Virtuaalsed privaatvõrgud: Difference between revisions
No edit summary |
|||
(55 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
=Ülevaade | =Ülevaade= | ||
Virtuaalne privaatvõrk (ingl.k Virtual Private Network, VPN) on sisuliselt süsteem kahest või rohkemast privaatsest võrgust, mis on ühendatud üle avaliku telekommunikatsiooni võrgu. VPN kasutab krüpteeringut ja autentimisprotokolle andmete turvaliseks üle kandmiseks ühendatud võrkude vahel. [1] | '''Virtuaalne privaatvõrk''' (ingl.k ''Virtual Private Network'', ''VPN'') on sisuliselt süsteem kahest või rohkemast privaatsest võrgust, mis on ühendatud üle avaliku telekommunikatsiooni võrgu. VPN kasutab krüpteeringut ja autentimisprotokolle andmete turvaliseks üle kandmiseks ühendatud võrkude vahel. [http://www.csupomona.edu/~ehelp/vpn/what_is_a_vpn.html 1] | ||
==Vajadus== | ==Vajadus== | ||
Avalikes võrkudes (nt. Internet) edastatakse andmeid sageli inimloetava avateksti (cleartext) kujul. Kuna andmed läbivad sageli mitmeid erinevaid võrke ning seadmeid, tuleb arvestada mitmete turvakaalutlustega. [2] | Avalikes võrkudes (nt. Internet) edastatakse andmeid sageli inimloetava avateksti (''cleartext'') kujul. Kuna andmed läbivad sageli mitmeid erinevaid võrke ning seadmeid, tuleb arvestada mitmete turvakaalutlustega. [http://whatis.techtarget.com/definition/0,,sid9_gci1206264,00.html 2] | ||
Üks lihtsamaid meetodeid arvutivõrkudesse sisse tungimiseks on varastada parool, mida kantakse üle avaliku võrgu vahendusel avateksti kujul. Antud ründe läbiviimiseks kasutatakse erinevaid sniffer rakendusi, mis on võimelised salvestama ja analüüsima võrguadapterit läbivaid andmeid. Lisaks paljudele legaalselt alla laetavatele sniffer rakendustele võib paroolide varastamiseks kasutada ka trooja hobustena tuntud kurivara. Toimiva kasutajanime ja parooliga varustatult võib ründaja kergelt süsteemi sisse logida ning üritada arvuti enda kontrolli alla haarata. Ebasündsate plaanidega isik, kes paigaldab snifferi kõrge hõivega võrgusuhtluse punkti või trooja hobuse populaarsesse veebiteenusesse, võib omandada ligipääsu tuhandetele arvutitele. [3] | Üks lihtsamaid meetodeid arvutivõrkudesse sisse tungimiseks on varastada parool, mida kantakse üle avaliku võrgu vahendusel avateksti kujul. Antud ründe läbiviimiseks kasutatakse erinevaid ''sniffer'' rakendusi, mis on võimelised salvestama ja analüüsima võrguadapterit läbivaid andmeid. Lisaks paljudele legaalselt alla laetavatele sniffer rakendustele võib paroolide varastamiseks kasutada ka ''trooja hobustena'' tuntud kurivara. Toimiva kasutajanime ja parooliga varustatult võib ründaja kergelt süsteemi sisse logida ning üritada arvuti enda kontrolli alla haarata. Ebasündsate plaanidega isik, kes paigaldab snifferi kõrge hõivega võrgusuhtluse punkti või trooja hobuse populaarsesse veebiteenusesse, võib omandada ligipääsu tuhandetele arvutitele. [https://docs.rice.edu/confluence/pages/viewpage.action?pageId=25173986 3] | ||
Sniffer rakendused suudavad salvestada ning analüüsida valdavat osa krüpteerimata võrguliiklust, sealhulgas e-maile, saadetavaid faile, VoIP vestlusi ning külastatavaid veebilehti. Kindlasti tuleks märkida, et snifferite kujul on tegu legaalsete tarkvaralahendustega võrkude haldamiseks ning turvamiseks. Seetõttu on neid väga kerge kuritahtlikul eesmärgil kasutusele võtta ning äärmiselt keerluline avastada, eriti juhtmevabades võrkudes. [4] | Sniffer rakendused suudavad salvestada ning analüüsida valdavat osa krüpteerimata võrguliiklust, sealhulgas e-maile, saadetavaid faile, VoIP vestlusi ning külastatavaid veebilehti. Kindlasti tuleks märkida, et snifferite kujul on tegu legaalsete tarkvaralahendustega võrkude haldamiseks ning turvamiseks. Seetõttu on neid väga kerge kuritahtlikul eesmärgil kasutusele võtta ning äärmiselt keerluline avastada, eriti juhtmevabades võrkudes. [http://www.spamlaws.com/how-packet-sniffers-work.html 4] | ||
==VPN lahenduse eelised== | ==VPN lahenduse eelised== | ||
