VPN

VPN ( anglicky  Virtual Private Network  „virtual private network“) je zobecněný název pro technologie, které umožňují poskytovat jedno nebo více síťových připojení přes jinou síť, jako je internet [1] . Přestože se pro komunikaci používají sítě s nižší nebo neznámou úrovní důvěry (například veřejné sítě), míra důvěry ve vybudovanou logickou síť nezávisí na úrovni důvěry v podkladové sítě z důvodu použití kryptografických nástrojů (šifrování, autentizace, infrastruktura veřejných klíčů , nástroje ochrany proti opakování a změnám zpráv přenášených po logické síti).

V závislosti na použitých protokolech a cíli může VPN poskytovat tři typy připojení: host-to-host, host-to-network a network-to-network.

Úrovně implementace

VPN jsou obvykle nasazovány na úrovních, které nejsou vyšší než síť, protože použití kryptografie na těchto úrovních umožňuje použití transportních protokolů (jako je TCP , UDP ) beze změny.

Uživatelé Microsoft Windows používají termín VPN pro označení jedné z implementací virtuální sítě - PPTP , navíc často nepoužívané k vytváření privátních sítí.

Nejčastěji se pro vytvoření virtuální sítě používá zapouzdření protokolu PPP do nějakého jiného protokolu - IP (tato metoda využívá implementaci PPTP  - Point-to-Point Tunneling Protocol) nebo Ethernet ( PPPoE ) (i když mají také rozdíly ).

Technologie VPN byla v poslední době využívána nejen k vytváření samotných privátních sítí, ale také některými poskytovateli „ poslední míle “ v postsovětském prostoru k poskytování přístupu k internetu .

Při správné úrovni implementace a použití speciálního softwaru může síť VPN poskytovat vysokou úroveň šifrování přenášených informací.

Struktura VPN

VPN se skládá ze dvou částí: "interní" (řízená) síť, kterých může být několik, a "externí" síť, kterou prochází zapouzdřené připojení (obvykle se používá internet ).

Je také možné připojit jeden počítač k virtuální síti .

Vzdálený uživatel je připojen k VPN prostřednictvím přístupového serveru, který je připojen k interní i externí (veřejné) síti. Při připojování vzdáleného uživatele (nebo při navazování připojení k jiné zabezpečené síti) vyžaduje přístupový server, aby prošel procesem identifikace a poté procesem ověřování . Po úspěšném dokončení obou procesů je vzdálený uživatel (vzdálená síť) zmocněn pracovat v síti, to znamená, že dojde k procesu autorizace .

Klasifikace VPN

Řešení VPN lze klasifikovat podle několika hlavních parametrů:

Podle stupně zabezpečení použitého prostředí

Chráněný

Nejběžnější verze virtuálních privátních sítí. S jeho pomocí je možné vytvořit spolehlivou a bezpečnou síť založenou na nespolehlivé síti, obvykle internetu. Příklady zabezpečených sítí VPN jsou: IPSec , OpenVPN a PPTP .

Důvěra

Používají se v případech, kdy lze přenosové médium považovat za spolehlivé a je pouze nutné vyřešit problém vytvoření virtuální podsítě v rámci větší sítě. Bezpečnostní otázky se stávají irelevantními. Příklady takových VPN řešení jsou: Multi-protocol label switching ( MPLS ) a L2TP (Layer 2 Tunneling Protocol) (přesnější by bylo říci, že tyto protokoly přesouvají úkol zabezpečení na jiné, například L2TP se obvykle používá v tandemu s IPSec).

Způsobem implementace

Ve formě speciálního softwaru a hardwaru

Implementace sítě VPN se provádí pomocí speciální sady softwaru a hardwaru. Tato implementace poskytuje vysoký výkon a zpravidla vysoký stupeň zabezpečení.

Jako softwarové řešení

Osobní počítač se používá se speciálním softwarem, který poskytuje funkce VPN.

