Jak działa VPN (wirtualna sieć prywatna)

W miarę rozwoju firmy może się ona rozrastać do wielu sklepów lub biur w całym kraju i na całym świecie. Aby wszystko działało sprawnie, osoby pracujące w tych miejscach potrzebują szybkiego, bezpiecznego i niezawodnego sposobu wymiany informacji w sieciach komputerowych. Podróżujący pracownicy, np. handlowcy, potrzebują równie bezpiecznego i niezawodnego sposobu łączenia się z siecią komputerową firmy z odległych miejsc. Nawet podczas wypoczynku ludzie chcą zapewnić bezpieczeństwo swoim komputerom, gdy korzystają z nieznanej lub niezabezpieczonej sieci.

Jedną z popularnych technologii umożliwiających osiągnięcie tych celów jest VPN (wirtualna sieć prywatna). VPN to sieć prywatna, która wykorzystuje sieć publiczną (zwykle Internet) do łączenia ze sobą zdalnych lokalizacji lub użytkowników. Sieć VPN wykorzystuje „wirtualne” połączenia kierowane przez Internet z sieci prywatnej firmy lub usługi VPN innej firmy do zdalnej lokalizacji lub osoby. Sieci VPN pomagają zapewnić bezpieczeństwo – osoby przechwytujące zaszyfrowane dane nie mogą ich odczytać.

Kilka lat temu najpowszechniejszym sposobem łączenia komputerów między wieloma biurami było korzystanie z linii dzierżawionej. Linie dzierżawione, takie jak ISDN (Integrated Services Digital Network, 128 Kbps), to prywatne połączenia sieciowe, które firma telekomunikacyjna może wydzierżawić swoim klientom. Linie dzierżawione zapewniają firmie możliwość rozszerzenia sieci prywatnej poza jej najbliższy obszar geograficzny. Połączenia te tworzą jedną sieć rozległą (WAN) dla przedsiębiorstwa. Choć łącza dzierżawione są niezawodne i bezpieczne, są drogie, a koszty rosną wraz ze wzrostem odległości między biurami.

Obecnie Internet jest bardziej dostępny niż kiedykolwiek wcześniej, a dostawcy usług internetowych (ISP) stale rozwijają szybsze i bardziej niezawodne usługi, których koszty są niższe niż koszty łączy dzierżawionych. Aby to wykorzystać, większość firm zastąpiła linie dzierżawione nowymi technologiami, które wykorzystują połączenia internetowe bez utraty wydajności i bezpieczeństwa. Firmy zaczęły od tworzenia intranetów – prywatnych sieci wewnętrznych przeznaczonych do użytku wyłącznie przez pracowników firmy. Intranety umożliwiały odległym współpracownikom wspólną pracę dzięki takim technologiom, jak udostępnianie pulpitu. Dodając VPN, firma może rozszerzyć wszystkie zasoby swojego intranetu na pracowników pracujących w odległych biurach lub w domach.

Jednak w dzisiejszych czasach sieci VPN potrafią o wiele więcej i nie są już przeznaczone tylko dla firm. Osoby zainteresowane zabezpieczeniem swojej komunikacji w niezabezpieczonych publicznych sieciach WiFi i zachowaniem anonimowości podczas transakcji online zaczęły korzystać z płatnych usług VPN. Usługi te funkcjonują bardzo podobnie do biznesowych sieci VPN, ale połączenie z Internetem odbywa się za pośrednictwem dostawcy VPN, a nie prywatnej firmy.

Innymi słowy, VPN może zabezpieczyć Twój komputer, smartfon i każde inne urządzenie, które podłączasz do Internetu, przed hakerami i złośliwym oprogramowaniem, chroniąc jednocześnie wszystkie Twoje dane osobowe i komunikację przed wścibskimi oczami. W obliczu rosnącej cyberprzestępczości łatwo zrozumieć, dlaczego tak wiele osób zaczęło z nich korzystać.

