Virtuaalne privaatvõrk

Virtuaalne privaatvõrk (inglise keeles virtual private network, VPN) on privaatne ja turvaline arvutivõrk, mille loomiseks kasutatakse avalikku telekommunikatsiooni infrastruktuuri.

Selliseid võrke luuakse näiteks X.25, Switched 56, kaadriretranslaatori, ATM- ja IP-tehnoloogiate abil. Internetiprotokolli kasutatakse nii sageli, et virtuaalse privaatvõrguga peetakse samatähenduslikuks "krüpteeritud ühendust interneti kaudu".

Virtuaalne privaatvõrk (VPN) laiendab privaatvõrku üle avaliku võrgu ja seeläbi võimaldab kasutajatel kas saata ja/või vastu võtta informatsiooni otsekui kõikide VPN kasutajate arvutid oleksid ühendatud otse privaatvõrku. Erinevad programmid, mis töötavad VPN-idel, saavad seetõttu ka lisaks privaatvõrkude kasutegurid – funktsionaalsuse, turvalisuse ning ka haldamisvõimaluse.[1]

VPN-id võimaldavad töötajatel turvaliselt ühenduda firma intraneti, parasjagu ise viibides kontorist eemal. Neid kasutatakse tüüpiliselt selleks, et turvaliselt ühendada geograafiliselt eri kohtades asuvaid kontoreid, seeläbi luues ühisvõrgu.

Internetikasutajad võivad muuta oma internetikasutust turvalisemaks, kasutades VPN-i, ning eemaldada takistusi interneti kasutamisel – mööda saada geograafilistest asukohapiirangutest ning tsensuuri kasutamisest (mingite kindlate uudistekanalite veebiaadressi blokeeringutest). Lisaks võivad kasutajad kasutada VPN-e ka ühendamiseks puhverserveritega, et kaitsta personaalset identiteeti ning asukohta, et jääda internetis võimalikult anonüümseks. Kuid samas mõned veebilehed blokeerivad tuntud VPN-ide ühendusi läbi puhverserverite, et ära hoida just kindlatest asukohtadest ühendused ning seetõttu paljud VPN-ide pakkujad arendavad tehnoloogiaid, mis saaksid mööda puhverserverite blokeeringutest.

Virtuaalne privaatvõrk luuakse punkt-punkti ühenduse teel, kasutades virtuaalse tunneli protokolli või internetiliiklust krüpteerides. VPN-id, mis on saadaval tasuta avalikust internetist, võivad rakendada mõnda WAN-i (laivõrgu) kasulike omadusi (Turvaliselt info vahetamine võrkude vahel, info sünkroonne uuendamine mitmes võrgus jne[2]). Kasutaja perspektiivis on need vahendid saadaval VPN sees ning neile vahenditele on kaugelt juurdepääs.[3]

Virtuaalse privaatvõrgu erivormid

muuda

Esmased andmevõrgud võimaldasid VPN stiilis ühendusi kasutades sissehelistavaid modemeid või rendiliini ühendusi kasutades kaadriretranslaatoreid ja asünkroonülekande virtuaalseid võrke, mida haldasid ja omasid telekommunikatsiooni pakkujad. Kuigi neid võrke ei peeta tõelisteks VPN-ideks, sest nad muutsid informatsiooni turvaliseks, luues loogilisi informatsioonijugasid[4] – seeläbi passiivselt muutes saadetavat informatsiooni turvaliseks, mitte aktiivselt läbi krüpteerimise. Järgmiseks asendati need VPN-idega, mis põhinevad IP-l ja IP/Multiprotocol Label Switching (MPLS on informatsiooni saatmise tüüp, mis juhatab informatsiooni ühelt võrgu sõlmelt teisele lühikeste rajaviitadega, mitte pikkade võrgu aadressidega) võrkudel märkimisväärselt odavama lahenduse tõttu ning suurema ribalaiuse tõttu[5], mis saavutati uute tehnoloogiatega – digitaalse abonendiliini ja valguskaablivõrkudega.

