Prehľad virtuálnych súkromných sietí poskytnutých poskytovateľom (PPVPN)

Virtuálne privátne siete poskytované poskytovateľom (PPVPN) sú siete VPN na úrovni podniku, ktoré podniky väčšinou používajú na zabezpečenie vzdialeného prístupu zamestnancov k podnikovej sieti.. PPVPN sa používajú aj na bezpečné spojenie fyzicky samostatných stránok a sietí medzi sebou cez internet.


Týmto spôsobom sa rôzne stránky zobrazujú používateľom ako jedna plne integrovaná jediná sieť. Spoločnosť, ktorá chce prevádzkovať firemnú sieť VPN, môže vytvárať a prevádzkovať svoju vlastnú vyhradenú sieť VPN. Prípadne si môže prenajať službu PPVPN od poskytovateľa telekomunikačných služieb alebo poskytovateľa internetových služieb poskytujúcich služby podnikateľskému sektoru.

Poskytovatelia VPN poskytované poskytovateľom majú výhodu ľahkej implementácie a prevádzky. Sieť VPN je obvykle transparentná pre používateľov bez potreby samostatnej autentifikácie užívateľa. V závislosti od protokolov a architektúry VPN, po nakonfigurovaní, hostiteľské počítače zúčastnených koncových používateľov na oboch stranách siete VPN nemusia potrebovať žiadny špeciálny softvér VPN nainštalovaný na používanie VPN poskytovanej poskytovateľom..

kw1kw1

V tomto článku

Ako fungujú PPVPN

PPVPN využívajú virtuálne dopravné spojenia cez internet. známe ako „tunely“, ktoré sa vytvárajú pomocou protokolov ako napr GRE, MPLS, PPTP, L2TP a Ipsec. Tieto protokoly umožňujú súkromnému podnikovému prenosu prechádzať verejným internetom bez pripojenia alebo bez kompromitovania údajov.

V prípade sietí VPN so vzdialeným prístupom, ktoré pripájajú jedného používateľa k podnikovej sieti prostredníctvom telefonického pripojenia, smerovača DLS alebo bezdrôtovej siete LAN, sa zvyčajne používajú protokoly PPTP alebo L2TP. V prípade sietí VPN, ktoré navzájom spájajú dve alebo viac sieťových sietí, budú protokoly zvyčajne GRE, IPsec alebo MPLS.

Tunel VPN je zriadený medzi sieťovými bránami VPN každej lokality, označovanými ako “Okraj poskytovateľa” a “Okraj zákazníka” zariadení. Tunely VPN fungujú v jednom alebo dvoch zo serverov Komunikačné vrstvy definované OSI.

Toto je zvyčajne buď OSI vrstva 2 alebo vrstva 3. Tunely vrstvy 2 používajú PPTP a L2TP. Toto je vrstva rámcov, v ktorej sa jednoduché siete Ethernet prenášajú cez VPN. To tiež umožňuje prenos paketov cez VPN. V tejto vrstve fungujú aj siete VPN MPLS.

Príklady tunelov vrstvy 3 sú Generické zapuzdrenie trasy (GRE), zamestnané na zapuzdrenie prenosu mimo IP na prenos cez internet bez šifrovania. Vrstva 3 sa používa aj v protokole IPsec, ktorý obsahuje funkciu tunelovania aj šifrovania.

Topológie VPN

Existujú dve hlavné možné topológie pre nastavenie VPN. - Sieťovina na báze, kde každá súprava koncových zariadení navzájom komunikuje priamo, bez toho, aby bolo potrebné prechádzať cez centrálny bod. To umožňuje lepšie možnosti smerovania, ale tiež to znamená, že je potrebných viac tunelov.

Hub a spoke, kde každá skupina koncových zariadení spolu komunikuje prostredníctvom centrálneho bodu. Táto konfigurácia znižuje zložitosť a počet tunelov, ale kladie tiež vyššie nároky na spoľahlivosť a vedie k vyššej prevádzkovej réžii v centrálnom bode. Znamená to tiež, že do systému je zavedený jeden bod zlyhania.

Typ zvolenej topológie bude závisieť od povahy zapojených sietí, počtu lokalít, ktoré sa majú prepojiť, a od ich individuálnych požiadaviek na pripojenie. Podrobnú diskusiu o topológiách a architektúrach používaných sieťami VPN nájdete v dokumente Analýza riešení virtuálnej súkromnej siete vydala University of New South Wales.

