Virtuālais privātais tīkls

(Pāradresēts no Virtual private network)

Virtuālais privātais tīkls (VPT) jeb VPN (angļu: virtual private network) ir vispārējs nosaukums tehnoloģijām, kuras nodrošina vienu vai vairākus tīkla savienojumus (virtuālu tīklu) kāda tīkla vai vairāku tīklu (piemēram, interneta) ietvaros. Lai nodrošinātu datu nepārtveršanu publiskajos tīklos, tiek izmantota kriptogrāfija.

VPN savienojums

Šo tīklu bieži izmanto attāli darbinieki vai arī kompānijas ar attālinātiem birojiem, lai tie varētu dalīties ar privātajiem datiem un tīkla resursiem. VPT var arī atļaut lietotājam apiet reģionālos interneta ierobežojumus kā ugunsmūri un tīkla filtrēšanu, tunelējot tīkla savienojumu uz citu reģionu.

Ja lūkojās no tehniskās puses, VPT tīkla iekapsulēta protokola datu sūtīšanā lieto drošu kriptogrāfisko metodi starp divām vai vairākām tīkla ierīcēm, kuras nav uz viena un tā paša privātā tīkla, lai saglabātu datu privātumu plūstot tiem cauri savienojuma mezgliem lokālajā vai WAN tīklā.

Līdz pat 1990. gadu beigām, tīkla datori bija savienoti savā starpā dārgās nomas līnijās un/vai arī iezvanes telefonlīnijās. VPT ievērojami samazināja izmaksas, tāpēc ka tā pārtrauca nepieciešamību pēc fiziskām nomas līnijām, kuras bija individuāli savienotas starp attālinātiem birojiem(attālinātiem lietotājiem) privāta iekšējā tīklā. VPT tīkla lietotāji varēja droši izmainīt privātos datus, padarot lielo izmaksu nomu līnijas nevajadzīgas.

VPT var iekļaut sevī dažādas variācijas, kā:

  • protokoli, kuri izmanto datu plūsmas tunelēšanu;
  • tunelēšanas galapunktus;
  • attālinatas savienotajamības pieejamību;
  • vairāku līmeņu drošības pakāpes.

Drošības mehānismi

labot šo sadaļu

VPT nevar padarīt tiešsaistes savienojumus pilnīgi anonīmus.

Virtuālā privātā tīkla drošībai izmanto protokolu tunelēšanas kriptogrāfiju, lai nodrošinātu konfidencialitāti, bloķējot pārķeršanas un pakešu zādzības, atļaujot lietotājam autentificējot bloķēt māņu pieslēgvietas, tādējādi nodrošinot ziņu viengabalainību un pasargājot sūtītās ziņas no pārveidošanas.

VPT drošības modulis nodrošina:

  • konfidencialitāti — pat tad, ja tīkla datplūsma tiek uztverta pakešu līmenī, uzbrucējs redzēs tikai šifrētus datus.
  • sūtītāja autorizācija — lai nepieļautu nesankcionētu lietotāju piekļuvi VPT.
  • ziņojuma integritāte — lai atklātu jebkādus nosūtīto ziņojumu sagrozīšanas gadījumus.[1]

VPT drošības protokoli iekļauj sekojošas lietas:

  • IPsec (Interneta protokola drošība) sākotnēji tika veido IPv6, kas to pieprasīja. Šis standartpamata drošības protokols tiek izmantots arī IPv4. Otrā slāņa tunelējošais protokols strādā caur IPsec.
  • Transportēšanas slāņa drošība (SSL/TLS) var tunelēt veselu tīkla plūsmu, kā tas darbojās atvērtajā VPT tīkla projektā vai arī drošā un individuālā savienojumā. Automātiskie skaitļi nodrošina attālinātu pieeju VPT caur SSL. SSL VPT var savienoties no vietas kur IPsec strādājot rodas problēmas ar tīkla adreses tulkošanu, balstoties uz ugunsmūra noteikumiem.
  • Datorgramas transportēšanas slāņa drošība (DTLS), tiek lietota Cisco nākamās paaudzes VPT protokolos. "Cisco AnuConnect VPN".
  • Microsoft Point-to-Point (punkts punktam) šifrēšana (MPPE) strādā ar to tunelējošā protokola punkts punkatam un uz citu platformu savienojamību.
  • Microsoft ieviesa drošās uzmavas tunelējošais protokolus (SSTP) Windows 2008 serverī un Windows Vista apkalpošanas pakotnē 1 (Service pack 1). SSTP tuneļi, punkts punktam protokoli (PPP) vai otrā slāņa tunelējošie protokoli straumē tieši caur SSL 3.0 kanālu.
  • MPVPN (daudzceļu privātais virtuālais tīkls). "Racpely Systems Development Company" pieder tiesības uz šo reģistrēto preču zīmi "MPVPN".
  • Drošības čaula (SSH) VPT — atvērtās drošības čaula VPT tunelēšanai piedāvā drošus attālinātus savienojumus ar tīkla vai iekšēja tīkla saiti. Šo nevajadzētu jaukt ar portu sūtījumiem. Atvērtā SSH serveris nodrošina limitētu skaitu no vienlaicīgas tunelēšanas un VPT īpatnība ir tā, kas tas neatbalsta personālo autentifikāciju.

