Documente Academic
Documente Profesional
Documente Cultură
Text 25
Text 25
Ce înseamnă un VPN? Dacă se caută în presa de specialitate se vor găsi definiţii diferite
adaptate de producătorii şi de furnizorii de servicii pentru a se potrivi cât mai bine cu
produsul pe care îl oferă. Dar cum rămâne cu cel care doreşte să afle definiţia
acronimului? Din păcate o definiţie practică rămâne un lucru evaziv, fiecare are propriul
punct de vedere, va înţelege în felul său.
Scopul unui produs VPN este să realizeze reţele logice, independente de topologia reţelei
fizice. Aceasta este partea virtuală, grupuri de host-uri separate geografic pot interacţiona
şi pot fi administrate ca o singură reţea, extinzând dinamismul utilizatorului în reţeaua
LAN fără a-şi face griji de locaţia fizică. O astfel de reţea virtuală este privată dacă
accesul al ea este controlat. Această definiţie integrează o mare varietate de servicii de
transport, de la tradiţionalele reţele bazate pe Frame Relay şi ATM şi până la cele bazate
pe MPLS. Unii consideră partea privată ca fiind securizată, reţelele oferă
confidenţialitate, integritatea mesajelor şi autentificarea utilizatorilor şi a host-urilor.
Topologia unei reţele VPN este diferită de la caz la caz, în funcţie de necesităţi, dar ea
este construită pentru a servi una din cele trei funcţii principale:
Două reţele de tip LAN pot fi legate între ele securizat printr-o legătură punct la punct,
astfel legăturile dedicate WAN sunt înlocuite de o reţea publică cum ar fi infrastructura
unui ISP sau internetul.
Cu costuri puţine, se poate furniza acces securizat de la distanţă utilizatorilor mobili la
reţeaua corporaţiei prin intermediul infrastructurii internet.
Cele două topologii de mai sus pot furniza partenerilor de afaceri şi clienţilor acces la
reţelele externe şi la servicii ce pot îmbunătăţii relaţiile de afaceri.
Toate aceste aplicaţii VPN pot fi oferite de un furnizor de servicii comerciale, fie el un
ISP (Internet Service Provider) local, unul de nivel unu sau un furnizor specializat în
soluţii de management securizat.
Tunelurile VPN trebuie să asigure trei condiţii de securitate: autentificare, pentru a se
asigura identitatea celor două extremităţi ale tunelului, criptare, pentru a se preveni furtul
de informaţii transmise prin tunel şi integritate, pentru a nu se înlocui informaţia
transmisă.
Tunelurile pot exista la nivele de protocol diferite:
Tuneluri de nivel 2 pot realiza legături punct la punct (PPP - point to point). Serverul
unui ISP interceptează conexiunea PPP a utilizatorului unei firme, după care va fi
transmisă mai departe printr-un tunel la reţeaua firmei. Sunt 2 protocoale populare pentru
acest tip de VPN. PPTP (Point to Point Tunnel Protocol) realizează o conexiune
autentificată şi criptată de pe staţiile Windows la un server de acces. Conform
standardului IETF L2TP (Layer 2 Tunneling Protocol) creează tuneluri autentificate, dar
nu asigură integritatea şi confidenţialitatea conexiunii. Pentru a realiza acest lucru trebuie
combinat cu IPsec.
Tunelurile de nivel 3 realizează conexiuni IP virtuale. Pachete IP vor fi rutate prin
capetele tunelurilor, unde sunt încapsulate în headere conform standardului IETF, pentru
a se asigura integritatea şi confidenţialitatea informaţiilor. Aceste extensii ale
protocolului IP (IPsec - IP Security) împreuna cu IKE (Internet Key Exchange) pot fi
folosite împreună cu numere şi algorimi de criptare şi autentificare (de exemplu: MD5,
SHA1, DES, 3DES). În legături punct la punct la capetele tunelului se găsesc routere ce
suportă IPsec. În spatele acestor rutere se vor găsi LAN-uri interconectate, structura pe
care se realizează VPN-ul va fi transparenta pentru ele. Pentru accesul de la distanţă
utilizatorii se vor conecta la un punct de acces pentru a se conecta la reţeaua privată a
firmei. Acest punct de acces este tot un router ce suportă IPsec.
Dacă este nevoie de securizarea doar a unei anumite informaţii, cum ar fi serviciul de e-
mail, sau cel de web se poate considera o altă alternativă. Secure Shell (SSH) este un
utilitar folosit de obicei pentru administrarea de la distanţă a serverelor. Acesta însă poate
transmite şi protocoale de aplicaţii în cadrul unei conexiuni client-server. De exemplu
poate transmite pachete din cadrul unei conexiuni POP si SMTP la un server de mail pe
care ruleaza si SSH.
O alternativă omniprezentă este SSL (Secure Sockets Layer). SSL este suportat de orice
browser, astfel protocolul http este securizat fără a fi nevoie de instalarea unui software
client. Mai mult, pentru SSL sa creat un standard IETF, numut TLS (Transport Layer
Security), care securizează si protocoalele POP, SMTP, IMAP şi TELNET.
Autentificarea se face pe bază de certificate, după care în unele cazuri se face si pe bază
de utilizator şi parolă.