Aspekty zabezpečenia VPN

Zabezpečenie VPN vyžaduje funkcie autorizácie, autentifikácie a šifrovania údajov. Tunely VPN samy osebe neposkytujú vždy primeranú bezpečnosť. Závisí to od konkrétneho použitého protokolu. Niektoré prenosové protokoly obsahujú funkciu šifrovania. Iní nie.

Aj keď sú zabezpečené, údaje prechádzajúce VPN budú stále normálne chránené iba medzi oboma okrajovými zariadeniami brány. To znamená, že dáta prenášané medzi hostiteľmi a hranou brány na každom konci VPN nie sú chránené.

Transportné protokoly VPN

Keďže siete VPN fungujú prostredníctvom verejného internetu, použité prenosové protokoly sú z hľadiska zabezpečenia údajov a pripojenia rozhodujúce. Nasledujú najčastejšie sa vyskytujúce VPN protokoly používané pre PPVPN.

Generické smerovacie zapuzdrenie (GRE) GRE sa používa na zapuzdrenie každého protokolu do IP. Novšia verzia GRE známa ako Vylepšený GRE umožňuje efektívnejší prenos. GRE sa používa spolu s PPTP na vytváranie tunelov VPN.

Protokol Tunneling Point-to-Point (PPTP) PPTP je protokol vrstvy 2, ktorý sa používa na spojenia point-to-point. Tradične to boli dial-up alebo ISDN, ktoré používali internet Protokol typu point-to-point (PPP). PPTP bol ďalším rozvojom PPP a využíva proprietárny bezpečnostný mechanizmus spoločnosti Microsoft CHAP (Challenge Handshake Authentication Protocol) pre autentifikáciu. PPTP poskytuje VPN tunel medzi koncovým klientom PPTP, ako je počítač alebo prenosný počítač a serverom s podporou protokolu PPTP.

Každé zariadenie, ktoré chce používať PPTP, musí mať nainštalovaný a nakonfigurovaný klientsky softvér PPTP. PPTP zase používa GRE na zapuzdrenie PPP rámcov do IP paketov. Mnohé zariadenia brány firewall na filtrovanie paketov v predvolenom nastavení blokujú port PPTP, takže môžu potrebovať zmenu konfigurácie, aby umožnili prenos PPTP. Ďalším problémom s PPTP je to, že sa už dlho ukázalo, že tento protokol je skutočne neistý.

Všeobecne povedané, nechcete používať PPTP s VPN poskytovanou poskytovateľom. Protokol druhej vrstvy tunela (L2TP) L2TP je náhrada za PPTP. Rovnako ako v prípade protokolu PPTP, aj protokol L2TP poskytuje komunikáciu medzi klientom L2TP a serverom s povolením L2TP. Vyžaduje sa, aby bol klientsky softvér L2TP nainštalovaný a nakonfigurovaný v každom systéme.

Na rozdiel od protokolu PPTP, ktorý používa GRE na tunelové dáta, má L2TP vlastný protokol tunelovania, ktorý beží na porte UDP 1701. Toto uľahčuje L2TP prechod cez neblokované zariadenia na filtrovanie paketov, ako je tomu v prípade PPTP. Tunel L2TP emuluje spojenie PPP a každý tunel L2TP obsahuje dva kanály: riadiaci kanál, ktorý riadi komunikačnú reláciu a dátový kanál, ktorý prenáša aktuálne dátové pakety vo formáte PPP. Stratené riadiace správy sa vždy posielajú znova.

Podobne ako v prípade protokolu PPTP však L2TP neposkytuje žiadne zabezpečenie, a to iba pri prvotnej autentifikácii založenej na výzve pomocou protokolu CHAP na začiatku relácie, a preto by protokol L2TP nemal byť používaný pre VPN sám. Jedným z bežných spôsobov, ako pridať zabezpečenie do L2TP, je spojiť ho s IPsec, aby sa zabezpečilo šifrovanie cez tunel L2TP..

Bezpečnosť internetového protokolu (IPsec) IPsec je zavedená a overená sada protokolov pozostávajúca z troch primárnych komponentov: Authentication Header (AH), Encapsulating Security Payload (ESP) a Internet Key Exchange (IKE) ktorý sa stará o šifrovanie údajov pre IPsec. Protokol IPsec poskytuje zabezpečenie na vrstve paketov IP.