Płatne usługi VPN działają bardzo podobnie do biznesowych sieci VPN, ale dostęp do Internetu odbywa się za pośrednictwem dostawcy VPN, a nie prywatnej firmy. Usługi te są niezwykle łatwe w użyciu. Wszystko, co musisz zrobić, to pobrać oprogramowanie, zainstalować je na swoim urządzeniu i połączyć się z wybranym serwerem. Dopóki VPN jest połączony, nikt (nawet dostawca usług internetowych) nie może wiedzieć, kim jesteś, gdzie się znajdujesz ani co robisz w sieci.

Jeśli korzystasz z publicznych sieci WiFi, VPN może sprawić, że Twoje połączenie będzie bezpieczne i anonimowe. Jeśli podróżujesz, VPN może zapewnić Ci dostęp do stron internetowych z blokadami geograficznymi i treści strumieniowych z Twojego kraju (nawet Twojej lokalnej biblioteki Netflix), gdy jesteś poza domem. Kilka wybranych sieci VPN może nawet utrzymać połączenie ze wszystkimi ulubionymi witrynami, gdy odwiedzasz kraje o surowej polityce cenzury, takie jak Chiny czy Rosja.

W tym artykule opisano elementy sieci VPN, technologie, tunelowanie i bezpieczeństwo. Najpierw przyjrzyjmy się analogii, która opisuje, jak VPN wypada w porównaniu z innymi opcjami sieciowymi.

Analogia: Każda sieć LAN jest wyspą

Wyobraź sobie, że mieszkasz na wyspie na ogromnym oceanie. Wokół Ciebie znajdują się tysiące innych wysp, niektóre bardzo blisko, a inne jeszcze dalej. Powszechnym środkiem transportu między wyspami jest prom. Podróżowanie promem oznacza, że nie masz prawie żadnej prywatności: Inni ludzie mogą widzieć wszystko, co robisz.

Załóżmy, że każda wyspa to prywatna sieć lokalna (LAN), a ocean to Internet. Podróżowanie promem jest jak łączenie się z serwerem internetowym lub innym urządzeniem przez Internet. Nie masz kontroli nad przewodami i routerami, z których składa się Internet, tak jak nie masz kontroli nad innymi osobami na promie. To sprawia, że jeśli próbujesz połączyć dwie sieci prywatne za pomocą zasobów publicznych, możesz narazić się na problemy związane z bezpieczeństwem.

Kontynuując naszą analogię, Twoja wyspa postanawia zbudować most łączący ją z inną wyspą, aby ludzie mogli łatwiej, bezpieczniej i bardziej bezpośrednio podróżować między tymi dwoma wyspami. Budowa i utrzymanie mostu jest kosztowne, nawet jeśli wyspy są położone blisko siebie. Jednak zapotrzebowanie na niezawodną i bezpieczną drogę jest tak duże, że i tak to zrobisz. Twoja wyspa chciałaby połączyć się z inną wyspą, która znajduje się znacznie dalej, ale decyduje, że koszty są po prostu zbyt duże, aby je ponieść.

Ten scenariusz odpowiada posiadaniu linii dzierżawionej. Mosty (linie dzierżawione) są oddzielone od oceanu (Internetu), ale są w stanie połączyć wyspy (sieci LAN). Firmy, które wybierają tę opcję, robią to ze względu na potrzebę zapewnienia bezpieczeństwa i niezawodności w łączeniu zdalnych biur. Jeśli jednak biura są od siebie bardzo oddalone, koszty mogą być zbyt wysokie – podobnie jak w przypadku próby zbudowania mostu na dużą odległość.

Jak więc do tego pasuje VPN? Używając naszej analogii, załóżmy, że każdy mieszkaniec Twojej wyspy ma małą łódź podwodną. Załóżmy, że każda łódź podwodna ma następujące niesamowite właściwości:

• Jest szybki.
• Łatwo go zabrać ze sobą, gdziekolwiek się wybierasz.
• Jest w stanie całkowicie ukryć Cię przed innymi łodziami lub okrętami podwodnymi.
• Jest niezawodny.
• Dodanie do floty kolejnych łodzi podwodnych po zakupie pierwszej kosztuje niewiele.

