Reea virtual privat (VPN) Virtual Private Network

o reea virtual privat (VPN) este o reea a companiei implementat pe o infrastructur comun, folosind aceleai politici de securitate, management i performan care se aplic de obicei ntr-o reea public.

Soluii VPN exist trei posibiliti de realiza un VPN :

Access VPN permite conectarea individual (utilizatori mobili) sau a unor birouri la sediul central al unei firme, aceasta realizndu-se n cele mai sigure condiii. Intranet VPN permite conectarea diferitelor sedii ale unei firme folosind legturi dedicate. Diferena fat de Access VPN const n faptul c se folosesc legturi dedicate cu rata de transfer garantat, fapt care permite asigurarea unei foarte bune calitai a transmisiei pe lng securitate i band mai larg. Extranet VPN este folosit pentru a lega diferii clieni sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni partajate, securitate maxim.

Remote Access VPN (Acces de la distan) Exist doua tipuri de conexini VPN de acest fel: conexiune iniiat de client i conexiune iniiat de server. Conexiune iniiata de client .
Clienii care vor s se conecteze la site-ul firmei trebuie s aib instalat un client de VPN, acesta asigurndu-le criptarea datelor ntre computerul lor i sediul ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea n mod criptat, n concluzie ntregul circuit al informaiei se face n mod criptat. Trebuie precizat c n cazul acestui tip de VPN sunt folosii o multitudine de clieni de VPN. Un exemplu este Cisco Secure VPN dar i Windows NT sau 2000 au integrat clieni de VPN. Urmtoarea imagine schematizeaz acest tip de Access VPN :

Figura. Acces de la distan iniiat de client

Access VPN iniiat de serverul de acces

Este ceva mai simpl pentru c nu implic folosirea unui client de VPN. Tunelul cripatat se realizeaz ntre server-ul de acces al ISP-ului i sediul firmei la care se vrea logarea. ntre client i server-ul de acces securitatea se bazeaz pe sigurana liniilor telefonice ( fapt care uneori poate fi un dezavantaj ).

Acces de la distan iniiat de server-ul de acces

Intranet VPN Permite realizarea unei reele interne complet sigur pentru o firm. Permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot s ating rate de transfer foarte bune ( E1) limita fiind determinat de suma pe care firma respectiv este dispus s o investeasc n infrastructura sa informaional .

Arhitectura aceasta utilizeaz dou routere la cele dou capete ale conexiunii, ntre acestea realizndu-se un tunel criptat. n acest caz nu mai este necesar folosirea unui client de VPN ci folosirea IPSec. IPSec (IP Security Protocol) este un protocol standardizat de nivel 3 care asigur autentificarea, confidenialitatea i integritatea transferului de date ntre o pereche de echipamente care comunic. Folosete ceea ce se numete Internet Key Exchange ( IKE ) care necesit introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciproc. Schematic conexiunea arat :

Figura. Intranet VPN

Extranet VPN
Acest tip de VPN seamn cu precedentul cu deosebirea c extinde limitele intranetului permind legarea la sediul corporaiei a unor parteneri de afaceri , clieni etc.; acest tip permite accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru.

Figura. Extranet VPN

Securitate i VPN
Reelele private virtuale sunt un produs derivat al clasei de elemente de securitate ale unei reele. Clientul acceseaz Internetul prin dial-up ctre un ISP, dup care stabilete un tunel autentificat i criptat ntre el i firewall-ul din intranetul accesat.

Figura Firewall

O soluie complet pentru realizarea unei reele VPN necesit mbinarea a trei componente tehnologice critice: securitatea, controlul traficului i administrarea la nivelul organizaiei.

Securitatea
Tehnologiile importante care acoper componenta de securitate a unei reele VPN sunt: controlul accesului pentru garantarea securitii conexiunilor din reea, criptarea, pentru protejarea confidenialitii datelor, autentificarea, pentru a verifica identitatea utilizatorului, ca i integritatea datelor.

Controlul traficului
O a dou component critic n implementarea unei reele VPN este dat de controlul traficului, realizat pentru un scop simplu i clar: garantarea fiabilitii, calitii serviciilor i a unor performane optime n ceea ce privete ratele de transfer. Comunicaiile n Internet pot duce la apariia unor zone de congestie, impropii unor aplicaii critice n domenniul afacerilor. Alternativa este dat de stabilirea unor prioriti de rutare a traficului, astfel nct transferul datelor s fie realizat cu fiabilitate maxim.

Administrarea la nivelul organizaiei

Ultima component critic este dedicat garantrii unei intergrri complete a reelei VPN n politica de securitate global, unei administrri centralizate (fie de la o consol local, fie de la una la distan) i unei scalabilti a soluiei alese.

