Oversikt over leverandører gitt virtuelle private nettverk (PPVPN)

Tilbyder forutsatte virtuelle private nettverk (PPVPN-er) er VPN-er på bedriftsnivå, hovedsakelig brukt av bedrifter for å gi ansatte sikker ekstern tilgang til deres bedriftsnettverk.. PPVPN-er brukes også til å koble fysisk separate nettsteder og nettverk med hverandre på en sikker måte over Internett.


På denne måten vises de forskjellige nettstedene for brukerne som et fullt integrert enkelt nettverk. Et selskap som ønsker å drive en bedrifts-VPN, kan bygge og drifte sin egen dedikerte VPN. Alternativt kan den leie en PPVPN-tjeneste fra en telekomleverandør eller en ISP som betjener virksomheten til næringslivet.

Leverandørleverte VPN-er har fordelen av enkel implementering og drift. VPN-nettverket er vanligvis gjennomsiktig for brukere uten egen brukerautentisering. Avhengig av protokollene og VPN-arkitekturen, når de er konfigurert, kan de deltakende sluttbrukervertsmaskiner på hver side av VPN ikke trenge noen spesiell VPN-programvare installert for å bruke en leverandør-gitt VPN.

KW1KW1

I denne artikkelen

Hvordan PPVPNs fungerer

PPVPNs bruker virtuelle trafikklenker over Internett. kjent som "tunneler" som er opprettet ved hjelp av protokoller som GRE, MPLS, PPTP, L2TP og Ipsec. Disse protokollene gjør det mulig for privat virksomhetstrafikk å krysse det offentlige Internett uten at tilkoblingen eller dataene blir kompromittert.

For eksterne tilgang VPN-er som kobler en enkelt bruker til et bedriftsnettverk via innringing, DLS-ruter eller trådløst LAN, vil protokollene som brukes typisk være PPTP eller L2TP. For VPN-er som kobler to eller flere nettverk med hverandre, vil protokollene normalt være GRE, IPsec eller MPLS.

VPN-tunnelen etableres mellom VPN-nettverksportene til hvert nettsted, referert til som “Tilbyder Edge” og “Kundekant” enheter. VPN-tunneler opererer på en eller to av OSI-definerte Cmmunication Layers.

Dette er vanligvis enten OSI Layer 2 eller Layer 3. Lag 2 tunneler bruker PPTP og L2TP. Dette er rammelaget der enkle Ethernet-rammer blir transportert gjennom VPN. Dette lar også kringkastingspakker passere over VPN. MPLS VPN-er opererer også på dette laget.

Eksempler på lag 3-tunneler er Generisk ruteinnkapsling (GRE), ansatt for å innkapsle ikke-IP-trafikk for transport via Internett uten kryptering. Lag 3 brukes også av IPsec-protokollen som inkluderer både tunneling og krypteringsfunksjonalitet.

VPN Topologier

Det er to viktigste muligheter for å sette opp en VPN. - Mesh-baserte, hvor hvert sett av endeinnretninger kommuniserer direkte med hverandre uten behov for å passere gjennom et sentralt punkt. Dette gir bedre rutemuligheter, men betyr også at det er behov for flere tunneler.

Hub og talebasert, der hvert sett av sluttapparater kommuniserer med hverandre via et sentralt punkt. Denne konfigurasjonen reduserer kompleksiteten og antall tunneler, men den stiller også høyere krav til pålitelighet og resulterer i tyngre trafikkoverhead på sentralt punkt. Det betyr også at et enkelt feil punkt introduseres til systemet.

Hvilken type topologi som velges vil avhenge av typen nettverk som er involvert, antall nettsteder som skal kobles sammen og deres individuelle tilkoblingsbehov. For en grundig omtale av topologiene og arkitekturene som brukes av VPN-er, se papiret En analyse av virtuelle private nettverksløsninger utgitt av University of New South Wales.

