Reea virtual privat (VPN)

Virtual Private Network

-

o reea virtual privat (VPN) este o reea a companiei

implementat pe o infrastructur comun, folosind aceleai
politici de securitate, management i performan care se
aplic de obicei ntr-o reea public.

Soluii VPN
-

exist trei posibiliti de realiza un VPN :

Access VPN permite conectarea individual (utilizatori mobili)

sau a unor birouri la sediul central al unei firme, aceasta
realizndu-se n cele mai sigure condiii.
Intranet VPN permite conectarea diferitelor sedii ale unei firme
folosind legturi dedicate. Diferena fat de Access VPN const n
faptul c se folosesc legturi dedicate cu rata de transfer garantat,
fapt care permite asigurarea unei foarte bune calitai a transmisiei
pe lng securitate i band mai larg.
Extranet VPN este folosit pentru a lega diferii clieni sau
parteneri de afaceri la sediul central al unei firme folosind linii
dedicate, conexiuni partajate, securitate maxim.

Remote Access VPN (Acces de la distan)

Exist doua tipuri de conexini VPN de acest fel: conexiune
iniiat de client i conexiune iniiat de server.
Conexiune iniiata de client .
Clienii care vor s se conecteze la site-ul firmei trebuie s aib
instalat un client de VPN, acesta asigurndu-le criptarea datelor ntre
computerul lor i sediul ISP-ului. Mai departe conexiunea cu sediul firmei se
face de asemenea n mod criptat, n concluzie ntregul circuit al informaiei
se face n mod criptat. Trebuie precizat c n cazul acestui tip de VPN sunt
folosii o multitudine de clieni de VPN. Un exemplu este Cisco Secure VPN
dar i Windows NT sau 2000 au integrat clieni de VPN. Urmtoarea
imagine schematizeaz acest tip de Access VPN :

Figura. Acces de la distan iniiat de client

Access VPN iniiat de serverul de acces

Este ceva mai simpl pentru c nu implic folosirea unui client de
VPN. Tunelul cripatat se realizeaz ntre server-ul de acces al ISP-ului i
sediul firmei la care se vrea logarea. ntre client i server-ul de acces
securitatea se bazeaz pe sigurana liniilor telefonice ( fapt care uneori poate
fi un dezavantaj ).

Acces de la distan iniiat de server-ul de acces

Intranet VPN
-

Permite realizarea unei reele interne complet sigur pentru o firm.

Permite realizarea unor medii client-server foarte performante prin
utilizarea conexiunilor dedicate care pot s ating rate de transfer
foarte bune ( E1) limita fiind determinat de suma pe care firma
respectiv este dispus s o investeasc n infrastructura sa
informaional .

Arhitectura aceasta utilizeaz dou routere la cele dou capete ale

conexiunii, ntre acestea realizndu-se un tunel criptat. n acest caz nu mai
este necesar folosirea unui client de VPN ci folosirea IPSec. IPSec (IP
Security Protocol) este un protocol standardizat de nivel 3 care asigur
autentificarea, confidenialitatea i integritatea transferului de date ntre o
pereche de echipamente care comunic. Folosete ceea ce se numete
Internet Key Exchange ( IKE ) care necesit introducerea la ambele capete
ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea
reciproc.
Schematic conexiunea arat :

Figura. Intranet VPN

Extranet VPN
Acest tip de VPN seamn cu precedentul cu deosebirea c extinde
limitele intranetului permind legarea la sediul corporaiei a unor parteneri
de afaceri , clieni etc.; acest tip permite accesul unor utilizatori care nu fac
parte din structura firmei. Pentru a permite acest lucru se folosesc certificate
digitale care permit ulterior realizarea unor tunele criptate .Certificatele
digitale sunt furnizate de o autoritate care are ca activitate acest lucru.

Figura. Extranet VPN

Securitate i VPN
Reelele private virtuale sunt un produs derivat al clasei de elemente
de securitate ale unei reele.
Clientul acceseaz Internetul prin dial-up ctre un ISP, dup care
stabilete un tunel autentificat i criptat ntre el i firewall-ul din intranetul
accesat.

Figura Firewall

O soluie complet pentru realizarea unei reele VPN necesit

mbinarea a trei componente tehnologice critice: securitatea,
controlul traficului i administrarea la nivelul organizaiei.

Securitatea
Tehnologiile importante care acoper componenta de securitate a unei
reele VPN sunt: controlul accesului pentru garantarea securitii
conexiunilor din reea, criptarea, pentru protejarea confidenialitii datelor,
autentificarea, pentru a verifica identitatea utilizatorului, ca i integritatea
datelor.

Controlul traficului
O a dou component critic n implementarea unei reele VPN este
dat de controlul traficului, realizat pentru un scop simplu i clar: garantarea
fiabilitii, calitii serviciilor i a unor performane optime n ceea ce
privete ratele de transfer. Comunicaiile n Internet pot duce la apariia unor
zone de congestie, impropii unor aplicaii critice n domenniul afacerilor.
Alternativa este dat de stabilirea unor prioriti de rutare a traficului, astfel
nct transferul datelor s fie realizat cu fiabilitate maxim.

Administrarea la nivelul organizaiei

Ultima component critic este dedicat garantrii unei intergrri
complete a reelei VPN n politica de securitate global, unei administrri
centralizate (fie de la o consol local, fie de la una la distan) i unei
scalabilti a soluiei alese.