Kiht 2 ja kiht 3 võimalused

muuda

Avatud süsteemide sidumise arhitektuuri teine kiht (OSI Layer 2)

muuda

Avatud süsteemide sidumise arhitektuuri (ASSA) L2 on kanalikiht, mis tegeleb andmepakettide jagamisega kaadriteks enne, kui nad jõuavad füüsilisse kihti ning samuti võtab vastu kaaderkihist/füüsilisest kihist kinnituskaadreid veakontrolliks ning edastab kaadri uuesti, kui leidub viga. Kanalikiht jaguneb edasi veel kaheks alamkihiks:

  1. LLC ehk ülemine loogilise lüli reguleerimiskiht – tema ülesandeks on tagada universaalne liides, et saaks toimuda kanalite vahetus võrgukihiga (layer 3).
  2. MAC ehk alumine meediapääsu reguleerimiskiht – tema ülesandeks on sarnaselt kolmandale kihile adresseerimine (kuid mitte IP tasemel adresseerimine, vaid MAC) ning ka kanalipöörduse juhtimine.[6]

1. VLAN e virtuaalne kohtvõrk

Virtuaalne kohtvõrk (VK) on teise kihi tehnika, mis lubab mitmel kohtvõrgul samaaegselt eksisteerida, mis on seotud omavahel magistraalidega (mis kasutavad IEEE 802.1Q magistraali protokolli). Teisi magistraali protokolle on ka kasutatud, kuid need on kõik iganenud. Näiteks sellised protokollis olid ISL, IEEE 802.10 ning LANE (ATM LAN Emulation). IEEE 802.10 oli küll alguses turvalisuse protokoll, kuid alamrühm loodi magistraalimiseks.

(Magistraal on sidekanal kahe punkti vahel – suure ribalaiusega kiudoptiline liin)

(IEEE e Elektri- ja Elektroonikainseneride Instituut)

2. VPLS e virtuaalne privaatne kohtvõrk

Virtuaalne privaatne kohtvõrk (VPK) loodi IEEE poolt – VPK-d võimaldavad mitmel sildistatud kohtvõrgul jagada ühist magistraali. VPK-d koosnevad tihti ainult kasutajate poolsetest (omatud ja loodud) seadmestikest. VPK-d võimaldavad nii punkt-punkti kui ka punkt-punktide topoloogia emulatsiooni (L1), siis meetod siin laieneb L2 tehnoloogiatele nagu 802.1d ja 802.1q kohtvõrgu magistraalide jaoks ning võimaldab ühenduvust üle MAN-ide (linnavõrkude).

Ühesõnaga, VPK on L2 teenuse pakkuja VPN, mitte privaatne ühendus. VPK emuleerib traditsioonilise kohtvõrgu võimalusi ning lubab kasutajatel luua virtuaalseid privaatseid kohtvõrke ning neid omavahel ühendada üle näiteks optilisekaabli, luues nii geograafiliselt erinevates kohtades asuvatest privaat kohtvõrkudest justkui ühe lokaalse kohtvõrgu.[7]

3. PW e pseudojuhe

Pseudojuhe (PJ) on sarnane VPK'dega, aga võimaldab kasutada teisi L2 protokolle mõlemas ühenduse otsas. Tüüpiliselt PJ liides on laivõrgu mõni protokoll nagu näiteks Frame Relay.

4. EoIP e Ethernet internetiprotokolli kaudu.

Ethernet internetiprotokolli kaudu (EoIP) üks spetsifikatsioon oleks näiteks EtherIP. Sellel protokollil on ainult paketi kapselduse funktsioon. Sellel puudub paketi konfidentsiaalsuse ja õigsuse kaitse.[8]

5. IPLS e Internetiprotokolli baasil kohtvõrgu sarnane teenus

Internetiprotokolli baasil kohtvõrgu sarnane teenus (IPKV) on Virtuaalse privaatse kohtvõrgu alamhulk. Siin kohal peab CE (kasutaja edge seadeldis – täpsustus marsruutimise all) seadmetel olema L3 võimalused – IPKV esitleb pakett mitte kaadreid. See toetab nii IPv4 kui ka IPv6.

