VPN

Allikas: Traadita Wiki by Jan & Co.

Mis on VPN ?

VPN (virtual private network) on põhimõtteliselt privaat võrk, mis kasutab interneti et luua turvakanal kahe üksteisest eemal asetseva osapoole vahel. VPN Turvakanaleid on kolme sorti:

  • Sissepääsu-VPN (ing. Remote-access): turvakanalite abil tagatakse juurdepääs firma sisevõrku väljastpoolt kas sissehelistamise, ADSL-püsiühenduse, raadiovõrgu, GPRSi või juhtmega võrgu kaudu. Enamasti firmadel, kelle on palju mobiilseid töötajaid.
  • Intraneti VPN: see turvakanal on peamiselt suuremate ettevõtete jaoks ja on mõeldud firma osakondade ühendamiseks turvakanali abil ühtsesse võrku peakontoriga.
  • Ekstraneti-VPN: mõeldud klientide ja partnerite turvalise ühenduse tagamiseks firma arvutivõrgu neile mõeldud osadega.

Turvakanalid jagunevad tööpõhimõtte poolest veel omakorda kaheks:

1) Secure VPN turvakanal Selle puhul kasutatakse erinevaid krüpteerivaid tunneldamise protokolle (näiteks Ipsec, SSL/TLS, PPTP, L2TP ja L2TPv3 ) et tagada konfidentsiaalsus ja pakettide saatja autentsuse kindlakstegemist ning kontrollitakse teadete puutumatust, et tagada privaatsus

2) Trusted VPN turvakanal. Tänapäeval asutuste poolt kõige rohkem kasutatav Need ei kasuta krüpteerivat tunneldust, vaid toetuvad ühenduse pakkuja (ISP) võrgu turvalisusele et tagada kaitstus. Kõige levinum protokoll, mida kasutatakse trusted VPN loomiseks on MPLS (Multi-Protocol Label Switching). Teine mida kasutatakse on L2F (Layer 2 Forwarding).

Kollasega tähistatud ruuterid on teenusepakkuja kontrolli all ning läbi nende ei liigu tavaline interneti ühendus, vaid ainult VPN ühendused.


Kuidas luua VPN

VPNi lahendusi on võimalik realiseerida mitut moodi. Kõige odavam ja lihtsam võimalus on kasutada Windowsis leiduvaid protokolle. Selleks on Windows-operatsioonisüsteemi integreeritud Point-To-Point Tunneling Protocol (PPTP) ja Layer Two Tunneling Protocol (L2TP). Kuid selline lahendus ei ole just kõige turvalisem. Kas või juba sellepärast, et Windowsis endas on avastatud mitmeid turvaauke. Samuti on selline lahendus ebamugav, sest tarkvarapõhisel lahendusel tuleb iga võrgusolev arvuti eraldi konfigureerida. Lisaks tekitab tarkvaraline lahendus arvutiprotsessorile lisakoormust, vähendades arvuti tööjõudlust. Seepärast on soovitatav kasutada riistvarapõhiseid lahendusi, mis kasutavad kas Internet Protocol Security (IPSec) ja/või TripleDES krüpteerimist. Füüsiliseks realiseerimiseks läheb vaja kaht ruuterit, mis toetaksid VPNi ja eespool nimetatud krüpteerimist. Hästi sobivad selleks ZyXELi ZyWALL-seeria tooted. Need sisaldavad ka tulemüüri, muutes võrgu veelgi kindlamaks. Riistvaral põhinev lahendus näeb põhimõtteliselt välja järgmine. Peakontoris asub VPN-ruuter, mis võimaldab luua 10 ühendust ehk tunnelit (vajaduse korral ka rohkem, sõltuvalt võrgu suurusest). Kodukasutajatel käib võrku lülitumine läbi üht tunnelit võimaldava ruuteri. Mõlemad pooled on ühendatud internetiga ja nende ruuterite vahendusel luuakse privaatne krüpteeritud virtuaalvõrk, millele kõrvalised isikud ligi ei pääse. Seejuures peab peakontoris olema fikseeritud IP-aadressiga püsiühendus. Väljaspool peakontorit asuval kasutajal võib olla ka dünaamiline aadress, ent sellisel juhul saab ühenduse loojaks olla ainult kasutaja ise.

VPN ühenduse kasutuseks (PPTP protokolli puhul) peab olema aktiivne IP protokoll 47 (GRE) ja avatud TCP port 1723.

VPN kellele ja miks teda vaja on

Üldiselt on VPN-lahendus väga heaks võimaluseks igale ettevõttele, nii väikesele kui suurele, mille osakonnad või filiaalid asuvad peamajast eemal. VPN lubab ühendada kaugelasuvad töökohad ühtseks tervikuks. Sellega tagatakse parem kontroll ja juhtimine, millega on võimalik kiirendada toote arengut ja suurendad läbimüüki. VPN on kõvasti odavam kui hakata rajama eraldi liine, et ühendada firma osakonnad ja filiaalid peamajaga ning vahest ka võimatu, nt firma harukontorid asuvad erinevatel kontinentidel.


Kokkuvõtvalt, üks hea VPN võrk on firmale tulus kuna:

  • Suurendab geograafilist seotust
  • Väiksemad kulutused võrreldes traditsioonilise WAN’ga
  • Suurendab tootlikust
  • Lihtsustab võrgu topoloogiat
  • Võimaldab globaalset seotust
  • Võimaldab luua IP-telefonijaamu
  • Suurendab turvalisust, kus andmeliinid ei ole kodeeritud
  • Võimaldab lairiba ühendust
  • Hakkab kiiremini tootma tulu kui traditsiooniline WAN
  • Võimaldab hoida firmal kokku kontoriruumi rendi pealt, kuna osad töötajad saavad kodu töötada

VPNi poolt ja vastu

poolt

  • tagab andmeside turvalisuse kontorist eemal asuvate kasutajate jaoks
  • võimaldab ühendada harukontorite võrgud ühtseks sisevõrguks üle avaliku Interneti
  • turvalisus tagatakse kasutaja jaoks nähtamatult

vastu

  • nõuab lisakulutusi
  • aeglustab andmesidet, kuna salastamine nõuab aeglasemalt arvutilt rohkem protsessoriressurssi (tarkvarapõhine VPN)
  • muudab võrgu haldamise keerulisemaks


Lingid