Эта статья требует дополнительных ссылок для проверки . ( май 2021 г. ) |
Виртуальная частная сеть ( VPN ) расширяет частную сеть через общедоступную сеть и позволяет пользователям отправлять и получать данные через общие или сети общего пользование , как если бы их вычислительные устройства были подключены к частной сети. Таким образом, приложения, работающие через VPN, могут получить выгоду от функциональности, безопасности и управления частной сетью. Он обеспечивает доступ к ресурсам, которые могут быть недоступны в сети общего пользования, и обычно используется для удаленных сотрудников. Шифрование - это обычная, но не неотъемлемая часть VPN-соединения. [1]
VPN создается путем установления виртуального двухточечного соединения с использованием выделенных каналов или протоколов туннелирования по существующим сетям. VPN, доступная из общедоступного Интернета, может предоставить некоторые из преимуществ глобальной сети (WAN). С точки зрения пользователя, к ресурсам, доступным в частной сети, можно получить удаленный доступ. [2]
Виртуальные частные сети можно разделить на несколько категорий:
Обычно отдельные лица взаимодействуют с виртуальными частями удаленного доступа, в то время как предприятия, как правило, используют соединения «сеть-сеть» для сценариев « бизнес-бизнес» , облачных вычислений и филиалов . Несмотря на это, эти технологии не являются взаимоисключающими и в очень сложной бизнес-сети могут быть объединены для обеспечения удаленного доступа к ресурсам, расположенным на любом заданном сайте, например, системе заказов, которая находится в центре обработки данных.
Системы VPN также можно классифицировать по:
VPN не могут делать онлайн-соединения полностью анонимными, но обычно они могут повысить конфиденциальность и безопасность. Чтобы предотвратить раскрытие частной информации, VPN обычно разрешают только аутентифицированный удаленный доступ с использованием протоколов туннелирования и методов шифрования .
Модель безопасности VPN обеспечивает:
Протоколы Secure VPN включают в себя следующее:
Конечные точки туннеля должны быть аутентифицированы, прежде чем можно будет установить безопасные туннели VPN. Создаваемые пользователями виртуальные частные сети удаленного доступа могут использовать пароли , биометрические данные , двухфакторную аутентификацию или другие криптографические методы. В туннелях между сетью часто используются пароли или цифровые сертификаты . В них постоянно хранится ключ, позволяющий автоматически устанавливать туннель без вмешательства администратора.
Протоколы туннелирования могут работать в топологии сети « точка-точка» , которая теоретически не может считаться VPN, поскольку ожидается, что VPN по определению будет поддерживать произвольные и изменяющиеся наборы сетевых узлов. Но поскольку большинство реализаций маршрутизаторов поддерживают программно определяемый туннельный интерфейс, предоставляемые заказчиком VPN часто представляют собой просто определенные туннели, в которых используются обычные протоколы маршрутизации.
В зависимости от того, работает ли VPN, предоставляемая поставщиком (PPVPN), на уровне 2 или уровне 3, описанные ниже стандартные блоки могут быть только L2, только L3 или их комбинацией. Функциональность мультипротокольной коммутации меток (MPLS) размывает идентичность L2-L3. {{ [17] }} [ оригинальное исследование? ]
RFC 4026 обобщил следующие термины, чтобы охватить L2 MPLS VPN и L3 (BGP) VPN, но они были введены в RFC 2547 . [18] [19]
Устройство, которое находится в сети клиента и не подключено напрямую к сети поставщика услуг. Устройства C не знают о VPN.
Устройство на границе сети клиента, обеспечивающее доступ к PPVPN. Иногда это просто разграничение ответственности поставщика и клиента. Другие провайдеры позволяют клиентам настраивать его.
Устройство или набор устройств на границе сети провайдера, которые подключаются к клиентским сетям через устройства CE и представляют точку зрения провайдера на сайт клиента. PE знают о VPN, которые подключаются через них, и поддерживают состояние VPN.
Устройство, которое работает внутри базовой сети поставщика и не взаимодействует напрямую с конечной точкой клиента. Например, он может обеспечивать маршрутизацию для множества туннелей, управляемых провайдером, которые принадлежат PPVPN разных клиентов. Хотя устройство P является ключевой частью реализации PPVPN, оно само не поддерживает VPN и не поддерживает состояние VPN. Его основная роль заключается в том, чтобы позволить поставщику услуг масштабировать свои предложения PPVPN, например, выступая в качестве точки агрегации для нескольких PE. Соединения P-to-P в этой роли часто представляют собой оптические каналы с высокой пропускной способностью между основными местоположениями поставщиков.
Виртуальная локальная сеть (VLAN) - это метод уровня 2, который позволяет сосуществовать множеству широковещательных доменов локальной сети (LAN), соединенных между собой через соединительные линии с использованием транкового протокола IEEE 802.1Q . Другие протоколы транкинга использовались, но стали устаревшими, включая Inter-Switch Link (ISL), IEEE 802.10 (первоначально протокол безопасности, но подмножество было введено для транкинга) и ATM LAN Emulation (LANE).
Виртуальные локальные сети (VLAN), разработанные Институтом инженеров по электротехнике и радиоэлектронике , позволяют нескольким тегированным локальным сетям совместно использовать общий транкинг. Сети VLAN часто включают только объекты, принадлежащие клиенту. В то время как VPLS, описанный в предыдущем разделе (службы OSI уровня 1), поддерживает эмуляцию топологий как точка-точка, так и точка-многоточка, обсуждаемый здесь метод расширяет возможности технологий уровня 2, таких как магистральная сеть LAN 802.1d и 802.1q. через транспорт, такой как Metro Ethernet .