Avatud süsteemide sidumise arhitektuuri kolmas kiht (OSI kiht 3)

muuda

Avatud süsteemide sidumise arhitektuuri kolmas kiht (L3) tegeleb sõnumite marsruutimisega võrgus, mille kõige levinumaks protokolliks on IP (Internetiprotokoll).

Internetiporotokoll (IP) on peamine sideprotokoll, mida järgitakse pakettide saatmisel internetis kasutatavate võrguseadmete vahel (peamisteks ülesanneteks marsruutimine ning loogiline adresseerimine) – see defineerib viisi, kuidas grupp eraldiseisvaid võrke saavad töötada üksteisega, luues globaalse võrgu.[9]

Peamiseid väljakutseid, mis siin esinevad VPN-ide pakkujatele on kui erinevad kasutajad kasutavad sama aadressi ruumi, eriti kui tegemist on IPv4 privaatsete aadresi ruumidega. Teenuse pakkuja peab arusaama ning eristama kattuvaid aadresse mitmete kasutajate võrkudes.[10]

Klassifitseerimine

muuda

Virtuaalseid privaatvõrke võib klassifitseerida järgmiselt:

1) Teostuse järgi

a) punkt-punkti

b) eemalasuv VPN

2) OSI taseme järgi (avatud süsteemide sidumise arhitektuuri taseme põhjal)

a) kihid 4/7 VPN – WebVPN (võrguseadme kihid)

b) kiht 3 VPN – IPSec. GREIPSec (võrgukiht, paketi tasemel)

c) kiht 2 VPN – L2TP, PPTP, MPPE (kanalikiht, kaadri tasemel)

IPSec – on internetiprotokolli turvalisuse parandamiseks loodud protokollide kogu, mis tegeleb autentimise, krüpteerimise ja algoritmide kooskõlastamisega.[11]

GRE – tunneldamise protokoll, mis on loodud Cisco süsteemide poolt, mis kapsuleerib paljusid võrgu taseme protokolle.[12]

L2TP – tunneldamise protokoll, mis toetab VPN-e või kasutatakse teenuse edastamise osana interneti pakkujate poolt.[13]

PPTP – punkt-punkti tunneldamise protokoll, mida varem kasutati VPN-ide jaoks, kuid omab paljusid teadaolevaid turvalisuse vigu.[14]

MPPE – Microsofti punkt-punkti tunneldamise protokoll.

3) Usalduse baasil

a) Intranet VPN – firma sisevõrgul põhinev VPN

b) Extranet VPN – firma sisevõrgu laiendusel väljapoole firmat läbi interneti põhinev VPN

c) Eemalasuv VPN

[15]

Turvalisus

muuda

VPN-id ei muuda internetiühendusi täiesti anonüümseteks, aga tavaliselt saab VPN-i kasutades suurendada oma privaatsust ja turvalisust. Privaatse informatsiooni avalikustamise vältimiseks lubavad virtuaalsed privaatvõrgud tavaliselt ainult autenditud kaugühendusi, kasutades tunneldamise protokolle ja krüpteerimistehnikaid.

Virtuaalsete privaatvõrkude turvalisuse mudel tagab:

a) konfidentsiaalsuse selliselt, et kui isegi võrgu liiklust uuritakse paketti tasemel, ei näe inimene, kes uuringut läbi viib, midagi muud kui krüpteeritud informatsiooni.

b) saatja autentsuse, et välistada ilma volituseta kasutajate ligipääs virtuaalsesse privaatvõrku.

c) teabe rikkumatuse, et avastada kõik juhtumid, kus üritati teavet muuta saatmise ajal.

