Sağlayıcı Tarafından Sağlanan Sanal Özel Ağlara (PPVPN) Genel Bakış

Sağlayıcı Tarafından Sağlanan Sanal Özel Ağlar (PPVPN'ler), çoğunlukla çalışanlar tarafından şirket ağlarına güvenli uzaktan erişim sağlamak için işletmeler tarafından kullanılan kurumsal düzeydeki VPN'lerdir. PPVPN'ler ayrıca fiziksel olarak ayrı siteleri ve ağları İnternet üzerinden birbirine güvenli bir şekilde bağlamak için kullanılır.


Bu şekilde farklı siteler kullanıcılara tam entegre tek bir ağ olarak görünür. Kurumsal bir VPN çalıştırmak isteyen bir şirket kendi özel VPN'sini oluşturabilir ve çalıştırabilir. Alternatif olarak, bir telekom sağlayıcısından veya işletmeyi iş sektörüne hizmet eden bir İSS'den bir PPVPN hizmeti kiralayabilir.

Sağlayıcı Sağlanan VPN'ler, uygulama ve çalıştırma kolaylığı avantajına sahiptir. VPN ağı, ayrı bir kullanıcı kimlik doğrulaması gerekmeyen kullanıcılar için genellikle şeffaftır. Protokollere ve VPN mimarisine bağlı olarak, yapılandırıldıktan sonra VPN'nin her iki tarafındaki katılımcı son kullanıcı ana makinelerinin sağlayıcı tarafından sağlanan bir VPN kullanmak için herhangi bir özel VPN yazılımına ihtiyacı olmayabilir..

KW1KW1

Bu makalede

PPVPN'ler Nasıl Çalışır?

PPVPN'ler İnternet genelinde sanal trafik bağlantılarını kullanır. "tüneller" olarak bilinir. GRE, MPLS, PPTP, L2TP ve Ipsec. Bu protokoller, özel kurumsal trafiğin bağlantıdan veya verilerden ödün verilmeksizin genel İnternet üzerinden geçiş yapmasını sağlar.

Tek bir kullanıcıyı çevirmeli ağ, DLS yönlendirici veya kablosuz LAN üzerinden bir şirket ağına bağlayan uzaktan erişim VPN'lerinde, kullanılan protokoller genellikle PPTP veya L2TP olacaktır. İki veya daha fazla site ağını birbirine bağlayan VPN'ler için protokoller normalde GRE, IPsec veya MPLS olacaktır.

VPN tüneli, her bir sitenin VPN ağ geçitleri arasında, “Sağlayıcı Kenarı” ve “Müşteri kenarı” cihazlar. VPN tünelleri, OSI tanımlı İletişim Katmanları.

Bu genellikle OSI Katman 2 veya Katman 3'tür. Katman 2 tünelleri PPTP ve L2TP kullanır. Bu, basit Ethernet çerçevelerinin VPN üzerinden taşındığı Çerçeve Katmanıdır. Bu aynı zamanda yayın paketlerinin VPN üzerinden geçmesine izin verir. MPLS VPN'ler de bu Katmanda çalışır.

Katman 3 tünellerine örnekler: Genel Rota Kapsülleme (GRE), IP üzerinden olmayan trafiği şifreleme olmadan İnternet üzerinden taşıma amacıyla kapsüllemek için kullanılır. Katman 3 ayrıca hem tünel oluşturma hem de şifreleme işlevselliğini içeren IPsec protokolü tarafından kullanılır.

VPN Topolojileri

VPN kurmak için iki ana olası topoloji vardır. - Mesh tabanlı, burada her bir uç cihaz seti merkezi bir noktadan geçmeye gerek kalmadan birbirleriyle doğrudan iletişim kurar. Bu, daha iyi yönlendirme yetenekleri sağlar, ancak daha fazla tünel gerektiği anlamına gelir.

Hub ve jant teli tabanlı, burada her bir uç aygıt kümesi merkezi bir nokta üzerinden birbirleriyle iletişim kurar. Bu yapılandırma karmaşıklığı ve tünel sayısını azaltır, ancak güvenilirlik için daha yüksek talepler getirir ve merkezi noktada daha yoğun trafik yükü ile sonuçlanır. Ayrıca sisteme tek bir arıza noktasının getirildiği anlamına gelir.

Seçilen topoloji türü ilgili ağların yapısına, bağlanacak site sayısına ve bireysel bağlantı gereksinimlerine bağlı olacaktır. VPN'ler tarafından kullanılan topolojiler ve mimariler hakkında ayrıntılı bir tartışma için makaleye bakın. Sanal Özel Ağ Çözümlerinin Analizi New South Wales Üniversitesi tarafından yayınlanan.

