VPN Виртуални частни мрежи
VPN (Virtual Private Network или виртуална частна мрежа) е частна мрежа, която използва публичната телекомуникационна инфраструктура и осигурява защита на предаваната информация като използва протоколи за тунелиране и криптографски алгоритми. Тя може да бъде противопоставена на система от притежавани или наети линии, които се използват само от една компания. С други думи VPN е комуникационно оборудване, при което достъпа се контролира за да се допуснат равни връзки само вътре в определената общност от интереси. В този случай частния ресурс се изгражда набазата на логическо разделяне, а не на физическо.
Има 3 основни VPN технологии:
Аутентикация /Автентификацията/. Още един стъпка опредедляща за сигурността при VPN комуникацията е аутентикацията. На тази стъпка, получателят на данните определя дали изпращача наистина е този за който се преддставя (User/System Authentication) и дали данните са били пренасочвани или повредени по пътя (Data Authentication).
Аутентикацията на VPN клиента включва проверката за истинност на самоличността на машината и на потребителя, който инициира VPN връзката. Аутентикация може да бъде осъществена на нивото на машината. Например, когато една VPN връзка, базирана на Windows 2000, използва IPSec за L2TP VPN мрежа, сертификатите на машините се обменят като част от изграждането на IPSec асоциация за сигурност. Потребителят може да бъде автентифициран с помощта на един от няколкото метода за автентификация, като Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (PAP) или Shiva PAP (SPAP).
Оторизация означава зададените ограничения, на базата на които на едни потребители се предоставя достъп до VPN, a на други се отказва.
Криптирането служи за защита на данните във VPN мрежи. Могат да бъдат използвани най-различни технологии за криптиране. Много VPN реализации позволяват да се избере метода на криптиране, който трябва да бъде приложен. Криптирането осигурява сигурност на данни, които пътуват по VPN мрежата. Без тази сигурност данните биха могли лесно да бъдат прехванати, докато се предават по обществената мрежа.
Криптирането е техника на кодиране и разкодиране на информация. На всеки край на VPN тунела има VPN gateway в софтуерна или в хардуерна форма. Gateway-a на изпращача криптира информацията преди да я изпрати по тунела през Internet. VPN gateway-я на получателя декриптира информацията.
Ключът е код, който криптиращият алгоритъм използва за да създаде уникален кодирана информация. Нивото на сигурност зависи непосредствено от дължината на използваните ключове. VPN продукти днес използват 168 и повече bit-ови ключове.
Повечето VPN използват IPSec технологии. IPSec е съвместим с повечето различен VPN хардуер и софтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен достъп. Даден IPSec тунел основно играе ролята на мрежов слой, който предпазва всичките пакети от информация, които преминават, независимо от приложението.
Предимства и недостатъци на VPN мрежите
Предимствата на VPN мрежите са свързани с намаляване на разходите за междуградски разговори, когато отдалечените потребители се намират извън областта за набиране на локални номера. Тези мрежи изискват по-малко телефонни линии за осигуряване на отдалечен достъп до множество потребители едновременно. Също така изискват по-малко хардуерно оборудване, например банки от модеми. VPN мрежите, базирани на ISP, редуцират цените за администриране и обучение.
Като недостатък може да се приеме изискването за връзка към Internet в двата края на VPN мрежата. Това може да бъде проблем, ако единият или двата края имат ненадеждна връзка към Интернет. Друг недостатък на VPN мрежите се състои в проблемите, свързани с производителността. Те могат да бъдат от незначителни до съществени, в зависимост от типа на реализацията на VPN и от типа на използваните Internet връзки. Проблемите на производителността, свързани с VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации.
Една от алтернативите на VPN мрежата е dial-up комуникацията. В някои случаи dial-up сървърът може да постигне същата цел както VPN мрежата, но при много други обстоятелства виртуалната мрежа има определени предимства пред услугата на dial-up сървъра за отдалечен достъп.
Проблемите свързани с производителността на VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации. Повечето сериозни проблеми на производителността се дължат на глобалната мрежа Интернет. Често възникват прекъсвания на достъпността от регионален и от всеобщ характер. Тежкият трафик може да предизвика забавяния и блокирания на системите. Освен това отделни ISP доставчици могат да се сблъскат с изключвания на сървъри, които обслужват стотици или дори хиляди свои потребители. Технологията на VPN мрежите може също да доведе до различни количества допълнителни служебни данни, които намаляват производителността. VPN мрежи на ниво вериги не могат да постигнат скоростта на виртуалните мрежи на ниво мрежа. Когато се използва обществената мрежа за установяване на връзката, се загубва елемента на контрол, който се реализира при директна входяща dial-up връзка.
