Sanal özel ağ - Virtual private network

Bir sanal özel ağ ( VPN ), özel bir ağı genel bir üzerinden genişletir ve kullanıcıların, bilgi işlem cihazları doğrudan özel ağa bağlıymış gibi, paylaşılan veya genel ağlar üzerinden veri gönderip almasına olanak tanır. Bir VPN'nin faydaları arasında işlevsellik, güvenlik ve özel ağın yönetimindeki artışlar yer alır . Genel ağda erişilemeyen kaynaklara erişim sağlar ve genellikle telekomünikasyon çalışanları için kullanılır . Bir VPN bağlantısının doğal bir parçası olmasa da şifreleme yaygındır.

Özel devreler kullanılarak veya mevcut ağlar üzerinde tünel protokolleri ile sanal bir noktadan noktaya bağlantı kurularak bir VPN oluşturulur . Genel İnternet'te bulunan bir VPN, geniş alan ağının (WAN) bazı avantajlarını sağlayabilir . Kullanıcı açısından, özel ağda bulunan kaynaklara uzaktan erişilebilir.

Türler

Önce topolojiye, ardından kullanılan teknolojiye dayalı VPN sınıflandırma ağacı.
Birlikte kullanılan intranet siteler arası ve uzaktan çalışma yapılandırmalarını gösteren VPN bağlantısına genel bakış

Sanal özel ağlar birkaç kategoriye göre sınıflandırılabilir:

Uzaktan erişim
Bir ana makine-ağa yapılandırma bir yerel alan ağı bir bilgisayar bağlayıp benzer. Bu tür, intranet gibi bir kurumsal ağa erişim sağlar . Bu, özel kaynaklara erişmesi gereken telekomünikasyon çalışanları için veya bir mobil çalışanın önemli araçlara, onları genel İnternet'e maruz bırakmadan erişmesini sağlamak için kullanılabilir.
Şantiye
Bir site için site yapılandırma iki ağ bağlar. Bu yapılandırma, bir ağı coğrafi olarak farklı ofisler arasında veya bir grup ofisi bir veri merkezi kurulumuna genişletir. Birbirine bağlanan bağlantı, bir IPv4 ağı üzerinden bağlanan iki IPv6 ağı gibi farklı bir ara ağ üzerinden çalışabilir .
Extranet tabanlı siteden siteye
Siteden siteye yapılandırmalar bağlamında, intranet ve extranet terimleri iki farklı kullanım durumunu açıklamak için kullanılır. Bir intranet siteden siteye VPN, VPN ile bağlanan sitelerin aynı kuruluşa ait olduğu bir yapılandırmayı açıklarken, extranet siteden siteye VPN, birden fazla kuruluşa ait sitelere katılır.

Tipik olarak, bireyler uzaktan erişim VPN'leriyle etkileşime girerken, işletmeler işletmeden işletmeye , bulut bilişim ve şube ofis senaryoları için siteden siteye bağlantıları kullanma eğilimindedir . Buna rağmen, bu teknolojiler birbirini dışlamaz ve önemli ölçüde karmaşık bir iş ağında, bir veri merkezinde bulunan bir sipariş sistemi gibi herhangi bir sitede bulunan kaynaklara uzaktan erişim sağlamak için birleştirilebilir.

VPN sistemleri ayrıca şu şekilde sınıflandırılabilir:

  • için kullanılan tünel protokolü tüneli trafik
  • tünelin sonlandırma noktası konumu, örneğin müşteri ucunda veya ağ sağlayıcı kenarında
  • siteden siteye veya ağdan ağa gibi bağlantıların topolojisinin türü
  • sağlanan güvenlik seviyeleri
  • OSI tabaka böyle Katman 2 devreler veya Katman 3 ağ bağlantısı gibi, bağlantı ağına mevcut
  • eşzamanlı bağlantı sayısı

Güvenlik mekanizmaları

VPN'ler çevrimiçi bağlantıları tamamen anonim hale getiremez, ancak genellikle gizliliği ve güvenliği artırabilir. Özel bilgilerin ifşasını önlemek için VPN'ler genellikle tünel protokolleri ve şifreleme teknikleri kullanılarak yalnızca kimliği doğrulanmış uzaktan erişime izin verir .