VPN Güvenliğinin Boyutları

VPN güvenliği için kullanıcı yetkilendirmesi, kimlik doğrulama ve veri şifreleme işlevleri gerekir. VPN tünelleri kendi başlarına her zaman yeterli güvenlik sağlamaz. Kullanılan protokole bağlıdır. Bazı aktarım protokolleri şifreleme işlevi içerir. Diğerleri.

Güvenceye alınsa bile, VPN'den geçen veriler normalde yalnızca iki ağ geçidi kenarı cihazı arasında korunacaktır. Bu, ana makineler ile VPN'nin her iki ucundaki ağ geçidi kenarı arasında seyahat eden verilerin korunmadığı anlamına gelir.

VPN Aktarım Protokolleri

VPN'ler halka açık internet üzerinden çalıştığından, veri ve bağlantı güvenliği söz konusu olduğunda kullanılan taşıma protokolleri çok önemlidir. PPVPN'ler için en sık karşılaşılan VPN protokolleri aşağıdadır.

Genel Yönlendirme Kapsülleme (GRE) GRE, herhangi bir protokolü IP'ye kapsüllemek için kullanılır. GRE'nin daha yeni bir sürümü Geliştirilmiş GRE daha verimli iletim sağlar. GRE, VPN tünelleri oluşturmak için PPTP ile birlikte kullanılır.

Noktadan Noktaya Tünel Protokolü (PPTP) PPTP noktadan noktaya bağlantılar için kullanılan bir Katman 2 protokolüdür. Geleneksel olarak bunlar çevirmeli veya ISDN idi. Noktadan Noktaya Protokolü (PPP). PPTP, PPP'nin daha da geliştirilmesiydi ve Microsoft’un tescilli güvenlik mekanizmasını kullanıyor CHAP (Karşılıklı El Sıkışma Kimlik Doğrulama Protokolü) kimlik doğrulaması için. PPTP, PC veya dizüstü bilgisayar gibi bir PPTP son istemcisi ile PPTP etkin bir sunucu arasında bir VPN tüneli sağlar.

PPTP kullanmak isteyen her cihazda PPTP istemci yazılımının kurulu ve yapılandırılmış olması gerekir. PPTP, PPP çerçevelerini IP paketlerine kapsüllemek için GRE kullanır. Birçok paket filtreleme güvenlik duvarı aygıtının varsayılan olarak PPTP bağlantı noktasını engellediğinden, PPTP trafiğinin geçmesine izin vermek için yeniden yapılandırılmaları gerekebileceğini unutmayın. PPTP ile ilgili bir başka sorun, protokolün uzun zamandır kendinden güvenli olmadığı kanıtlanmıştır..

Genel olarak, sağlayıcı tarafından sağlanan VPN ile PPTP kullanmak istemezsiniz. Katman 2 Tünel Protokolü (L2TP) L2TP, PPTP'nin yerine geçer. PPTP'de olduğu gibi L2TP, bir L2TP istemcisi ile L2TP etkin bir sunucu arasında iletişim sağlar. Her sisteme L2TP istemci yazılımının yüklenmesi ve yapılandırılması gerekir.

Bununla birlikte, verileri tünellemek için GRE kullanan PPTP'den farklı olarak, L2TP'nin UDP bağlantı noktası 1701 üzerinde çalışan kendi tünel protokolü vardır. Bir L2TP tüneli bir PPP bağlantısı öykünür ve her L2TP tüneli iki kanal içerir: iletişim oturumunu yöneten bir kontrol kanalı ve gerçek veri paketlerini PPP formatında taşıyan veri kanalı. Kayıp kontrol mesajları her zaman yeniden gönderilir.

Ancak, PPTP'de olduğu gibi, oturumun başında CHAP kullanarak ilk sınamaya dayalı kimlik doğrulaması dışında, L2TP herhangi bir güvenlik sağlamaz ve bu nedenle L2TP tek başına bir VPN için kullanılmamalıdır. L2TP'ye güvenlik eklemenin yaygın bir yolu, L2TP tüneli üzerinden şifreleme sağlamak için IPsec ile paketlemektir.

İnternet Protokolü Güvenliği (IPsec) IPsec, üç ana bileşenden oluşan yerleşik ve kanıtlanmış bir protokoller kümesidir: Kimlik Doğrulama Başlığı (AH), Kapsüllenen Güvenlik Yükü (ESP) ve Internet Anahtar Değişimi (IKE) IPsec için veri şifreleme ile ilgilenir. IPsec, IP paket Katmanında güvenlik sağlar.

