Rețea virtuală privată

O rețea virtuală privată (tradusă din engleză în italiană literal: Virtual Private Network ^[1] , acronim: VPN ), în telecomunicații , este o rețea privată de telecomunicații , stabilită ca o conexiune între subiecți care utilizează, ca tehnologie de transport, o protocol de transmisie partajat, cum ar fi suita de protocol Internet .

Diagrama principiului unui VPN bazat pe internet

Scopul rețelelor VPN este de a oferi companiilor, la un cost mai redus, aceleași posibilități ca și liniile private de închiriere, dar prin exploatarea rețelelor publice partajate: putem vedea, prin urmare, un VPN ca extensia geografică a unei rețele locale private corporative. conectează site-urile interne din cadrul companiei însăși răspândite pe un teritoriu extins, exploatând rutarea prin IP pentru transport la scară geografică și creând de fapt o rețea LAN, numită „virtuală” și „privată”, echivalentă cu o infrastructură de rețea fizică dedicată (adică cu legături fizice).

Descriere

Termenul VPN este un termen general care definește ideea și nu o marcă sau un standard; în special, nu există un organism care să reglementeze denumirea unui produs ca VPN: prin urmare, fiecare producător poate folosi denumirea după cum dorește. Cu toate acestea, există diverse organisme independente, recunoscute pe scară largă, care certifică interoperabilitatea (capacitatea unui sistem sau produs IT de a coopera și schimba informații) și securitatea sistemelor IT, precum ICSA Labs . Un aparat sau software, care poartă marca ICSA Labs pentru VPN-urile IPsec , a trecut cu siguranță o serie de teste obiective și replicabile, care garantează compatibilitatea cu toate celelalte implementări certificate și un nivel adecvat de securitate. Acum este opinia obișnuită că un VPN proiectat corespunzător are un grad de securitate comparabil, dacă nu chiar mai mare decât cel al unei rețele dedicate.

Cu un VPN, folosind un Internet (sau un radio) gratuit , este de exemplu posibil să vă conectați de la distanță (adică din exterior) la rețeaua de calculatoare a companiei. În termeni simplificați: printr-o conexiune VPN vă puteți „conecta” de la un client (utilizator, atât hardware, cât și software) ca și când ați fi fost conectat fizic (cablu de rețea sau sandwich fără fir). Conexiunea are loc printr-un tunel „virtual” (protejat și securizat) susținut de Internet la fel ca cablul fizic obișnuit. În acest fel puteți utiliza resursele obișnuite ale rețelei: foldere, sisteme de informații de gestionare, e-mail de companie și așa mai departe. În afară de exemplul de afaceri, acest lucru se aplică oricărei aplicații în care este necesară o conexiune la rețea la distanță. De exemplu, o instituție universitară poate activa un VPN pentru a permite studenților săi să consulte din publicațiile de acasă pentru care s-a abonat; atâta timp cât utilizatorul are activat serviciul VPN, toate cererile sale trec prin serverele instituției, ca și cum conexiunea ar fi făcută local, obținând astfel acces la serviciile de abonament rezervate; în același timp, utilizatorul este, de asemenea, supus politicilor managerului care poate, de exemplu, să cripteze sau nu conexiunea server-utilizator sau să inhibe unele protocoale precum P2P sau accesul la site-urile de internet incluse într-o listă neagră.