VPN güvenlik modeli şunları sağlar:

Bir sanal özel ağda bir IPSec Tünelinin yaşam döngüsü aşamaları.

Güvenli VPN protokolleri şunları içerir:

  • Internet Protokolü Güvenliği ( IPsec ) başlangıçta tarafından geliştirilen Internet Engineering Task Force için (IETF) IPv6 tüm standartlara uyumlu uygulamalarda gerekli, IPv6 önce RFC  6434 bu sadece bir öneridir yaptı. Bu standartlara dayalı güvenlik protokolü, IPv4 ve Katman 2 Tünel Protokolü ile de yaygın olarak kullanılmaktadır . Tasarımı çoğu güvenlik hedefini karşılar: kullanılabilirlik, bütünlük ve gizlilik . IPsec, bir IP paketini bir IPsec paketinin içine yerleştiren şifreleme kullanır. De-encapsulation, orijinal IP paketinin şifresinin çözüldüğü ve amaçlanan hedefine iletildiği tünelin sonunda gerçekleşir.
  • Aktarım Katmanı Güvenliği ( SSL/TLS ) tüm ağın trafiğini tünelleyebilir ( OpenVPN projesinde ve SoftEther VPN projesinde olduğu gibi) veya bireysel bir bağlantıyı güvence altına alabilir. Bir dizi satıcı, SSL aracılığıyla uzaktan erişim VPN yetenekleri sağlar. Bir SSL VPN, IPsec'in Ağ Adresi Çevirisi ve güvenlik duvarı kurallarıyla sorun yaşadığı konumlardan bağlanabilir .
  • Veri Birimi Aktarım Katmanı Güvenliği ( DTLS ) - Cisco kullanılan AnyConnect VPN ve içinde OpenConnect VPN sorunları çözmek için SSL / TLS üzerinde tünel ile olan TCP (TCP büyük gecikmeler ve bağlantıyı terkeder yol açabilir üzerine tünel TCP).
  • Microsoft Noktadan Noktaya Şifreleme ( MPPE ), Noktadan Noktaya Tünel Protokolü ile ve diğer platformlardaki çeşitli uyumlu uygulamalarda çalışır.
  • Microsoft Güvenli Yuva Tünel Protokolü ( SSTP ), Noktadan Noktaya Protokolü (PPP) veya Katman 2 Tünel Protokolü trafiğini bir SSL/TLS kanalı (SSTP, Windows Server 2008 ve Windows Vista Service Pack 1'de kullanıma sunulmuştur) üzerinden tüneller .
  • Çok Yollu Sanal Özel Ağ (MPVPN). Ragula Systems Development Company, "MPVPN" tescilli ticari markasına sahiptir .
  • Secure Shell (SSH) VPN – OpenSSH , bir ağa veya ağlar arası bağlantılara uzak bağlantıları güvenli hale getirmek için VPN tünelleme ( port yönlendirmeden farklı ) sunar. OpenSSH sunucusu, sınırlı sayıda eşzamanlı tünel sağlar. VPN özelliğinin kendisi kişisel kimlik doğrulamayı desteklemez.
  • WireGuard bir protokoldür. 2020'de hem Linux hem de Android çekirdeklerine WireGuard desteği eklenerek VPN sağlayıcıları tarafından benimsenmeye açıldı. Varsayılan olarak, WireGuard kullanan Curve25519 için anahtar değişimi ve ChaCha20 şifreleme için değil, aynı zamanda istemci ve sunucu arasında bir simetrik anahtar önceden paylaşma yeteneğini de içerir.
  • IKEv2 , Internet Anahtar Değişimi hacmi 2'nin kısaltmasıdır. Microsoft ve Cisco tarafından oluşturulmuştur ve şifreleme ve kimlik doğrulama için IPSec ile birlikte kullanılır . Bir bağlantı kesildiğinde yeniden katılmada etkili olduğu için birincil kullanımı, 3G veya 4G LTE ağlarında olsun, mobil cihazlardadır.