Turvaliste virtuaalsete privaatvõrkude protokoll sisaldab järgmist:

  • (IPsec) internetiprotokolli turvalisuse protokollide kogu, mis esialgselt oli loodud (IETF) Interneti konstrueerimise rakkerühma poolt IPv6 jaoks. Selle standardi põhine turbeprotokoll on ka laialdaselt kasutatud IPv4 ja teise taseme kihi tunneli protokolliga, sest selle turbeprotokolli disain hõlmab paljusid turvalisuse eesmärke nagu näiteks autentimine, teabe rikkumatus ja konfidentsiaalsus. IPsec kasutab krüpteeringut, hõlmates enda paketti sisse IP paketti tunneli alguses, ning jõudes tunneli lõppu pakib IPsec enda paketti seest välja IP paketi ning dekrüpteerib selle ja lõpuks edastatakse lõpp sihtkohta.[11]
  • (TLS) transpordikihi turbeprotokoll tunneldab terve võrgu liikluse või turvab individuaalse ühenduse. VPN pakkujad kasutavad TLS-i eemalasuvate VPN-ide jaoks, kui IPsec protokoll ei saa mõningate põhjuste pärast korrektselt töötada – võrgu aadressi tõlkimise probleem või tulemüüri reeglid.[16]
  • (DTLS) datagrammi transpordikihi turbeporokoll – kasutatakse Cisco VPN-i ja OpenConnect VPN-i poolt, et lahendada probleemid, mis TLS-il on tunneldamisega üle kasutajadatagrammi protokolli (UDP)
  • (MPPE) Microsofti punkt-punkti krüpteering töötab punkt-punkti tunneldamise protokolliga ja muude sobivate platvormidega [17]
  • (SSTP) Microsofti turvalise soketi tunneldamise protokoll tunneldab punkt-punkti protokolli või teise kihi (layer 2) tunneldamise protokooli liikluse läbi TLS 3.0 kanali.
  • (SSH) turvakest VPN – krüptograafiline võrguprotokoll, mis kasutab klient/server arhitektuuri.

Krüpteerimata tunnelid

muuda

Mõned virtuaalsed võrgud kasutavad tunneldamise protokolle ilma andmevoogu krüpteerimata, et kaitsta informatsiooni privaatsust. Kuigi VPN-id tihti kannavad turvalisuse eest hoolt, ei tähenda see seda, et krüpteerimata tunnelid kategoriseeruksid ''Turvaliste ja usaldatud'' kategooriase. Selle näiteks võib tuua tunneli, mis on loodud kahe punkti vahel, mis kasutab GRE protokolli on tõesti virtuaalne privaatvõrk, kuid see pole turvaline, ega usaldatav.[18][19]

Tavaliselt krüpteerimata tunnelid kasutavad siiski tunneldaise protokolli Layer 2 Tunneling Protocol (L2TP), kui tunnelil pole seatud protokolliks IPsec'i ja Punkt-punkti tunneldamise protokolli (PPTP) või Microsofti punkt-punkti krüpteeritud protokolli (MPPE)[20]

Usaldatud tarnevõrgud

muuda

Usaldatud VPN-id ei kasuta krüptograafilist tunneldamist ja selle asemel toetuvad ühe teenuse pakkuja võrgu turvalisusele, et kaitsta andmevoogu.[21]

  • Multi-Protocol Label Switching (MPLS) tihti katab VPN ning tihti ka teostab kvaliteedi kontrolli üle usaldatud tarnevõrgu
  • L2TP mis on standardite põhine asendus protokoll ning koosneb kompromissidest võttes kahest peamisest VPN prtokollist head omadused – Cisco Layer 2 Forwarding (L2F)(iganenud aastast 2009) ja Microsofti Punkt-punkti tunneldamise protokoll (PPTP) [22][23]

Turvalisuse aspektist võttes peavad VPN-id usaldama kas tarnevõrku või kehtestama enda turvalisuse viisid, ehitades need VPN-i sisse. Väljaarvatud juhul, kui tarnevõrk on seotud füüsiliselt turvaliste lehtede vahel. Mõlemad viisid nii usaldatud kui ka turvaliseks muudetud mudelid vajavad autentimise mehhanismi, et kasutaja saaks VPN-iga ühendust.