Aspekter av VPN Security

VPN-sikkerhet krever brukerautorisasjon, autentisering og datakryptering. VPN-tunneler gir ikke alltid tilstrekkelig sikkerhet. Det avhenger av den spesifikke protokollen som brukes. Noen transportprotokoller inneholder krypteringsfunksjonalitet. Andre gjør det ikke.

Selv om det er sikret, vil dataene som passerer gjennom VPN fortsatt normalt bare beskyttes mellom de to gateway edge-enhetene. Dette betyr at data som reiser mellom verter og gateway-kanten i hver ende av VPN ikke er beskyttet.

VPN transportprotokoller

Siden VPN-er opererer via det offentlige internett, er transportprotokollene som er brukt avgjørende når det gjelder data- og tilkoblingssikkerhet. Følgende er de mest brukte VPN-protokollene som brukes ofte for PPVPN-er.

Generisk rutekapsling (GRE) GRE brukes til å innkapsle enhver protokoll til IP. En nyere versjon av GRE kjent som Forbedret GRE muliggjør mer effektiv overføring. GRE brukes sammen med PPTP for å lage VPN-tunneler.

Point-to-Point Tunneling Protocol (PPTP) PPTP er en Layer 2-protokoll som brukes for punkt-til-punkt-tilkoblinger. Tradisjonelt var disse oppringt eller ISDN som brukte Punkt-til-punkt-protokoll (PPP). PPTP var en videreutvikling av PPP og bruker Microsofts proprietære sikkerhetsmekanisme CHAP (Challenge Handshake Authentication Protocol) for autentisering. PPTP gir en VPN-tunnel mellom en PPTP-sluttklient som PC eller bærbar PC og en PPTP-aktivert server.

Hver enhet som ønsker å bruke PPTP, må ha PPTP-klientprogramvare installert og konfigurert. PPTP bruker på sin side GRE for å innkapsle PPP-rammene i IP-pakker. Vær oppmerksom på at mange pakkefiltrerende brannmurenheter blokkerer PPTP-porten som standard, slik at de kan trenge å konfigurere på nytt for å la PPTP-trafikk passere. Et annet problem med PPTP er at protokollen lenge har vist seg å være i utgangspunktet usikker.

Generelt sett ønsker du ikke å bruke PPTP med en leverandør-gitt VPN. Layer 2 Tunneling Protocol (L2TP) L2TP er en erstatning for PPTP. Som med PPTP, gir L2TP kommunikasjon mellom en L2TP-klient og en L2TP-aktivert server. Det krever at L2TP-klientprogramvare er installert og konfigurert på hvert system.

I motsetning til PPTP, som bruker GRE til tunneldata, har L2TP imidlertid sin egen tunnelprotokoll som kjører på UDP-port 1701. Dette gjør det lettere for L2TP å passere uhindret gjennom pakkefiltreringsenheter enn tilfellet er med PPTP. En L2TP-tunnel emulerer en PPP-forbindelse og hver L2TP-tunnel består av to kanaler: en kontrollkanal som administrerer kommunikasjonsøkten og datakanalen som bærer de faktiske datapakkene i PPP-format. Mistede kontrollmeldinger sendes alltid på nytt.

Som med PPTP, men ikke den første utfordringsbaserte autentiseringen ved å bruke CHAP på begynnelsen av økten, gir L2TP imidlertid ingen sikkerhet, og derfor bør ikke L2TP brukes av seg selv for en VPN. En vanlig måte å legge til sikkerhet til L2TP på er å pakke den sammen med IPsec for å gi kryptering gjennom L2TP-tunnelen.

Internet Protocol Security (IPsec) IPsec er et etablert og velprøvd sett med protokoller som består av tre primære komponenter: Authentication Header (AH), Encapsulating Security Payload (ESP) og Internet Key Exchange (IKE) som tar seg av datakryptering for IPsec. IPsec gir sikkerhet i IP-pakkelaget.

