Pregled virtualnih privatnih mreža koje pruža pružatelj usluga (PPVPN)

Virtualne privatne mreže koje pružaju pružatelji usluga (VPVPN-ovi) su VPN-ovi na razini poduzeća koji uglavnom koriste tvrtke kako bi osoblju omogućili udaljeni pristup njihovoj korporacijskoj mreži. PPVPN se također koriste za sigurno povezivanje fizički odvojenih web lokacija i mreža međusobno putem Interneta.


Na taj se način različite web lokacije pružaju korisnicima kao cjelovita integrirana jedinstvena mreža. Tvrtka koja želi pokrenuti korporativni VPN može izgraditi i upravljati vlastitim namjenskim VPN-om. Alternativno, ona može iznajmiti uslugu PPVPN od telekom operatera ili davatelja internetskih usluga koji posluje s poslovnim sektorom.

Prednost VPN pružatelja usluga ima prednost u jednostavnosti implementacije i rada. VPN mreža obično je transparentna za korisnike bez potrebe za zasebnom provjerom autentičnosti korisnika. Ovisno o protokolima i VPN arhitekturi, nakon konfiguriranja, sudionički uređaji krajnjeg korisnika s obje strane VPN-a možda neće trebati bilo koji poseban VPN softver instaliran za korištenje VPN-a koji se temelji na ponudi..

kw1kw1

U ovom članku

Kako djeluju PPVPN-ovi

PPVPN-ovi koriste virtualne prometne veze putem Interneta. poznati kao "tuneli" koji su stvoreni pomoću protokola poput GRE, MPLS, PPTP, L2TP i Ipsec. Ovi protokoli omogućuju privatnom korporativnom prometu da pređe javni Internet bez povezivanja ili podataka.

Za VPN-ove za daljinski pristup koji povezuju jednog korisnika s korporativnom mrežom putem pozivanja, DLS usmjerivača ili bežičnog LAN-a, korišteni protokoli obično su PPTP ili L2TP. Za VPN-ove koji međusobno povezuju dvije ili više mrežnih mreža protokoli će obično biti GRE, IPsec ili MPLS.

VPN tunel uspostavlja se između gateway-ova VPN mreže svake stranice, koji se nazivaju “Edge Provider” i “Kupčev rub” uređaji. VPN tuneli djeluju na jednom ili dva od Kumikunijski slojevi definirani OSI-jem.

To je obično ili OSI Sloj 2 ili Sloj 3. Tuneli razine 2 koriste PPTP i L2TP. Ovo je Frame Layer u kojem se jednostavni Ethernet okviri prenose putem VPN-a. Ovo također omogućuje emitiranje paketa kroz VPN. MPLS VPN-ovi također rade na ovom sloju.

Primjeri su tuneli razine 3 Opća kapsulacija rute (GRE), zaposlen je da kapsulira ne-IP promet za transport putem Interneta bez enkripcije. Sloj 3 također koristi IPsec protokol koji uključuje i tuneliranje i funkciju šifriranja.

VPN topologije

Postoje dvije glavne moguće topologije za postavljanje VPN-a. - Mesh-based, pri čemu svaki skup krajnjih uređaja međusobno komunicira, bez potrebe da prolazi kroz središnju točku. To poboljšava mogućnosti usmjeravanja, ali također znači i da je potrebno više tunela.

Sa sjedištem i govorima, pri čemu svaki skup krajnjih uređaja međusobno komunicira putem središnje točke. Ova konfiguracija smanjuje složenost i broj tunela, ali postavlja i veće zahtjeve za pouzdanošću i rezultira težim prometom iznad glave u središnjoj točki. To također znači da se u sustav uvodi jedna točka kvara.

Vrsta odabrane topologije ovisit će o prirodi mreža koje su uključene, broju web lokacija koje treba povezati i njihovim pojedinačnim potrebama povezivanja. Za detaljnu raspravu o topologijama i arhitekturama koje koriste VPN-ovi, pogledajte članak Analiza virtualnih rješenja privatnih mreža objavio je Sveučilište Novog Južnog Walesa.