Kā var izveidot savu drošo VPN tuneli

labot šo sadaļu

Viss, kas jūsu biroja vai mājas datortīklam nepieciešams, ir maršrutētājs ar VPN funkciju un pastāvīgs interneta pieslēgums ar fiksētu IP adresi. Ja gribēsiet uzturēt pastāvīgus sakarus ar kādu citu datortīklu citā mājā, ielā vai pilsētā — arī tur būs vajadzīgs tāds pats komplekts.

Šāds virtuālais privātais tīkls ir ērts, jo daudz vieglāk ir atrast iespēju pieslēgties pie interneta, droši savienoties ar savu mājas vai biroja datoru un veikt visas darbības ar dokumentiem un failiem attālināti.

Daudzas kompānijas, kuras ļoti sargā savus datus, tieši šādi arī rīkojas, un komandējumā esošā darbinieka klēpjdators nav nekas vairāk kā piekļuves rīks tiem datiem, kas droši glabājās uzņēmuma datortīkla serveros. Bet, ņemot vērā bezvadu maršrutētāja salīdzinoši zemo cenu un vienkāršo lietošanu, to mierīgi var uzstādīt arī sev mājās, lai izveidotu gan drošu vietējo mājas bezvadu tīklu vairākiem datoriem, gan arī lai nodrošinātu ērtu iespēju piekļūt saviem datiem arī no citas pasaules malas.

Autentifikācija

labot šo sadaļu

Tunelēšanas termināļus nepieciešams autenficēt pirms VPT drošības tuneļi spēj to konstatēt. Lietotāju izveidotā attālinātā VPT pieejā var izmantot protokolus, divu faktoru autentifikāciju vai cita veida kriptogrāfijas metodes. Tīkls-tīklam tuneļi biežāk lieto paroles vai digitālos sertifikātus, lai tie varētu patstāvīgi izveidot atslēgas tunelēšanas atļaujām, kuras ir automātiskas bez lietotāju iejaukšanās.

VPN sastāv no divām daļām: "iekšējais" (kontrolējamais) tīkls, tie var būt vairāki, un "ārējais" tīkls, kurā notiek iekapsulētais savienojums (parasti Internets). Tāpat ir iespējams savienojums ar kāda datora virtuālo tīklu. Attālinātā lietotāja pieslēgšanās VPN tīklam notiek ar piekļuves servera starpniecību, kas savieno gan iekšējo gan ārējo tīklu. Izveidojot savienojumu ar attālināto lietotāju (vai izveidojot savienojumu ar citu aizsargātu tīklu) piekļuves serveris pieprasa iziet identifikācijas procesu, un pēc tam autentifikācijas procesu. Pēc sekmīgas abu procesu veikšanas, attālinātajam lietotājam (attālinātajam tīklam) tiek piešķirtas tiesības strādāt tīklā, tas ir — notiek autorizācijas process.

VPN klasifikācija

labot šo sadaļu

VPN risinājumus var iedalīt pēc vairākiem galvenajiem parametriem:

Pēc izmantojamās vides aizsardzības pakāpes

labot šo sadaļu

Aizsargātie

Visbiežāk izplatītais virtuālo privāto tīklu variants. Ar tā palīdzību ir iespējams izveidot uzticamu un aizsargātu tīklu, pamatojoties uz nedroša tīkla pamata (parasti interneta). Aizsargāta VPN tīkla piemēri ir: IPSec, OpenVPN, un PPTP.

Uzticamie

Tiek izmantota gadījumos, kad pārraides vidi var uzskatīt par uzticamu un ir nepieciešams tikai radīt virtuālo apakštīklu lielā tīkla ietvaros. Drošības jautājumi kļūst neaktuāli. Piemēri šādam VPN risinājumam ir: Multi-protokolu Label Switching (MPLS), un L2TP (Layer 2 Tunnelling Protocol).