IPsec je sieťový protokol, ktorý je možné začleniť do serverov, klientov a ďalších zariadení, napríklad do smerovača, vyhradeného koncentrátora VPN alebo brány firewall. Všetky verzie Windows od 2000 / XP a Mac OSX 10.3+ a väčšina mobilných operačných systémov prichádzajú s natívnou podporou pre L2TP aj IPsec. Protokol IPsec zabezpečuje každý paket IP bez ohľadu na to, či ide o paket TCP, UDP alebo iný typ. Protokol IPsec sa všeobecne považuje za najbezpečnejší a najúčinnejší prenosový protokol VPN, má však aj určité obmedzenia.

Hlavička autentifikácie (AH) AH poskytuje autentifikáciu užívateľa, ako aj ochranu integrity hlavičiek paketov a dát. AH však nevykonáva šifrovanie paketov. Z tohto dôvodu boli AH a ESP zvyčajne zoskupené. Odkedy boli do ESP pridané autentifikačné schopnosti, AH sa stala menej významnou a niektoré systémy IPsec ju už neobsahujú.

AH je však stále užitočnou funkciou, pretože poskytuje spätnú kompatibilitu so zariadeniami a softvérom, ktoré naň stále spoliehajú. Je dôležité poznamenať, že AH má dva režimy: dopravu a tunel. V tunelovom režime vytvorí AH novú hlavičku IP pre každý dátový paket. V transportnom režime, ktorý sa všeobecne používa na priame pripojenia hostiteľ-hostiteľ (napríklad počítač-server alebo server-server), nemení AH pôvodnú hlavičku IP ani nevytvára novú hlavičku IP. To znamená, že ak používate VPN typu gate-to-gateway alebo host-to-gateway VPN, musíte skontrolovať, či sú vaše zariadenia nastavené tak, aby prekonfigurovali zdrojovú alebo cieľovú IP adresu paketov tak, aby smerovali na IP adresy brány. V opačnom prípade pakety nedosiahnu svoj cieľ.

Zapuzdrenie bezpečnostného užitočného zaťaženia (ESP) ESP spočiatku poskytoval šifrovanie iba pre paketové dáta s ochranou integrity zabezpečenou protokolom AH. V novších verziách protokolu IPsec môže ESP teraz spoločne vykonávať šifrovanie, ochranu integrity alebo šifrovanie a integritu. Rovnako ako v prípade AH, ESP má dopravný aj tunelový režim. Pre väčšinu sietí VPN sa používa režim tunelov. V tomto prípade ESP pridá novú hlavičku IP pre každý paket obsahujúci koncové adresy tunela.

Potenciálne problémy s IPsec

Používanie protokolov IPsec s NAT (Network Address Translation) môže byť problematické. AH by sa mal používať v tunelovom režime iba vtedy, ak má prevádzka prechádzať cez brány NAT, pretože režim prepravy AH nie je kompatibilný s NAT. Ďalším problémom je, že AH autentifikuje celý paket IPsec, vrátane hlavičky IP, zatiaľ čo NAT musia byť schopné modifikovať adresy IP paketov..

V dôsledku toho nemusí autentifikácia IPsec v tunelovom režime pracovať s určitým prenosom aplikačných protokolov, ako je FTP, SIP / VOIP alebo IRC, ktorý sa spolieha na správne fungovanie vložených adries IP. Jedným z riešení je vykonať funkciu NAT pred použitím protokolu IPsec. To je možné dosiahnuť pomocou brány IPsec, ktorá vykonáva aj NAT.

Inou alternatívou je použitie zapuzdrenia UDP paketov ESP pridaním záhlavia UDP do každého paketu, ktorý poskytuje IP adresu a UDP port, ktorý môže použiť NAT. Protokol IPsec je obzvlášť užitočný pre konečné vonkajšie konce, kde je pri pripájaní k počítačom používateľa a notebookom výslovne požadované šifrovanie. IPsec je tiež jediný protokol, ktorý ponúka zabezpečený prístup VPN pre hostiteľov vzdialeného prihlásenia. Národný inštitút pre normy a technológie (NIST) uverejnil podrobné informácie Sprievodca sieťami VPN protokolu Ipsec čo stojí za prečítanie, ak vážne uvažujete o implementácii VPN založenej na IPsec.

