Documente Academic
Documente Profesional
Documente Cultură
o reea virtual privat (VPN) este o reea a companiei implementat pe o infrastructur comun, folosind aceleai politici de securitate, management i performan care se aplic de obicei ntr-o reea public.
Access VPN permite conectarea individual (utilizatori mobili) sau a unor birouri la sediul central al unei firme, aceasta realizndu-se n cele mai sigure condiii. Intranet VPN permite conectarea diferitelor sedii ale unei firme folosind legturi dedicate. Diferena fat de Access VPN const n faptul c se folosesc legturi dedicate cu rata de transfer garantat, fapt care permite asigurarea unei foarte bune calitai a transmisiei pe lng securitate i band mai larg. Extranet VPN este folosit pentru a lega diferii clieni sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni partajate, securitate maxim.
Remote Access VPN (Acces de la distan) Exist doua tipuri de conexini VPN de acest fel: conexiune iniiat de client i conexiune iniiat de server. Conexiune iniiata de client .
Clienii care vor s se conecteze la site-ul firmei trebuie s aib instalat un client de VPN, acesta asigurndu-le criptarea datelor ntre computerul lor i sediul ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea n mod criptat, n concluzie ntregul circuit al informaiei se face n mod criptat. Trebuie precizat c n cazul acestui tip de VPN sunt folosii o multitudine de clieni de VPN. Un exemplu este Cisco Secure VPN dar i Windows NT sau 2000 au integrat clieni de VPN. Urmtoarea imagine schematizeaz acest tip de Access VPN :
Intranet VPN Permite realizarea unei reele interne complet sigur pentru o firm. Permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot s ating rate de transfer foarte bune ( E1) limita fiind determinat de suma pe care firma respectiv este dispus s o investeasc n infrastructura sa informaional .
Arhitectura aceasta utilizeaz dou routere la cele dou capete ale conexiunii, ntre acestea realizndu-se un tunel criptat. n acest caz nu mai este necesar folosirea unui client de VPN ci folosirea IPSec. IPSec (IP Security Protocol) este un protocol standardizat de nivel 3 care asigur autentificarea, confidenialitatea i integritatea transferului de date ntre o pereche de echipamente care comunic. Folosete ceea ce se numete Internet Key Exchange ( IKE ) care necesit introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciproc. Schematic conexiunea arat :
Extranet VPN
Acest tip de VPN seamn cu precedentul cu deosebirea c extinde limitele intranetului permind legarea la sediul corporaiei a unor parteneri de afaceri , clieni etc.; acest tip permite accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru.
Securitate i VPN
Reelele private virtuale sunt un produs derivat al clasei de elemente de securitate ale unei reele. Clientul acceseaz Internetul prin dial-up ctre un ISP, dup care stabilete un tunel autentificat i criptat ntre el i firewall-ul din intranetul accesat.
Figura Firewall
O soluie complet pentru realizarea unei reele VPN necesit mbinarea a trei componente tehnologice critice: securitatea, controlul traficului i administrarea la nivelul organizaiei.
Securitatea
Tehnologiile importante care acoper componenta de securitate a unei reele VPN sunt: controlul accesului pentru garantarea securitii conexiunilor din reea, criptarea, pentru protejarea confidenialitii datelor, autentificarea, pentru a verifica identitatea utilizatorului, ca i integritatea datelor.
Controlul traficului
O a dou component critic n implementarea unei reele VPN este dat de controlul traficului, realizat pentru un scop simplu i clar: garantarea fiabilitii, calitii serviciilor i a unor performane optime n ceea ce privete ratele de transfer. Comunicaiile n Internet pot duce la apariia unor zone de congestie, impropii unor aplicaii critice n domenniul afacerilor. Alternativa este dat de stabilirea unor prioriti de rutare a traficului, astfel nct transferul datelor s fie realizat cu fiabilitate maxim.
In Place Transmision Mode (Modul de Transmisie In-place) - este de obicei o soluie specific unui anumit productor, n care doar datele sunt criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele de transport nu sunt afectate. Transport Mode (modul transport) - doar segmentul de date este criptat, deci mrimea pachetului va crete. Acest mod ofer o confidenialitate adecvat a datelor pentru reele VPN de tip nod-la-nod. Encrypted Tunnel Mode (modul tunel criptat) - informaia din antetul IP i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele terminale ale VPN. Se asigur o confidenialitate global a datelor. Non-encrypted Tunnel Mode (modul tunel necriptat) - nici o component nu este criptat, toate datele sunt transportate n text clar. Nu se ofer nici un mijloc de asigurare a confidenialitii datelor.
Metode de realizare a soluiilor VPN O soluie VPN bazat pe Internet este alctuit din patru componente principale: 1. Internet-ul, 2. porile de securitate(gateways), 3. politicile de securitate ale server-ului, i 4. autoritaile de certificare
Internet-ul furnizeaz mediul de transmitere. Porile de securitate stau ntre reeaua public i reeaua privat, mpiedicnd intruziunile neautorizate n reeaua privata. Ele, deasemenea, dispun de capaciti de tunelare i criptare a datelor nainte de a fi transmise n reeaua public. In general, o poart de securitate se ncadreaz n una din urmatoarele categorii: routere, firewall, dispozitive dedicate VPN harware i software.
Router trebuie s examineze i s proceseze fiecare pachet care parsete reeaua, deci trebuie s aib i funcia de criptare a pachetelor. Comerciantii de routere dedicate VPN, de obicei ofer dou tipuri de produse: ori cu un suport software pentru criptare, ori cu un circuit adiional echipat cu un co-procesor care se ocup strict de criptarea datelor. Exemple:
Internet
10
Din punct de vedere al performanelor, soluia bazat pe routere este cea mai bun dar implic un consum foarte mare de resurse, att din punct de vedere financiar ct i din punct de vedere al resurselor umane, fiind necesari specialiti n securitatea reelelor pentru a configura i ntreine astfel de echipamente. Este o soluie potrivit pentru companiile mari, care au nevoie de un volum foarte mare de trafic i de un grad sporit de securitate
Firewall
Asemeni router-elor, firewall-urile trebuie s proceseze tot traficul IP. Combinaia dintre tunelare, criptare i firewall reprezint probabil soluia cea mai bun pentru companiile mici, cu volum mic de trafic. Folosirea firewall-urilor pentru crearea de VPN reprezint o soluie viabil, ndeosebi pentru companiile de dimensiuni mici, ce transfer o cantitate relativ mic de date(de ordinul 1-2 MB pe reeaua public).
11
3002
DSL
Concentrator VPN
Internet
Filiala
3002
12
Integrare, simplitate
Se simplific topologia reelei companiei private. De asemenea, prin aceeai conexiune se pot integra mai multe aplicaii: transfer de date, Voice over IP, Videoconferine.
13
Mobilitate
Angajaii mobili precum i partenerii de afaceri (distribuitori sau furnizori) se pot conecta la reeaua companiei ntr-un mod sigur, indiferent de locul n care se afl.
Securitate
Informaiile care circul prin VPN sunt protejate prin diferite tehnologii de securitate (criptare, autentificare, IPSec).
Scalabilitate
Afacerea companiei crete, deci apare o nevoie permanent de angajai mobili i conexiuni securizate cu partenerii strategici si distribuitorii.
14