Virtuaalsed privaatvõrgud: Difference between revisions

From ICO wiki
Jump to navigationJump to search
No edit summary
No edit summary
Line 136: Line 136:
[18] http://www.shrew.net/software <br/>
[18] http://www.shrew.net/software <br/>
[19] http://searchnetworking.techtarget.com/dictionary/definition/1099664/hardware-VPN.html
[19] http://searchnetworking.techtarget.com/dictionary/definition/1099664/hardware-VPN.html
[[http://compnetworking.about.com/od/vpn/l/aa030103a.htm]


=Autorid=
=Autorid=
Markus Kont A21 - ülevaate osa, Siim Männart A22 - lahenduste osa
Markus Kont A21 - ülevaate osa, Siim Männart A22 - lahenduste osa
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Revision as of 13:31, 22 May 2010

Ülevaade

Virtuaalne privaatvõrk (ingl.k Virtual Private Network, VPN) on sisuliselt süsteem kahest või rohkemast privaatsest võrgust, mis on ühendatud üle avaliku telekommunikatsiooni võrgu. VPN kasutab krüpteeringut ja autentimisprotokolle andmete turvaliseks üle kandmiseks ühendatud võrkude vahel. 1

Vajadus

Avalikes võrkudes (nt. Internet) edastatakse andmeid sageli inimloetava avateksti (cleartext) kujul. Kuna andmed läbivad sageli mitmeid erinevaid võrke ning seadmeid, tuleb arvestada mitmete turvakaalutlustega. 2

Üks lihtsamaid meetodeid arvutivõrkudesse sisse tungimiseks on varastada parool, mida kantakse üle avaliku võrgu vahendusel avateksti kujul. Antud ründe läbiviimiseks kasutatakse erinevaid sniffer rakendusi, mis on võimelised salvestama ja analüüsima võrguadapterit läbivaid andmeid. Lisaks paljudele legaalselt alla laetavatele sniffer rakendustele võib paroolide varastamiseks kasutada ka trooja hobustena tuntud kurivara. Toimiva kasutajanime ja parooliga varustatult võib ründaja kergelt süsteemi sisse logida ning üritada arvuti enda kontrolli alla haarata. Ebasündsate plaanidega isik, kes paigaldab snifferi kõrge hõivega võrgusuhtluse punkti või trooja hobuse populaarsesse veebiteenusesse, võib omandada ligipääsu tuhandetele arvutitele. 3

Sniffer rakendused suudavad salvestada ning analüüsida valdavat osa krüpteerimata võrguliiklust, sealhulgas e-maile, saadetavaid faile, VoIP vestlusi ning külastatavaid veebilehti. Kindlasti tuleks märkida, et snifferite kujul on tegu legaalsete tarkvaralahendustega võrkude haldamiseks ning turvamiseks. Seetõttu on neid väga kerge kuritahtlikul eesmärgil kasutusele võtta ning äärmiselt keerluline avastada, eriti juhtmevabades võrkudes. 4

VPN lahenduse eelised

Kasutajate või äripartnerite turvaline võrku ühendamine ning andmevahetus on paljude organisatsioonide jaoks äärmiselt oluline. Mõningad VPN eelised on: 5

  • Kuna VPN lahendused ei sõltu andmete edastamise protokollist, võib andmeedastuseks kasutada erinevaid avalikke võrke.
  • Andmete kindlustamiseks toetavad paljud VPN lahendused erinevaid krüpteerimis- ja autentimisprotokolle.
  • Kaugkasutajatel on võimalik kõikjalt organisatsiooni võrguga ühenduda. Ainsateks eeldusteks on vastava tarkvara, internetiühenduse ja VPN konto olemasolu.
  • VPN teenuseid on võimalik ka vastavatelt teenusepakkujatelt tellida. Eelnevalt tuleb siiski veenduda teenusepakkuja usaldusväärsuses.