Aspekti sigurnosti VPN-a

Sigurnost VPN-a zahtijeva autorizaciju korisnika, provjeru autentičnosti i šifriranje podataka. VPN tuneli sami po sebi ne pružaju uvijek odgovarajuću sigurnost. To ovisi o konkretnom protokolu koji se koristi. Neki transportni protokoli sadrže funkciju šifriranja. Drugi ne.

Čak i ako je zaštićen, podaci koji prolaze kroz VPN i dalje će biti zaštićeni samo između dva uređaja ruba prolaza. To znači da podaci koji putuju između domaćina i ruba pristupnika na svakom kraju VPN-a nisu zaštićeni.

VPN protokoli za transport

Budući da VPN-ovi rade putem javnog interneta, korišteni transportni protokoli presudni su kada je u pitanju sigurnost podataka i veze. Slijede trenutno najčešći VPN protokoli koji se koriste za PPVPN.

Opća kapsulacija usmjeravanja (GRE) GRE se koristi za enkapsulaciju bilo kojeg protokola u IP. Novija verzija GRE poznata kao Pojačano GRE omogućava učinkovitiji prijenos. GRE se koristi zajedno s PPTP-om za stvaranje VPN tunela.

Protokol tuneliranja od točke do točke (PPTP) PPTP je protokol razine 2 koji se koristi za povezivanje od točke do točke. Tradicionalno su to bili dial-up ili ISDN koji su koristili taj Protokol od točke do točke (PPP). PPTP je daljnji razvoj PPP-a i koristi Microsoftov vlasnički sigurnosni mehanizam CHAP (Challenge Handshake Authentication Protocol) za provjeru autentičnosti. PPTP pruža VPN tunel između PPTP krajnjeg klijenta, poput računala ili prijenosnog računala, i poslužitelja s podrškom za PPTP.

Svaki uređaj koji želi koristiti PPTP mora imati instaliran i konfiguriran PPTP klijentski softver. PPTP zauzvrat koristi GRE za kapsuliranje PPP okvira u IP pakete. Imajte na umu da mnogi uređaji vatrozida za filtriranje paketa zadano blokiraju PPTP ulaz, pa će im možda trebati ponovna konfiguracija kako bi PPTP promet mogao proći. Drugi problem s PPTP-om je taj što je protokol odavno dokazano da je intrinzično nesiguran.

Općenito govoreći, ne želite koristiti PPTP s VPN-om koji je ponuđen od strane pružatelja usluga. Protokol tuneliranja sloja 2 (L2TP) L2TP je zamjena za PPTP. Kao i kod PPTP-a, L2TP pruža komunikaciju između L2TP klijenta i poslužitelja s omogućenom L2TP. Zahtijeva da se klijentski softver L2TP instalira i konfigurira na svaki sustav.

Međutim, za razliku od PPTP-a, koji koristi GRE za tuniranje podataka, L2TP ima vlastiti protokol tuneliranja koji se izvodi na UDP-u 1701. To olakšava L2TP-u neometan prolazak kroz uređaje za filtriranje paketa nego što je to slučaj s PPTP-om. L2TP tunel oponaša PPP vezu, a svaki L2TP tunel sadrži dva kanala: upravljački kanal koji upravlja sesijom komunikacije i podatkovni kanal koji nosi stvarne pakete podataka u PPP formatu. Izgubljene upravljačke poruke uvijek se šalju.

Međutim, kao i kod PPTP-a, osim početne provjere autentičnosti na temelju izazova koja upotrebljava CHAP na početku sesije, L2TP ne pruža nikakvu sigurnost pa L2TP ne bi trebao sam koristiti VPN. Jedan čest način dodavanja sigurnosti L2TP-u je njegovo povezivanje s IPsec-om radi pružanja šifriranja kroz L2TP tunel.

Sigurnost internetskog protokola (IPsec) IPsec je utvrđeni i dokazan skup protokola koji se sastoji od tri osnovne komponente: zaglavlje autentifikacije (AH), sigurnosni teret za enkapsuliranje (ESP) i internetska razmjena ključeva (IKE) koji se brine za enkripciju podataka za IPsec. IPsec pruža sigurnost na sloju IP paketa.