Multiprotocol Label Switching (MPLS)

Do začiatku roku 2000 bol IPsec predvoleným protokolom poskytovateľa služieb VPN, ktorý podnikom ponúkajú telekomunikácie a poskytovatelia internetových služieb. Od tej doby sa však MPLS stala populárnejšou. MPLS je často popisovaný ako vhodný medzi OSI vrstvami 2 a 3. Je to preto, že MPLS rozumie smerovaniu IP na vrstve 3, ako aj funkcii prepínania paketov vrstvy 2. MPLS, ako “Multiprotocol” názov napovedá, môže prenášať pakety z rôzneho rozsahu rôznych sieťových protokolov. MPLS je v súčasnosti ponúkané mnohými sieťami poskytovateľov služieb a je tiež nasadené pre svoje vlastné internetové siete.

MPLS preposiela pakety vo vrstve 2 (prepínacia vrstva). Potreba smerovania IP v tejto fáze je vylúčená, pretože každý paket je označený pri vstupe do siete poskytovateľa služieb pomocou prichádzajúceho alebo „vstupujúceho“ štítka Edge Router alebo LER. Všetky nasledujúce smerovače prepínania štítkov (LSR), ktoré sa zúčastňujú na MPLS, vykonávajú posielanie paketov iba podľa týchto štítkov bez akéhokoľvek odkazu na adresu v hlavičke IP..

Nakoniec odchádzajúci alebo „výstupný“ smerovač LER odstráni označenie MPLS a preposiela paket IP na svoje konečné miesto určenia. Poskytovatelia služieb MPLS VPN niekedy označujú ako službu Virtual Private LAN Service (VPLS) alebo Virtuálnu súkromnú smerovanú sieť (VPRN). MPLS ponúka oproti IPsec množstvo výhod.

Po prvé, MPLS namiesto toho, aby sa spoliehal na sériu vyhľadávaní tabuliek smerovača pozdĺž cesty pre každý paket, používa svoje vlastné vopred určené cesty nazývané cesty so štítkami so štítkami na výber optimálnej trasy vopred pre všetky pakety. Tým sa výrazne urýchli prenos údajov.

MPLS má tiež vynikajúcu schopnosť kvality služieb (QoS). MPLS podporuje definíciu viacerých úrovní služieb pomocou svojich vlastných trás Label Switching Protocol (LSP), aby sa splnili konkrétne dohody o úrovni služieb založené na charakteristikách prenosu, oneskorení, strate paketov a problémoch s prestojmi. Napríklad sieť môže definovať tri úrovne služieb - jednu pre prenos VOIP, jednu pre prenos citlivý na čas a druhú pre štandardný prenos údajov. EETimes uverejnil podrobný článok o implementácia riešení PPVPN na báze MPLS.

Ktorý protokol je pre PPVPN najlepší??

Protokol IPsec má tendenciu byť uprednostňovaný malými podnikmi pre VPN na úrovni OSI vrstvy 3 a najmä pre hostiteľov vzdialeného prístupu. V týchto prípadoch budú preferovanými protokolmi buď IPsec s L2TP alebo IPsec s GRE. Výhodou protokolu PPTP je jeho ľahká implementácia, pretože je k dispozícii ako zabudovaný systém MS-Windows a mnoho ďalších systémov.

Z dôvodu bezpečnostných nedostatkov sa však používanie protokolu PPTP neodporúča pre zabezpečenú sieť VPN. Majte na pamäti, že IPsec a GRE sami nepodporujú funkčnosť QoS. IPSec sa medzi strednými a veľkými podnikmi stretáva menej často z dôvodu zložitosti požiadaviek na sieťové pripojenie.

Pre mobilných používateľov a prihlásenie na vzdialený prístup nie je možnosť MPLS. MPLS sa zastaví na zariadení „zákazníka“ alebo CE (zvyčajne router). MPLS je najvhodnejší na nasadenie pre VPN medzi jednotlivými sieťami medzi okrajmi smerovačov sieťových serverov a pre väčšie podniky, a najmä pre siete s vyšším objemom prenosu a prenosom rôznych typov, ktoré využívajú výhody segregácie QoS. Ak hľadáte vhodného poskytovateľa služieb MPLS VPN, pozrite si Zoznam britských a globálnych poskytovateľov komerčných služieb MPLS VPN spravuje The Network Union.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me