Kasutajate või äripartnerite turvaline võrku ühendamine ning andmevahetus on paljude organisatsioonide jaoks äärmiselt oluline. | Kasutajate või äripartnerite turvaline võrku ühendamine ning andmevahetus on paljude organisatsioonide jaoks äärmiselt oluline. Mõningad VPN eelised on: [http://www.brighthub.com/computing/hardware/articles/62501.aspx 5] | ||
*Kuna VPN lahendused ei sõltu andmete edastamise protokollist, võib | *Kuna VPN lahendused ei sõltu andmete edastamise protokollist, võib andmeedastuseks kasutada erinevaid avalikke võrke. | ||
*VPN | *Andmete kindlustamiseks toetavad paljud VPN lahendused erinevaid krüpteerimis- ja autentimisprotokolle. | ||
*Kaugkasutajatel on võimalik kõikjalt organisatsiooni võrguga ühenduda. Ainsateks eeldusteks on vastava tarkvara, internetiühenduse ja VPN konto olemasolu. | *Kaugkasutajatel on võimalik kõikjalt organisatsiooni võrguga ühenduda. Ainsateks eeldusteks on vastava tarkvara, internetiühenduse ja VPN konto olemasolu. | ||
*VPN teenuseid on võimalik ka vastavatelt teenusepakkujatelt tellida. Eelnevalt tuleb siiski veenduda teenusepakkuja usaldusväärsuses. | *VPN teenuseid on võimalik ka vastavatelt teenusepakkujatelt tellida. Eelnevalt tuleb siiski veenduda teenusepakkuja usaldusväärsuses. | ||
Line 22: | Line 22: | ||
==Tunneli loomine== | ==Tunneli loomine== | ||
Virtuaalse privaatvõrgu kujul on on tegemist turvatud lahendusega andmete vahetuseks usaldatud osapoolte vahel, mis ei ole avatud avalikule liiklusele. Kaugkasutajad ja erinevad kasutuskohad on võimalik ühendada läbi privaatse tunneli.[ | Virtuaalse privaatvõrgu kujul on on tegemist turvatud lahendusega andmete vahetuseks usaldatud osapoolte vahel, mis ei ole avatud avalikule liiklusele. Kaugkasutajad ja erinevad kasutuskohad on võimalik ühendada läbi privaatse tunneli.[http://www.ehow.com/how-does_4926227_a-vpn-work.html 6] | ||
VPN tunneli puhul luuakse loogiline võrguühendus lõppseadmete vahel, mis ei pruugi füüsilises topoloogias üksteise kõrval paikneda. Selles ühenduses kapseldadakse vastavas VPN formaadis loodud võrgupaketid vajaliku baas- või transpordiprotokolli abil ning saadetakse VPN serverile. Kapseldus eemaldatakse sihtpunktis.[ | '''VPN tunneli''' puhul luuakse loogiline võrguühendus lõppseadmete vahel, mis ei pruugi füüsilises topoloogias üksteise kõrval paikneda. Selles ühenduses kapseldadakse vastavas VPN formaadis loodud võrgupaketid vajaliku baas- või transpordiprotokolli abil ning saadetakse VPN serverile. Kapseldus eemaldatakse sihtpunktis.[http://compnetworking.about.com/od/vpn/a/vpn_tunneling.htm 7] | ||
... | Mõningad protokollid VPN tunnelite loomiseks on: [http://www.comptechdoc.org/independent/networking/protocol/prottunnel.html 8] | ||
*'''IPsec''' (''Internet protocol security'') – arendatud IETF poolt ning rakendatud OSI mudeli võrgukihis (Network Layer). Tegemist on erinevate turvameetmete kogumikuga, mis kasutab erinevaid krüptograafilisi protokolle andmete konfidentsiaalsuse, terviklikkuse, autentimise ja võtmehalduse tagamiseks. | |||
*'''GRE''' (''Genaral Routing Encapsulation'', RFC 1702, RFC 2784) – Esialgu Cisco poolt välja töötatud protokoll, mis on võimeline kapseldama mitmete erinevate protokollide pakette. | |||
*'''PPTP''' (''Point-to-Point Tunneling Protocol'', RFC 2637) - toimib OSI mudeli andmeedastus kihis (Data Link Layer). Andmed kapseldatakse PPP (Point to Point Protocol) pakettidesse, mis omakorda kapseldatakse IP pakettidesse. PPTP toetab andmete krüpteerimist ja pakendamis ning kasutab GRE protokolli andmete edastamiseks. [http://compnetworking.about.com/od/vpn/l/aa030103a.htm 9] | |||
*'''L2F''' (''Layer2 Forwarding'') – toimib OSI mudeli andmeedastus kihis. L2F ei oma krüpteerimise võimalust ning on välja vahetatud L2TP poolt. | |||
*'''L2TP''' (''Layer2 Tunneling Protocol'', RFC 2661) - toimib OSI mudeli andmeedastus kihis, ühendab microsofti PPTP ja cisco L2F protokollide omadusi. | |||
==VPN liigid== | ==VPN liigid== | ||
===Tehnoloogia=== | |||
'''Usaldatud VPN''' (''trusted VPN'') tehnoloogia puhul edastatakse krüpteerimata andmeid läbi teenusepakkuja käest renditud püsiliini. Privaatsuse tagab teenusepakkuja lubadus, et läbi renditud kanali edastatakse vaid ühe kliendi andmeid. Seega oleneb andmete konfidentsiaalsus ja terviklikkus vaid teenusepakkuja diskreetsusest kliendi andmete vastu. | |||
*Üks tuntumaid protokolle usaldatud VPN lahenduste puhul on '''MPLS''' (''Multi-Protocol Label Switching'') | |||
'''Turvalise VPN''' (''secure VPN'') tehnoloogia puhul edastatakse krüpteeritud andmeid läbi avalike võrkude. Andmed krüpteeritakse päritolu seadmes või võrgu lüüsis ning krüpteering eemaldatakse vastavalt sihtkoha võrgulüüsis või lõppseadmes. Krüpteering käitub sihtpunktide vahelise tunnelina, isegi kui kolmas osapool ühendust jälgib, puudub neil võime andmeid lugeda ega muuta. | |||
Mõningad turvalise VPNi puhul kasutatavad protokollid on: | |||
*''IPsec'' koos krüpteeringuga | |||
*''L2TP'' IPsec sisse kapseldatuna | |||
*''SSL'' koos krüpteeringuga | |||
'''Hübriid VPN''' (''Hybrid VPN'') puhul on võimalik edastada krüpteeritud andmeid läbi renditud püsiliini. Kuna usaldatud ja turvalise VPNi kasutamine ei ole üksteist välistav, on hübriid VPN puhul tegemist antud tehnoloogiate paralleelse rakendamisega. <br> | |||
[http://www.vpnc.org/vpn-technologies.html 10] | |||
===Kasutus=== | |||
Kaks levinumat VPN kasutusliiki on ''Remote-Access VPN'' ja ''Site-to-Site VPN''. | |||
'''Sissepääsu VPN''' (''Remote-Access VPN''), vahel tuntud kui virtuaalne privaatne sissehelistamisvõrk (virtual private dial-up network, VPDN), on kasutaja ja kohtvõrgu vaheline ühendus mida kasutatakse organisatsioonides kaugkasutajate võrguga ühendamiseks. Sissepääsu VPN kasutab klient-server arhidektuuri, kus kaugkasutaja VPN klient omandab võrgu sissepääsuõigused läbi võrgu äärealas asuva VPN serveri. Kuna kaugkasutaja võrgusätestused ei ole sageli staatilised, vastutab VPN sessiooni algatamise eest kaugkasutaja seadmes paiknev VPN klient. [http://computer.howstuffworks.com/vpn2.htm 11] | |||
'''Site-to-Site''' lahenduse puhul paikneb ühendatud võrkude vahel staatiline VPN ühendus ning võrgusisesed lõppseadmed ei ole teadlikud VPN olemasolu kohta. VPN lüüs on vastutav TCP/IP pakettide kapseldamise ja krüpteerimise eest. Site-to-Site VPN jagub kaheks. [http://computer.howstuffworks.com/vpn3.htm 12] | |||
*''Intraneti VPN'': peamiselt suuremate ettevõtete jaoks ja on mõeldud firma osakondade ühendamiseks turvakanali abil ühtsesse võrku peakontoriga. | |||
*''Ekstraneti-VPN'': mõeldud klientide ja partnerite turvalise ühenduse tagamiseks firmade kohtvõrkude ühendamise abil. | |||
=VPN-i lahendused= | |||
Lahendused, mille abil virtuaalseid privaatvõrke luuakse, jagatakse üldiselt kaheks: tarkvaralised ja riistvaralised. Tarkvaraliste all mõeldakse universaalseid lahendusi, mida võib realiseerida erinevate riistvarade (arvutite) peal. Riistvaraliste VPN-ide realiseerimiseks on, nagu nimigi ütleb, vaja spetsiaalseid seadmeid (mille peal siiski jookseb tarkvara). | |||
==Tarkvaralised lahendused== | |||
Siinkohal toon ära mõned konkreetset tarkvaralised lahendused, mis on virtuaalsete privaatvõrkude loomisel populaarsed[14]. Igaüks neist erineb teistest mingil määral ning on suunatud erinevatele sihtgruppidele. | |||
===OpenVPN=== | |||
OpenVPN on tasuta ja avatud lähtekoodiga lahendus, mis võimaldab luua turvalisi ''remote access''- ja ''site-to-site''-tüüpi virtuaalseid privaatvõrke. Krüpteerimiseks kasutab OpenVPN SSL/TLS-protokolli ning teda levitatakse GNU GPL litsentsi all.[15] | |||
OpenVPN võimaldab võrgu otspunktidel üksteist autentida eelnevalt jagatud krüptograafilise võtme, sertifikaadi või kasutajanime ja parooli abil.[15] | |||
Rakendus on saadaval väga paljudele operatsioonisüsteemidele, nende hulgas Windows, Linux, Mac OS X.[15] | |||
Nii nii VPN-kliendi kui -serveri jaoks on üks tarkvarapakk, mis töötab soovitud režiimis vastavalt konfiguratsioonifailile.[15] | |||
OpenVPN kasutab vaikimisi UDP- ning kasutaja soovi korral ka TCP-protokolli. Lahendus toimib ka läbi enamike ''proxy''-serverite ning.[15] | |||
OpenVPN-ile on kirjutatud mitmeid kolmanda osapoole kliendiprogramme (näiteks Windowsile OpenVPN GUI) ning tema tugi on integreeritud ka mõnedesse vabavaralistesse ruuterite püsivaradesse (näiteks Tomato, Vyatta, DD-WRT). [15]. | |||
===Hamachi=== | |||
Hamachi on jaosvaraline VPN-lahendus, mis on tuntud eelkõige oma seadistuste lihtsuse poolest ning on seetõttu eriti populaarne arvutimängude austajate seas.[16] Hamachi tootja kasutab ka reklaamlauset ''"Finally, a VPN that just works"'' (Lõpuks VPN, mis lihtsalt töötab).[17] | |||
Hamachi on keskselt hallatav VPN-süsteem, mis koosneb serveri klastrist, mida haldab tootja, ning klientprogrammist, mis installeeritakse lõppkasutaja arvutisse. Klientprogramm lisab arvutile uue virtuaalse võrgukaardi, kuhu saadetud väljuvad paketid edastatakse Hamachi programmile, mis edastab need omakorda üle interneti läbi UDP-ühenduse. Sissetulevad paketid saadetakse Hamachi programmi, mis saadab need virtuaalsele võrgukaardile.[16] | |||
Iga klient saab kas luua virtuaalse võrgu või liituda olemasolevaga. Kui mingi klient A liitub võrguga või lahkub sealt, käsib keskne server kõigil teistel klientidel kas luua või eemaldada VPN-tunnel kliendiga A. Tootja väidab, et ligi 95% juhtudest õnnestub luua ''peer-to-peer'' tunnel kahe klientarvuti vahel. Kui see ei õnnestu, luuakse ühendus läbi vaheserveri, mida haldab tootja.[16] | |||
Hamachi kasutab IP-aadresside jagamisel 5.0.0.0 võrku maskiga 255.0.0.0, mis ei ole praegusel hetkel avalikult kasutusel ning välistab seetõttu võimalikud konfliktid teiste arvutite aadressidega internetis. Oodatavasti aga võetakse see aadressivahemik lähiajal kasutusse ning sel juhul võivad Hamachi kasutajatel konfliktid tekkida.[16] | |||
Hamachi on saadaval kahes versioonis. Tasuta versioon on mõeldud kodukasutajatele ning toetab maksimaalselt 16 klienti. Kommertsversioon toetab kuni 256 korraga ühendatud klienti, kuid selle kasutamiseks on vajalik iga-aastane tasu. Hamachi toetab ainult Windowsi.[17] | |||
===Shrew Soft VPN Client=== | |||
Shrew Soft VPN Client on virtuaalsete privaatvõrkude klientprogramm, st ta ei paku ise võimalust VPN-serverit luua. Shrew Soft toetab mitmeid erinevaid VPN-protokolle, näiteks IPsec, OpenSWAN, freeSWAN, strongSWAN. Samuti toetab Shrew Soft mitmeid keerulisi funktsioone, mida võib üldiselt leida ainult kallitest kommertslahendustest, ning on ühilduv näiteks Cisco, Juniperi, Netgeari jt VPN-seadmete tootjatega.[14][18] | |||
===Windowsi sisseehitatud VPN=== | |||
Ehkki seda omadust on vähe reklaamitud, on ka Windowsil juba päris pikka aega olnud oma sisseehitatud VPN-klient. Ehkki enne Windows Vistat sai sisseehitatud klient paljude kriitika osaliseks, on nüüdseks, eriti Windows 7-s, võimalused tunduvalt suuremad.[14] | |||
VPN-serveri jaoks on vastavad vahendid olemas Windowsi serverites, kuid "lahjema" kodukasutaja serveri saab üles seada ka töölauaversioonides. | |||
==Riistvaralised lahendused== | |||
Nagu nimigi ütleb, on tegu spetsiaalsete iseseisvate võrguseadmetega, mis realiseerivad virtuaalseid privaatvõrke. Tegu võib olla ühe seadmega, kuhu kliendid ühenduvad oma arvutitega vastavat tarkvara kasutades (''remote access''), aga ka näiteks kahe seadmega, mis on pidevalt üle avaliku võrgu läbi tunneli ühenduses ja ühendavad seeläbi kokku näiteks eri harukontorite kohtvõrgud (''site-to-site''). | |||
Riistvaralistel VPN-idel on tarkvaralistega võrreldes mitmeid eeliseid: kõrgem turvalisus, ''load-balancing'', võimekus taluda suurt koormust (st suurt klientide arvu). Haldus on üldjuhul realiseeritud veebiliidese abil.[19] | |||
Riistvaralisi VPN-lahendusi pakuvad väga mitmed erinevad tootjad.[19] | |||
=Kauslikke linke= | |||
[http://openvpn.net/ OpenVPN-i koduleht] <br /> | |||
[https://secure.logmein.com/products/hamachi2/# Hamachi koduleht] <br/> | |||
[http://www.shrew.net/ Shrew Softi koduleht] <br/> | |||
ITK wikis: <br /> | |||
[[VPN seadistamine OpenVPN-iga]] | |||
=Kasutatud kirjandus= | =Kasutatud kirjandus= | ||
[1] http://www.csupomona.edu/~ehelp/vpn/what_is_a_vpn.html <br> | [1] http://www.csupomona.edu/~ehelp/vpn/what_is_a_vpn.html <br> | ||
[2] http://whatis.techtarget.com/definition/0,,sid9_gci1206264,00.html <br> | [2] http://whatis.techtarget.com/definition/0,,sid9_gci1206264,00.html <br> | ||
[3] https://docs.rice.edu/confluence/pages/viewpage.action?pageId=25173986 <br> | [3] https://docs.rice.edu/confluence/pages/viewpage.action?pageId=25173986 <br> | ||
[4] http://www.spamlaws.com/how-packet-sniffers-work.html <br> | [4] http://www.spamlaws.com/how-packet-sniffers-work.html <br> | ||
[5] http://www.brighthub.com/computing/hardware/articles/62501.aspx <br> | [5] http://www.brighthub.com/computing/hardware/articles/62501.aspx <br> | ||
[6] http://www. | [6] http://www.ehow.com/how-does_4926227_a-vpn-work.html <br> | ||
[ | [7] http://compnetworking.about.com/od/vpn/a/vpn_tunneling.htm <br> | ||
[ | [8] http://www.comptechdoc.org/independent/networking/protocol/prottunnel.html <br> | ||
[9] http://compnetworking.about.com/od/vpn/l/aa030103a.htm <br> | |||
[10] http://www.vpnc.org/vpn-technologies.html <br> | |||
[11] http://computer.howstuffworks.com/vpn2.htm <br> | |||
[12] http://computer.howstuffworks.com/vpn3.htm <br> | |||
[14] http://lifehacker.com/5487500/five-best-vpn-tools <br /> | |||
[15] http://en.wikipedia.org/wiki/OpenVPN <br /> | |||
[16] http://en.wikipedia.org/wiki/Hamachi <br /> | |||
[17] https://secure.logmein.com/products/hamachi2/# <br/> | |||
[18] http://www.shrew.net/software <br/> | |||
[19] http://searchnetworking.techtarget.com/dictionary/definition/1099664/hardware-VPN.html | |||
=Autorid= | |||
Markus Kont A21 - ülevaate osa, Siim Männart A22 | Markus Kont A21 - ülevaate osa, Siim Männart A22 - lahenduste osa | ||
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]] | [[Category:Operatsioonisüsteemide administreerimine ja sidumine]] |
Latest revision as of 13:51, 11 June 2010
Ülevaade
Virtuaalne privaatvõrk (ingl.k Virtual Private Network, VPN) on sisuliselt süsteem kahest või rohkemast privaatsest võrgust, mis on ühendatud üle avaliku telekommunikatsiooni võrgu. VPN kasutab krüpteeringut ja autentimisprotokolle andmete turvaliseks üle kandmiseks ühendatud võrkude vahel. 1
Vajadus
Avalikes võrkudes (nt. Internet) edastatakse andmeid sageli inimloetava avateksti (cleartext) kujul. Kuna andmed läbivad sageli mitmeid erinevaid võrke ning seadmeid, tuleb arvestada mitmete turvakaalutlustega. 2
Üks lihtsamaid meetodeid arvutivõrkudesse sisse tungimiseks on varastada parool, mida kantakse üle avaliku võrgu vahendusel avateksti kujul. Antud ründe läbiviimiseks kasutatakse erinevaid sniffer rakendusi, mis on võimelised salvestama ja analüüsima võrguadapterit läbivaid andmeid. Lisaks paljudele legaalselt alla laetavatele sniffer rakendustele võib paroolide varastamiseks kasutada ka trooja hobustena tuntud kurivara. Toimiva kasutajanime ja parooliga varustatult võib ründaja kergelt süsteemi sisse logida ning üritada arvuti enda kontrolli alla haarata. Ebasündsate plaanidega isik, kes paigaldab snifferi kõrge hõivega võrgusuhtluse punkti või trooja hobuse populaarsesse veebiteenusesse, võib omandada ligipääsu tuhandetele arvutitele. 3
Sniffer rakendused suudavad salvestada ning analüüsida valdavat osa krüpteerimata võrguliiklust, sealhulgas e-maile, saadetavaid faile, VoIP vestlusi ning külastatavaid veebilehti. Kindlasti tuleks märkida, et snifferite kujul on tegu legaalsete tarkvaralahendustega võrkude haldamiseks ning turvamiseks. Seetõttu on neid väga kerge kuritahtlikul eesmärgil kasutusele võtta ning äärmiselt keerluline avastada, eriti juhtmevabades võrkudes. 4
VPN lahenduse eelised
Kasutajate või äripartnerite turvaline võrku ühendamine ning andmevahetus on paljude organisatsioonide jaoks äärmiselt oluline. Mõningad VPN eelised on: 5
- Kuna VPN lahendused ei sõltu andmete edastamise protokollist, võib andmeedastuseks kasutada erinevaid avalikke võrke.