IPsec je protokol na razini mreže koji se može ugraditi u poslužitelje, klijente i druge uređaje, na primjer, u usmjerivač, namjenski VPN koncentrator ili vatrozid. Sve verzije sustava Windows od 2000 / XP i Mac OSX 10.3+ te većina mobilnih operativnih sustava dolaze s izvornom podrškom za L2TP i IPsec. IPsec osigurava svaki IP paket bez obzira radi li se o TCP, UDP ili drugom tipu paketa. IPsec se općenito smatra najsigurnijim i najučinkovitijim protokolom za prijenos VPN-a, ali ima i određena ograničenja.

Zaglavlje autentifikacije (AH) AH pruža provjeru autentičnosti korisnika kao i zaštitu integriteta zaglavlja i podataka paketa. Međutim, AH ne provodi nikakvo šifriranje paketa. Iz tog razloga, AH i ESP obično su bili povezani u paketu. Budući da su mogućnosti provjere autentičnosti dodane ESP-u, AH je postao manje značajan i neki IPsec sustavi više ga ne uključuju.

Međutim, AH je i dalje korisna značajka jer omogućuje povratnu kompatibilnost s uređajima i softverom na koji se još uvijek oslanjaju. Važno je napomenuti da AH ima dva načina: transport i tunel. U načinu tunela AH stvara novo IP zaglavlje za svaki paket podataka. U načinu prijevoza, koji se obično koristi za izravne veze domaćin-domaćin (na primjer PC-poslužitelj ili poslužitelj-poslužitelj), AH ne mijenja izvorno IP zaglavlje niti stvara novo IP zaglavlje. To znači da ako koristite gateway do gateway ili host-to-gateway VPN, tada morate osigurati da su vaši uređaji postavljeni za rekonfiguriranje izvorne ili odredišne ​​IP adrese za pakete koji upućuju na IP adrese gateway-a. U suprotnom paketi neće stići na svoje odredište.

Inkapsuliranje sigurnosnog korisnog opterećenja (ESP) U početku je ESP pružio samo enkripciju za paketne podatke uz zaštitu integriteta o kojoj brine AH protokol. U kasnijim verzijama IPsec-a ESP sada može zajedno vršiti enkripciju, zaštitu integriteta ili enkripciju i zaštitu integriteta. Kao i kod AH, ESP ima i način prijevoza i tunela. Za većinu VPN-ova koristi se način tunela. U tom slučaju ESP dodaje novo IP zaglavlje za svaki paket koji sadrži adrese krajnje točke tunela.

Potencijalni problemi s IPsecom

Korištenje IPsec sa NAT (Network Address Translation) pristupnika može biti problematično. AH bi se trebao koristiti u načinu tunela samo ako promet prelazi NAT gatewayima, jer AH način prijevoza nije NAT-kompatibilan. Drugi problem je što AH ovjerava cijeli IPsec paket, uključujući IP zaglavlje, dok NAT-ovi moraju biti u mogućnosti mijenjati IP adrese paketa.

Kao rezultat, provjera autentičnosti IPsec u načinu tunela možda neće raditi s određenim prometom protokola aplikacije, poput FTP, SIP / VOIP ili IRC, koji se oslanjaju na ugrađene IP adrese kako bi ispravno funkcionirale. Jedan od načina za to je obavljanje NAT funkcionalnosti prije primjene IPsec-a. To se može učiniti pomoću IPsec gateway-a koji također obavlja NAT.

Druga je mogućnost primijeniti UDP enkapsulaciju ESP paketa dodavanjem UDP zaglavlja u svaki paket, koji pruža IP adresu i UDP port koji mogu koristiti NAT. IPsec je posebno koristan za krajnje vanjske krajeve gdje je šifriranje izričito potrebno pri povezivanju s korisničkim računalima i prijenosnim računalima. IPsec je ujedno i jedini protokol koji nudi siguran VPN pristup udaljenim domaćinima za prijavu. Nacionalni institut za standarde i tehnologiju (NIST) objavio je detalje Vodič za Ipsec VPN-ove što vrijedi pročitati ako ozbiljno razmišljate o implementaciji VPN-a temeljenog na IPsec.