Tunneli loomine

Virtuaalse privaatvõrgu kujul on on tegemist turvatud lahendusega andmete vahetuseks usaldatud osapoolte vahel, mis ei ole avatud avalikule liiklusele. Kaugkasutajad ja erinevad kasutuskohad on võimalik ühendada läbi privaatse tunneli.6

VPN tunneli puhul luuakse loogiline võrguühendus lõppseadmete vahel, mis ei pruugi füüsilises topoloogias üksteise kõrval paikneda. Selles ühenduses kapseldadakse vastavas VPN formaadis loodud võrgupaketid vajaliku baas- või transpordiprotokolli abil ning saadetakse VPN serverile. Kapseldus eemaldatakse sihtpunktis.7

Mõningad protokollid VPN tunnelite loomiseks on: 8

  • IPsec (Internet protocol security) – arendatud IETF poolt ning rakendatud OSI mudeli võrgukihis (Network Layer). Tegemist on erinevate turvameetmete kogumikuga, mis kasutab erinevaid krüptograafilisi protokolle andmete konfidentsiaalsuse, terviklikkuse, autentimise ja võtmehalduse tagamiseks.
  • GRE (Genaral Routing Encapsulation, RFC 1702, RFC 2784) – Esialgu Cisco poolt välja töötatud protokoll, mis on võimeline kapseldama mitmete erinevate protokollide pakette.
  • PPTP (Point-to-Point Tunneling Protocol, RFC 2637) - toimib OSI mudeli andmeedastus kihis (Data Link Layer). Andmed kapseldatakse PPP (Point to Point Protocol) pakettidesse, mis omakorda kapseldatakse IP pakettidesse. PPTP toetab andmete krüpteerimist ja pakendamis ning kasutab GRE protokolli andmete edastamiseks. 9
  • L2F (Layer2 Forwarding) – toimib OSI mudeli andmeedastus kihis. L2F ei oma krüpteerimise võimalust ning on välja vahetatud L2TP poolt.
  • L2TP (Layer2 Tunneling Protocol, RFC 2661) - toimib OSI mudeli andmeedastus kihis, ühendab microsofti PPTP ja cisco L2F protokollide omadusi.

VPN liigid

Tehnoloogia

Usaldatud VPN (trusted VPN) tehnoloogia puhul edastatakse krüpteerimata andmeid läbi teenusepakkuja käest renditud püsiliini. Privaatsuse tagab teenusepakkuja lubadus, et läbi renditud kanali edastatakse vaid ühe kliendi andmeid. Seega oleneb andmete konfidentsiaalsus ja terviklikkus vaid teenusepakkuja diskreetsusest kliendi andmete vastu.

  • Üks tuntumaid protokolle usaldatud VPN lahenduste puhul on MPLS (Multi-Protocol Label Switching)

Turvalise VPN (secure VPN) tehnoloogia puhul edastatakse krüpteeritud andmeid läbi avalike võrkude. Andmed krüpteeritakse päritolu seadmes või võrgu lüüsis ning krüpteering eemaldatakse vastavalt sihtkoha võrgulüüsis või lõppseadmes. Krüpteering käitub sihtpunktide vahelise tunnelina, isegi kui kolmas osapool ühendust jälgib, puudub neil võime andmeid lugeda ega muuta.

Mõningad turvalise VPNi puhul kasutatavad protokollid on:

  • IPsec koos krüpteeringuga
  • L2TP IPsec sisse kapseldatuna
  • SSL koos krüpteeringuga

Hübriid VPN (Hybrid VPN) puhul on võimalik edastada krüpteeritud andmeid läbi renditud püsiliini. Kuna usaldatud ja turvalise VPNi kasutamine ei ole üksteist välistav, on hübriid VPN puhul tegemist antud tehnoloogiate paralleelse rakendamisega.
10

Kasutus

Kaks levinumat VPN kasutusliiki on Remote-Access VPN ja Site-to-Site VPN.

Sissepääsu VPN (Remote-Access VPN), vahel tuntud kui virtuaalne privaatne sissehelistamisvõrk (virtual private dial-up network, VPDN), on kasutaja ja kohtvõrgu vaheline ühendus mida kasutatakse organisatsioonides kaugkasutajate võrguga ühendamiseks. Sissepääsu VPN kasutab klient-server arhidektuuri, kus kaugkasutaja VPN klient omandab võrgu sissepääsuõigused läbi võrgu äärealas asuva VPN serveri. Kuna kaugkasutaja võrgusätestused ei ole sageli staatilised, vastutab VPN sessiooni algatamise eest kaugkasutaja seadmes paiknev VPN klient. 11