- Andmete kindlustamiseks toetavad paljud VPN lahendused erinevaid krüpteerimis- ja autentimisprotokolle.
- Kaugkasutajatel on võimalik kõikjalt organisatsiooni võrguga ühenduda. Ainsateks eeldusteks on vastava tarkvara, internetiühenduse ja VPN konto olemasolu.
- VPN teenuseid on võimalik ka vastavatelt teenusepakkujatelt tellida. Eelnevalt tuleb siiski veenduda teenusepakkuja usaldusväärsuses.
Tunneli loomine
Virtuaalse privaatvõrgu kujul on on tegemist turvatud lahendusega andmete vahetuseks usaldatud osapoolte vahel, mis ei ole avatud avalikule liiklusele. Kaugkasutajad ja erinevad kasutuskohad on võimalik ühendada läbi privaatse tunneli.6
VPN tunneli puhul luuakse loogiline võrguühendus lõppseadmete vahel, mis ei pruugi füüsilises topoloogias üksteise kõrval paikneda. Selles ühenduses kapseldadakse vastavas VPN formaadis loodud võrgupaketid vajaliku baas- või transpordiprotokolli abil ning saadetakse VPN serverile. Kapseldus eemaldatakse sihtpunktis.7
Mõningad protokollid VPN tunnelite loomiseks on: 8
- IPsec (Internet protocol security) – arendatud IETF poolt ning rakendatud OSI mudeli võrgukihis (Network Layer). Tegemist on erinevate turvameetmete kogumikuga, mis kasutab erinevaid krüptograafilisi protokolle andmete konfidentsiaalsuse, terviklikkuse, autentimise ja võtmehalduse tagamiseks.
- GRE (Genaral Routing Encapsulation, RFC 1702, RFC 2784) – Esialgu Cisco poolt välja töötatud protokoll, mis on võimeline kapseldama mitmete erinevate protokollide pakette.
- PPTP (Point-to-Point Tunneling Protocol, RFC 2637) - toimib OSI mudeli andmeedastus kihis (Data Link Layer). Andmed kapseldatakse PPP (Point to Point Protocol) pakettidesse, mis omakorda kapseldatakse IP pakettidesse. PPTP toetab andmete krüpteerimist ja pakendamis ning kasutab GRE protokolli andmete edastamiseks. 9
- L2F (Layer2 Forwarding) – toimib OSI mudeli andmeedastus kihis. L2F ei oma krüpteerimise võimalust ning on välja vahetatud L2TP poolt.
- L2TP (Layer2 Tunneling Protocol, RFC 2661) - toimib OSI mudeli andmeedastus kihis, ühendab microsofti PPTP ja cisco L2F protokollide omadusi.
VPN liigid
Tehnoloogia
Usaldatud VPN (trusted VPN) tehnoloogia puhul edastatakse krüpteerimata andmeid läbi teenusepakkuja käest renditud püsiliini. Privaatsuse tagab teenusepakkuja lubadus, et läbi renditud kanali edastatakse vaid ühe kliendi andmeid. Seega oleneb andmete konfidentsiaalsus ja terviklikkus vaid teenusepakkuja diskreetsusest kliendi andmete vastu.
- Üks tuntumaid protokolle usaldatud VPN lahenduste puhul on MPLS (Multi-Protocol Label Switching)
Turvalise VPN (secure VPN) tehnoloogia puhul edastatakse krüpteeritud andmeid läbi avalike võrkude. Andmed krüpteeritakse päritolu seadmes või võrgu lüüsis ning krüpteering eemaldatakse vastavalt sihtkoha võrgulüüsis või lõppseadmes. Krüpteering käitub sihtpunktide vahelise tunnelina, isegi kui kolmas osapool ühendust jälgib, puudub neil võime andmeid lugeda ega muuta.