IPsec er en protokoll på nettverksnivå som kan integreres i servere, klienter og andre enheter, for eksempel i en ruter, en dedikert VPN-konsentrator eller en brannmur. Alle Windows-versjoner siden 2000 / XP og Mac OSX 10.3+ og de fleste mobile operativsystemer har egen støtte for både L2TP og IPsec. IPsec sikrer hver IP-pakke uansett om det er en TCP, UDP eller annen type pakke. IPsec er generelt sett på som den mest sikre og effektive VPN-transportprotokollen, men det har også noen begrensninger.

Autentiseringshode (AH) AH gir brukerautentisering så vel som integritetsbeskyttelse for pakkeoverskrifter og data. AH utfører imidlertid ikke pakkekryptering. Av denne grunn hadde AH og ESP en tendens til å være samlet. Siden autentiseringsfunksjonene ble lagt til ESP, har AH blitt mindre betydelig, og noen IPsec-systemer inkluderer ikke lenger den.

Imidlertid er AH fremdeles en nyttig funksjon fordi den gir bakoverkompatibilitet med enheter og programvare som fremdeles er avhengig av den. Det er viktig å merke seg at AH har to moduser: transport og tunnel. I tunnelmodus oppretter AH en ny IP-header for hver datapakke. I transportmodus, som vanligvis brukes til direkte-til-vert-tilkoblinger (for eksempel PC-til-server eller server-til-server), endrer AH ikke den opprinnelige IP-overskriften, og oppretter heller ikke en ny IP-topp. Dette betyr at hvis du bruker en gateway-to-gateway eller host-to-gateway VPN, så må du sørge for at enhetene dine er konfigurert for å konfigurere kilden eller IP-adressene for destinasjonen for at pakkene skal peke på gatewayens IP-adresser. Ellers vil ikke pakkene nå målet.

Encapsulating Security Payload (ESP) Opprinnelig ga ESP bare kryptering for pakkedataene med integritetsbeskyttelse ivaretatt av AH-protokollen. I de senere versjoner av IPsec kan ESP nå utføre kryptering, integritetsbeskyttelse eller kryptering og integritetsbeskyttelse sammen. Som med AH, har ESP både transport- og tunnelmodus. For de fleste VPN-er brukes tunnelmodus. I dette tilfellet legger ESP til en ny IP-header for hver pakke som inneholder endepunktadressene til tunnelen.

Potensielle problemer med IPsec

Det kan være problematisk å bruke IPsec med NAT (Network Address Translation) -portaler. AH skal bare brukes i tunnelmodus hvis trafikken skal krysse NAT-portene, da AH-transportmodus ikke er NAT-kompatibel. Et annet problem er at AH autentiserer hele IPsec-pakken, inkludert IP-overskriften, mens NATer må kunne endre IP-adresser for pakker.

Som et resultat kan det hende at IPsec-godkjenning i tunnelmodus ikke fungerer med visse applikasjonsprotokolltrafikk som FTP, SIP / VOIP eller IRC, som er avhengig av at innebygde IP-adresser fungerer riktig. En løsning for dette er å utføre NAT-funksjonaliteten før IPsec brukes. Dette kan gjøres ved å bruke en IPsec-gateway som også utfører NAT.

Et annet alternativ er å bruke UDP-innkapsling av ESP-pakker ved å legge til en UDP-topptekst i hver pakke, som gir en IP-adresse og UDP-port som kan brukes av NAT. IPsec er spesielt nyttig for de endelige ytre endene der kryptering er eksplisitt ønsket når du kobler til bruker PCer og bærbare datamaskiner. IPsec er også den eneste protokollen som tilbyr sikker VPN-tilgang for eksterne innloggingsverter. Nasjonalt institutt for standarder og teknologi (NIST) har publisert en detaljert Veiledning for Ipsec VPN-er som er verdt å lese hvis du seriøst vurderer å implementere en IPsec-basert VPN.