Prebacivanje naljepnica s višestrukim protokolima (MPLS)

Do ranih 2000-ih IPsec je bio zadani protokol davatelja VPN usluga koji su tvrtkama ponudili telekomunikacijski i davatelji internetskih usluga. Ali od tada je MPLS počeo postajati sve popularniji. MPLS se često opisuje kao uklapanje između OSI slojeva 2 i 3. To je zato što MPLS razumije kako IP usmjeravanje na 3. sloju, tako i funkciju prebacivanja paketa drugog sloja. MPLS, kao “Multiprotocol” naziv znači, mogu nositi pakete iz različitih raspona različitih mrežnih protokola. MPLS sada nude mnoge mreže davatelja usluga, kao i da se raspoređuju za vlastite internetske okosnice.

MPLS prosljeđuje pakete na sloju 2 (preklopni sloj). Potreba za IP usmjeravanjem u ovoj fazi se izbjegava jer je svaki paket označen pri ulasku u mrežu davatelja usluga dolaznim ili "ulaznim" usmjerivačem rubova s ​​oznakama ili LER-om. Svi naredni MPLS-ovi usmjerivači preklapanja naljepnica (LSR-ovi) izvršavaju prosljeđivanje paketa samo u skladu s ovim oznakama, bez ikakve reference na adresu u zaglavlju IP-a..

Konačno, odlazeći ili „izlazeći“ usmjerivač LER uklanja MPLS naljepnicu i prosljeđuje IP paket na krajnje odredište. MPLS VPN-ove pružatelji usluga ponekad nazivaju virtualnom privatnom LAN mrežom (VPLS) ili virtualnom privatnom usmjerenom mrežom (VPRN). MPLS nudi niz prednosti u odnosu na IPsec.

Prvo, umjesto da se oslanja na niz pretraživanja tablice usmjerivača usput za svaki paket, MPLS koristi vlastite unaprijed određene staze nazvane Label-Switched Paths da unaprijed odaberu optimalnu rutu za sve pakete. To uvelike ubrzava prijenos podataka.

MPLS ima i izvrsnu mogućnost kvalitete usluge (QoS). MPLS podržava definiranje više razina usluge korištenjem vlastitih ruta protokola za prebacivanje naljepnica (LSP) kako bi se zadovoljili određeni ugovori o razini usluge na temelju prometnih karakteristika, kašnjenja, gubitka paketa i zastoja. Na primjer, mreža može definirati tri razine usluge - jedna za VOIP promet, jedna za vremenski osjetljiv promet i druga za standardni podatkovni promet. EETimes je objavio iscrpni članak o časopisu implementacija PPVPN rješenja temeljenih na MPLS-u.

Koji je protokol najbolji za PPVPN?

IPsec obično favorizira mala poduzeća za VPN-ove na OSI sloju 3, a posebno za domaćine udaljenog pristupa. U tim će se slučajevima preferirati protokol IPsec s L2TP ili IPsec s GRE. Prednost PPTP-a je u tome što je laka za implementaciju jer je dostupna kao ugrađeni u MS-Windows i mnogim drugim sustavima.

Međutim, zbog sigurnosnih nedostataka, korištenje sigurnog VPN-a nije preporučljivo. Imajte na umu da IPsec i GRE ne podržavaju QoS funkcionalnost sami. IPSec se rjeđe susreće među srednjim i velikim poduzećima zbog složenosti njihovih zahtjeva za povezivanjem u mrežu.

Za mobilne korisnike i prijave na daljinski pristup MPLS nije opcija. MPLS se zaustavlja na "rubu kupca" ili CE uređaju (obično usmjerivač). MPLS je najprikladniji za primjenu VPN-a od mjesta do mjesta između rubova usmjerivača mrežnih stranica i za veća poduzeća, posebno za mreže s većom količinom prometa i prometa različitih vrsta koji imaju koristi od QoS segregacije. Ako tražite odgovarajućeg davatelja usluga MPLS VPN, pogledajte sljedeće Popis dobavljača komercijalnih usluga VPL-a za Veliku Britaniju i Global MPLS održava Mrežna unija.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me