VPN-urile pot fi implementate prin intermediul celor mai comune sisteme de operare ( Windows , Linux , Android , iOS , macOS și MS-DOS ) sau prin intermediul software-ului terților (exemplu: Cisco VPN Client sau OpenVPN ) care permite configurații mai complexe și mai ușor de gestionat. În general, un VPN cuprinde două părți: una „externă rețelei private” și, prin urmare, protejată, care păstrează transmisia, și una mai puțin sigură și mai sigură, care este „cea din interiorul rețelei”, de exemplu prin intermediul internetului. Rețelele VPN utilizează conexiuni care necesită acces pentru a garanta accesul numai utilizatorilor autorizați; pentru a asigura securitatea că datele trimise prin Internet nu sunt interceptate sau utilizate de alte persoane neautorizate, rețelele folosesc sisteme de criptare . Prin urmare, rețelele VPN sigure adoptă protocoale care criptează traficul care trece prin rețeaua virtuală. În plus față de criptare , un VPN sigur trebuie să includă mecanisme în protocoalele sale care să prevină încălcările de securitate, cum ar fi furtul de identitate digitală sau modificarea mesajelor. În VPN este de obicei un firewall între computerul angajatului sau al unui client și terminalul sau serverul de rețea. Angajatul, de exemplu, la stabilirea conexiunii cu firewall - ul trebuie să verifice datele pe care dorește să le transmită, trecând printr-un serviciu de autentificare intern.

Unui utilizator autentificat i se pot acorda privilegii speciale pentru a accesa resurse care, în general, nu sunt accesibile tuturor utilizatorilor. Majoritatea programelor client necesită tot traficul IP VPN pentru a trece printr-un „tunel virtual” între rețele care utilizează internetul ca o legătură. Din punctul de vedere al utilizatorului, aceasta înseamnă că, în timp ce conexiunea VPN este activă, tot accesul extern la rețeaua securizată trebuie să treacă prin același firewall ca și când utilizatorul ar fi conectat fizic în rețeaua securizată. Acest lucru reduce riscul ca utilizatorii externi să poată accesa rețeaua privată a companiei. Cel mai exploatat instrument în acest sens este tunelarea , adică transmiterea datelor printr-o rețea privatizată, ceea ce face ca nodurile de rutare ale rețelei publice să nu poată percepe că transmisia face parte dintr-o rețea ascunsă; prin urmare, face posibilă utilizarea rețelei publice pentru a transporta date în numele clienților autorizați să acceseze rețeaua privată, asigurându-se că comunicarea de la un capăt la altul între utilizatori rămâne limitată logic în cadrul rețelei private. Tunelarea este de obicei creată prin încapsularea datelor și a protocolului în protocolul de rețea publică, astfel încât datele care trec prin tunel să nu fie înțelese de terți care ar putea examina datele transmise. Securitatea conexiunii VPN este de o importanță capitală, deoarece rețeaua la care lucrează celelalte computere poate fi nesigură sau doar parțial securizată. Prin urmare, VPN trebuie să asigure un nivel de securitate care să protejeze computerele angajaților care lucrează simultan pe aceeași rețea, dintre care unul poate fi infectat cu un virus , vierme sau troian .

Autentificarea utilizatorului

Natura VPN - transmiterea datelor private prin rețelele publice - necesită atenție la amenințările potențiale asupra datelor în sine și la impactul datelor pierdute. Un VPN are grijă de amenințările la adresa securității oferind servicii de securitate în tărâmuri, procesul de asigurare a faptului că un client sau un sistem este cine pretinde că este. Există multe mecanisme de autentificare, dar cele mai utilizate sunt:

ceva ce știți: (un identificator, cum ar fi o parolă sau un cod PIN );
ceva ce aveți: (un simbol care poate fi citit de computer, cum ar fi o cartelă inteligentă );
ceva ce sunteți: (retina sau amprentele digitale).

Conectările și parolele sunt în general considerate a fi autentificare slabă, în timp ce autentificarea puternică se realizează prin combinarea a două tipuri diferite de autentificare. Nivelul real de securitate depinde în mod evident de context, deoarece, de exemplu, o cartelă inteligentă poate fi furată, în timp ce acreditările de acces pot fi dificil de identificat. Datele de securitate furate sau pierdute pot permite atacuri multiple și pot necesita mai multe scheme de autentificare.

Nicio tehnică nu oferă securitate completă de autentificare, nici măcar biometrice (amprente digitale, amprente vocale și cartografiere retiniană).