kimlik doğrulama

Güvenli VPN tünellerinin oluşturulabilmesi için tünel uç noktalarının kimliğinin doğrulanması gerekir. Kullanıcı tarafından oluşturulan uzaktan erişim VPN'leri parolaları , biyometriyi , iki faktörlü kimlik doğrulamayı veya diğer şifreleme yöntemlerini kullanabilir. Ağdan ağa tüneller genellikle parolalar veya dijital sertifikalar kullanır . Yöneticinin müdahalesi olmadan tünelin otomatik olarak kurulmasına izin vermek için anahtarı kalıcı olarak saklarlar.

yönlendirme

Tünel açma protokolleri, teorik olarak bir VPN olarak kabul edilmeyen bir noktadan noktaya ağ topolojisinde çalışabilir, çünkü tanım gereği bir VPN'nin keyfi ve değişen ağ düğümleri kümelerini desteklemesi beklenir. Ancak çoğu yönlendirici uygulaması yazılım tanımlı bir tünel arabirimini desteklediğinden, müşteri tarafından sağlanan VPN'ler genellikle geleneksel yönlendirme protokollerini çalıştıran basit tanımlanmış tünellerdir.

Sağlayıcı tarafından sağlanan VPN yapı taşları

Siteden Siteye VPN terminolojisi.

Sağlayıcı tarafından sağlanan bir VPN'nin (PPVPN) katman 2'de veya katman 3'te çalışmasına bağlı olarak, aşağıda açıklanan yapı taşları yalnızca L2, yalnızca L3 veya her ikisinin bir kombinasyonu olabilir. Çok protokollü etiket değiştirme (MPLS) işlevi, L2-L3 kimliğini bulanıklaştırır.

RFC  4026 , aşağıdaki terimleri L2 MPLS VPN'leri ve L3 (BGP) VPN'leri kapsayacak şekilde genelleştirdi , ancak bunlar RFC  2547'de tanıtıldı .

Müşteri (C) cihazları

Müşterinin ağında bulunan ve servis sağlayıcının ağına doğrudan bağlı olmayan bir cihaz. C cihazları VPN'den haberdar değildir.

Müşteri Kenarı cihazı (CE)

PPVPN'e erişim sağlayan, müşterinin ağının ucunda bulunan bir cihaz. Bazen bu, sağlayıcı ile müşteri sorumluluğu arasında sadece bir sınır noktasıdır. Diğer sağlayıcılar müşterilerin bunu yapılandırmasına izin verir.

Sağlayıcı uç cihazı (PE)

Sağlayıcı ağının ucunda, CE cihazları aracılığıyla müşteri ağlarına bağlanan ve sağlayıcının müşteri sitesine bakışını sunan bir cihaz veya cihazlar grubu. PE'ler, kendileri aracılığıyla bağlanan VPN'lerin farkındadır ve VPN durumunu korur.

Sağlayıcı cihaz (P)

Sağlayıcının çekirdek ağı içinde çalışan ve herhangi bir müşteri uç noktasıyla doğrudan arabirim oluşturmayan bir cihaz. Örneğin, farklı müşterilerin PPVPN'lerine ait sağlayıcı tarafından işletilen birçok tünel için yönlendirme sağlayabilir. P cihazı, PPVPN'leri uygulamanın önemli bir parçası olsa da, kendisi VPN farkında değildir ve VPN durumunu korumaz. Başlıca rolü, örneğin birden fazla PE için bir toplama noktası olarak hareket ederek hizmet sağlayıcının PPVPN tekliflerini ölçeklendirmesine izin vermektir. P-to-P bağlantıları, böyle bir rolde, genellikle sağlayıcıların ana lokasyonları arasında yüksek kapasiteli optik bağlantılardır.