Pēc īstenošanas veida

labot šo sadaļu

Specializētas programmatūras un aparatūras nodrošinājums

VPN tīkla īstenošanai tiek izmantots komplekss programmatūras un aparatūras risinājums. Šāds risinājums nodrošina augstu veiktspēju un augstu drošības pakāpi.

Programmu risinājums

Tiek izmantots dators ar speciālu programmatūru, kas nodrošina VPN funkcionalitāti.

Integrētais risinājums

VPN funkcionalitāti nodrošina komplekss risinājums, kas nodrošina arī tīkla datu plūsmas filtrēšanu, ugunsmūra organizāciju un pakalpojumu kvalitātes nodrošinājumu.

Pēc izmantošanas veida

labot šo sadaļu

Intranet VPN

Tiek izmantots, lai apvienotu vienā aizsargātā tīklā vairāku uzņēmuma filiāļu tīklus, kas apmainās ar datiem caur atvērtajiem saziņas kanāliem.

Attālinātās piekļuves VPN (Remote Access VPN)

Tiek izmantots, lai izveidotu aizsargātu kanālu starp korporatīvo tīklu (centrālais birojs vai filiāle) un vienu lietotāju, kurš, strādājot mājās, izveido savienojumu ar uzņēmuma resursiem no sava mājas datora.

Extranet VPN

Tiek izmantots tīkliem, pie kuriem pieslēdzas "ārējie" lietotāji (piemēram, klienti vai piegādātāji). Uzticības līmenis pret tiem ir daudz zemāks kā pret uzņēmuma darbiniekiem, un tāpēc nepieciešams noteikt īpašas "aizsardzības robežas", lai novērstu vai ierobežotu piekļuvi īpaši vērtīgai vai konfidenciālai informācijai.

Internet VPN

Izmanto interneta piegādātāji, lai nodrošinātu piekļuvi internetam, parasti tajos gadījumos, ja pa vienu fizisko kanālu tiek pieslēgti vairāki lietotāji.

Klienta/servera VPN

Tas nodrošina datu aizsardzību pārsūtot tos starp diviem datoriem (nevis tīkliem) korporatīvajā tīklā. Šī risinājuma īpatnība ir tajā, ka VPN tiek būvētas starp datoriem, kuri parasti atrodas vienā un tajā pašā tīkla segmentā, piemēram, starp darbstaciju un serveri. Šāda nepieciešamība bieži rodas tajos gadījumos, kad vienā fiziskā tīklā, nepieciešams izveidot vairākus loģiskos tīklus. Piemēram, kad nepieciešams sadalīt datu plūsmu starp finanšu departamentu un personāla nodaļu, kas vēršas pie servera, kurš atrodas tajā pašā fiziskajā segmentā. Šis variants ir līdzīgs VLAN tehnoloģijai, bet datu plūsmu dalīšanas vietā tiek izmantota tā šifrēšana.

Pēc protokola tipa

labot šo sadaļu

Pastāv risinājums privātajiem virtuālajiem tīkliem izmantojot TCP/IP, IPX un AppleTalk. Taču mūsdienās ir tendence pāriet uz TCP / IP protokolu, un absolūtais vairākums VPN risinājumu atbalsta tieši šo protokolu. Adresācija tajā visbiežāk tiek realizēta saskaņā ar RFC5735.

  • IPsec (IP security) — parasti tiek izmanto ar IPv4.
  • PPTP (point-to-Point tunneling protocol) — izstrādāja vairāki uzņēmumi kopā, tostarp Microsoft.
  • PPPoE (PPP (Point-to-Point Protocol) over Ethernet)
  • L2TP (Layer 2 Tunneling Protocol) — izmanto Microsoft un Cisco produktiem.
  • L2TPv3 (Layer 2 Tunneling Protocol version 3).
  • OpenVPN SSL VPN ar atvērto pirmkodu, atbalsta PPP, bridge, point-to-point, multi-client server režīmus.
  • Hamachi — Viegli konfigurējama programma, kas ļauj izveidot VPN tīklu dažu sekunžu laikā, ja visi klienti ir savienoti pa tiešo.

Daudzi no galvenajiem Interneta pakalpojumu sniedzējiem piedāvā savus VPN tīklu risinājumus biznesa klientiem.

  1. "Virtual private network" (en). Wikipedia. 2021-05-16.