Virtuellt privat nätverk - Virtual private network

Ett virtuellt privat nätverk ( VPN ) utökar ett privat nätverk över ett offentligt nätverk och gör det möjligt för användare att skicka och ta emot data över delade eller offentliga nätverk som om deras beräkningsenheter var direkt anslutna till det privata nätverket. Fördelarna med ett VPN inkluderar ökade funktioner, säkerhet och hantering av det privata nätverket. Den ger tillgång till resurser som är otillgängliga i det offentliga nätverket och används vanligtvis för telearbetsarbetare . Kryptering är vanlig, men inte en inneboende del av en VPN -anslutning.

En VPN skapas genom att upprätta en virtuell punkt-till-punkt- anslutning genom användning av dedikerade kretsar eller med tunnelprotokoll över befintliga nätverk. En VPN tillgänglig från det offentliga Internet kan ge några av fördelarna med ett WAN ( wide area network ). Ur ett användarperspektiv kan de resurser som finns tillgängliga inom det privata nätverket nås på distans.

Typer

VPN -klassificeringsträd baserat på topologin först, sedan på den teknik som används.

Översikt över VPN-anslutning, som visar intranät-till-plats- och fjärrarbete-konfigurationer som används tillsammans

Virtuella privata nätverk kan klassificeras i flera kategorier:

Fjärranslutning

En värd-till-nätverkskonfiguration är analog med att ansluta en dator till ett lokalt nätverk. Denna typ ger åtkomst till ett företagsnätverk, till exempel ett intranät . Detta kan användas för telearbetare som behöver tillgång till privata resurser, eller för att ge en mobil arbetare tillgång till viktiga verktyg utan att exponera dem för det offentliga Internet.

Site-to-site

En plats-till-plats- konfiguration ansluter två nätverk. Denna konfiguration utökar ett nätverk över geografiskt olika kontor eller en grupp kontor till en datacenterinstallation. Den sammanlänkande länken kan köras över ett olikartat mellanliggande nätverk, till exempel två IPv6 -nätverk anslutna över ett IPv4 -nätverk.

Extranätbaserad plats-till-plats

I samband med plats-till-plats-konfigurationer används termerna intranät och extranät för att beskriva två olika användningsfall. Ett intranät från plats till plats-VPN beskriver en konfiguration där de platser som är anslutna av VPN tillhör samma organisation, medan en extranät- plats-till-plats-VPN ansluter till webbplatser som tillhör flera organisationer.

Vanligtvis individer interagerar med fjärråtkomst VPN, medan företag tenderar att använda sig av plats till plats anslutningar för business-to-business , cloud computing och kontors scenarier. Trots detta är dessa tekniker inte ömsesidigt uteslutande och kan i ett betydande komplext affärsnätverk kombineras för att möjliggöra fjärråtkomst till resurser som finns på en given plats, till exempel ett beställningssystem som finns i ett datacenter.

VPN -system kan också klassificeras av:

• tunnelprotokollet som används för att tunnelera trafiken
• tunnelns avslutningspunkten plats, exempelvis på kundens kanten eller nätverksleverantör kanten
• typen av topologi för anslutningar, till exempel plats-till-plats eller nätverk-till-nätverk
• säkerhetsnivåerna
• den OSI-skikt de presenterar till förbindelsenätet, såsom Layer 2 kretsar eller Layer 3 nätverksanslutning
• antalet samtidiga anslutningar

Säkerhetsmekanismer

VPN kan inte göra online -anslutningar helt anonyma, men de kan vanligtvis öka integriteten och säkerheten. För att förhindra avslöjande av privat information tillåter VPN vanligtvis endast autentiserad fjärråtkomst med hjälp av tunnelprotokoll och krypteringstekniker .

VPN -säkerhetsmodellen ger:

• konfidentialitet så att även om nätverkstrafiken snusas på paketnivå (se nätverkssniffer och djup paketinspektion ) skulle en angripare bara se krypterad data
• avsändare autentisering för att förhindra obehöriga användare från att komma åt VPN
• meddelandeintegritet för att upptäcka eventuella fall av manipulering av överförda meddelanden.

Livscykelfaserna för en IPSec -tunnel i ett virtuellt privat nätverk.

