Ülevaade

Virtuaalne privaatvõrk (ingl.k Virtual Private Network, VPN) on sisuliselt süsteem kahest või rohkemast privaatsest võrgust, mis on ühendatud üle avaliku telekommunikatsiooni võrgu. VPN kasutab krüpteeringut ja autentimisprotokolle andmete turvaliseks üle kandmiseks ühendatud võrkude vahel. [1]

Vajadus

Avalikes võrkudes (nt. Internet) edastatakse andmeid sageli inimloetava avateksti (cleartext) kujul. Kuna andmed läbivad sageli mitmeid erinevaid võrke ning seadmeid, tuleb arvestada mitmete turvakaalutlustega. [2]

Üks lihtsamaid meetodeid arvutivõrkudesse sisse tungimiseks on varastada parool, mida kantakse üle avaliku võrgu vahendusel avateksti kujul. Antud ründe läbiviimiseks kasutatakse erinevaid sniffer rakendusi, mis on võimelised salvestama ja analüüsima võrguadapterit läbivaid andmeid. Lisaks paljudele legaalselt alla laetavatele sniffer rakendustele võib paroolide varastamiseks kasutada ka trooja hobustena tuntud kurivara. Toimiva kasutajanime ja parooliga varustatult võib ründaja kergelt süsteemi sisse logida ning üritada arvuti enda kontrolli alla haarata. Ebasündsate plaanidega isik, kes paigaldab snifferi kõrge hõivega võrgusuhtluse punkti või trooja hobuse populaarsesse veebiteenusesse, võib omandada ligipääsu tuhandetele arvutitele. [3]

Sniffer rakendused suudavad salvestada ning analüüsida valdavat osa krüpteerimata võrguliiklust, sealhulgas e-maile, saadetavaid faile, VoIP vestlusi ning külastatavaid veebilehti. Kindlasti tuleks märkida, et snifferite kujul on tegu legaalsete tarkvaralahendustega võrkude haldamiseks ning turvamiseks. Seetõttu on neid väga kerge kuritahtlikul eesmärgil kasutusele võtta ning äärmiselt keerluline avastada, eriti juhtmevabades võrkudes. [4]

VPN lahenduse eelised

Kasutajate või äripartnerite turvaline võrku ühendamine ning andmevahetus on paljude organisatsioonide jaoks äärmiselt oluline. Mõningad VPN eelised on: [6]

• Kuna VPN lahendused ei sõltu andmete edastamise protokollist, võib andmeedastuseks kasutada erinevaid avalikke võrke. [6]
• Andmete kindlustamiseks toetavad paljud VPN lahendused erinevaid krüpteerimis- ja autentimisprotokolle. [6]
• Kaugkasutajatel on võimalik kõikjalt organisatsiooni võrguga ühenduda. Ainsateks eeldusteks on vastava tarkvara, internetiühenduse ja VPN konto olemasolu.
• VPN teenuseid on võimalik ka vastavatelt teenusepakkujatelt tellida. Eelnevalt tuleb siiski veenduda teenusepakkuja usaldusväärsuses.

Tunneli loomine

Virtuaalse privaatvõrgu kujul on on tegemist turvatud lahendusega andmete vahetuseks usaldatud osapoolte vahel, mis ei ole avatud avalikule liiklusele. Kaugkasutajad ja erinevad kasutuskohad on võimalik ühendada läbi privaatse tunneli.[7]

VPN tunneli puhul luuakse loogiline võrguühendus lõppseadmete vahel, mis ei pruugi füüsilises topoloogias üksteise kõrval paikneda. Selles ühenduses kapseldadakse vastavas VPN formaadis loodud võrgupaketid vajaliku baas- või transpordiprotokolli abil ning saadetakse VPN serverile. Kapseldus eemaldatakse sihtpunktis.[8]

Mõningad protokollid VPN tunnelite loomiseks on: [9]

• IPsec (Internet protocol security) – arendatud IETF poolt ning rakendatud OSI mudeli võrgukihis (Network Layer). Tegemist on erinevate turvameetmete kogumikuga, mis kasutab erinevaid krüptograafilisi protokolle andmete konfidentsiaalsuse, terviklikkuse, autentimise ja võtmehalduse tagamiseks.
• GRE (Genaral Routing Encapsulation, RFC 1702, RFC 2784) – Esialgu Cisco poolt välja töötatud protokoll, mis on võimeline kapseldama mitmete erinevate protokollide pakette.
• PPTP (Point-to-Point Tunneling Protocol, RFC 2637) - toimib OSI mudeli andmeedastus kihis (Data Link Layer). Andmed kapseldatakse PPP (Point to Point Protocol) pakettidesse, mis omakorda kapseldatakse IP pakettidesse. PPTP toetab andmete krüpteerimist ja pakendamis ning kasutab GRE protokolli andmete edastamiseks. [10]
• L2F (Layer2 Forwarding) – toimib OSI mudeli andmeedastus kihis. L2F ei oma krüpteerimise võimalust ning on välja vahetatud L2TP poolt.
• L2TP (Layer2 Tunneling Protocol, RFC 2661) - toimib OSI mudeli andmeedastus kihis, ühendab microsofti PPTP ja cisco L2F protokollide omadusi.