Avantaje pentru companii

Un VPN bine structurat poate oferi avantaje mari unei companii:

extinde conectivitatea geografică;
îmbunătățește securitatea în cazul în care liniile de date nu au fost criptate;
reduce costurile de operare;
reduce timpul de tranzit și costurile de transport pentru clienții îndepărtați;
simplifică topologia rețelei, cel puțin în anumite scenarii;
oferă posibilitatea rețelelor globale;
oferă suport de rețea;
oferă compatibilitate cu rețelele de bandă largă ;
oferă un timp de recuperare mai rapid decât transportul tradițional al liniilor WAN (Wide Area Network);
prezintă o bună economie de scară .

Deoarece VPN a extins astfel „ rețeaua majoră ” cu o mulțime de echipamente și dispozitive, unele implementări de securitate necesită o atenție specială:

securitatea față de client trebuie consolidată și consolidată (acest lucru a fost determinat de administrația centrală a clienților și de aplicarea politicii de securitate ), adică este necesar ca o companie care are nevoie de fiecare angajat să își poată folosi VPN-ul în afara birourilor, înainte de orice instalați un firewall certificat (unele organizații cu date deosebit de sensibile determină angajații să utilizeze două conexiuni WAN diferite: una pentru a lucra la date sensibile și cealaltă pentru toate celelalte utilizări);
amploarea accesului la rețeaua țintă trebuie să fie limitată;
politicile de înregistrare trebuie să fie evaluate și, în majoritatea cazurilor, revizuite.

În situațiile în care companiile sau persoanele fizice au obligații legale de a păstra informații confidențiale, pot exista probleme juridice sau penale. Două exemple sunt reglementările HIPAA din Statele Unite cu privire la datele securizate și reglementările generale ale Uniunii Europene care se aplică tuturor informațiilor comerciale și contabile și se extind la cei care împărtășesc aceste date.

Tipuri de VPN-uri

VPN de încredere
VPN securizat
VPN hibrid
VPN multi-thread
Deschideți VPN

VPN de încredere

Garanția oferită de rețeaua VPN de încredere este securitatea că nicio terță parte neautorizată nu poate utiliza circuitul clientului. Aceasta implică faptul că clientul are propria adresă IP și propria politică de securitate.

Circuitul parcurge unul sau mai multe „comutatoare” de comunicații care pot fi compromise de oricine dorește să perturbe traficul de rețea. Prin urmare, un client VPN se așteaptă ca furnizorul VPN ( furnizorul ) să mențină integritatea circuitului pentru a preveni intrarea intrușilor.

Companiile care utilizează un VPN de încredere vor să aibă încrederea că datele lor se deplasează printr-o serie de căi care au proprietăți specifice și care sunt controlate de un furnizor de servicii de internet (ISP). Prin urmare, clientul are încredere că căile prin care se deplasează aceste date sunt păstrate în siguranță în conformitate cu criteriile unui acord anterior, chiar dacă, în general, clientul nu știe ce căi sunt utilizate de către furnizorul VPN de încredere.

Mai recent, furnizorii de servicii au început să ofere un nou tip de VPN de încredere, de data aceasta folosind Internetul în locul rețelei de telefonie ca substrat de comunicații. Aceste noi VPN de încredere nu oferă securitate, dar oferă clienților o modalitate de a crea cu ușurință segmente de rețea pe scară largă ( WAN ). Segmentele VPN de încredere pot fi, de asemenea, controlate dintr-un singur loc și adesea cu o garanție a calității serviciului (QoS - Quality of Service) de către furnizor.

Cerințe necesare

Nimeni din afara furnizorului VPN de încredere nu poate influența crearea sau modificarea rutei VPN.
- Nimeni din afara relației de încredere nu poate schimba nicio parte din VPN.
Nimeni din afara furnizorului VPN de încredere nu poate modifica datele primite sau șterse din calea VPN.
- Datele se deplasează în cadrul diferitelor căi care sunt partajate de mai mulți clienți ai furnizorului, calea trebuie deci specificată de VPN și nimeni altul decât furnizorul de încredere nu poate modifica diversele date.
Calea și adresa utilizate într-un VPN de încredere trebuie stabilite înainte de crearea VPN-ului.
- Clientul trebuie să știe la ce se așteaptă de la furnizor, astfel încât să poată planifica și construi rețeaua pentru care colaborează.