Säkra VPN -protokoll inkluderar följande:

• Internet Protocol Security ( IPsec ) utvecklades ursprungligen av Internet Engineering Task Force (IETF) för IPv6 , vilket krävdes i alla standardkompatibla implementeringar av IPv6 innan RFC  6434 endast gjorde det till en rekommendation. Detta standardbaserade säkerhetsprotokoll används också i stor utsträckning med IPv4 och Layer 2 Tunneling Protocol . Dess design uppfyller de flesta säkerhetsmål: tillgänglighet, integritet och sekretess . IPsec använder kryptering, inkapslar ett IP -paket inuti ett IPsec -paket. Avkapsling sker i slutet av tunneln, där det ursprungliga IP-paketet dekrypteras och vidarebefordras till dess avsedda destination.
• Transport Layer Security ( SSL/TLS ) kan tunnelera ett helt nätverks trafik (som det gör i OpenVPN -projektet och SoftEther VPN -projektet) eller säkra en individuell anslutning. Ett antal leverantörer tillhandahåller VPN-funktioner för fjärråtkomst via SSL. En SSL VPN kan ansluta från platser där IPsec stöter på problem med nätverksadressöversättning och brandväggsregler.
• Datagram Transport Layer Security ( DTLS ) - används i Cisco AnyConnect VPN och i OpenConnect VPN för att lösa de problem SSL/TLS har med tunnling över TCP (tunnelering av TCP över TCP kan leda till stora förseningar och anslutningsavbrott).
• Microsoft Point-to-Point Encryption ( MPPE ) fungerar med Point-to-Point Tunneling Protocol och i flera kompatibla implementeringar på andra plattformar.
• Microsoft Secure Socket Tunneling Protocol ( SSTP ) tunnlar Point-to-Point Protocol (PPP) eller Layer 2 Tunneling Protocol-trafik via en SSL/TLS- kanal (SSTP introducerades i Windows Server 2008 och i Windows Vista Service Pack 1).
• Multi Path Virtual Private Network (MPVPN). Ragula Systems Development Company äger det registrerade varumärket "MPVPN".
• Secure Shell (SSH) VPN- OpenSSH erbjuder VPN-tunneling (skiljer sig från port vidarebefordran ) för att säkra fjärranslutningar till ett nätverk eller till länkar mellan nätverk. OpenSSH -servern tillhandahåller ett begränsat antal samtidiga tunnlar. Själva VPN -funktionen stöder inte personlig autentisering.
• WireGuard är ett protokoll. År 2020 lades WireGuard -stöd till både Linux- och Android -kärnorna, vilket öppnade det för användning av VPN -leverantörer. Som standard använder WireGuard Curve25519 för nyckelutbyte och ChaCha20 för kryptering, men inkluderar också möjligheten att i förväg dela en symmetrisk nyckel mellan klienten och servern.
• IKEv2 är en förkortning som står för Internet Key Exchange -volym 2. Den skapades av Microsoft och Cisco och används tillsammans med IPSec för kryptering och autentisering. Dess huvudsakliga användning är i mobila enheter, oavsett om det är 3G- eller 4G LTE -nätverk, eftersom det är effektivt att ansluta igen när en anslutning avbryts.

Autentisering

Tunnelslutpunkter måste autentiseras innan säkra VPN -tunnlar kan etableras. Användarskapade fjärråtkomst-VPN kan använda lösenord , biometri , tvåfaktorautentisering eller andra kryptografiska metoder. Tunnlar från nätverk till nätverk använder ofta lösenord eller digitala certifikat . De lagrar permanent nyckeln så att tunneln kan etablera sig automatiskt, utan ingripande från administratören.

Routing

Tunnelprotokoll kan fungera i en punkt-till-punkt- nätverkstopologi som teoretiskt sett inte skulle betraktas som en VPN eftersom en VPN per definition förväntas stödja godtyckliga och förändrade uppsättningar av nätverksnoder. Men eftersom de flesta routerimplementeringar stöder ett mjukvarudefinierat tunnelgränssnitt är kundanpassade VPN ofta helt enkelt definierade tunnlar som kör konventionella routingprotokoll.

Provider-tillhandahållna VPN-byggstenar

Site-to-Site VPN-terminologi.

Beroende på om en VPN-leverantör (PPVPN) fungerar i lager 2 eller lager 3, kan byggstenarna som beskrivs nedan endast vara L2, endast L3 eller en kombination av båda. Multi-protocol label switching (MPLS) -funktionalitet suddar L2-L3-identiteten.

RFC  4026 generaliserade följande termer för att täcka L2 MPLS VPN och L3 (BGP) VPN, men de introducerades i RFC  2547 .

Kundenheter (C)

En enhet som finns i en kunds nätverk och inte är direkt ansluten till tjänsteleverantörens nätverk. C -enheter känner inte till VPN.

