Виртуелна приватна мрежа

Из Википедије, слободне енциклопедије
Иди на навигацију Иди на претрагу
Šema VPN mreže

VPN (енгл. Virtual Private Network — Виртуелна приватна мрежа) је приватна комуникациона мрежа која се користи за комуникацију у оквиру јавне мреже. Транспорт ВПН пакета података одвија се преко јавне мреже (нпр. Интернет) коришћењем стандардних комуникационих протокола. ВПН омогућава корисницима на раздвојеним локацијама да преко јавне мреже једноставно одржавају заштићену комуникацију.

Архитектура[уреди]

Виртуелна приватна мрежа омогућава корисницима да размењују податке везом која је емулирана као директна веза (point-to-point link - ППП) између клијента и сервера. ППП емулација добија се енкапсулацијом података заглављем које омогућава рутирање кроз јавну мрежу до одредишта које је део приватне мреже. Подаци су шифровани и пакети који су пресретнути у оквиру јавне или дељене мреже не могу се прочитати без кључа за дешифровање. Инфраструктура јавне мреже је небитна јер корисник логички види само свој приватни линк, односно налази се логички у локалној мрежи, иако је од других корисника раздвојен јавном мрежом.

Технологија тунеловања[уреди]

Тунеловање је најважнија компонента технологије виртуелних приватних мрежа и представља пренос пакета података намењених приватној мрежи преко јавне мреже. Рутери јавне мреже нису свесни да преносе пакете који припадају приватној мрежи и ВПН пакете третирају као део нормалног саобраћаја.

Тунеловање или енкапсулација је метод при коме се користи инфраструктура једног протокола за пренос пакета података другог протокола. Уместо да се шаљу оригинални пакети, они су енкапсулирани додатним заглављем. Додатно заглавље садржи информације потребне за рутирање, односно усмеравање пакета кроз мрежу, тако да новодобијени пакет може слободно путовати транспортном мрежом.

Тунел[уреди]

Тунел представља логичку путању пакета којом се он рутира преко мреже. Енкапсулирани подаци су рутирани транспортном мрежом са једног краја тунела на други. Појам тунел уводи се јер су подаци коју путују тунелом разумљиви само онима који се налазе на његовом изворишту и одредишту. Ови пакети се на мрежи рутирају као сви остали пакети.

Почетак и крај тунела налазе се у ВПН мрежама. Када енкапсулирани пакет стигне на одредиште врши се деенкапсулација и прослеђивање на коначно одредиште. Цео процес енкапсулације, транспорта и деенкапсулације пакета назива се тунеловање.

Особине технологије тунеловања[уреди]

Технологија тунеловања има особине чије предности значајно доприносе њеној употреби, од којих су најважније:

  • Сигурност – без обзира што тунел иде кроз несигурну јавну мрежу, приступ подацима који су тунеловани није дозвољен неауторизованим корисницима што транспорт чини релативно безбедним.
  • Ниска цена – пошто се користе јавне мреже трошкови су доста ниски када се упореде са трошковима потребним за изнајмљивање приватних линија или имплементацију приватних Интранет мрежа.
  • Лакоћа имплементације – нема потребе за променом постојеће инфраструктуре јавних мрежа, па се ВПН имплементира само на страни корисника
  • Универзалност – због енкапсулације могуће је користити и податке који припадају нерутабилним протоколима. Такође се штеди и на броју глобалних ИП адреса које компанија мора да поседује, што опет смањује цену имплементације виртуелних приватних мрежа.

Протоколи који се користе при тунеловању[уреди]

Технологија тунеловања користи три врсте протокола:

  • Протокол носач - ови протоколи служе за рутирање пакета по мрежи ка њиховом одредишту. Тунеловани пакети имају енкапсулацију ових протокола. За рутирање пакета по Интернету користи се ИП протокол.
  • Протокол за енкапсулацију – ови протоколи служе за енкапсулацију оригиналних података, и користе се за стварање, одржавање и затварање тунела. Најчешће коришћени су ППТП и Л2ТП протоколи.
  • Транспортни протокол – енкапсулира оригиналне податке за транспорт кроз тунел. Најпознатији су ППП и СЛИП протокол.

Управљање[уреди]

Са становишта управљања постоје два приступа виртуелним приватним мрежама. Разликујемо ВПН којима управљају корисници, и ВПН којима управљају провајдери мрежних услуга (нпр. Internet Service Provider - ИСП). Виртуелне приватне мреже којима управљају провајдери мрежних услуга деле се на основу тога где се налази опрема која имплементира ВПН:

  • на страни провајдера (PE - provider edge)
  • на страни корисника (CE - customer edge).

Безбедност[уреди]

Безбедност је интегрални део ВПН услуге. Постоји велики број претњи ВПН мрежама:

  • Неовлашћени приступ ВПН саобраћају
  • Измена садржаја ВПН саобраћаја
  • Убацивање неовлашћеног саобраћаја у ВПН (spoofing)
  • Брисање ВПН саобраћаја
  • DoS (denial of service) напади
  • Напади на инфраструктуру мреже преко софтвера за управљање мрежом
  • Измене конфигурације ВПН мреже
  • Напади на ВПН протоколе

Одбрана од ВПН напада реализује се и на корисничком и на нивоу провајдера ВПН услуга:

  • Криптозаштита пакета
  • Криптозаштита контролног саобраћаја
  • Филтри
  • Firewall
  • Контрола приступа
  • Изолација

ВПН мреже које користе Интернет или друге небезбедне мреже обично користе разне методе криптозаштите. Корисници ВПН мрежа са посебним захтевима за безбедност, на пример банке, обично имплементирају и додатну инфраструктуру за заштиту података.

Види још[уреди]

Спољашње везе[уреди]

Додатно читање - књиге[уреди]