Tehnologii utilizate de VPN de încredere

Cu referire la stiva ISO / OSI , tehnologiile utilizate sunt împărțite în tehnologii de nivel 2 și nivel 3 ;

Nivelul 2

Circuite ATM ( Mod de transfer asincron )
Circuite de transmisie.

Nivelul 3

MPLS cu distribuție limitată a informațiilor de cale prin intermediul Protocolului Border Gateway (BGP).

VPN securizat

Deoarece Internetul s-a răspândit și a devenit un mijloc important de comunicare, securitatea a devenit tot mai importantă, atât pentru clienți, cât și pentru furnizori . Deoarece VPN-ul nu oferea o securitate completă, furnizorii de conectivitate au început să creeze protocoale care permiteau criptarea datelor de către rețea sau de computerul de origine, astfel încât să poată fi transportate pe internet ca orice alte date, pentru a fi apoi decriptate. la sosirea în rețeaua companiei sau pe computerul receptor.

Acest trafic criptat acționează ca un „ tunel ” între două rețele: chiar dacă un intrus a încercat să citească datele, el nu ar putea decripta conținutul sau să îl modifice, deoarece orice schimbări ar fi detectate imediat de către receptor și apoi respinse. Rețelele construite folosind criptarea datelor sunt denumite Secure VPN.

Principalul motiv pentru care companiile utilizează un VPN securizat este că pot transmite informații sensibile pe internet fără teama de a fi interceptate.

VPN-urile securizate sunt deosebit de utile pentru a permite accesul de la distanță al utilizatorilor conectați la Internet din zone necontrolate de administratorul de rețea .

Cerințe necesare

Tot traficul pe un VPN securizat trebuie să fie criptat și autentificat.
- Multe dintre protocoalele utilizate pentru a crea VPN-uri Secure permit crearea de rețele autentificate, dar necriptate.
  - Deși o astfel de rețea este mai sigură decât o rețea fără autentificare, nu ar putea fi considerată un VPN, deoarece nu protejează confidențialitatea.
Proprietățile de securitate ale unui VPN trebuie să fie convenite de toate părțile la VPN.
- VPN-urile securizate au unul sau mai multe tuneluri și fiecare tunel are două capete.
  - Administratorii de la ambele capete ale fiecărui tunel trebuie să poată conveni asupra proprietăților de siguranță ale tunelului.
Nimeni din afara VPN nu poate compromite proprietățile de securitate ale VPN-ului.
- Trebuie să fie imposibil pentru un intrus să modifice proprietățile de securitate ale uneia sau mai multor părți ale VPN pentru a slăbi criptarea sau a compromite cheile de criptare utilizate.

Tehnologii utilizate de VPN-uri Secure

IPsec cu criptare în fiecare tunel.
IPsec intern pentru L2TP .
SSL / TLS 3.0 sau TLS cu criptare.

Aceste tehnologii sunt standardizate în Internet Engineering Task Force (IETF). ^[2]

VPN hibrid

Un VPN securizat poate fi utilizat ca parte a unui VPN de încredere prin crearea unui al treilea tip de VPN, introdus recent pe piață:

VPN hibrid

Părțile securizate ale unui VPN hibrid pot fi controlate de un client sau de același furnizor care furnizează partea de încredere a VPN hibrid. Uneori, un întreg VPN hibrid este securizat cu un VPN securizat, dar mai frecvent, doar o parte din VPN hibrid este securizată. Este clar că VPN-urile securizate și VPN-urile de încredere au proprietăți foarte diferite:

VPN-urile securizate oferă securitate, dar nu asigură rutele;
VPN-urile de încredere asigură proprietăți de cale, cum ar fi QoS, dar nu siguranța la intruziune.