Multiprotocol Label Switching (MPLS)

Fram til begynnelsen av 2000-tallet var IPsec standard VPN-tjenesteleverandørprotokoll som ble tilbudt bedrifter av telekom og ISP-er. Men siden har MPLS begynt å bli mer populært. MPLS blir ofte beskrevet som passende mellom OSI-lag 2 og 3. Dette skyldes at MPLS forstår både IP-ruting på lag 3 så vel som pakke-byttingsfunksjon Layer 2. MPLS, som “Multi” navnet tilsier, kan frakte pakker fra et mangfoldig utvalg av forskjellige nettverksprotokoller. MPLS tilbys nå av mange nettverk av tjenesteleverandører, i tillegg til at de blir distribuert for sine egne Internett-ryggrad.

MPLS videresender pakker på lag 2 (byttelaget). Behovet for IP-ruting på dette stadiet unngås fordi hver pakke er merket ved innreise i tjenesteleverandørens nettverk av den innkommende eller "inntrengende" Label Edge Router eller LER. Alle de påfølgende MPLS-deltakende Label Switching Routers (LSR-er) utfører pakkeoverføring bare i henhold til disse etikettene, uten noen henvisning til adressen i IP-overskriften.

Til slutt fjerner den utgående eller "egress" LER-ruteren MPLS-etiketten og videresender IP-pakken videre til den endelige destinasjonen. MPLS VPN-er blir noen ganger omtalt av tjenesteleverandører som en Virtual Private LAN Service (VPLS) eller Virtual Private Routed Network (VPRN). MPLS tilbyr en rekke fordeler i forhold til IPsec.

For det første, i stedet for å stole på en serie rutetabelloppslag underveis for hver pakke, bruker MPLS sine egne forhåndsbestemte baner kalt Label-Switched Paths for å velge den optimale ruten på forhånd for alle pakkene. Dette gir raskere dataoverføring.

MPLS har også utmerket QoS-funksjon (Quality of Service). MPLS støtter definisjonen av flere servicenivåer ved å bruke sin egen Label Switching Protocol (LSP) -rute for å oppfylle spesifikke servicenivåavtaler basert på trafikkegenskaper, ventetid, pakke tap og nedetidsproblemer. Et nettverk kan for eksempel definere tre servicenivåer - ett for VOIP-trafikk, ett for tidssensitiv trafikk og et annet for standard datatrafikk. EETimes har publisert en grundig artikkel om implementering av MPLS-baserte PPVPN-løsninger.

Så hvilken protokoll er best for en PPVPN?

IPsec pleier å bli foretrukket av små bedrifter for VPN-er på OSI-lag 3 og spesielt for ekstern tilgangsverter. I disse tilfellene vil enten IPsec med L2TP eller IPsec med GRE være de foretrukne protokollene. PPTP har fordelen av å være enkel å implementere ettersom den er tilgjengelig som innebygd med MS-Windows og mange andre systemer.

På grunn av sikkerhetsmessige ulemper er det imidlertid ikke tilrådelig å bruke PPTP for en sikker VPN. Husk at IPsec og GRE ikke støtter QoS-funksjonalitet av seg selv. IPSec forekommer sjeldnere blant mellomstore og store selskaper på grunn av kompleksiteten i kravene til nettverkstilkobling.

For mobilbrukere og påloggingsinlogginger er ikke MPLS et alternativ. MPLS stopper ved “kundekanten” eller CE-enheten (vanligvis en ruter). MPLS er best egnet for distribusjon for VPN fra sted til sted mellom ruterkantene på nettverkssteder og for større bedrifter, og spesielt for nettverk med høyere trafikkvolum og trafikk av forskjellige typer som drar fordel av QoS-segregering. Hvis du er ute etter en passende MPLS VPN-leverandør, kan du sjekke ut Liste over britiske og globale MPLS VPN kommersielle tjenesteleverandører vedlikeholdt av The Network Union.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me