Site-to-Site lahenduse puhul paikneb ühendatud võrkude vahel staatiline VPN ühendus ning võrgusisesed lõppseadmed ei ole teadlikud VPN olemasolu kohta. VPN lüüs on vastutav TCP/IP pakettide kapseldamise ja krüpteerimise eest. Site-to-Site VPN jagub kaheks. 12

  • Intraneti VPN: peamiselt suuremate ettevõtete jaoks ja on mõeldud firma osakondade ühendamiseks turvakanali abil ühtsesse võrku peakontoriga.
  • Ekstraneti-VPN: mõeldud klientide ja partnerite turvalise ühenduse tagamiseks firmade kohtvõrkude ühendamise abil.

VPN-i lahendused

Tarkvaralised lahendused

Siinkohal toon ära mõned konkreetset tarkvaralised lahendused, mis on virtuaalsete privaatvõrkude loomisel populaarsed[14]. Igaüks neist erineb teistest märkimisväärselt ning on suunatud erinevatele sihtgruppidele.

OpenVPN

OpenVPN on tasuta ja avatud lähtekoodiga lahendus, mis võimaldab luua turvalisi remote access- ja site-to-site-tüüpi virtuaalseid privaatvõrke. Krüpteerimiseks kasutab OpenVPN SSL/TLS-protokolli ning ta on võimeline "läbima" NAT-i ning tulemüüre. OpenVPN-i levib GNU GPL litsentsi all.[15]

OpenVPN võimaldab võrgu otspunktidel üksteist autentida eelnevalt jagatud krüptograafilise võtme, sertifikaadi või kasutajanime ja parooli abil.[15]

Rakendus on saadaval väga paljudele operatsioonisüsteemidele, nende hulgas Windows, Linux, Mac OS X.[15]

Nii nii VPN-kliendi kui -serveri jaoks on üks tarkvarapakk, mis töötab soovitud režiimis vastavalt konfiguratsioonifailile.[15]

OpenVPN kasutab vaikimisi UDP- ning kasutaja soovi korral ka TCP-protokolli. Lahendus toimib ka läbi enamike proxy-serverite ning ka NAT-i ja tulemüüride läbimine ei põhjusta üldjuhul probleeme.[15]

OpenVPN-ile on kirjutatud mitmeid kolmanda osapoole kliendiprogramme (näiteks Windowsile OpenVPN GUI) ning tema tugi on integreeritud ka mõnedesse vabavaralistesse ruuterite püsivaradesse (näiteks Tomato, Vyatta, DD-WRT). [15].

Hamachi

Hamachi on jaosvaraline VPN-lahendus, mis on tuntud eelkõige oma seadistuste lihtsuse poolest ning on seetõttu eriti populaarne arvutimängude austajate seas.[16] Hamachi tootja kasutab ka reklaamlauset "Finally, a VPN that just works" (Lõpuks VPN, mis lihtsalt töötab).[17]

Hamachi on keskselt manageeritav VPN-süsteem, mis koosneb serveri klastrist, mida haldab tootja, ning klientprogrammist, mis installeeritakse lõppkasutaja arvutisse. Klientprogramm lisab arvutile uue virtuaalse võrgukaardi, kuhu saadetud väljuvad paketid edastatakse Hamachi programmile, mis edastab need omakorda üle interneti läbi UDP-ühenduse. Sissetulevad paketid saadetakse Hamachi programmi, mis saadab need virtuaalsele võrgukaardile.[16]

Iga klient saab kas luua virtuaalse võrgu või liituda olemasolevaga. Kui mingi klient A liitub võrguga või lahkub sealt, käsib keskne server kõigil teistel klientidel kas luua või eemaldada VPN-tunnel kliendiga A. Tootja väidab, et ligi 95% juhtudest õnnestub luua peer-to-peer tunnel kahe klientarvuti vahel. Kui see ei õnnestu, luuakse ühendus läbi vaheserveri, mida haldab tootja.[16]

Hamachi kasutab IP-aadresside jagamisel 5.0.0.0 võrku maskiga 255.0.0.0, mis ei ole praegusel hetkel avalikult kasutusel ning välistab seetõttu võimalikud konfliktid teiste arvutite aadressidega internetis. Oodatavasti aga võetakse see aadressivahemik lähiajal kasutusse ning sel juhul võivad Hamachi kasutajatel konfliktid tekkida.[16]