Tehnici de realizare a reelelor VPN

patru moduri de transmisie ntlnite n soluiile VPN:

In Place Transmision Mode (Modul de Transmisie In-place) - este de obicei o soluie specific unui anumit productor, n care doar datele sunt criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele de transport nu sunt afectate. Transport Mode (modul transport) - doar segmentul de date este criptat, deci mrimea pachetului va crete. Acest mod ofer o confidenialitate adecvat a datelor pentru reele VPN de tip nod-la-nod. Encrypted Tunnel Mode (modul tunel criptat) - informaia din antetul IP i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele terminale ale VPN. Se asigur o confidenialitate global a datelor. Non-encrypted Tunnel Mode (modul tunel necriptat) - nici o component nu este criptat, toate datele sunt transportate n text clar. Nu se ofer nici un mijloc de asigurare a confidenialitii datelor.

Metode de realizare a soluiilor VPN O soluie VPN bazat pe Internet este alctuit din patru componente principale: 1. Internet-ul, 2. porile de securitate(gateways), 3. politicile de securitate ale server-ului, i 4. autoritaile de certificare

Internet-ul furnizeaz mediul de transmitere. Porile de securitate stau ntre reeaua public i reeaua privat, mpiedicnd intruziunile neautorizate n reeaua privata. Ele, deasemenea, dispun de capaciti de tunelare i criptare a datelor nainte de a fi transmise n reeaua public. In general, o poart de securitate se ncadreaz n una din urmatoarele categorii: routere, firewall, dispozitive dedicate VPN harware i software.

Router trebuie s examineze i s proceseze fiecare pachet care parsete reeaua, deci trebuie s aib i funcia de criptare a pachetelor. Comerciantii de routere dedicate VPN, de obicei ofer dou tipuri de produse: ori cu un suport software pentru criptare, ori cu un circuit adiional echipat cu un co-procesor care se ocup strict de criptarea datelor. Exemple:

Cisco 3660 Series

Cisco 1710 Series Figura. Routere folosite la VPN

Filiala

Cisco 3620 Series

Biroul de acasa Sediul central

Internet

Figura . Soluie VPN bazat pe routere

10

Din punct de vedere al performanelor, soluia bazat pe routere este cea mai bun dar implic un consum foarte mare de resurse, att din punct de vedere financiar ct i din punct de vedere al resurselor umane, fiind necesari specialiti n securitatea reelelor pentru a configura i ntreine astfel de echipamente. Este o soluie potrivit pentru companiile mari, care au nevoie de un volum foarte mare de trafic i de un grad sporit de securitate

Firewall
Asemeni router-elor, firewall-urile trebuie s proceseze tot traficul IP. Combinaia dintre tunelare, criptare i firewall reprezint probabil soluia cea mai bun pentru companiile mici, cu volum mic de trafic. Folosirea firewall-urilor pentru crearea de VPN reprezint o soluie viabil, ndeosebi pentru companiile de dimensiuni mici, ce transfer o cantitate relativ mic de date(de ordinul 1-2 MB pe reeaua public).

Figura. Firewall cu VPN integrat

11

Echipamente harware dedicate

proiectate s ndeplineasc sarcinile de tunelare, criptare i autentificarea utilizatorilor. Aceste echipamente operez de obicei ca nite puni de criptare care sunt amplasate ntre router-ele reelei i legatura WAN( legatura cu reeaua public). Dei aceste echipamente sunt proiectate pentru configuraiile LAN-to-LAN, unele dintre ele suport i tunelare pentru cazul client-to-LAN.
Utilizator

3002 Cable Modem

Filiala

3002

DSL

Concentrator VPN

Internet

Filiala

3002

Figura. Client harware VPN

12

Soluii software dedicate

Componente software VPN sunt disponibile pentru creearea i ntreinerea de tuneluri, fie ntre dou pori de securitate, fie ntre un client i o poarta de securitate. Aceste sisteme sunt agreeate datorit costurilor reduse i sunt folosite pentru companiile mici, care nu au nevoie s procesese o cantitate prea mare de date. Aceste soluii pot rula pe servere existente, mprind astfel resursele cu acestea. Reprezint soluia cea mai potrivit pentru conexiunile de tipul clientto-LAN. Practic, se instaleaz o aplicaie software pe calculatorul clientului care stabilete conexiunea cu serverul VPN.

Principalele avantaje ale reelelor virtuale private Reducerea costurilor

Reelele private virtuale sunt mult mai ieftine dect reelele private proprietare ale companiilor. Se reduc costurile de operare a reelei (linii nchiriate, echipamente, administratori reea).

Integrare, simplitate
Se simplific topologia reelei companiei private. De asemenea, prin aceeai conexiune se pot integra mai multe aplicaii: transfer de date, Voice over IP, Videoconferine.

13

 Mobilitate
Angajaii mobili precum i partenerii de afaceri (distribuitori sau furnizori) se pot conecta la reeaua companiei ntr-un mod sigur, indiferent de locul n care se afl.

Securitate
Informaiile care circul prin VPN sunt protejate prin diferite tehnologii de securitate (criptare, autentificare, IPSec).

Oportuniti, comert electronic

Se pot implementa noi modele de business (business-to-business, business-to-consumer, electronic commerce) care aduc venituri suplimentare pentru companie.

Scalabilitate
Afacerea companiei crete, deci apare o nevoie permanent de angajai mobili i conexiuni securizate cu partenerii strategici si distribuitorii.

14