Integrované řešení

Funkcionalitu VPN zajišťuje komplex, který řeší i problémy s filtrováním síťového provozu, organizací firewallu a zajištěním kvality služeb.

Po domluvě

Intranet VPN

Používá se ke spojení několika distribuovaných poboček jedné organizace do jediné zabezpečené sítě, která si vyměňuje data prostřednictvím otevřených komunikačních kanálů.

Vzdálený přístup VPN

Používá se k vytvoření zabezpečeného kanálu mezi segmentem podnikové sítě (centrála nebo pobočka) a jedním uživatelem, který se při práci doma připojuje k podnikovým zdrojům z domácího počítače, podnikového notebooku , chytrého telefonu nebo internetového kiosku .

Extranet VPN

Používá se pro sítě, ke kterým se připojují „externí“ uživatelé (například zákazníci nebo klienti). Míra důvěry v ně je mnohem nižší než u zaměstnanců společnosti, proto je nutné zajistit zvláštní „hranice“ ochrany, které zabrání nebo omezí přístup těchto zaměstnanců ke zvláště cenným důvěrným informacím.

Internet VPN

Používá se poskytovateli k poskytování přístupu k internetu, obvykle pokud se několik uživatelů připojuje přes jeden fyzický kanál. Protokol PPPoE se stal standardem v připojení ADSL .

L2TP byl rozšířen v polovině 2000 v domácích sítích : v té době se intranetový provoz neplatil a externí provoz byl drahý. To umožnilo kontrolovat náklady: když je připojení VPN vypnuto, uživatel nic neplatí. V současnosti (2012) je kabelový internet levný nebo neomezený a na straně uživatele je často router , na kterém není zapínání a vypínání internetu tak pohodlné jako na počítači. Proto je přístup L2TP minulostí.

VPN klient/server

Tato možnost poskytuje ochranu dat při přenosu mezi dvěma hostiteli (nikoli sítěmi) v podnikové síti. Zvláštností této možnosti je, že VPN je postavena mezi uzly, které jsou obvykle umístěny ve stejném segmentu sítě, například mezi pracovní stanicí a serverem. Tato potřeba velmi často vyvstává v případech, kdy je potřeba vytvořit více logických sítí v jedné fyzické síti. Například, když je nutné rozdělit provoz mezi finanční oddělení a oddělení lidských zdrojů, přístup k serverům umístěným ve stejném fyzickém segmentu. Tato možnost je podobná technologii VLAN , ale namísto oddělení provozu je šifrována.

Podle typu protokolu

Existují implementace virtuálních privátních sítí pod TCP/IP, IPX a AppleTalk. Dnes je ale trend k obecnému přechodu na protokol TCP/IP a naprostá většina řešení VPN jej podporuje. Adresování v něm je nejčastěji voleno podle standardu RFC5735 z řady Privátních TCP/IP sítí .

Podle úrovně síťového protokolu

Podle vrstvy síťového protokolu na základě mapování na vrstvy referenčního modelu sítě ISO/OSI.

VPN připojení na routerech

S rostoucí popularitou technologií VPN začalo mnoho uživatelů aktivně konfigurovat připojení VPN na směrovačích za účelem zvýšení zabezpečení sítě [2] . VPN připojení nakonfigurované na routeru [3] šifruje síťový provoz všech připojených zařízení, včetně těch, která nepodporují technologie VPN [4] .

Mnoho routerů podporuje připojení VPN a má vestavěného klienta VPN. Existují routery, které vyžadují open source software, jako je DD-WRT , OpenWrt a Tomato , aby podporovaly protokol OpenVPN .

Zranitelnosti

Použití technologie WebRTC , která je standardně povolena v každém prohlížeči, umožňuje třetí straně určit skutečnou veřejnou IP adresu zařízení běžícího přes VPN. Jedná se o přímé ohrožení soukromí, protože se znalostí skutečné IP adresy uživatele jej můžete v síti jednoznačně identifikovat [5] . Pro zamezení úniku adresy se doporučuje buď úplně vypnout WebRTC v nastavení prohlížeče [6] nebo nainstalovat speciální doplněk [7] .