IPsec sunuculara, istemcilere ve diğer aygıtlara, örneğin bir yönlendiriciye, özel bir VPN yoğunlaştırıcısına veya bir güvenlik duvarına dahil edilebilen ağ düzeyinde bir protokoldür. 2000 / XP ve Mac OSX 10.3+ işletim sistemlerinden bu yana tüm Windows sürümleri ve çoğu mobil işletim sistemi hem L2TP hem de IPsec için yerel destekle birlikte gelir. IPsec, TCP, UDP veya başka bir paket türü olsun, her IP paketini korur. IPsec genellikle en güvenli ve verimli VPN aktarım protokolü olarak kabul edilir, ancak bazı sınırlamaları da vardır.

Kimlik Doğrulama Başlığı (AH) AH, paket üstbilgileri ve verileri için kullanıcı kimlik doğrulaması ve bütünlük koruması sağlar. Ancak AH herhangi bir paket şifrelemesi gerçekleştirmez. Bu nedenle AH ve ESP bir araya gelme eğilimindeydi. Kimlik doğrulama özellikleri ESP'ye eklendiğinden, AH daha az önemli hale geldi ve bazı IPsec sistemleri artık içermiyor.

Bununla birlikte, AH hala kullanışlı bir özelliktir, çünkü hala ona güvenen cihazlar ve yazılımlarla geriye dönük uyumluluk sağlar. AH'nin iki modu olduğunu belirtmek önemlidir: taşıma ve tünel. Tünel modunda AH, her veri paketi için yeni bir IP başlığı oluşturur. Genellikle ana bilgisayardan ana bilgisayara doğrudan bağlantılar (örneğin PC'den sunucuya veya sunucudan sunucuya) için kullanılan aktarım modunda, AH orijinal IP üstbilgisini değiştirmez ve yeni bir IP üstbilgisi oluşturmaz. Bu, ağ geçidinden ağ geçidine veya ana bilgisayardan ağ geçidine VPN kullanıyorsanız, cihazlarınızın paketlerin ağ geçidi IP adreslerini gösterecek şekilde kaynak veya hedef IP adreslerini yeniden yapılandırmak üzere ayarlandığından emin olmanız gerektiği anlamına gelir. Aksi takdirde paketler hedeflerine ulaşmaz.

Kapsüllenen Güvenlik Yükü (ESP) Başlangıçta ESP sadece AH protokolü ile ilgilenilen bütünlük korumalı paket verileri için şifreleme sağlamıştır. IPsec'in sonraki sürümlerinde ESP artık şifreleme, bütünlük koruması veya şifreleme ve bütünlük koruması birlikte gerçekleştirebilir. AH'de olduğu gibi ESP'nin hem taşıma hem de tünel modları vardır. Çoğu VPN için tünel modu kullanılır. Bu durumda ESP, tünelin uç nokta adreslerini içeren her paket için yeni bir IP başlığı ekler.

IPsec ile İlgili Olası Sorunlar

IPsec'i NAT (Ağ Adresi Çevirisi) ağ geçitleriyle kullanmak sorunlu olabilir. AH, tünel modunda yalnızca trafik NAT ağ geçitlerinden geçecekse kullanılmalıdır çünkü AH aktarım modu NAT uyumlu değildir. Başka bir sorun, AH'nin IP başlığı da dahil olmak üzere tüm IPsec paketinin kimliğini doğrulaması, oysa NAT'ların paketlerin IP adreslerini değiştirebilmeleri gerekir.

Sonuç olarak, tünel modundaki IPsec kimlik doğrulaması, düzgün çalışması için katıştırılmış IP adreslerine dayanan FTP, SIP / VOIP veya IRC gibi belirli uygulama protokol trafiğiyle çalışmayabilir. Bunun bir çözümü, IPsec uygulanmadan önce NAT işlevselliğini gerçekleştirmektir. Bu NAT da yapan bir IPsec ağ geçidi kullanılarak yapılabilir.

Diğer bir seçenek, NAT tarafından kullanılabilecek bir IP adresi ve UDP bağlantı noktası sağlayan her bir pakete bir UDP başlığı ekleyerek ESP paketlerinin UDP kapsüllemesini uygulamaktır. IPsec özellikle kullanıcı bilgisayarlarına ve dizüstü bilgisayarlarına bağlanırken şifrelemenin açıkça istendiği son dış uçlar için kullanışlıdır. IPsec ayrıca uzak oturum açma ana bilgisayarları için güvenli VPN erişimi sunan tek protokoldür. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ipsec VPN'leri Rehberi IPsec tabanlı bir VPN uygulamayı ciddiye almayı düşünüyorsanız.