Marsruutimine

muuda

Tunneldamise protokollidel on võimalus töötada punkt-punkti võrgu topoloogial, mis teoreetiliselt tähendaks, et neid ei saaks klassifitsserida VPN-idena – VPN definitsiooni põhjal on eeldatud, et VPN toetab omavolilisi ja muutuvaid võrgu sõlmesi – kuid kuna enamus populaarseid ja enim levinud ruutereid soosivad ja toetavad tarkvaraliselt definieerituid tunneliteliideseid siis tavakasutajate lepingulised VPN-id tihti ongi defineeritud tunnelite kogud, mis töötavad laialdaselt levinud tunneldamise protokollidel.

Erinevad virtuaalse privaatvõrgu seadeldised pakkujalt kasutajale

muuda

Olenevalt sellest, mis tasemel VPN pakkuja töötab [kas (L2 – kanalikiht, kaadri tasemel) või (L3 – võrgukiht, paketi tasemel)] on aluskihid, millel kõik töötab, erinevad ning nad kas kehtivad L2 või L3 kohta või siis sisaldavad mõlemat kihti, nii L2 kui ka L3, mida kutsutakse hulgiprotokoll-siltkommutatsiooniks, mis hajutabki piirid L2 ja L3 kihi kuuluvuse vahel[24].

  • Kasutaja seadeldis (C)

– seadeldis, mis asub kasutaja enda võrgus ja ei ole otseselt ühendatud teenusepakkuja võrku. C seadeldised ei oma teavet virtuaalse privaatvõrgu kohta.

  • Kasutaja edge seadeldis (võrgu äärseim seadeldis) (CE)

– seadeldis, mis asub kasutaja võrgu äärepunktis. Selle seadeldise kaudu saab VPN ligipääsu kasutaja võrku (ruuter, kommutaator). Olenevalt teenusepakkujast on need seadeldised modifitseeritavad tarkvaraliselt kasutaja poolt.

  • Teenuse pakkuja seadeldis (P)

– P seadeldis on seadeldis, mis eksisteerib teenuse pakkuja peamises võrgus ning ei ole kuidagi nähtav kasutajale. Selleks võib olla näiteks seadeldis, mis tegeleb marsruutimisega teenuse pakkuja võrgu ja muude võrkude vahel (teiste teenuste pakkujate võrkudega). P seadeldis on küll asendamatu osa teenuse pakkuja võrgus, kuid P seadeldis ise ei oma teadmisi VPN-idest. Lisaks toimib see seadeldis PE seadeldiste ühispunktina.

  • Teenuse pakkuja edge seadeldis (teenuse pakkuja äärseim seadeldis) (PE)

– seadeldis või seadeldised, mis asuvad teenuse pakkuja võrgu äärseimas punktis, mis ühendub kasutaja võrku läbi CE seadeldise. PE seadeldised on teadlikud VPN olemasolust, mis läbi nende ühendub väljapoole, ning lubavad VPN-idel eksisteerida.

Autentimine

muuda

Tunneli algus- ja lõpupunkt peavad olema autenditud enne, kui turvaline VPN tunnel saadakse luua.

Kasutaja tehtud kaug-VPN-d võivad kasutada selleks salasõnu, biomeetrilist krüpteeringut, kaheastmelist autentimist või muid krüpteerimismeetodeid.

Võrk-Võrgu tunnelid kasutavad tihti salasõnu või digitaalseid sertifikaate. Need sertifikaadid salvestavad võtme jäädavalt, seega on võimalik tunnel luua automaatselt, ilma administraatori abita.[25]

Virtuaalsed privaatvõrgud mobiilses keskkonnas

muuda

Mobiilset virtuaalset privaatvõrku kasutatakse olukorras, kus VPN-i lõpp-punkt pole fikseeritud ühegi kindla IP-aadressiga, vaid selle asemel uitühendab mööda erinevaid võrke, nagu näiteks andmevõrgud mobiilsetelt pakkujatel või mööda erinevaid Wi-Fi pääsupunkte.