Kullanıcı tarafından görülebilen PPVPN hizmetleri

OSI Katman 2 hizmetleri

Sanal LAN

Sanal LAN (VLAN), IEEE 802.1Q bağlantı protokolünü kullanarak ana hatlar aracılığıyla birbirine bağlanan birden çok yerel alan ağı (LAN) yayın etki alanının bir arada bulunmasına izin veren bir Katman 2 tekniğidir . Inter-Switch Link (ISL), IEEE 802.10 (başlangıçta bir güvenlik protokolü, ancak kanal oluşturma için bir alt küme tanıtıldı) ve ATM LAN Öykünmesi (LANE) dahil olmak üzere diğer kanal oluşturma protokolleri kullanılmış ancak modası geçmiş hale geldi.

Sanal özel LAN hizmeti (VPLS)

Tarafından geliştirilen Elektrik ve Elektronik Mühendisleri Enstitüsü , Sanal LAN (VLAN) hisse ortak için birden Etiketlenmiş LAN kanal verir. VLAN'lar genellikle yalnızca müşteriye ait tesislerden oluşur. Yukarıdaki bölümde açıklandığı gibi VPLS (OSI Katman 1 hizmetleri) hem noktadan noktaya hem de noktadan çok noktaya topolojilerin öykünmesini desteklerken, burada tartışılan yöntem, 802.1d ve 802.1q LAN kanalı gibi Katman 2 teknolojilerini çalıştıracak şekilde genişletir. Metro Ethernet gibi taşımalar üzerinden .

Bu bağlamda kullanıldığı şekliyle bir VPLS , geleneksel bir LAN'ın tam işlevselliğini taklit eden bir Katman 2 PPVPN'dir. Kullanıcı açısından bakıldığında, bir VPLS, paket anahtarlamalı veya optik, sağlayıcı çekirdeği, kullanıcı için şeffaf bir çekirdek üzerinden birkaç LAN segmentini birbirine bağlamayı mümkün kılar ve uzak LAN segmentlerinin tek bir LAN gibi davranmasını sağlar.

Bir VPLS'de, sağlayıcı ağı, isteğe bağlı olarak VLAN hizmetini içerebilen bir öğrenme köprüsüne öykünür.

Sahte tel (PW)

PW, VPLS'ye benzer, ancak her iki uçta da farklı L2 protokolleri sağlayabilir. Tipik olarak arayüzü, Asenkron Aktarım Modu veya Çerçeve Aktarımı gibi bir WAN protokolüdür . Buna karşılık, iki veya daha fazla konum arasında bitişik bir LAN görünümü sağlamayı amaçlarken, Sanal Özel LAN hizmeti veya IPLS uygun olacaktır.

IP tünelleme üzerinden Ethernet

EtherIP ( RFC  3378 ), bir Ethernet üzerinden IP tünelleme protokolü özelliğidir. EtherIP yalnızca paket kapsülleme mekanizmasına sahiptir. Gizliliği veya mesaj bütünlüğü koruması yoktur. EtherIP, FreeBSD ağ yığınında ve SoftEther VPN sunucu programında tanıtıldı .

Yalnızca IP LAN benzeri hizmet (IPLS)

VPLS'nin bir alt kümesi olan CE cihazlarının Katman 3 yeteneklerine sahip olması gerekir; IPLS, çerçeveler yerine paketleri sunar. IPv4 veya IPv6'yı destekleyebilir.

OSI Katman 3 PPVPN mimarileri

Bu bölümde, biri PE'nin tek bir yönlendirme örneğinde yinelenen adreslerin belirsizliğini giderdiği ve PE'nin VPN başına bir sanal yönlendirici örneği içerdiği sanal yönlendirici olan PPVPN'ler için ana mimariler tartışılmaktadır. İlk yaklaşım ve onun varyantları en çok dikkati çekmiştir.

PPVPN'lerin zorluklarından biri, aynı adres alanını, özellikle IPv4 özel adres alanını kullanan farklı müşterilerdir. Sağlayıcı, birden çok müşterinin PPVPN'lerinde çakışan adreslerin belirsizliğini giderebilmelidir.

BGP/MPLS PPVPN

RFC  2547 tarafından tanımlanan yöntemde , BGP uzantıları, IPv4 VPN adres ailesindeki, 8 baytlık bir yol ayırıcı (RD) ile başlayan ve 4 baytlık bir IPv4 adresi ile biten 12 baytlık dizeler biçimindeki rotaların reklamını yapar. . RD'ler, aksi takdirde aynı PE'deki yinelenen adreslerin belirsizliğini ortadan kaldırır.

