Virtual private network

De la Wikipedia, enciclopedia liberă

Un editor a propus unirea acestei pagini cu o alta. S-a sugerat ca paginile „Virtual private network” şi „Reţele virtuale private” să fie unite într-una singură.

Un Virtual Private Network (VPN), pronunţat /vʌrtʃʊʌl prаɪvɪt nɛtʊʌrk/, este o reţea de comunicaţii folosită de obicei în cadrul unei companii, organizaţii, sau al mai multor companii, bazată pe o reţea publică şi de aceea nesigură, dar care totuşi poate asigura confidenţialitatea comunicărilor. Expresia înseamnă pe româneşte "o reţea aproape particulară". Mesajele din traficul VPN pot fi deci transmise prin intermediul infrastructurii unei reţele publice de date (ex: Internet) folosind protocoalele standard, sau prin intermediul unei reţele private a furnizorului de servicii internet cu un nivel al Service Level Agreement (SLA) stabilit prealabil între clientul serviciului VPN şi furnizorul acestui serviciu.

Cuprins 1 Mecanismul de autentificare 2 Tipuri de VPN 3 Caracteristici ale aplicaţiei 4 Tunneling 5 Dialogurile de securitate VPN 6 Vezi şi 7 Legături externe

[modifică] Mecanismul de autentificare

VPN este o modalitate eficientă din punct de vedere al costurilor pentru ca diferite companii să poată asigura accesul la reţeaua companiei pentru angajaţii şi colaboratorii aflaţi la distanţă de sediul central, şi pentru a permite confidenţialitatea datelor schimbate între punctele de lucru aflate la distanţă. VPN -urile securizate sunt mai ieftine decât liniile închiriate dedicate.

De obicei există un firewall între calculatorul clientului aflat la depărtare şi reţeaua în care utilizatorul se conectează pentru a avea acces la resursele informaţionale ale companiei. Clientul utilizatorului poate stabili o comunicare cu firewall-ul, prin care va putea trasmite informaţii de autentificare către un serviciu de specializat. Astfel, o persoană cunoscută, utilizând uneori numai dispozitive cunoscute, poate câştiga privilegiile de securitate care îi conferă dreptul de acces la resursele companiei, indisponibile celorlalti utilizatori de internet.

Multe din programele client ale VPN pot fi configurate in aşa fel încât să ceară trecerea întregului trafic IP printr-un tunel cât timp conexiunea VPN este activă, sporind astfel siguranţa conexiunii. Din perspectiva utilizatorului, acest lucru inseamnă că atâta vreme cât conexiunea VPN e activă, accesul în afara reţelei sigure va trebui să treacă prin acelaşi firewall, ca şi cum utilizatorul ar fi conectat în interiorul reţelei sigure. Acest fapt reduce riscul unei posibile accesări din partea unui atacator. O astfel de securizare e importantă deoarece alte calculatoare conectate local la reţeaua pe care clientul îşi desfăşoară activitatea pot fi nefiabile sau fiabile parţial. Chiar şi o reţea restrânsă, care e protejata de firewall, având mai mulţi clienţi simultan conectati fiecare la VPN-ul ce le corespunde, va putea astfel asigura protejarea datelor chiar dacă reţeaua locală este infectata de posibili viruşi. Iar daca un angajat foloseşte un client VPN dintr-un punct de acces Wi-Fi într-un loc public, această securizare devine şi mai importantă.

[modifică] Tipuri de VPN

VPN-urile sigure folosesc cryptografic tunneling protocols, nişte protocoale care asigură confidenţialitatea (blocând intruşii şi accesul la date), autentificarea expeditorului şi integritatea mesajelor. Dacă sunt alese, implementate si utilizate în mod corespunzător, astfel de tehnici pot asigura comunicaţii sigure în cadrul unei reţele nefiabile.

Deoarece o astfel de alegere, implementare şi folosire nu sunt triviale, există multe scheme VPN nefiabile pe piaţă.

Tehnologiile sigure VPN pot fi de asemenea utilizate pentru a creşte securizarea în infrastructura de reţele.

Protocoalele sigure VPN includ următoarele:

• IPsec (IP security) - folosit pe IPv4 şi o parte obligatoriu prezentă pe IPv6.
• SSL/TLS folosit ori pentru întreaga reţea, precum în proiectul OpenVPN, sau pentru securizarea unui web proxy. A fost construită prin vânzatori precum Aventail şi Juniper care asigură acces remote la capabilităţile VPN.
• PPTP (Point-to-Point Tunneling Protocol), creat de un grup de companii, printre care şi Microsoft.
• L2TP (Layer 2 Tunneling Protocol), creat in urma muncii echipei Microsoft cu cea de la Cisco.
• L2TPv3 (Layer 2 Tunneling Protocol version 3), nou lansată.
• VPN-Q
• MPVPN (Multi Path Virtual Private Network). MPVPN este marcă înregistrată a Ragula Systems Development Company. Căutaţi Trademark Applications and Registrations Retrieval (TARR)

Pe piaţă există companii care asigură administrarea serverului VPN, serviciu oferit clienţilor care nu doresc să facă acest lucru ei înşişi.