В данном контексте VPLS - это PPVPN уровня 2, имитирующая полную функциональность традиционной LAN. С точки зрения пользователя, VPLS позволяет соединять несколько сегментов LAN через ядро провайдера с коммутацией пакетов или оптическое ядро, прозрачное для пользователя, заставляя удаленные сегменты LAN вести себя как одну единую LAN. [20]
В VPLS сеть провайдера имитирует обучающий мост, который опционально может включать службу VLAN.
PW похож на VPLS, но может предоставлять разные протоколы L2 на обоих концах. Обычно его интерфейс представляет собой протокол WAN, такой как режим асинхронной передачи или Frame Relay . Напротив, при стремлении обеспечить видимость LAN, смежной между двумя или более местоположениями, будет уместна услуга Virtual Private LAN или IPLS.
EtherIP ( RFC 3378 ) [21] - это спецификация протокола туннелирования Ethernet через IP. EtherIP имеет только механизм инкапсуляции пакетов. В нем нет защиты конфиденциальности и целостности сообщений. EtherIP был представлен в сетевом стеке FreeBSD [22] и в серверной программе SoftEther VPN [23] .
Подмножество VPLS, устройства CE должны иметь возможности уровня 3; IPLS представляет пакеты, а не кадры. Он может поддерживать IPv4 или IPv6.
В этом разделе обсуждаются основные архитектуры для PPVPN, в одной из которых PE устраняет неоднозначность адресов в одном экземпляре маршрутизации, а в другой - виртуальный маршрутизатор, в котором PE содержит экземпляр виртуального маршрутизатора для каждой VPN. Первый подход и его варианты привлекли наибольшее внимание.
Одна из проблем PPVPN связана с тем, что разные клиенты используют одно и то же адресное пространство, особенно пространство частных адресов IPv4. [24] Провайдер должен уметь устранять перекрывающиеся адреса в PPVPN нескольких клиентов.
В методе, определенном в RFC 2547 , расширения BGP объявляют маршруты в семействе адресов IPv4 VPN, которые имеют форму 12-байтовых строк, начиная с 8-байтового идентификатора маршрута (RD) и заканчивая 4-байтовым IPv4-адресом. . RD устраняет неоднозначность, иначе дублирующиеся адреса в одном и том же PE.
PE понимают топологию каждой VPN, которые связаны с туннелями MPLS либо напрямую, либо через P-маршрутизаторы. В терминологии MPLS маршрутизаторы P - это маршрутизаторы с коммутацией меток, не осведомленные о виртуальных частных сетях.
Архитектура виртуального маршрутизатора [25] [26], в отличие от методов BGP / MPLS, не требует модификации существующих протоколов маршрутизации, таких как BGP. Предоставляя логически независимые домены маршрутизации, заказчик, использующий VPN, полностью отвечает за адресное пространство. В различных туннелях MPLS разные PPVPN различаются по своей метке, но не нуждаются в различителях маршрутизации.
Некоторые виртуальные сети используют протоколы туннелирования без шифрования для защиты конфиденциальности данных. Хотя виртуальные частные сети часто действительно обеспечивают безопасность, незашифрованная оверлейная сеть не может полностью вписаться в безопасную или надежную категоризацию. [27] Например, туннель, установленный между двумя хостами с помощью Generic Routing Encapsulation (GRE), является виртуальной частной сетью, но не является ни безопасной, ни надежной. [28] [29]
Собственные протоколы туннелирования открытого текста включают протокол туннелирования уровня 2 (L2TP), когда он настроен без IPsec, и протокол туннелирования точка-точка (PPTP) или шифрование точка-точка (MPPE) Microsoft . [30]
Надежные VPN не используют криптографическое туннелирование; вместо этого они полагаются на безопасность сети одного провайдера для защиты трафика. [31]
С точки зрения безопасности, VPN либо доверяют базовой сети доставки, либо должны обеспечивать безопасность с помощью механизмов в самой VPN. Если доверенная сеть доставки не работает только между физически защищенными сайтами, как для доверенных, так и для защищенных моделей требуется механизм аутентификации для пользователей, чтобы получить доступ к VPN.
Мобильные виртуальные частные сети используются в настройках, где конечная точка VPN не привязана к одному IP-адресу , а вместо этого перемещается по различным сетям, таким как сети передачи данных от операторов сотовой связи или между несколькими точками доступа Wi-Fi, не прерывая безопасный сеанс VPN. или потеря сеансов приложения. [35] Мобильные виртуальные частные сети широко используются в сфере общественной безопасности, где они предоставляют правоохранительным органам доступ к таким приложениям, как компьютерная диспетчеризация и криминальные базы данных [36], а также в других организациях с аналогичными требованиями, например, в управлении полевыми услугами и здравоохранении. [37] [нужна цитата для проверки ].
Ограничением традиционных VPN является то, что они являются соединениями точка-точка и не поддерживают широковещательные домены ; поэтому связь, программное обеспечение и сеть, которые основаны на уровне 2 и широковещательных пакетах , например NetBIOS, используемом в сети Windows , могут не поддерживаться полностью, как в локальной сети . Варианты VPN, такие как Virtual Private LAN Service (VPLS) и протоколы туннелирования уровня 2, предназначены для преодоления этого ограничения. [38]
OpenConnect - это клиент для Cisco AnyConnect SSL VPN [...] OpenConnect официально не поддерживается и не связан каким-либо образом с Cisco Systems.
Просто так получается взаимодействовать с их оборудованием.
[...] VPN, использующие выделенные каналы, такие как Frame Relay, [...] иногда называются доверенными VPN , потому что клиенты верят, что сетевые объекты, эксплуатируемые поставщиками услуг, не будут скомпрометированы.