Има 3 основни VPN технологии:
- trusted VPN - доверена VPN;
- secure VPN – сигурна VPN;
- hybrid VPN – смесена VPN.
Аутентикация /Автентификацията/. Още един стъпка опредедляща за сигурността при VPN комуникацията е аутентикацията. На тази стъпка, получателят на данните определя дали изпращача наистина е този за който се преддставя (User/System Authentication) и дали данните са били пренасочвани или повредени по пътя (Data Authentication).
Аутентикацията на VPN клиента включва проверката за истинност на самоличността на машината и на потребителя, който инициира VPN връзката. Аутентикация може да бъде осъществена на нивото на машината. Например, когато една VPN връзка, базирана на Windows 2000, използва IPSec за L2TP VPN мрежа, сертификатите на машините се обменят като част от изграждането на IPSec асоциация за сигурност. Потребителят може да бъде автентифициран с помощта на един от няколкото метода за автентификация, като Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (PAP) или Shiva PAP (SPAP).
Оторизация означава зададените ограничения, на базата на които на едни потребители се предоставя достъп до VPN, a на други се отказва.
Криптирането служи за защита на данните във VPN мрежи. Могат да бъдат използвани най-различни технологии за криптиране. Много VPN реализации позволяват да се избере метода на криптиране, който трябва да бъде приложен. Криптирането осигурява сигурност на данни, които пътуват по VPN мрежата. Без тази сигурност данните биха могли лесно да бъдат прехванати, докато се предават по обществената мрежа.
Криптирането е техника на кодиране и разкодиране на информация. На всеки край на VPN тунела има VPN gateway в софтуерна или в хардуерна форма. Gateway-a на изпращача криптира информацията преди да я изпрати по тунела през Internet. VPN gateway-я на получателя декриптира информацията.
Ключът е код, който криптиращият алгоритъм използва за да създаде уникален кодирана информация. Нивото на сигурност зависи непосредствено от дължината на използваните ключове. VPN продукти днес използват 168 и повече bit-ови ключове.
Повечето VPN използват IPSec технологии. IPSec е съвместим с повечето различен VPN хардуер и софтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен достъп. Даден IPSec тунел основно играе ролята на мрежов слой, който предпазва всичките пакети от информация, които преминават, независимо от приложението.
Предимства и недостатъци на VPN мрежите
Предимствата на VPN мрежите са свързани с намаляване на разходите за междуградски разговори, когато отдалечените потребители се намират извън областта за набиране на локални номера. Тези мрежи изискват по-малко телефонни линии за осигуряване на отдалечен достъп до множество потребители едновременно. Също така изискват по-малко хардуерно оборудване, например банки от модеми. VPN мрежите, базирани на ISP, редуцират цените за администриране и обучение.
Като недостатък може да се приеме изискването за връзка към Internet в двата края на VPN мрежата. Това може да бъде проблем, ако единият или двата края имат ненадеждна връзка към Интернет. Друг недостатък на VPN мрежите се състои в проблемите, свързани с производителността. Те могат да бъдат от незначителни до съществени, в зависимост от типа на реализацията на VPN и от типа на използваните Internet връзки. Проблемите на производителността, свързани с VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации.
Една от алтернативите на VPN мрежата е dial-up комуникацията. В някои случаи dial-up сървърът може да постигне същата цел както VPN мрежата, но при много други обстоятелства виртуалната мрежа има определени предимства пред услугата на dial-up сървъра за отдалечен достъп.
Проблемите свързани с производителността на VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации. Повечето сериозни проблеми на производителността се дължат на глобалната мрежа Интернет. Често възникват прекъсвания на достъпността от регионален и от всеобщ характер. Тежкият трафик може да предизвика забавяния и блокирания на системите. Освен това отделни ISP доставчици могат да се сблъскат с изключвания на сървъри, които обслужват стотици или дори хиляди свои потребители. Технологията на VPN мрежите може също да доведе до различни количества допълнителни служебни данни, които намаляват производителността. VPN мрежи на ниво вериги не могат да постигнат скоростта на виртуалните мрежи на ниво мрежа. Когато се използва обществената мрежа за установяване на връзката, се загубва елемента на контрол, който се реализира при директна входяща dial-up връзка.
Коментари: