Virtuaalsed privaatvõrgud
Ülevaade
Virtuaalne privaatvõrk (ingl.k Virtual Private Network, VPN) on sisuliselt süsteem kahest või rohkemast privaatsest võrgust, mis on ühendatud üle avaliku telekommunikatsiooni võrgu. VPN kasutab krüpteeringut ja autentimisprotokolle andmete turvaliseks üle kandmiseks ühendatud võrkude vahel. [1]
Vajadus
Avalikes võrkudes (nt. Internet) edastatakse andmeid sageli inimloetava avateksti (cleartext) kujul. Kuna andmed läbivad sageli mitmeid erinevaid võrke ning seadmeid, tuleb arvestada mitmete turvakaalutlustega. [2]
Üks lihtsamaid meetodeid arvutivõrkudesse sisse tungimiseks on varastada parool, mida kantakse üle avaliku võrgu vahendusel avateksti kujul. Antud ründe läbiviimiseks kasutatakse erinevaid sniffer rakendusi, mis on võimelised salvestama ja analüüsima võrguadapterit läbivaid andmeid. Lisaks paljudele legaalselt alla laetavatele sniffer rakendustele võib paroolide varastamiseks kasutada ka trooja hobustena tuntud kurivara. Toimiva kasutajanime ja parooliga varustatult võib ründaja kergelt süsteemi sisse logida ning üritada arvuti enda kontrolli alla haarata. Ebasündsate plaanidega isik, kes paigaldab snifferi kõrge hõivega võrgusuhtluse punkti või trooja hobuse populaarsesse veebiteenusesse, võib omandada ligipääsu tuhandetele arvutitele. [3]
Sniffer rakendused suudavad salvestada ning analüüsida valdavat osa krüpteerimata võrguliiklust, sealhulgas e-maile, saadetavaid faile, VoIP vestlusi ning külastatavaid veebilehti. Kindlasti tuleks märkida, et snifferite kujul on tegu legaalsete tarkvaralahendustega võrkude haldamiseks ning turvamiseks. Seetõttu on neid väga kerge kuritahtlikul eesmärgil kasutusele võtta ning äärmiselt keerluline avastada, eriti juhtmevabades võrkudes. [4]
VPN lahenduse eelised
Kasutajate või äripartnerite turvaline võrku ühendamine ning andmevahetus on paljude organisatsioonide jaoks äärmiselt oluline. Mõningad VPN eelised on: [6]
- Kuna VPN lahendused ei sõltu andmete edastamise protokollist, võib andmeedastuseks kasutada erinevaid avalikke võrke. [6]
- Andmete kindlustamiseks toetavad paljud VPN lahendused erinevaid krüpteerimis- ja autentimisprotokolle. [6]
- Kaugkasutajatel on võimalik kõikjalt organisatsiooni võrguga ühenduda. Ainsateks eeldusteks on vastava tarkvara, internetiühenduse ja VPN konto olemasolu.
- VPN teenuseid on võimalik ka vastavatelt teenusepakkujatelt tellida. Eelnevalt tuleb siiski veenduda teenusepakkuja usaldusväärsuses.
Tunneli loomine
Virtuaalse privaatvõrgu kujul on on tegemist turvatud lahendusega andmete vahetuseks usaldatud osapoolte vahel, mis ei ole avatud avalikule liiklusele. Kaugkasutajad ja erinevad kasutuskohad on võimalik ühendada läbi privaatse tunneli.[7]
VPN tunneli puhul luuakse loogiline võrguühendus lõppseadmete vahel, mis ei pruugi füüsilises topoloogias üksteise kõrval paikneda. Selles ühenduses kapseldadakse vastavas VPN formaadis loodud võrgupaketid vajaliku baas- või transpordiprotokolli abil ning saadetakse VPN serverile. Kapseldus eemaldatakse sihtpunktis.[8]
Mõningad protokollid VPN tunnelite loomiseks on: [9]
- IPsec (Internet protocol security) – arendatud IETF poolt ning rakendatud OSI mudeli võrgukihis (Network Layer). Tegemist on erinevate turvameetmete kogumikuga, mis kasutab erinevaid krüptograafilisi protokolle andmete konfidentsiaalsuse, terviklikkuse, autentimise ja võtmehalduse tagamiseks.
- GRE (Genaral Routing Encapsulation, RFC 1702, RFC 2784) – Esialgu Cisco poolt välja töötatud protokoll, mis on võimeline kapseldama mitmete erinevate protokollide pakette.
- PPTP (Point-to-Point Tunneling Protocol, RFC 2637) - toimib OSI mudeli andmeedastus kihis (Data Link Layer). Andmed kapseldatakse PPP (Point to Point Protocol) pakettidesse, mis omakorda kapseldatakse IP pakettidesse. PPTP toetab andmete krüpteerimist ja pakendamis ning kasutab GRE protokolli andmete edastamiseks. [10]
- L2F (Layer2 Forwarding) – toimib OSI mudeli andmeedastus kihis. L2F ei oma krüpteerimise võimalust ning on välja vahetatud L2TP poolt.
- L2TP (Layer2 Tunneling Protocol, RFC 2661) - toimib OSI mudeli andmeedastus kihis, ühendab microsofti PPTP ja cisco L2F protokollide omadusi.
VPN liigid
Tehnoloogia
Usaldatud VPN (trusted VPN) tehnoloogia puhul edastatakse krüpteerimata andmeid läbi teenusepakkuja käest renditud püsiliini. Privaatsuse tagab teenusepakkuja lubadus, et läbi renditud kanali edastatakse vaid ühe kliendi andmeid. Seega oleneb andmete konfidentsiaalsus ja terviklikkus vaid teenusepakkuja diskreetsusest kliendi andmete vastu. [11]
- Üks tuntumaid protokolle usaldatud VPN lahenduste puhul on MPLS (Multi-Protocol Label Switching)
Turvalise VPN (secure VPN) tehnoloogia puhul edastatakse krüpteeritud andmeid läbi avalike võrkude. Andmed krüpteeritakse päritolu seadmes või võrgu lüüsis ning krüpteering eemaldatakse vastavalt sihtkoha võrgulüüsis või lõppseadmes. Krüpteering käitub sihtpunktide vahelise tunnelina, isegi kui kolmas osapool ühendust jälgib, puudub neil võime andmeid lugeda ega muuta. [11]
Mõningad turvalise VPNi puhul kasutatavad protokollid on:
- IPsec koos krüpteeringuga
- L2TP IPsec sisse kapseldatuna
- SSL koos krüpteeringuga
Hübriid VPN (Hybrid VPN) puhul on võimalik edastada krüpteeritud andmeid läbi renditud püsiliini. Kuna usaldatud ja turvalise VPNi kasutamine ei ole üksteist välistav, on hübriid VPN puhul tegemist antud tehnoloogiate paralleelse rakendamisega. [11]
Kasutus
Kaks levinumat VPN kasutusliiki on Remote-Access VPN ja Site-to-Site VPN.
Sissepääsu VPN (Remote-Access VPN), vahel tuntud kui virtuaalne privaatne sissehelistamisvõrk (virtual private dial-up network, VPDN), on kasutaja ja kohtvõrgu vaheline ühendus mida kasutatakse organisatsioonides kaugkasutajate võrguga ühendamiseks. Sissepääsu VPN kasutab klient-server arhidektuuri, kus kaugkasutaja VPN klient omandab võrgu sissepääsuõigused läbi võrgu äärealas asuva VPN serveri. Kuna kaugkasutaja võrgusätestused ei ole sageli staatilised, vastutab VPN sessiooni algatamise eest kaugkasutaja seadmes paiknev VPN klient. [12]
Site-to-Site lahenduse puhul paikneb ühendatud võrkude vahel staatiline VPN ühendus ning võrgusisesed lõppseadmed ei ole teadlikud VPN olemasolu kohta. VPN lüüs on vastutav TCP/IP pakettide kapseldamise ja krüpteerimise eest. Site-to-Site VPN jagub kaheks. [13]
- Intraneti VPN: peamiselt suuremate ettevõtete jaoks ja on mõeldud firma osakondade ühendamiseks turvakanali abil ühtsesse võrku peakontoriga.
- Ekstraneti-VPN: mõeldud klientide ja partnerite turvalise ühenduse tagamiseks firmade kohtvõrkude ühendamise abil.
VPN-i lahendused
See artikli osa räägib konkreetsetest lahendustest, mille abil saab virtuaalseid privaatvõrke luua.
Tarkvaralised lahendused
OpenVPN
OpenVPN on tasuta ja avatud lähtekoodiga lahendus, mis võimaldab luua turvalisi remote access- ja site-to-site-tüüpi virtuaalseid privaatvõrke. Krüpteerimiseks kasutab OpenVPN SSL/TLS-protokolli ning ta on võimeline "läbima" NAT-i ning tulemüüre. OpenVPN-i levib GNU GPL litsentsi all.[15]
OpenVPN võimaldab võrgu otspunktidel üksteist autentida eelnevalt jagatud krüptograafilise võtme, sertifikaadi või kasutajanime ja parooli abil.[15]
Rakendus on saadaval väga paljudele operatsioonisüsteemidele, nende hulgas Windows, Linux, Mac OS X.[15]
Nii nii VPN-kliendi kui -serveri jaoks on üks tarkvarapakk, mis töötab soovitud režiimis vastavalt konfiguratsioonifailile.[15]
OpenVPN kasutab vaikimisi UDP- ning kasutaja soovi korral ka TCP-protokolli. Lahendus toimib ka läbi enamike proxy-serverite ning ka NAT-i ja tulemüüride läbimine ei põhjusta üldjuhul probleeme.[15]
OpenVPN-ile on kirjutatud mitmeid kolmanda osapoole kliendiprogramme (näiteks Windowsile OpenVPN GUI) ning tema tugi on integreeritud ka mõnedesse vabavaralistesse ruuterite püsivaradesse (näiteks Tomato, Vyatta, DD-WRT). [15].
Hamachi
Hamachi on jaosvaraline VPN-lahendus, mis on tuntud eelkõige oma seadistuste lihtsuse poolest ning on seetõttu eriti populaarne arvutimängude austajate seas.[16] Hamachi tootja kasutab ka reklaamlauset "Finally, a VPN that just works" (Lõpuks VPN, mis lihtsalt töötab).[17]
Hamachi on keskselt manageeritav VPN-süsteem, mis koosneb serveri klastrist, mida haldab tootja, ning klientprogrammist, mis installeeritakse lõppkasutaja arvutisse. Klientprogramm lisab arvutile uue virtuaalse võrgukaardi, kuhu saadetud väljuvad paketid edastatakse Hamachi programmile, mis edastab need omakorda üle interneti läbi UDP-ühenduse. Sissetulevad paketid saadetakse Hamachi programmi, mis saadab need virtuaalsele võrgukaardile.[16]
Iga klient saab kas luua virtuaalse võrgu või liituda olemasolevaga. Kui mingi klient A liitub võrguga või lahkub sealt, käsib keskne server kõigil teistel klientidel kas luua või eemaldada VPN-tunnel kliendiga A. Tootja väidab, et ligi 95% juhtudest õnnestub luua peer-to-peer tunnel kahe klientarvuti vahel. Kui see ei õnnestu, luuakse ühendus läbi vaheserveri, mida haldab tootja.[16]
Hamachi kasutab IP-aadresside jagamisel 5.0.0.0 võrku maskiga 255.0.0.0, mis ei ole praegusel hetkel avalikult kasutusel ning välistab seetõttu võimalikud konfliktid teiste arvutite aadressidega internetis. Oodatavasti aga võetakse see aadressivahemik lähiajal kasutusse ning sel juhul võivad Hamachi kasutajatel konfliktid tekkida.[16]
Hamachi on saadaval kahes versioonis. Tasuta versioon on mõeldud kodukasutajatele ning toetab maksimaalselt 16 klienti. Kommertsversioon toetab kuni 256 korraga ühendatud klienti, kuid selle kasutamiseks on vajalik iga-aastane tasu.[17]
Kauslikke linke
Kasutatud kirjandus
[1] http://www.csupomona.edu/~ehelp/vpn/what_is_a_vpn.html
[2] http://whatis.techtarget.com/definition/0,,sid9_gci1206264,00.html
[3] https://docs.rice.edu/confluence/pages/viewpage.action?pageId=25173986
[4] http://www.spamlaws.com/how-packet-sniffers-work.html
[5] http://www.brighthub.com/computing/hardware/articles/62501.aspx
[6] http://www.brighthub.com/computing/hardware/articles/62501.aspx
[7] http://www.ehow.com/how-does_4926227_a-vpn-work.html
[8] http://compnetworking.about.com/od/vpn/a/vpn_tunneling.htm
[9] http://www.comptechdoc.org/independent/networking/protocol/prottunnel.html
[10] http://compnetworking.about.com/od/vpn/l/aa030103a.htm
[11] http://www.vpnc.org/vpn-technologies.html
[12] http://computer.howstuffworks.com/vpn2.htm
[13] http://computer.howstuffworks.com/vpn3.htm
[14] http://lifehacker.com/5487500/five-best-vpn-tools
[15] http://en.wikipedia.org/wiki/OpenVPN
[16] http://en.wikipedia.org/wiki/Hamachi
[17] https://secure.logmein.com/products/hamachi2/#
Autorid
Markus Kont A21 - ülevaate osa, Siim Männart A22 - lahenduste osa