Tehnici de realizare a reelelor VPN

-

patru moduri de transmisie ntlnite n soluiile VPN:

In Place Transmision Mode (Modul de Transmisie In-place) - este de

obicei o soluie specific unui anumit productor, n care doar datele sunt
criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele
de transport nu sunt afectate.
Transport Mode (modul transport) - doar segmentul de date este criptat,
deci mrimea pachetului va crete. Acest mod ofer o confidenialitate
adecvat a datelor pentru reele VPN de tip nod-la-nod.
Encrypted Tunnel Mode (modul tunel criptat) - informaia din antetul IP
i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele
terminale ale VPN. Se asigur o confidenialitate global a datelor.
Non-encrypted Tunnel Mode (modul tunel necriptat) - nici o
component nu este criptat, toate datele sunt transportate n text clar. Nu se
ofer nici un mijloc de asigurare a confidenialitii datelor.

Metode de realizare a soluiilor VPN

O soluie VPN bazat pe Internet este alctuit din patru
componente principale:
1. Internet-ul,
2. porile de securitate(gateways),
3. politicile de securitate ale server-ului, i
4. autoritaile de certificare

Internet-ul furnizeaz mediul de transmitere.

Porile de securitate stau ntre reeaua public i reeaua privat,
mpiedicnd intruziunile neautorizate n reeaua privata. Ele, deasemenea,
dispun de capaciti de tunelare i criptare a datelor nainte de a fi transmise
n reeaua public. In general, o poart de securitate se ncadreaz n una din
urmatoarele categorii: routere, firewall, dispozitive dedicate VPN harware i
software.

Router trebuie s examineze i s proceseze fiecare pachet care

parsete reeaua, deci trebuie s aib i funcia de criptare a pachetelor.
Comerciantii de routere dedicate VPN, de obicei ofer dou tipuri de
produse: ori cu un suport software pentru criptare, ori cu un circuit adiional
echipat cu un co-procesor care se ocup strict de criptarea datelor.
Exemple:

Cisco 3660 Series

Cisco 1710 Series

Cisco 3620 Series

Figura. Routere folosite la VPN

Filiala

Biroul de acasa
Sediul central

Internet

Figura . Soluie VPN bazat pe routere

10

Din punct de vedere al performanelor, soluia bazat pe routere este

cea mai bun dar implic un consum foarte mare de resurse, att din punct
de vedere financiar ct i din punct de vedere al resurselor umane, fiind
necesari specialiti n securitatea reelelor pentru a configura i ntreine
astfel de echipamente.
Este o soluie potrivit pentru companiile mari, care au nevoie de un
volum foarte mare de trafic i de un grad sporit de securitate

Firewall
Asemeni router-elor, firewall-urile trebuie s proceseze tot traficul IP.
Combinaia dintre tunelare, criptare i firewall reprezint probabil
soluia cea mai bun pentru companiile mici, cu volum mic de trafic.
Folosirea firewall-urilor pentru crearea de VPN reprezint o soluie viabil,
ndeosebi pentru companiile de dimensiuni mici, ce transfer o cantitate
relativ mic de date(de ordinul 1-2 MB pe reeaua public).

Figura. Firewall cu VPN integrat

11

Echipamente harware dedicate

-

proiectate s ndeplineasc sarcinile de tunelare, criptare i

autentificarea utilizatorilor. Aceste echipamente operez de
obicei ca nite puni de criptare care sunt amplasate ntre
router-ele reelei i legatura WAN( legatura cu reeaua
public). Dei aceste echipamente sunt proiectate pentru
configuraiile LAN-to-LAN, unele dintre ele suport i
tunelare pentru cazul client-to-LAN.

Utilizator

3002
Cable Modem
Filiala

3002

DSL

Concentrator VPN

Internet

Filiala

3002

Figura. Client harware VPN

12

Soluii software dedicate

Componente software VPN sunt disponibile pentru creearea i
ntreinerea de tuneluri, fie ntre dou pori de securitate, fie ntre un client i
o poarta de securitate. Aceste sisteme sunt agreeate datorit costurilor reduse
i sunt folosite pentru companiile mici, care nu au nevoie s procesese o
cantitate prea mare de date. Aceste soluii pot rula pe servere existente,
mprind astfel resursele cu acestea.
Reprezint soluia cea mai potrivit pentru conexiunile de tipul clientto-LAN. Practic, se instaleaz o aplicaie software pe calculatorul clientului
care stabilete conexiunea cu serverul VPN.

Principalele avantaje ale reelelor virtuale private

Reducerea costurilor
Reelele private virtuale sunt mult mai ieftine dect reelele private
proprietare ale companiilor. Se reduc costurile de operare a reelei (linii
nchiriate, echipamente, administratori reea).

Integrare, simplitate
Se simplific topologia reelei companiei private. De asemenea, prin
aceeai conexiune se pot integra mai multe aplicaii: transfer de date, Voice
over IP, Videoconferine.

13

 Mobilitate
Angajaii mobili precum i partenerii de afaceri (distribuitori sau
furnizori) se pot conecta la reeaua companiei ntr-un mod sigur, indiferent
de locul n care se afl.

Securitate
Informaiile care circul prin VPN sunt protejate prin diferite tehnologii
de securitate (criptare, autentificare, IPSec).

Oportuniti, comert electronic

Se pot implementa noi modele de business (business-to-business,
business-to-consumer, electronic commerce) care aduc venituri suplimentare
pentru companie.

Scalabilitate
Afacerea companiei crete, deci apare o nevoie permanent de angajai
mobili i conexiuni securizate cu partenerii strategici si distribuitorii.

14