Çok Protokollü Etiket Anahtarlama (MPLS)

2000'li yılların başlarına kadar IPsec, işletmelere telekom ve İSS'ler tarafından sunulan varsayılan VPN servis sağlayıcı protokolüydü. Ancak o zamandan beri MPLS daha popüler olmaya başladı. MPLS genellikle OSI Katman 2 ve 3 arasında uygun olarak tanımlanır. Bunun nedeni MPLS'nin hem Katman 3'teki IP yönlendirmesini hem de Katman 2 paket anahtarlama işlevselliğini anlamasıdır. MPLS, “Multiprotocol” Adından da anlaşılacağı gibi, farklı ağ protokollerinden oluşan paketleri taşıyabilir. MPLS artık birçok servis sağlayıcı ağı tarafından sunulmakta ve kendi İnternet omurgası için dağıtılmaktadır.

MPLS paketleri Katman 2'de (anahtarlama katmanı) iletir. Bu aşamada IP yönlendirme ihtiyacından kaçınılır, çünkü her paket gelen veya “gelen” Etiket Kenar Yönlendiricisi veya LER tarafından servis sağlayıcının ağına girişte etiketlenir. Sonraki MPLS'ye katılan tüm Etiket Anahtarlama Yönlendiricileri (LSR'ler), IP üstbilgisindeki adrese başvurmadan yalnızca bu etiketlere göre paket iletme gerçekleştirir.

Son olarak, giden veya “çıkış” LER yönlendiricisi MPLS etiketini kaldırır ve IP paketini son hedefine iletir. MPLS VPN'lere bazen servis sağlayıcılar tarafından Sanal Özel LAN Hizmeti (VPLS) veya Sanal Özel Yönlendirilmiş Ağ (VPRN) denir. MPLS, IPsec'e göre bir dizi avantaj sunar.

İlk olarak, her paket için bir dizi yönlendirici tablo aramasına güvenmek yerine, MPLS, tüm paketler için önceden optimum rotayı seçmek için Etiket Anahtarlamalı Yollar adlı kendi önceden belirlenmiş yollarını kullanır. Bu veri aktarımını büyük ölçüde hızlandırır.

MPLS ayrıca mükemmel Hizmet Kalitesi (QoS) özelliğine sahiptir. MPLS, trafik özellikleri, gecikme, paket kaybı ve kesinti sorunlarına dayalı olarak belirli hizmet seviyesi sözleşmelerini karşılamak için kendi Etiket Değiştirme Protokolü (LSP) yollarını kullanarak birden çok hizmet düzeyi tanımını destekler. Örneğin, bir ağ biri VOIP trafiği için, diğeri zamana duyarlı trafik için ve diğeri standart veri trafiği için olmak üzere üç hizmet düzeyi tanımlayabilir. EETimes şu konularda kapsamlı bir makale yayınladı: MPLS tabanlı PPVPN çözümlerinin uygulanması.

PPVPN için Hangi Protokol En İyi?

IPsec, OSI katman 3'teki VPN'ler ve özellikle uzaktan erişim ana bilgisayarları için küçük işletmeler tarafından tercih edilir. Bu durumlarda, L2TP'li IPsec veya GRE'li IPsec tercih edilen protokoller olacaktır. PPTP, MS-Windows ve diğer birçok sistemde yerleşik olarak mevcut olduğu için uygulanması kolay olma avantajına sahiptir.

Bununla birlikte, güvenlik dezavantajları nedeniyle, güvenli bir VPN için PPTP kullanılması önerilmez. Unutmayın IPsec ve GRE, QoS işlevlerini kendi başlarına desteklemez. IPSec, ağ bağlantı gereksinimlerinin karmaşıklığı nedeniyle orta ve büyük ölçekli işletmeler arasında daha az karşılaşılır.

Mobil kullanıcılar ve uzaktan erişim girişleri için MPLS bir seçenek değildir. MPLS “müşteri kenarında” veya CE cihazında (genellikle bir yönlendirici) durur. MPLS, ağ sitelerinin yönlendirici kenarları arasında ve daha büyük kuruluşlar için siteden siteye VPN'ler ve özellikle de daha yüksek trafik hacimleri ve QoS ayrışmasından yararlanan farklı türde trafiği olan ağlar için en uygun olanıdır. Uygun bir MPLS VPN sağlayıcısı arıyorsanız, İngiltere ve Global MPLS VPN Ticari Servis Sağlayıcıları Listesi Ağ Birliği tarafından sürdürülür.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

+ 20 = 28

map