Customer Edge -enhet (CE)

En enhet i utkanten av kundens nätverk som ger åtkomst till PPVPN. Ibland är det bara en gränsdragning mellan leverantör och kundansvar. Andra leverantörer tillåter kunder att konfigurera det.

Provider edge device (PE)

En enhet eller uppsättning enheter i utkanten av leverantörsnätverket som ansluter till kundnätverk via CE -enheter och presenterar leverantörens syn på kundens webbplats. PE är medvetna om VPN: erna som ansluter via dem och upprätthåller VPN -tillståndet.

Leverantörsenhet (P)

En enhet som fungerar inuti leverantörens kärnnätverk och inte direkt gränsar till någon kund slutpunkt. Det kan till exempel ge routing för många leverantörsdrivna tunnlar som tillhör olika kunders PPVPN. Även om P-enheten är en viktig del i implementeringen av PPVPN, är den inte själv VPN-medveten och behåller inte VPN-tillståndet. Dess huvudsakliga roll är att låta tjänsteleverantören skala sina PPVPN -erbjudanden, till exempel genom att fungera som en aggregeringspunkt för flera PE. P-till-P-anslutningar, i en sådan roll, är ofta optiska länkar med hög kapacitet mellan större platser hos leverantörer.

Användarsynliga PPVPN-tjänster

OSI Layer 2 -tjänster

Virtuellt LAN

Virtuellt LAN (VLAN) är en Layer 2 -teknik som möjliggör samexistens av flera lokala nätverkssändningsdomäner (LAN) som är sammankopplade via trunks med hjälp av IEEE 802.1Q trunking -protokoll. Andra trunking-protokoll har använts men har blivit föråldrade, inklusive Inter-Switch Link (ISL), IEEE 802.10 (ursprungligen ett säkerhetsprotokoll men en delmängd introducerades för trunking) och ATM LAN Emulation (LANE).

Virtuell privat LAN -tjänst (VPLS)

Virtuella LAN (VLAN), som utvecklats av Institute of Electrical and Electronics Engineers , gör att flera taggade LAN kan dela gemensamma trunking. VLAN omfattar ofta endast kundägda anläggningar. Medan VPLS som beskrivs i ovanstående avsnitt (OSI Layer 1-tjänster) stöder emulering av både punkt-till-punkt och punkt-till-multipunkt-topologier, utvidgar metoden som diskuteras här Layer 2-tekniker som 802.1d och 802.1q LAN-trunking för att köra över transporter som Metro Ethernet .

Som det används i detta sammanhang är en VPLS ett Layer 2 PPVPN som efterliknar hela funktionaliteten hos ett traditionellt LAN. Från en användares synvinkel gör en VPLS det möjligt att koppla ihop flera LAN-segment över en paketväxlad eller optisk leverantörskärna, en kärna som är transparent för användaren, vilket gör att fjärranslutna LAN-segment beter sig som ett enda LAN.

I en VPLS emulerar leverantörsnätverket en inlärningsbro, som eventuellt kan inkludera VLAN -tjänst.

Pseudotråd (PW)

PW liknar VPLS, men det kan tillhandahålla olika L2 -protokoll i båda ändar. Vanligtvis är dess gränssnitt ett WAN -protokoll, till exempel asynkron överföringsläge eller ramrelä . Däremot, när man försöker ge utseendet på ett LAN som är sammanhängande mellan två eller flera platser, skulle Virtual Private LAN -tjänsten eller IPLS vara lämplig.

Ethernet över IP -tunnel

EtherIP ( RFC  3378 ) är en Ethernet över IP -tunnelsprotokollspecifikation. EtherIP har bara paketinkapslingsmekanism. Det har ingen sekretess eller skydd för meddelandeintegritet. EtherIP introducerades i FreeBSD -nätverksstacken och SoftEther VPN -serverprogram .

IP-only LAN-like service (IPLS)

En delmängd av VPLS, CE -enheterna måste ha lager 3 -funktioner; IPLS presenterar paket snarare än ramar. Det kan stödja IPv4 eller IPv6.

OSI Layer 3 PPVPN -arkitekturer

Det här avsnittet diskuterar huvudarkitekturerna för PPVPN, en där PE disambiguerar dubblettadresser i en enda routinginstans, och den andra, virtuella routern, där PE innehåller en virtuell routerinstans per VPN. Den tidigare metoden och dess varianter har fått mest uppmärksamhet.

En av utmaningarna för PPVPN innebär att olika kunder använder samma adressutrymme, särskilt IPv4 privata adressutrymme. Leverantören måste kunna avgränsa överlappande adresser i flera kunders PPVPN: er.