VPN jsou zranitelné vůči útoku zvanému fingerprinting návštěvnosti webových stránek [8] . Velmi stručně: jedná se o pasivní odposlechový útok; i když protivník sleduje pouze šifrovaný provoz z VPN, stále může odhadnout, který web je navštěvován, protože všechny weby mají určité vzorce provozu. Obsah přenosu je stále skrytý, ale ke kterému webu se připojuje, již není tajemstvím [9] [10] .

20. července 2020 byla na internetu nalezena data 20 milionů uživatelů bezplatných VPN služeb, mezi nimiž mohou být minimálně desítky tisíc Rusů. Data aplikací UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN a Rabbit VPN jsou uložena na nezabezpečeném serveru, včetně e-mailových adres, čistých hesel, IP a domácích adres, dat modelu smartphonu a ID uživatelských zařízení [ 11] .

Příklady VPN

• IPSec (IP security) – často se používá přes IPv4 .
• PPTP (point-to-point tunneling protocol) – vyvinutý společně několika společnostmi, včetně Microsoftu .
• PPPoE ( PPP (Point-to-Point Protocol) přes Ethernet )
• L2TP (Layer 2 Tunneling Protocol) – používá se v produktech společností Microsoft a Cisco .
• L2TPv3 (Layer 2 Tunneling Protocol verze 3).
• OpenVPN SSL - Open source VPN, podporuje PPP, bridge, point-to-point, multi-client serverové režimy.
• freelan SSL P2P je open source VPN.
• Hamachi  je program pro vytváření peer-to- peer VPN sítě.
• NeoRouter  je zeroconf (není potřeba konfigurace) program pro zajištění přímého připojení počítačů za NAT , je možné si vybrat vlastní server.

Mnoho velkých poskytovatelů nabízí své služby VPN pro firemní zákazníky.

Viz také

• překryvná síť
• Dynamická vícebodová virtuální privátní síť
• Hamachi
• Vícelinkový PPP démon
• openvpn
• Prohlížeč Puffin
• Tinc (protokol)

Poznámky

1. ↑ Co je to VPN? - Virtuální privátní síť  (anglicky) . cisco . Staženo: 22. prosince 2021.
2. ↑ Jak fungují  sítě VPN . HowStuffWorks (14. dubna 2011). Datum přístupu: 7. února 2019.
3. ↑ Jak nainstalovat VPN na váš  router . Nord VPN .
4. ↑ VPN . www.draytek.co.uk. Datum přístupu: 7. února 2019. (neurčitý)
5. ↑ WebRTC Leak Test: Oprava úniku IP . ExpressVPN. Staženo: 26. ledna 2019. (Ruština)
6. ↑ Kde mohu zakázat WebRTC a PeerConnection?  (anglicky) . Fórum podpory Firefoxu . Mozilla.
7. ↑ WebRTC Network Limiter . Internetový obchod Chrome . (neurčitý)
8. ↑ Návrh a implementace prohlížeče Tor [NÁVRH] . 2019.www.torproject.org. Staženo: 20. ledna 2020. (neurčitý)
9. ↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Dotyk na dálku: Útoky otisků prstů na webových stránkách a obrana  (anglicky)  (odkaz není k dispozici) . www3.cs.stonybrook.edu . Archivováno z originálu 17. června 2020.
10. ↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Dotyk z  dálky . Sborník příspěvků z konference ACM 2012 na téma Počítačová a komunikační bezpečnost . dl.acm.org. Staženo: 20. ledna 2020.
11. ↑ V síti odhalena anonymita  // Kommersant.