Mobiilseid VPN-e kasutatakse sageli seoses avalikkuse turvalisusega seotud situatsioonides, kus näiteks korrakaitse ohvitseridele tagatakse ligipääs missioonikriitiliste rakendustele – näiteks arvuti poolt abistatav dispetšer ja kurjategijate andmebaas, kui nad liiguvad mööda erinevaid mobiilseid alamvõrke.[26]

Aina enam kasutavad mobiilseid VPN-e mobiilsed professionaalid, kes vajavad usaldusväärset ühendust. Mobiilseid VPN-e kasutatakse selleks, et muretult liikuda mööda erinevaid võrke ilma, et kaoks rakenduse ühendus või kaoks turvaline VPN-ühendus. Tavaline VPN ei suuda taluda selliseid sündmusi, sest kui tavalise VPN-võrgu tunnelit häiritakse, mille tõttu rakenduste ühendused katkevad, aeguvad või kaovad täielikult võib tagajärg olla VPN-i seadme enda kokku jooksmine.[27][28]

Kokkuvõtteks võib öelda, et selle asemel, et loogiliselt ''siduda kinni'' võrgu üks lõpp-punkt kindla IP-aadressi külge, on iga tunnel ''seotud kinni'' permanentselt mobiilse VPN-i algataja IP külge antud seadme IP. Mobiilse VPN-i tarkvara tegeleb kõige vajalikuga – võrgu autentimise ja hoiab võrgu seansi üleval ilma, et mobiilse VPN-i kasutaja midagi aru saaks. Selleks, et seda suudetaks saavutada, loodi (HIP) Host Identity Protocol.

Viited

muuda
  1. Mason, Andrew (2002). Cisco Secure Virtual Private Network. Cisco Press.
  2. "Wide Area Network and its benefits".
  3. "Virtual Private Networking: An Overview".
  4. Cisco Systems. nternet working Technologies Handbook, Third Edition. Cisco Press.
  5. Lewis, Mark. Comparing, Designing. And Deploying VPNs. Cisco Press.
  6. "Avatud Süsteemide Sidumise Arhitektuur".
  7. "Bridgeing VPN".
  8. "Tunneling Ethernet Frames in IP Datagrams".
  9. "Internetiprotokoll".
  10. "Address Allocation for Private Internets".
  11. 11,0 11,1 "IPsec".
  12. "Generic Routing Encapsulation".
  13. "Layer 2 Tunneling Protocol".
  14. "Point-to-Point Tunneling Protocol".
  15. Kingsley. "Types of VPN". Originaali arhiivikoopia seisuga 4. mai 2018.
  16. "Ultimate Powerful VPN Connectivity".
  17. "Microsoft Point-to-Point Encrypton".
  18. "Overview of Provider Provisioned Virtual Private Networks". Originaali arhiivikoopia seisuga 16. september 2016.
  19. "Generic Routing Encapsulation over IPv4 networks".
  20. "Layer Two Tunneling Protocol".
  21. Cisco Systems, Inc. Networking Technology Series, Internetworking Technologies Handbook. Cisco Press.
  22. "Cisco Layer Two Forwarding".
  23. "Point-to-Point Tunneling Protocol".
  24. "Multiprotocol Label Swtiching" (PDF).
  25. Lisa Phfier. "Mobile VPN: Closing the gap".
  26. Willett, Andy. "Solving the Computing Challanges of Mobile Officers". Originaali arhiivikoopia seisuga 12. aprill 2020.
  27. Phifer Lisa. "Mobile VPN: Closing the gap".
  28. Cheng Roger. "Lost Connections". The Wall Street Journal.

Välislingid

muuda