BGP/MPLS PPVPN

I metoden som definieras av RFC  2547 annonserar BGP-tillägg rutter i IPv4 VPN-adressfamiljen, som har formen av 12-bytes strängar, som börjar med en 8-bytes ruttavgränsare (RD) och slutar med en 4-byte IPv4-adress . RD: er avgränsar annars dubblettadresser i samma PE.

PE förstår topologin för varje VPN, som är sammankopplade med MPLS -tunnlar antingen direkt eller via P -routrar. I MPLS -terminologi är P -routrarna Label Switch Routers utan medvetenhet om VPN: er.

Virtuell router PPVPN

Den virtuella routerarkitekturen, till skillnad från BGP/MPLS -tekniker, kräver ingen modifiering av befintliga routingprotokoll som BGP. Genom att tillhandahålla logiskt oberoende routingdomäner är kunden som driver ett VPN helt ansvarig för adressutrymmet. I de olika MPLS -tunnlarna disambigueras de olika PPVPN: erna med sin etikett men behöver inte routingskillnader.

Okrypterade tunnlar

Vissa virtuella nätverk använder tunnelprotokoll utan kryptering för att skydda dataskydd. Även om VPN ofta ger säkerhet, passar ett okrypterat överlagringsnätverk inte snyggt in i den säkra eller betrodda kategoriseringen. Till exempel är en tunnel mellan två värdar med Generic Routing Encapsulation (GRE) ett virtuellt privat nätverk men är varken säkert eller pålitligt.

Native plaintext tunneling protocols include Layer 2 Tunneling Protocol (L2TP) when it is set up without IPsec and Point-to-Point Tunneling Protocol (PPTP) or Microsoft Point-to-Point Encryption (MPPE).

Betrodda leveransnätverk

Betrodda VPN använder inte kryptografisk tunnel; istället förlitar de sig på säkerheten i en enda leverantörs nätverk för att skydda trafiken.

• Multi-Protocol Label Switching (MPLS) överlagrar ofta VPN: er, ofta med kvalitetskontroll över ett betrodt leveransnätverk.
• L2TP som är en standardbaserad ersättning och en kompromiss som tar de goda funktionerna från varje, för två proprietära VPN-protokoll: Ciscos Layer 2 Forwarding (L2F) (föråldrad från 2009) och Microsofts Point-to-Point Tunneling Protocol (PPTP) .

Ur säkerhetssynpunkt litar VPN antingen på det underliggande leveransnätverket eller måste genomdriva säkerheten med mekanismer i själva VPN: n. Om inte det pålitliga leveransnätverket bara körs bland fysiskt säkra webbplatser behöver både betrodda och säkra modeller en autentiseringsmekanism för att användare ska få åtkomst till VPN.

VPN i mobila miljöer

Mobila virtuella privata nätverk används i inställningar där en slutpunkt för VPN inte är fixerad till en enda IP-adress , utan istället vandrar över olika nätverk som datanät från mobiloperatörer eller mellan flera Wi-Fi- åtkomstpunkter utan att tappa den säkra VPN-sessionen eller förlorar ansökningssessioner. Mobila VPN används i stor utsträckning inom allmän säkerhet där de ger brottsbekämpande tjänstemän tillgång till applikationer som datorassisterad utsändning och kriminella databaser och i andra organisationer med liknande krav som fälttjänsthantering och sjukvård.

Nätverksbegränsningar

En begränsning av traditionella VPN är att de är punkt-till-punkt-anslutningar och inte tenderar att stödja sändningsdomäner ; därför, kommunikation, mjukvara, och nätverkande, som är baserade på skikt 2 och broadcast -paket , såsom NetBIOS som används i Windows-nätverk , kanske inte fullt stöd som På en lokalt nätverk . Varianter på VPN som Virtual Private LAN Service (VPLS) och lager 2 -tunnelprotokoll är utformade för att övervinna denna begränsning.

Se även

• Anonymizer
• Dynamiskt multipunkt virtuellt privat nätverk
• Ethernet VPN
• Sekretess på internet
• Förmedlat VPN
• Opportunistisk kryptering
• Delad tunnel
• Virtuell privat server
• VPN -tjänst

Referenser

Vidare läsning

• Kelly, Sean (augusti 2001). "Nödvändigheten är moder till VPN -uppfinningen" . Kommunikationsnyheter : 26–28. ISSN  0010-3632 . Arkiverad från originalet den 17 december 2001.