PE'ler, doğrudan veya P yönlendiricileri aracılığıyla MPLS tünelleriyle birbirine bağlanan her VPN'nin topolojisini anlar. MPLS terminolojisinde, P yönlendiricileri , VPN'lerin farkında olmayan Etiket Anahtarlı Yönlendiricilerdir .

Sanal yönlendirici PPVPN

BGP/MPLS tekniklerinin aksine sanal yönlendirici mimarisi, BGP gibi mevcut yönlendirme protokollerinde herhangi bir değişiklik gerektirmez. Mantıksal olarak bağımsız yönlendirme etki alanlarının sağlanmasıyla, bir VPN çalıştıran müşteri, adres alanından tamamen sorumludur. Çeşitli MPLS tünellerinde, farklı PPVPN'ler etiketleriyle belirsizdir ancak yönlendirme ayırıcılarına ihtiyaç duymazlar.

Şifrelenmemiş tüneller

Bazı sanal ağlar, verilerin gizliliğini korumak için şifrelemesiz tünel protokolleri kullanır. VPN'ler genellikle güvenlik sağlarken, şifrelenmemiş bir yer paylaşımlı ağ , güvenli veya güvenilir kategorizasyona tam olarak uymaz. Örneğin, Genel Yönlendirme Kapsüllemesi (GRE) ile iki ana bilgisayar arasında kurulan bir tünel , sanal bir özel ağdır ancak ne güvenli ne de güvenilirdir.

Yerel düz metin tünel protokolleri, IPsec ve Noktadan Noktaya Tünel Protokolü (PPTP) veya Microsoft Noktadan Noktaya Şifreleme (MPPE) olmadan kurulduğunda Katman 2 Tünel Protokolü'nü (L2TP ) içerir.

Güvenilir dağıtım ağları

Güvenilir VPN'ler kriptografik tünelleme kullanmaz; bunun yerine trafiği korumak için tek bir sağlayıcının ağının güvenliğine güvenirler.

Güvenlik açısından, VPN'ler ya temel alınan dağıtım ağına güvenir ya da VPN'nin kendisindeki mekanizmalarla güvenliği sağlamalıdır. Güvenilir dağıtım ağı yalnızca fiziksel olarak güvenli siteler arasında çalışmadığı sürece, hem güvenilir hem de güvenli modellerin, kullanıcıların VPN'ye erişmesi için bir kimlik doğrulama mekanizmasına ihtiyacı vardır.

Mobil ortamlardaki VPN'ler

Mobil sanal özel ağlar , VPN'nin bir uç noktasının tek bir IP adresine sabitlenmediği , bunun yerine hücresel taşıyıcılardan gelen veri ağları gibi çeşitli ağlar arasında veya güvenli VPN oturumunu bırakmadan birden fazla Wi-Fi erişim noktası arasında dolaştığı ayarlarda kullanılır. veya uygulama oturumlarını kaybetme. Mobil VPN'ler, kolluk kuvvetlerine bilgisayar destekli sevk ve ceza veritabanları gibi uygulamalara erişim sağladıkları kamu güvenliğinde ve saha hizmeti yönetimi ve sağlık gibi benzer gereksinimleri olan diğer kuruluşlarda yaygın olarak kullanılmaktadır .

Ağ sınırlamaları

Geleneksel VPN'lerin bir sınırlaması, noktadan noktaya bağlantı olmaları ve yayın alanlarını destekleme eğiliminde olmamalarıdır ; bu nedenle, Windows ağlarında kullanılan NetBIOS gibi katman 2 ve yayın paketlerini temel alan iletişim, yazılım ve ağ iletişimi, yerel alan ağında olduğu gibi tam olarak desteklenmeyebilir . Sanal Özel LAN Hizmeti (VPLS) ve katman 2 tünel protokolleri gibi VPN'deki varyantlar bu sınırlamanın üstesinden gelmek için tasarlanmıştır.

Ayrıca bakınız

Referanslar

daha fazla okuma