VPN liigid

Tehnoloogia

Usaldatud VPN (trusted VPN) tehnoloogia puhul edastatakse krüpteerimata andmeid läbi teenusepakkuja käest renditud püsiliini. Privaatsuse tagab teenusepakkuja lubadus, et läbi renditud kanali edastatakse vaid ühe kliendi andmeid. Seega oleneb andmete konfidentsiaalsus ja terviklikkus vaid teenusepakkuja diskreetsusest kliendi andmete vastu. [11]

• Üks tuntumaid protokolle usaldatud VPN lahenduste puhul on MPLS (Multi-Protocol Label Switching)

Turvalise VPN (secure VPN) tehnoloogia puhul edastatakse krüpteeritud andmeid läbi avalike võrkude. Andmed krüpteeritakse päritolu seadmes või võrgu lüüsis ning krüpteering eemaldatakse vastavalt sihtkoha võrgulüüsis või lõppseadmes. Krüpteering käitub sihtpunktide vahelise tunnelina, isegi kui kolmas osapool ühendust jälgib, puudub neil võime andmeid lugeda ega muuta. [11]

Mõningad turvalise VPNi puhul kasutatavad protokollid on:

• IPsec koos krüpteeringuga
• L2TP IPsec sisse kapseldatuna
• SSL koos krüpteeringuga

Hübriid VPN (Hybrid VPN) puhul on võimalik edastada krüpteeritud andmeid läbi renditud püsiliini. Kuna usaldatud ja turvalise VPNi kasutamine ei ole üksteist välistav, on hübriid VPN puhul tegemist antud tehnoloogiate paralleelse rakendamisega. [11]

Kasutus

Kaks levinumat VPN kasutusliiki on Remote-Access VPN ja Site-to-Site VPN.

Sissepääsu VPN (Remote-Access VPN), vahel tuntud kui virtuaalne privaatne sissehelistamisvõrk (virtual private dial-up network, VPDN), on kasutaja ja kohtvõrgu vaheline ühendus mida kasutatakse organisatsioonides kaugkasutajate võrguga ühendamiseks. Sissepääsu VPN kasutab klient-server arhidektuuri, kus kaugkasutaja VPN klient omandab võrgu sissepääsuõigused läbi võrgu äärealas asuva VPN serveri. Kuna kaugkasutaja võrgusätestused ei ole sageli staatilised, vastutab VPN sessiooni algatamise eest kaugkasutaja seadmes paiknev VPN klient. [12]

Site-to-Site lahenduse puhul paikneb ühendatud võrkude vahel staatiline VPN ühendus ning võrgusisesed lõppseadmed ei ole teadlikud VPN olemasolu kohta. VPN lüüs on vastutav TCP/IP pakettide kapseldamise ja krüpteerimise eest. Site-to-Site VPN jagub kaheks. [13]

• Intraneti VPN: peamiselt suuremate ettevõtete jaoks ja on mõeldud firma osakondade ühendamiseks turvakanali abil ühtsesse võrku peakontoriga.
• Ekstraneti-VPN: mõeldud klientide ja partnerite turvalise ühenduse tagamiseks firmade kohtvõrkude ühendamise abil.

VPN-i lahendused

See artikli osa räägib konkreetsetest lahendustest, mille abil saab virtuaalseid privaatvõrke luua.

Tarkvaralised lahendused

OpenVPN

OpenVPN on tasuta ja avatud lähtekoodiga lahendus, mis võimaldab luua turvalisi remote access- ja site-to-site-tüüpi virtuaalseid privaatvõrke. Krüpteerimiseks kasutab OpenVPN SSL/TLS-protokolli ning ta on võimeline "läbima" NAT-i ning tulemüüre. OpenVPN-i levib GNU GPL litsentsi all.

Kasutatud kirjandus

[1] http://www.csupomona.edu/~ehelp/vpn/what_is_a_vpn.html
[2] http://whatis.techtarget.com/definition/0,,sid9_gci1206264,00.html
[3] https://docs.rice.edu/confluence/pages/viewpage.action?pageId=25173986
[4] http://www.spamlaws.com/how-packet-sniffers-work.html
[5] http://www.brighthub.com/computing/hardware/articles/62501.aspx
[6] http://www.brighthub.com/computing/hardware/articles/62501.aspx
[7] http://www.ehow.com/how-does_4926227_a-vpn-work.html
[8] http://compnetworking.about.com/od/vpn/a/vpn_tunneling.htm
[9] http://www.comptechdoc.org/independent/networking/protocol/prottunnel.html
[10] http://compnetworking.about.com/od/vpn/l/aa030103a.htm
[11] http://www.vpnc.org/vpn-technologies.html
[12] http://computer.howstuffworks.com/vpn2.htm
[13] http://computer.howstuffworks.com/vpn3.htm

[14] http://lifehacker.com/5487500/five-best-vpn-tools
[15] http://en.wikipedia.org/wiki/OpenVPN

Autorid

Markus Kont A21 - ülevaate osa, Siim Männart A22 - lahenduste osa