Mõningad turvalise VPNi puhul kasutatavad protokollid on:
- IPsec koos krüpteeringuga
- L2TP IPsec sisse kapseldatuna
- SSL koos krüpteeringuga
Hübriid VPN (Hybrid VPN) puhul on võimalik edastada krüpteeritud andmeid läbi renditud püsiliini. Kuna usaldatud ja turvalise VPNi kasutamine ei ole üksteist välistav, on hübriid VPN puhul tegemist antud tehnoloogiate paralleelse rakendamisega.
10
Kasutus
Kaks levinumat VPN kasutusliiki on Remote-Access VPN ja Site-to-Site VPN.
Sissepääsu VPN (Remote-Access VPN), vahel tuntud kui virtuaalne privaatne sissehelistamisvõrk (virtual private dial-up network, VPDN), on kasutaja ja kohtvõrgu vaheline ühendus mida kasutatakse organisatsioonides kaugkasutajate võrguga ühendamiseks. Sissepääsu VPN kasutab klient-server arhidektuuri, kus kaugkasutaja VPN klient omandab võrgu sissepääsuõigused läbi võrgu äärealas asuva VPN serveri. Kuna kaugkasutaja võrgusätestused ei ole sageli staatilised, vastutab VPN sessiooni algatamise eest kaugkasutaja seadmes paiknev VPN klient. 11
Site-to-Site lahenduse puhul paikneb ühendatud võrkude vahel staatiline VPN ühendus ning võrgusisesed lõppseadmed ei ole teadlikud VPN olemasolu kohta. VPN lüüs on vastutav TCP/IP pakettide kapseldamise ja krüpteerimise eest. Site-to-Site VPN jagub kaheks. 12
- Intraneti VPN: peamiselt suuremate ettevõtete jaoks ja on mõeldud firma osakondade ühendamiseks turvakanali abil ühtsesse võrku peakontoriga.
- Ekstraneti-VPN: mõeldud klientide ja partnerite turvalise ühenduse tagamiseks firmade kohtvõrkude ühendamise abil.
VPN-i lahendused
Lahendused, mille abil virtuaalseid privaatvõrke luuakse, jagatakse üldiselt kaheks: tarkvaralised ja riistvaralised. Tarkvaraliste all mõeldakse universaalseid lahendusi, mida võib realiseerida erinevate riistvarade (arvutite) peal. Riistvaraliste VPN-ide realiseerimiseks on, nagu nimigi ütleb, vaja spetsiaalseid seadmeid (mille peal siiski jookseb tarkvara).
Tarkvaralised lahendused
Siinkohal toon ära mõned konkreetset tarkvaralised lahendused, mis on virtuaalsete privaatvõrkude loomisel populaarsed[14]. Igaüks neist erineb teistest mingil määral ning on suunatud erinevatele sihtgruppidele.
OpenVPN
OpenVPN on tasuta ja avatud lähtekoodiga lahendus, mis võimaldab luua turvalisi remote access- ja site-to-site-tüüpi virtuaalseid privaatvõrke. Krüpteerimiseks kasutab OpenVPN SSL/TLS-protokolli ning teda levitatakse GNU GPL litsentsi all.[15]
OpenVPN võimaldab võrgu otspunktidel üksteist autentida eelnevalt jagatud krüptograafilise võtme, sertifikaadi või kasutajanime ja parooli abil.[15]
Rakendus on saadaval väga paljudele operatsioonisüsteemidele, nende hulgas Windows, Linux, Mac OS X.[15]
Nii nii VPN-kliendi kui -serveri jaoks on üks tarkvarapakk, mis töötab soovitud režiimis vastavalt konfiguratsioonifailile.[15]
OpenVPN kasutab vaikimisi UDP- ning kasutaja soovi korral ka TCP-protokolli. Lahendus toimib ka läbi enamike proxy-serverite ning.[15]
OpenVPN-ile on kirjutatud mitmeid kolmanda osapoole kliendiprogramme (näiteks Windowsile OpenVPN GUI) ning tema tugi on integreeritud ka mõnedesse vabavaralistesse ruuterite püsivaradesse (näiteks Tomato, Vyatta, DD-WRT). [15].
