Omrežja

Uvod v VPN

VPN (Virtual Private Network) nam omogoča povezovanje (oddaljenih) računalnikov preko t.i. predorov (tunelov), ki uporabljajo že obstoječa omrežja.

Tako povezani računalniki tvorijo omrežja, po katerem promet poteka praviloma zasebno in ob uporabi katerega imamo občutek, kot da smo fizično povezani vanj, zato takšna omrežja imenujemo navidezna in zasebna. VPN se uporablja za oddaljen dostop do varovanih storitev in zasebnih omrežij ter za preusmeritev prometa, s katerim se lahko izogibamo omejitvam in cenzuri.

Trenutno obstaja več različnih VPN rešitev, ki jih lahko ločimo v štiri skupine.

PPTP

PPTP je verjetno najstarejša VPN rešitev, ki sta jo razvila Microsoft in Ascend, ter je bila leta 1999 uradno predstavljena v standardu RFC2637. Od leta 1995 je odjemalec za PPTP vključen v vse različice Windows sistema.

Dandanes se PPTP uporablja vedno manj, saj je zaradi krhke zaščite prometa v navezi z MS-CHAPv2 označen kot slaba rešitev. Veliko bolje ga je uporabiti v navezi z X.509 certifikati, vendar so zaradi pomanjkanja podpore za EAP-TLS v odjemalcih takšne rešitve redke.

PPTP uporablja dva kanala; nadzornega in prenosnega. Nadzorni kanal je namenjen vzpostavitvi povezave in poteka skozi TCP vrata 1723, medtem ko prenosni kanal uporablja GRE mehanizem (IP protocol 47).

IPSec

IPSec je odprt IEEE/IETF standard predstavljen v RFC2411 in je vključen tudi v IPv6.

IPSec deluje na povezovalnem in omrežnem nivoju ter vpelje pojem varnostnih zahtev, zaradi katerih je izjemno prilagodljiv, a je njegova nastavitev dolgotrajna. Varnostne zahteve omogočajo skrbniku, da zaščiti promet med dvema točkama (računalnikoma), pri čemer lahko nastavi izvorni in ciljni IP naslov ter TCP ali UDP vrata. Za zagotavljanje zaščite se lahko uporabljajo predoločeni ključi ali X.509 certifikati. Za preverjanje pristopa pa enkratna gesla, X.509 certifikati ali par uporabniškega imena in gesla.

IPSec lahko deluje v dveh načinih: predorski (tunelski) ali prenosni (transportni).

IPSec prenosni način

Prenosni način se največkrat uporablja skupaj z L2TP, kar je tudi privzeta možnost večine IPSec odjemalcev.

IPSec uporablja dva kanala; nadzornega in prenosnega. Nadzorni kanal je vzpostavljen preko UDP vrat 500 ali 4500, medtem ko prenosni kanal uporablja ESP (IP protocol 50). Celovitost rešitve je zagotovljena z uporabo HMAC tehnike.

SSL

Danes največ VPN rešitev temelji na SSL ter uporablja enake tehnike kot HTTPS. Preverjanje pristopa se vrši z enkratnimi gesli, X.509 certifikati ali s parom uporabniškega imena in gesla.

Primeri VPN rešitev, ki uporabljajo SSL, so Cisco AnyConnect, F5 FirePass SSL VPN ter Microsoft SSTP.

OpenVPN

Tudi OpenVPN temelji na SSL, vendar dodatno uporablja HMAC ter zgostitveni algoritem za preverjanje neokrnjenosti. Za zagotavljanje zaščite se lahko uporabljajo predoločeni ključi ali X.509 certifikati.

OpenVPN z razliko od SSL uporablja navidezni prilagodilni člen (TAP ali TUN) med odjemalcem in operacijskim sistemom. V splošnem lahko vsak operacijski sistem z vključeno podporo za prilagodilni člen uporablja OpenVPN. Ustrezni operacijski sistemi so trenutno Linux, FreeBSD, OpenBSD, NetBSD, Solaris, AIX, Windows in Mac OS.

Trenutno še ni RFC standarda za OpenVPN, vendar zaradi svoje odprtosti ponuja javen vpogled v delovanje.

Tudi OpenVPN uporablja dva kanala, vendar si delita ena TCP ali UDP vrata. Privzeta vrata so UDP 1194, oziroma 5000 v starejših različicah. Nadzorni kanal je zaščiten z SSL/TLS.

Primerjava

Vsaka VPN rešitev ima svoje prednosti in svoje slabosti. Prednost vsake rešitve predstavlja vgrajenost v operacijski sistem oziroma dostopnost odjemalca dotične rešitve, medtem ko slabosti predstavljajo izbrani protokoli, pomanjkanje zagotavljanja primernega nivoja zasebnosti in zahtevnost namestitve.