Datorită acestor puncte forte și puncte slabe, au fost introduse VPN-uri hibride. Cu toate acestea, scenariile de utilizare sunt încă în evoluție. O situație tipică pentru implementarea unui VPN hibrid este atunci când o companie are deja un VPN de încredere și dorește securitate în partea VPN. Cu toate acestea, nici una dintre tehnologiile VPN de încredere nu împiedică crearea VPN-ului hibrid și unii producători construiesc sisteme care acceptă în mod explicit crearea serviciilor VPN hibrid.

Cerințe necesare

Adresele de frontieră dintre VPN securizat și VPN de încredere trebuie să fie extrem de clare.
- Într-un VPN hibrid, VPN-ul securizat ar trebui să fie un subset al VPN-ului de încredere. Pentru fiecare pereche de adrese date într-un VPN hibrid, administratorul VPN trebuie să poată ști cu siguranță dacă traficul dintre cele două adrese face parte sau nu din Secure VPN.

Protocoale utilizate

VPN-urile securizate utilizează protocoale de tunel criptografice pentru a oferi autentificarea expeditorului și integritatea mesajului în scopul apărării confidențialității ^[3] . Odată alese, implementate și utilizate, unele tehnici pot oferi comunicații sigure prin rețele nesecurizate. Tehnologiile VPN securizate ar trebui utilizate ca „ suprapuneri de securitate ” prin infrastructuri de rețea dedicate.

Cele mai populare protocoale care implementează un VPN securizat sunt:

IPsec ( securitate IP), utilizat în mod obișnuit pe IPv4 (parte obligatorie a IPv6).
PPTP ( protocol de tunelare punct-la-punct ), dezvoltat de Microsoft.
SSL / TLS , utilizat atât pentru tunelarea întregii rețele, ca în proiectul OpenVPN , cât și pentru a vă asigura că este în esență un proxy web. SSL este un cadru , foarte adesea asociat cu comerțul electronic, care s-a dovedit a fi de o mare flexibilitate și, prin urmare, este utilizat ca strat de securitate pentru diferite implementări (mai mult sau mai puțin standard) ale rețelelor private virtuale. Acest protocol este originea clienților VPN numiți SSL VPN (OpenVPN, de exemplu, este un VPN SSL ^[4] ).
Carantină VPN: Mașina terminalului VPN al clientului ar putea fi o sursă de atac, care nu depinde de proiectarea VPN. Există soluții care oferă servicii VPN de carantină care controlează computerul la distanță. Clientul este ținut în carantină până la eliminarea infecției.
MPVPN (Multi Path Virtual Private Network), o marcă înregistrată deținută de Ragula System Development Company.
ISP-urile oferă acum un serviciu VPN pentru companiile care doresc securitatea și confortul unui VPN. Pe lângă faptul că oferă angajaților la distanță acces securizat la rețeaua internă, alte servicii de securitate și gestionare sunt uneori incluse. Aceste mecanisme nu implementează în sine o rețea virtuală, ci doar o comunicare sigură între două terminale. În aceste cazuri, mecanismul de rețea virtuală trebuie implementat folosind un protocol specific care este apoi încapsulat. Există acum o serie de abordări alternative (și, evident, incompatibile reciproc) la această schemă, printre care putem menționa următoarele:
- Protocol SOCKS : această abordare este cea mai „standardă”, deoarece SOCKS este un standard IETF pentru traversarea generică de paravan de protecție definit în RFC 1928 ;
- OpenVPN oferă un executabil care creează un tunel criptat cu o altă instanță a aceluiași program pe un computer la distanță și poate transporta întregul stack TCP / IP;
- o altă abordare larg utilizată folosește protocolul SSH care este capabil, ca OpenVPN, să creeze tuneluri între două mașini conectate. Această caracteristică a fost născută pentru a transporta XWindow, dar a fost implementată într-un mod general și, prin urmare, este posibil să o utilizați pentru a transporta orice protocol. O implementare foarte populară, deoarece este open source și gratuită, este OpenSSH ;
- abordarea de acum a tuturor furnizorilor de firewall este de a folosi STL pentru a asigura comunicarea cu un proxy care poate fi accesat prin browser. În realitate, canalul criptat este în general creat printr-un applet Java sau un obiect ActiveX , care poate fi, prin urmare, instalat într-un mod aproape transparent pentru utilizatorul final. Ușurința de gestionare rezultată face ca această abordare să fie deosebit de populară în organizațiile complexe.