VPN-urile fiabile nu folosesc tunelele criptografice, în schimb se bazează pe securitatea unui singur distribuitor al reţelei care va asigura un trafic protejat.

• Multi-Protocol Label Switching (MPLS) este adesea folosit pentru construirea unei VPN fiabile.
• L2F (Layer 2 Forwarding), proiectat de Cisco, poate fi de asemenea folosit.

[modifică] Caracteristici ale aplicaţiei

Un VPN bine proiectat poate oferi beneficii considerabile pentru o organizaţie. Acesta poate:

• Extinde conectivitatea geografică.
• Îmbunătăţi securitatea liniilor care nu au fost criptate.
• Reduce costurile operaţionale în comparaţie cu reţeaua tradiţională WAN.
• Reduce timpul de tranzit şi costurile de transport pentru utilizatorii aflaţi la distanţă.
• Simplifica topologia reţelei în anumite cazuri.
• Oferi oportunităţile unei reţele globale.
• Oferi compatibilitate cu reţeaua de tip broadband.
• Oferi un ROI (return on investment) mai rapid decât liniile tradiţionale WAN de transport fie proprietare sau închiriate.
• Prezintă o economie bună a scalării.
• Bună scalabilitate, când este folosit în cadrul unei infrastructuri cu cheie publică.

Având în vedere faptul că VPN-urile sunt extinderi ale reţelei centrale (de bază), există unele implicaţii de securitate care trebuiesc luate în considerare cu multă atenţie:

• Securitatea pe partea clientului trebuie să fie întărită. Acest procedeu poartă numele de Central Client Administration sau Security Policy Enforcement. Adeseori companiile cer angajaţiilor care doresc să folosească VPN-ul în afara serviciului să îşi instaleze în prealabil un firewall oficial. Unele organizaţii care gestionează date importante, precum în departamentul sănătăţii, au grijă ca angajaţii sa beneficieze de două conexiuni WAN separate: una pentru gestionarea datelor sensibile şi a doua, pentru alte interese.
• Accesul la reţeaua ţintă poate fi limitat.
• Politicile de jurnalizare trebuie evaluate şi în cele mai multe cazuri revizuite.

O singură scurgere de informaţii poate duce la compromiterea securităţii unei reţele. În cazul în care un individ sau o companie are obligaţii legale privind protejarea datelor confidenţiale, pot rezulta probleme legale chiar cu răspundere penală. Servesc ca exemple reglementările HIPAA adoptate în U.S.A. în domeniul sănătăţii, precum şi reglementările pe plan general ale U.E.

[modifică] Tunneling

Tunneling reprezintă transmiterea datelor în cadrul unei reţele publice astfel încât aceasta să nu realizeze faptul că transmiterea (transportul de informaţii) e parte a unei reţele private. Este realizat prin încapsularea datelor apartenente reţelei private şi crearea unui protocol care să nu permită accesul nimănui la acestea.Tunneling permite folosirea reţelelor publice (Internet), văzute astfel ca 'reţele private'.

[modifică] Dialogurile de securitate VPN

Cel mai important aspect al soluţiei oferite de VPN este securitatea. O reţea VPN, prin natura sa, trebuie să adreseze toate tipurile de ameninţări ale siguranţei, oferind servicii de securitate in domenii ca:

Autentificare (controlul accesului) - Autentificarea este procesul prin care se verifica veridicitatea utilizatorului (sau sistemului). Există multe tipuri de mecanisme de autentificare, dar toate folosesc unul din următoarele moduri de abordare:

• ceva ce ştii (ex., nume utilizator, parolă,PIN),
• ceva ce ai (ex, Smartcard, o card key),
• ceva ce eşti (ex., amprentă, un pattern al retinei, un pattern al iris-ului, configuraţie manuală, etc).

Autentificarea slabă foloseşte doar una din categoriile de mai sus, iar cele puternice presupun combinarea a cel puţin două din categoriile prezentate mai sus. Cu toate acestea nu se poate vorbi despre o metodă sigură de protecţie a siguranţei.

[modifică] Vezi şi

• OpenVPN
• IPsec
• Hamachi
• Leaf Networks
• SSL
• VNC

[modifică] Legături externe

• Virtual Private Network Consortium - trade association for VPN vendors
• RFC 2764 - A Framework for IP Based Virtual Private Networks
• Tinc, an IPv4 and IPv6 VPN daemon
• VPN-Forum
• Microsoft TechNet VPN Resources
• UltraVPN - a free implementation of OpenVPN
• ZeroShell a small Linux distribution which is able to act as VPN box for LAN-to-LAN and host-to-LAN VPNs
• VPN quick guide
• Wippien (zero-config VPN based on OpenVPN net-code)