wykonuje NAT.

Inną alternatywą jest zastosowanie enkapsulacji UDP pakietów ESP poprzez dodanie nagłówka UDP do każdego pakietu, który zapewnia adres IP i port UDP, które mogą być używane przez NAT. Protokół IPsec jest szczególnie przydatny w końcowych zewnętrznych obszarach, w których szyfrowanie jest wyraźnie pożądane podczas łączenia z komputerami użytkowników i laptopów. IPsec jest także jedynym protokołem, który oferuje bezpieczny dostęp VPN dla hostów zdalnego logowania. National Institute of Standards and Technology (NIST) opublikował szczegółowy Przewodnik po VPN Ipsec co warto przeczytać, jeśli poważnie zastanawiasz się nad wdrożeniem sieci VPN opartej na protokole IPsec.

Wieloprotokołowe przełączanie etykiet (MPLS)

Do początku XXI wieku protokół IPsec był domyślnym protokołem dostawcy usług VPN oferowanym firmom przez telekomunikację i dostawców usług internetowych. Ale od tego czasu MPLS stał się bardziej popularny. MPLS jest często opisywany jako dopasowanie między warstwami OSI 2 i 3. Jest tak, ponieważ MPLS rozumie zarówno routing IP w warstwie 3, jak i funkcję przełączania pakietów w warstwie 2. MPLS, jako “Multiprotocol” nazwa wskazuje, może przenosić pakiety z różnych zakresów różnych protokołów sieciowych. MPLS jest obecnie oferowany przez wiele sieci dostawców usług, a także jest wdrażany do własnych szkieletów internetowych.

MPLS przesyła pakiety w warstwie 2 (warstwa przełączająca). Na tym etapie unika się potrzeby routingu IP, ponieważ każdy pakiet jest oznaczany przy wejściu do sieci usługodawcy przez przychodzącą lub „wejściową” router Label Edge Router lub LER. Wszystkie kolejne uczestniczące w sieci MPLS routery przełączające etykiety (LSR) wykonują przekazywanie pakietów tylko zgodnie z tymi etykietami, bez odniesienia do adresu w nagłówku IP.

Wreszcie wychodzący lub wychodzący router LER usuwa etykietę MPLS i przekazuje pakiet IP do miejsca docelowego. Sieci VPN MPLS są czasami nazywane przez usługodawców wirtualną prywatną siecią LAN (VPLS) lub wirtualną prywatną siecią routowaną (VPRN). MPLS oferuje szereg zalet w porównaniu z IPsec.

Po pierwsze, zamiast polegać na szeregu przeszukiwania tabel routerów po drodze dla każdego pakietu, MPLS używa własnych z góry określonych ścieżek zwanych Ścieżkami Przełączanymi Etykietą, aby wcześniej wybrać optymalną trasę dla wszystkich pakietów. To znacznie przyspiesza transfer danych.

MPLS ma także doskonałe możliwości QoS (Quality of Service). MPLS obsługuje definicję wielu poziomów usług przy użyciu własnych tras protokołu przełączania etykiet (LSP) w celu spełnienia określonych umów o poziomie usług opartych na charakterystyce ruchu, opóźnieniu, utracie pakietów i problemach z przestojem. Na przykład sieć może zdefiniować trzy poziomy usług - jeden dla ruchu VOIP, jeden dla ruchu wrażliwego na czas, a drugi dla standardowego ruchu danych. EETimes opublikował szczegółowy artykuł na temat wdrożenie rozwiązań PPVPN opartych na MPLS.

Który protokół jest najlepszy dla PPVPN?

Protokoły IPsec są preferowane przez małe firmy dla sieci VPN w warstwie OSI 3, a zwłaszcza dla hostów dostępu zdalnego. W takich przypadkach preferowanymi protokołami będą IPsec z L2TP lub IPsec z GRE. Zaletą PPTP jest to, że jest łatwa do wdrożenia, ponieważ jest dostępna jako wbudowana w MS-Windows i wiele innych systemów.

Jednak ze względu na wady bezpieczeństwa korzystanie z PPTP nie jest zalecane dla bezpiecznego VPN. Pamiętaj, że IPsec i GRE same nie obsługują funkcji QoS. IPSec jest rzadziej spotykany wśród średnich i dużych przedsiębiorstw ze względu na złożoność wymagań dotyczących łączności sieciowej.

Dla użytkowników mobilnych i loginów zdalnego dostępu MPLS nie jest opcją. MPLS zatrzymuje się na „brzegu klienta” lub urządzeniu CE (zwykle jest to router). MPLS najlepiej nadaje się do wdrażania VPN między lokalizacjami między krawędziami routerów witryn sieciowych i dla większych przedsiębiorstw, a zwłaszcza dla sieci o większym natężeniu ruchu i ruchu różnego rodzaju, które korzystają z segregacji QoS. Jeśli szukasz odpowiedniego dostawcy VPN MPLS, sprawdź Lista brytyjskich i globalnych dostawców komercyjnych usług MPLS VPN utrzymywany przez The Network Union.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me