Documente Academic
Documente Profesional
Documente Cultură
privat peste o reea public, precum internetul. Permite unui calculator sau unui dispozitiv ce
poate fi conectat la reea s trimit i s primeasc date peste reele publice sau comune ca i
cum ar fi conectat la reeaua privat, beneficiind n acelai timp de func ionalitatea, securitatea i
politicile reelei publice.[1]
Mesajele din traficul de tip VPN pot fi transmise prin intermediul infrastructurii unei re ele publice
de date (ex: Internet) folosind protocoalele standard, sau prin intermediul unei reele private a
furnizorului de servicii Internet (ISP), pus la dispoziie publicului.
Aceste tipuri de conexiuni ofer o alternativ cu cost redus, n compara ie cu re elele dedicate de
tip WAN private, oferind posibilitatea de conectare a comutatoarelor de telecomunicaii la re eaua
intern a unei companii prin cablu, xDSL, sau dial-up. Conexiunile VPN sunt uor de implementat
peste infrastructurile publice existente, i ofer o alternativ n comparaie cu reelele dedicate
private cum ar fi cele de tip Frame Relay sau ATM, care n general sunt mai scumpe.
Reelele VPN ofer mai multe avantaje: preuri redus pentru implementare / func ionare /
administrare / ntreinere, securitate informaional sporit (aproape ca la reelele private propriuzise, tradiionale), scalabilitate, acces simplificat i, n sfrit, compatibilitate cu re elele publice de
mare vitez.
Cuprins
[ascunde]
1Arhitectura VPN
2Tipuri de VPN
3Mecanisme de securitate
4Tunelare
7Mecanismul de autentificare
9Referine
10Bibliografie
11Legturi externe
12Vezi i
Pentru cei ce doresc s stabileasc o conexiune VPN, sunt disponibile mai multe metode (bazate
pe nivelele 2 i 3 din Modelul OSI), mpreun cu tehnologiile respective. Reeaua VPN poate fi
stabilit i administrat la sediul clientului, sau i de ctre furnizorul de servicii de telecomunica ii.
De asemenea, pentru a satisface cerine speciale, exist i posibilitatea de a combina mai multe
din aceste metode ntre ele.
Secure Sockets Layer / Transport Layer Security (SSL/TLS) - folosit ori pentru ntreaga
reea, precum n proiectul OpenVPN, ori pentru securizarea unui proxy web. A fost construit
de companii precum Aventail i Juniper care asigur accesul distant la capabilitile VPN.
Layer 2 Tunneling Protocol (L2TP), creat prin cooperarea ntre Microsoft i Cisco.
VPN-Q
Multi Path Virtual Private Network (MPVPN). MPVPN este marc nregistrat a companiei
Ragula Systems Development Company. Vezi Trademark Applications and Registrations
Retrieval (TARR).
Pe pia exist companii care asigur administrarea serverului VPN, serviciu oferit clien ilor lor
dac nu doresc s fac acest lucru ei nii. VPN-urile fiabile nu folosesc tunelele criptografice, n
schimb se bazeaz pe securitatea unui singur distribuitor al reelei care va asigura un trafic
protejat.
Multi-Protocol Label Switching (MPLS) este adesea folosit pentru construirea unui VPN
fiabil.
Layer 2 Forwarding (L2F), proiectat de Cisco.
Encapsularea generic
Generic Router Encapsulation (GRE) reprezint o metod de dirijare a pachetelor IP care sunt
nerutabile. De asemenea se poate folosi i pentru rutarea pachetelor multicast peste reele
incompatibile. GRE poate ruta pachete non-IP (cum ar fi AppleTalk, Internetwork Packet
Exchange sau IPX) peste reele IP.
Descrierea imaginii "Encapsulare generic"
Autentificarea "slab" folosete doar una din categoriile de mai sus, iar cele "puternice"
presupun combinarea a cel puin dou din categoriile prezentate mai sus. Cu toate acestea
nu exist o metod absolut sigur de protecie a siguranei.