Unele rețele VPN securizate nu folosesc algoritmi de criptare, dar presupun că un singur subiect de încredere gestionează întreaga rețea partajată și că, prin urmare, imposibilitatea de a accesa traficul global al rețelei face ca canalele individuale să fie sigure, dat fiind că administratorul de rețea furnizează doar fiecare subiect. cu propriul VPN. Protocoalele care utilizează această filozofie includ:

L2F ( layer 2 Forwarding), dezvoltat de Cisco;
L2TP ( Layer 2 Tunneling Protocol), dezvoltat în colaborare între Microsoft și Cisco;
L2TPv3 ( layer 2 Tunneling Protocol version 3). VPN-urile de încredere nu utilizează tuneluri criptografice și se bazează în schimb pe securitatea unei rețele cu un singur furnizor pentru a proteja traficul. Într-un sens, aceasta este o elaborare a unei rețele tradiționale;
Comutarea multiplă a etichetelor de protocol ( MPLS ) este adesea utilizată pentru a construi un VPN de încredere.

Dispozitiv TAP

Unii clienți ai soluțiilor VPN (de exemplu OpenVPN ) instalează, de asemenea, un dispozitiv de rețea virtuală de tip TAP în sistemul de operare pentru a activa funcția de tunelare sigură. Dacă dezactivați serviciul aferent, conexiunea la gazdă nu este finalizată.

Notă

^ rețea virtuală privată - traducere în engleză - Dicționar TechDico , pe el.TechDico . Adus pe 19 iulie 2019 .
^ (EN) The Internet Engineering Task Force (IETF®) pe ietf.org. Adus la 1 iunie 2016 .
^ Protocoale VPN - O prezentare detaliată , pe Digitale.co .
^ https://openvpn.net/faq/why-ssl-vpn/

Alte proiecte

Wikimedia Commons conține imagini sau alte fișiere dintr- o rețea privată virtuală

linkuri externe

Rețea privată virtuală , pe Sapienza.it , De Agostini .
( EN ) Rețea privată virtuală , pe Encyclopedia Britannica , Encyclopædia Britannica, Inc.
LeMigliorVPN.com - Tutoriale și ghiduri despre VPN-urile comerciale , la lemigliorivpn.com .
VPN sau rețele private virtuale: tehnologia IPsec v3 - prima parte , pe areanetworking.it .
( EN ) VPN IPsec: EzVPN, GRE, DMVPN, VTI, GETVPN , la ciscozine.com .
( EN ) Virtual Private Network Consortium , pe vpnc.org .
( RO ) OpenVPN , pe openvpn.net .
Ghid pentru VPN-uri: ce este, cum funcționează și cum să alegeți cel mai bun , pe punto-informatico.it .
Ce este un VPN, de ce să îl folosești și întrebări frecvente , pe giardiniblog.it .
VPN-uri gratuite pentru Italia - Tutoriale și ghiduri , pe it.vpnwelt.com .

Portal IT	Portal internet
Portalul telecomunicațiilor	Portal telematic

[1] rețea virtuală privată - traducere în engleză - Dicționar TechDico , pe el.TechDico . Adus pe 19 iulie 2019 .

[2] (EN) The Internet Engineering Task Force (IETF®) pe ietf.org. Adus la 1 iunie 2016 .

[3] Protocoale VPN - O prezentare detaliată , pe Digitale.co .

[4] ttps://openvpn.net/faq/why-ssl-vpn/

[1]

[2]

[3]

[4]