Hamachi on saadaval kahes versioonis. Tasuta versioon on mõeldud kodukasutajatele ning toetab maksimaalselt 16 klienti. Kommertsversioon toetab kuni 256 korraga ühendatud klienti, kuid selle kasutamiseks on vajalik iga-aastane tasu. Hamachi toetab ainult Windowsi.[17]

Shrew Soft VPN Client

Shrew Soft VPN Client on virtuaalsete privaatvõrkude klientprogramm, st ta ei paku ise võimalust VPN-serverit luua. Shrew Soft toetab mitmeid erinevaid VPN-protokolle, näiteks IPsec, OpenSWAN, freeSWAN, strongSWAN. Samuti toetab Shrew Soft mitmeid keerulisi funktsioone, mida võib üldiselt leida ainult kallitest kommertslahendustest, ning on ühilduv näiteks Cisco, Juniperi, Netgeari jt VPN-seadmete tootjatega.[14][18]

Windowsi sisseehitatud VPN

Ehkki seda omadust on vähe reklaamitud, on ka Windowsil juba päris pikka aega olnud oma sisseehitatud VPN-klient. Ehkki enne Windows Vistat sai sisseehitatud klient paljude kriitika osaliseks, on nüüdseks, eriti Windows 7-s, võimalused tunduvalt suuremad.[14]

VPN-serveri jaoks on vastavad vahendid olemas Windowsi serverites, kuid "lahjema" kodukasutaja serveri saab üles seada ka töölauaversioonides.

Riistvaralised lahendused

Nagu nimigi ütleb, on tegu spetsiaalsete iseseisvate võrguseadmetega, mis realiseerivad virtuaalseid privaatvõrke. Tegu võib olla ühe seadmega, kuhu kliendid ühenduvad oma arvutitega vastavat tarkvara kasutades (remote access), aga ka näiteks kahe seadmega, mis on pidevalt üle avaliku võrgu läbi tunneli ühenduses ja ühendavad seeläbi kokku näiteks eri harukontorite kohtvõrgud (site-to-site).

Riistvaralistel VPN-idel on tarkvaralistega võrreldes mitmeid eeliseid: kõrgem turvalisus, load-balancing, võimekus taluda suurt koormust (st suurt klientide arvu). Haldus on üldjuhul realiseeritud veebiliidese abil.[19]

Riistvaralisi VPN-lahendusi pakuvad väga mitmed erinevad tootjad.[19]

Kauslikke linke

OpenVPN-i koduleht
Hamachi koduleht
Shrew Softi koduleht

Kasutatud kirjandus

[1] http://www.csupomona.edu/~ehelp/vpn/what_is_a_vpn.html
[2] http://whatis.techtarget.com/definition/0,,sid9_gci1206264,00.html
[3] https://docs.rice.edu/confluence/pages/viewpage.action?pageId=25173986
[4] http://www.spamlaws.com/how-packet-sniffers-work.html
[5] http://www.brighthub.com/computing/hardware/articles/62501.aspx
[6] http://www.ehow.com/how-does_4926227_a-vpn-work.html
[7] http://compnetworking.about.com/od/vpn/a/vpn_tunneling.htm
[8] http://www.comptechdoc.org/independent/networking/protocol/prottunnel.html
[9] http://compnetworking.about.com/od/vpn/l/aa030103a.htm
[10] http://www.vpnc.org/vpn-technologies.html
[11] http://computer.howstuffworks.com/vpn2.htm
[12] http://computer.howstuffworks.com/vpn3.htm
[14] http://lifehacker.com/5487500/five-best-vpn-tools
[15] http://en.wikipedia.org/wiki/OpenVPN
[16] http://en.wikipedia.org/wiki/Hamachi
[17] https://secure.logmein.com/products/hamachi2/#
[18] http://www.shrew.net/software
[19] http://searchnetworking.techtarget.com/dictionary/definition/1099664/hardware-VPN.html

Autorid

Markus Kont A21 - ülevaate osa, Siim Männart A22 - lahenduste osa