Literatura

• Ivanov MA  Kryptografické metody ochrany informací v počítačových systémech a sítích. — M.: KUDITS-OBRAZ, 2001. — 368 s.
• Kulgin M. Technologie podnikových sítí. Encyklopedie. - Petrohrad: Petr, 2000. - 704 s.
• Olifer V. G., Olifer N. A.  Počítačové sítě. Principy, technologie, protokoly: Učebnice pro vysoké školy. - Petrohrad: Petr, 2001. - 672 s.
• Romanets Yu. V., Timofeev PA, Shangin VF  Ochrana informací v počítačových systémech a sítích. 2. vyd. - M: Rozhlas a komunikace , 2002. - 328 s.
• Blokování V. Základy ochrany sítě. Aplikace a standardy = Základy síťové bezpečnosti. Aplikace a standardy. - M .: Williams , 2002. - S. 432. - ISBN 0-13-016093-8 .
• Sergej Petrenko. Bezpečná virtuální privátní síť: moderní pohled na ochranu důvěrných dat // Svět internetu. - 2001. - č. 2
• Markus Feilner . Virtuální privátní sítě nové generace // LAN. - 2005. - č. 11
• Alexey Lukatsky . Neznámá VPN // Computer Press. - 2001. - č. 10
• Alexandr Barskov . We Say WAN, We Mean VPN / Network Solutions / LAN Magazine, No. 06, 2010

Recenze produktů pro vytváření VPN

• Joel Snyder . VPN: rozdělený trh // Sítě. - 1999. - č. 11
• Ryan Norman . Výběr protokolu VPN // Windows IT Pro. - 2001. - č. 7
• První cihla ve zdi VPN. Přehled zařízení VPN základní úrovně [Elektronický dokument] / Valery Lukin . 
• Přehled hardwaru VPN [elektronický dokument]
• Čistě hardwarové VPN vládnou testům vysoké dostupnosti [elektronický dokument] / Joel Snyder, Chris Elliott .
• Vlastnosti ruského trhu VPN [elektronický dokument]
• Domácí prostředky budování virtuálních privátních sítí [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenicyn, S. Seleznev, D. Shepelyavy

Přehledy trhu VPN

• Globální trh MPLS VPN podle Inonetics Research http://www.infonetics.com/pr/2011/Ethernet-and-IP-MPLS-VPN-Services-Market-Highlights.asp Archivováno 21. dubna 2012 na Wayback Machine

Odkazy

• Rámec pro virtuální privátní sítě založené na IP [elektronický dokument] / B. Gleeson, A. Lin, J. Heinanen  (anglicky)
• VPN a IPSec na dosah [Elektronický dokument] / Dru Lavigne 

Slovníky a encyklopedie	Velká Katalánština velká čínština Skvělý norský Britannica (online)

Virtuální privátní sítě (VPN)
Technika	IPsec L2TP PPTP Dělené tunelování Protokol pro předávání vrstvy 2 Přímý přístup
Software	Hamachi n2n správce sítě NeoRouter openvpn rp-pppoe tcpcrypt Vyatta drátěný chránič
Služby VPN	1.1.1.1 ExpressVPN Hotspot Shield Mullvad NordVPN Proton VPN psiphon Surfshark

připojení k internetu
Drátové připojení	Optická linka (FOCL) ( FTTx , PON ) LAN ( Ethernet ) Koaxiální kabel ( DOCSIS ) PSTN ( DSL ISDN Dial-up přístup ( angl.  Dial-up ))
Bezdrátové připojení	Počítačová síť ( WLAN : Wi-Fi ; WPAN : Bluetooth IR port NFC ) Mobilní komunikace ( WWAN : 0G • 1G • 2G • 3G • 4G • 5G • 6G ) Satelitní připojení ( VSAT • DVB-S2 ) Pozemní internet ( DVB-T2 ) AOLS ( anglicky  FSO )
Kvalita internetového připojení ( ITU-T Y.1540, Y.1541)	Šířka pásma (šířka pásma) ( eng.  Network bandwidth ) • Zpoždění sítě (doba odezvy, eng.  IPTD ) • Kolísání zpoždění sítě ( eng.  IPDV ) • Poměr ztrátovosti paketů ( eng.  IPLR ) • Packet error rate ( eng.  IPER ) • Faktor dostupnosti