Hamachi
Hamachi on jaosvaraline VPN-lahendus, mis on tuntud eelkõige oma seadistuste lihtsuse poolest ning on seetõttu eriti populaarne arvutimängude austajate seas.[16] Hamachi tootja kasutab ka reklaamlauset "Finally, a VPN that just works" (Lõpuks VPN, mis lihtsalt töötab).[17]
Hamachi on keskselt hallatav VPN-süsteem, mis koosneb serveri klastrist, mida haldab tootja, ning klientprogrammist, mis installeeritakse lõppkasutaja arvutisse. Klientprogramm lisab arvutile uue virtuaalse võrgukaardi, kuhu saadetud väljuvad paketid edastatakse Hamachi programmile, mis edastab need omakorda üle interneti läbi UDP-ühenduse. Sissetulevad paketid saadetakse Hamachi programmi, mis saadab need virtuaalsele võrgukaardile.[16]
Iga klient saab kas luua virtuaalse võrgu või liituda olemasolevaga. Kui mingi klient A liitub võrguga või lahkub sealt, käsib keskne server kõigil teistel klientidel kas luua või eemaldada VPN-tunnel kliendiga A. Tootja väidab, et ligi 95% juhtudest õnnestub luua peer-to-peer tunnel kahe klientarvuti vahel. Kui see ei õnnestu, luuakse ühendus läbi vaheserveri, mida haldab tootja.[16]
Hamachi kasutab IP-aadresside jagamisel 5.0.0.0 võrku maskiga 255.0.0.0, mis ei ole praegusel hetkel avalikult kasutusel ning välistab seetõttu võimalikud konfliktid teiste arvutite aadressidega internetis. Oodatavasti aga võetakse see aadressivahemik lähiajal kasutusse ning sel juhul võivad Hamachi kasutajatel konfliktid tekkida.[16]
Hamachi on saadaval kahes versioonis. Tasuta versioon on mõeldud kodukasutajatele ning toetab maksimaalselt 16 klienti. Kommertsversioon toetab kuni 256 korraga ühendatud klienti, kuid selle kasutamiseks on vajalik iga-aastane tasu. Hamachi toetab ainult Windowsi.[17]
Shrew Soft VPN Client
Shrew Soft VPN Client on virtuaalsete privaatvõrkude klientprogramm, st ta ei paku ise võimalust VPN-serverit luua. Shrew Soft toetab mitmeid erinevaid VPN-protokolle, näiteks IPsec, OpenSWAN, freeSWAN, strongSWAN. Samuti toetab Shrew Soft mitmeid keerulisi funktsioone, mida võib üldiselt leida ainult kallitest kommertslahendustest, ning on ühilduv näiteks Cisco, Juniperi, Netgeari jt VPN-seadmete tootjatega.[14][18]
Windowsi sisseehitatud VPN
Ehkki seda omadust on vähe reklaamitud, on ka Windowsil juba päris pikka aega olnud oma sisseehitatud VPN-klient. Ehkki enne Windows Vistat sai sisseehitatud klient paljude kriitika osaliseks, on nüüdseks, eriti Windows 7-s, võimalused tunduvalt suuremad.[14]
VPN-serveri jaoks on vastavad vahendid olemas Windowsi serverites, kuid "lahjema" kodukasutaja serveri saab üles seada ka töölauaversioonides.
Riistvaralised lahendused
Nagu nimigi ütleb, on tegu spetsiaalsete iseseisvate võrguseadmetega, mis realiseerivad virtuaalseid privaatvõrke. Tegu võib olla ühe seadmega, kuhu kliendid ühenduvad oma arvutitega vastavat tarkvara kasutades (remote access), aga ka näiteks kahe seadmega, mis on pidevalt üle avaliku võrgu läbi tunneli ühenduses ja ühendavad seeläbi kokku näiteks eri harukontorite kohtvõrgud (site-to-site).
Riistvaralistel VPN-idel on tarkvaralistega võrreldes mitmeid eeliseid: kõrgem turvalisus, load-balancing, võimekus taluda suurt koormust (st suurt klientide arvu). Haldus on üldjuhul realiseeritud veebiliidese abil.[19]
Riistvaralisi VPN-lahendusi pakuvad väga mitmed erinevad tootjad.[19]
Kauslikke linke
OpenVPN-i koduleht
Hamachi koduleht
Shrew Softi koduleht
ITK wikis:
VPN seadistamine OpenVPN-iga
Kasutatud kirjandus
[1] http://www.csupomona.edu/~ehelp/vpn/what_is_a_vpn.html
[2] http://whatis.techtarget.com/definition/0,,sid9_gci1206264,00.html
[3] https://docs.rice.edu/confluence/pages/viewpage.action?pageId=25173986
[4] http://www.spamlaws.com/how-packet-sniffers-work.html
[5] http://www.brighthub.com/computing/hardware/articles/62501.aspx
[6] http://www.ehow.com/how-does_4926227_a-vpn-work.html
[7] http://compnetworking.about.com/od/vpn/a/vpn_tunneling.htm
[8] http://www.comptechdoc.org/independent/networking/protocol/prottunnel.html
[9] http://compnetworking.about.com/od/vpn/l/aa030103a.htm
[10] http://www.vpnc.org/vpn-technologies.html
[11] http://computer.howstuffworks.com/vpn2.htm
[12] http://computer.howstuffworks.com/vpn3.htm
[14] http://lifehacker.com/5487500/five-best-vpn-tools
[15] http://en.wikipedia.org/wiki/OpenVPN
[16] http://en.wikipedia.org/wiki/Hamachi
[17] https://secure.logmein.com/products/hamachi2/#
[18] http://www.shrew.net/software
[19] http://searchnetworking.techtarget.com/dictionary/definition/1099664/hardware-VPN.html
Autorid
Markus Kont A21 - ülevaate osa, Siim Männart A22 - lahenduste osa