Czym jest VPN, jak działa, czy warto w niego inwestować?
Spis treści
Sieci VPN są jednym z najskuteczniejszych sposobów na zabezpieczenie wewnętrznych zasobów organizacji przed nieuprawnionym dostępem z zewnątrz. Poza tym można zastosować tunelowanie przez VPN w celu zapewnienia dostępu do zasobów normalnie niedostępnych, a więc na przykład serwera firmowego z poziomu komputera domowego pracownika. Zrealizowanie tego zadania jednak nie jest proste i wymaga zastosowania specjalnego oprogramowania i sprzętu.
Czym jest VPN?
VPN, czyli wirtualna sieć prywatna, jest niewydzieloną fizycznie częścią sieci, chronioną przez odpowiednie ograniczenie transferu pakietów wymienianych z wnętrza sieci z jej otoczeniem. Sieć VPN daje także możliwość szyfrowania lub kompresji danych, co może zwiększyć efektywność wykorzystania urządzeń sieciowych oraz znacząco podnieść bezpieczeństwo łącza. Stacje końcowe korzystające z sieci VPN zachowują się z logicznego punktu widzenia tak samo, jak by się zachowały, gdyby istniało między nimi łącze prywatne, a więc sieć VPN jest tylko i wyłącznie strukturą logiczną.
Typy sieci prywatnych
Zasadniczo sieć prywatną można zestawić na każdym poziomie sieci publicznej, jednak ze względów praktycznych bardzo rzadko stosuje się VPN peer-to-peer. Znacznie częściej w zastosowaniach biznesowych spotyka się modele z bramą VPN, a więc dodatkowym urządzeniem służącym do zaznaczania VPN w warstwie sprzętowej (warstwa 2 modeli OSI):
- Site to site: zapewnia możliwość komunikacji przez tunel dla dwóch sieci lokalnych, a więc na przykład tunelowanie ruchu pomiędzy dwoma odległymi fizycznie placówkami tej samej firmy.
- Client to site: daje możliwość połączenia pojedynczego klienta do sieci lokalnej oddalonej w sensie fizycznym.
Połączenia realizowane w obrębie sieci VPN wykorzystują dedykowane protokoły, które, w zależności od struktury danych, mogą zwiększać lub ograniczać możliwości komunikacji.
Zaufaj zawodowcom
Protokoły dla sieci VPN wykorzystujących co najmniej jedną bramę
- IPsec: jest to protokół najpopularniejszy, ale też dość mocno ograniczony choćby z tego względu, że nie radzi sobie z NAT-em. Obecnie problem ten można zniwelować dzięki zastosowaniu specjalnego oprogramowania. W obrębie protokołu IPsec mogą być transportowane protokoły TCP, IMCP oraz UDP (to ograniczenia narzucone przez niektóre urządzenia sieciowe), co może być kłopotliwe, gdyż wymiana danych w tunelu odbywa się w protokole ESP – trzeba zwrócić uwagę na możliwość obsługi tego protokołu przez wszystkie urządzenia sieciowe. Samo tworzenie sieci VPN wykorzystującej protokół IPsec też może być skomplikowane ze względu na niedopracowanie software’u.
- L2TP: ten protokół jest prostszy niż IPsec, ale także ma pewne ograniczenia (mniejsze niż w przypadku popularniejszego protokołu). Najczęściej wykorzystywany do podłączania pojedynczego klienta, który loguje się do sieci nazwą i hasłem.
- PPTP: popularny, ale niezapewniający wysokiego poziomu bezpieczeństwa protokół, który w istotnych szczegółach przypomina L2TP. Problemem jest dawno już złamane szyfrowanie MPPE (opcjonalne) i autoryzacja przez MS-CHAP. Transmisja danych przez protokół GRE.
Nawet w przypadku routerów, w których można podmienić oryginalny soft na wersje obsługujące wszystkie wymagane protokoły pojawić się może problem ze współpracą urządzeń, gdyż normy stosowane przez producentów sprzętu i oprogramowania mogą różnić się istotnymi technicznie szczegółami.
Czy VPN ma sens?
Nie w każdej organizacji wdrożenie dedykowanej sieci VPN ma sens, a najprostsze rozwiązania, które często mogą skonfigurować administratorzy sieci bez dodatkowego sprzętu, nie zapewniają wysokiego bezpieczeństwa. Wyznacznikiem opłacalności tworzenia VPN-u jest przede wszystkim wartość przesyłanych danych. Jeśli jest to korespondencja niezawierająca szczególnie istotnych danych, to zestawienie VPN może nie być opłacalne. Jeśli jednak łącza są regularnie wykorzystywane do transferu danych o kluczowym znaczeniu, to nie tylko należy zdecydować się na zestawienie VPN, ale również na dobranie najlepszej bramy i jak najmocniejsze szyfrowanie. VPN będzie potrzeby również w przypadku konieczności ograniczenia dostępu np. do przesyłanych danych z systemu monitoringu jedynie do grona wybranych osób.