VPN este o modalitate eficient din punct de vedere al costurilor pentru ca diferite companii
s poat asigura accesul la reeaua companiei pentru angajaii i colaboratorii afla i la
distan de sediul central, i pentru a permite confidenialitatea datelor schimbate ntre
punctele de lucru aflate la distan.
De obicei, ntre calculatorul client al utilizatorului/angajatului, aflat la deprtare, i re eaua la
care acesta este conectat pentru a accesa resursele informaionale ale companiei, exist
un firewall. Programul client (sau sistemul client) al utilizatorului poate stabili o comunicare cu
firewall-ul, prin care va putea trasmite informaii de autentificare ctre un serviciu specializat.
Astfel, o persoan cunoscut, utiliznd uneori numai dispozitive cunoscute, poate ob ine
privilegiile de securitate care i permit accesul la resursele companiei, blocate pentru ceilal i
utilizatori din Internet.
Multe din programele client ale unei reele VPN pot fi configurate in aa fel nct, pe toat
durata unei conexiuni VPN active, ele s cear trecerea ntregului trafic IP printr-un a anumit tunel, sporind astfel sigurana conexiunii. Din perspectiva utilizatorului, acest lucru
nseamn c atta vreme ct conexiunea VPN e activ, accesul din afara reelei sigure va
trebui s treac prin acelai firewall, ca i cum utilizatorul ar fi conectat n interiorul re elei
sigure. Acest fapt reduce riscul unei accesri din partea unui atacator. O astfel de securizare
e important deoarece alte calculatoare conectate local la reeaua clientului pot fi nefiabile
sau fiabile doar parial. Chiar i o reea restrns protejat de un firewall, avnd mai mul i
clieni conectai simultan fiecare la cte un VPN, va putea astfel asigura protejarea datelor,
chiar dac reeaua local este infectat de virui.
Dac, pentru a se conecta la reeaua companiei, angaja ii trebuie s foloseasc un program
client VPN dintr-un punct de acces Wi-Fi ntr-un loc public, aceast securizare devine i mai
important.
Oferi un return on investment (ROI) mai rapid dect liniile tradiionale WAN, fie proprietare
sau nchiriate.
Prezenta o scalabilitate sporit, cnd este folosit n cadrul unei infrastructuri cu cheie
public.
Avnd n vedere faptul c VPN-urile sunt extinderi ale reelei centrale (de baz), exist unele
implicaii de securitate care trebuiesc luate n considerare cu mult atenie:
Securitatea pe partea clientului trebuie s fie ntrit. Acest procedeu poart numele de
Central Client Administration sau Security Policy Enforcement. Adeseori companiile cer
angajailor care doresc s foloseasc VPN-ul n afara serviciului s i instaleze n
prealabil un firewall oficial. Unele organizaii care gestioneaz date importante, precum
sunt cele din domeniul sntii, au grij ca angajaii s dispun de dou conexiuni WAN
separate: una pentru gestionarea datelor sensibile, i a doua pentru alte interese.
Politicile de jurnalizare trebuie evaluate din nou i n cele mai multe cazuri revizuite.
O singur scurgere de informaii nedorit poate duce la compromiterea securit ii unei re ele.
n cazul n care un individ sau o companie are obligaii legale privind protejarea datelor
confideniale, pot rezulta probleme legale chiar cu rspundere penal. Servesc ca exemple
reglementrile HIPAA adoptate n SUA n domeniul sntii, precum i reglementrile pe
plan general ale UE.
^ Mason, Andrew G. (2002). Cisco Secure Virtual Private Network. Cisco Press. p. 7
2.
Doherty, Jim: Cisco networking simplified / Jim Doherty, Neil Anderson, Paul Della
Maggiora. -- 2nd ed., ISBN 978-1-58720-199-8
VPN-Forum
ZeroShell a small Linux distribution which is able to act as VPN box for LAN-to-LAN and
host-to-LAN VPNs