Mimo że podróżują po oceanie wraz z innymi uczestnikami ruchu, mogą podróżować między wyspami, kiedy tylko chcą, zachowując prywatność i bezpieczeństwo. Zasadniczo tak właśnie działa VPN. Każdy zdalny członek Twojej sieci może komunikować się w bezpieczny i niezawodny sposób, wykorzystując Internet jako medium łączące z prywatną siecią LAN. Sieć VPN można rozbudować w celu przyjęcia większej liczby użytkowników i różnych lokalizacji znacznie łatwiej niż w przypadku linii dzierżawionej. W rzeczywistości skalowalność jest główną zaletą sieci VPN w porównaniu z liniami dzierżawionymi. Co więcej, odległość nie ma znaczenia, ponieważ sieci VPN mogą z łatwością łączyć wiele lokalizacji geograficznych na całym świecie.

Co czyni VPN?

Zadaniem sieci VPN jest zapewnienie bezpiecznego i niezawodnego połączenia prywatnego między sieciami komputerowymi za pośrednictwem istniejącej sieci publicznej, zazwyczaj Internetu.

Zanim przyjrzymy się technologii, która umożliwia korzystanie z VPN, rozważmy wszystkie korzyści i funkcje, jakich można oczekiwać od sieci VPN.

Dobrze zaprojektowana sieć VPN zapewnia następujące korzyści:

• Rozszerzone połączenia w wielu lokalizacjach geograficznych bez konieczności korzystania z linii dzierżawionej
• Większe bezpieczeństwo wymiany danych
• Możliwość korzystania przez biura zdalne i pracowników z firmowego intranetu za pośrednictwem istniejącego
• Połączenia internetowego, tak jakby byli bezpośrednio podłączeni do sieci
• Oszczędność czasu i kosztów związanych z dojazdami pracowników do pracy, jeśli pracują oni w wirtualnych miejscach pracy
• Zwiększona wydajność pracowników zdalnych

Firma może nie wymagać wszystkich tych korzyści od swojej biznesowej sieci VPN, ale powinna wymagać następujących podstawowych funkcji VPN:

• Bezpieczeństwo – Sieć VPN powinna chronić dane w trakcie ich przemieszczania się w sieci publicznej. Jeśli intruzi spróbują przechwycić dane, nie powinni być w stanie ich odczytać ani wykorzystać.
• Niezawodność – Pracownicy i biura zdalne powinni móc bez problemu łączyć się z siecią VPN w dowolnym czasie (chyba że godziny pracy są ograniczone), a sieć VPN powinna zapewniać taką samą jakość połączenia dla każdego użytkownika, nawet jeśli obsługuje maksymalną liczbę jednoczesnych połączeń.
• Skalowalność – W miarę rozwoju firmy, powinna ona być w stanie rozszerzyć swoje usługi VPN, aby obsłużyć ten wzrost bez konieczności całkowitej wymiany technologii VPN.

Publiczni dostawcy VPN są często oceniani pod kątem tego, czy gromadzą informacje o swoich użytkownikach i liczbie krajów, w których mają zdalne serwery. Ponieważ VPN prywatyzuje informacje o użytkowniku, może on użyć połączenia VPN do zamaskowania lokalizacji, z której się łączy, co może umożliwić dostęp do informacji ograniczonych geograficznie, takich jak usługa telewizyjna, do której dostęp jest ograniczony do określonego kraju.

Ciekawostką dotyczącą sieci VPN jest to, że nie istnieją żadne standardy dotyczące ich konfiguracji. W tym artykule omówiono protokoły sieciowe, uwierzytelniania i bezpieczeństwa, które zapewniają wymienione powyżej funkcje i korzyści. Opisano w nim również, jak współpracują ze sobą poszczególne elementy sieci VPN. Jeśli jednak tworzysz własną sieć VPN, to do Ciebie należy decyzja, jakich protokołów i komponentów użyć i jak je ze sobą połączyć.

Na kolejnych dwóch stronach opisano dwa popularne typy sieci VPN. Zaczniemy od typu, który jest najbardziej kojarzony z terminem VPN.

Zdalny dostęp do sieci VPN

VPN zdalnego dostępu umożliwia indywidualnym użytkownikom ustanowienie bezpiecznego połączenia ze zdalną siecią komputerową. Użytkownicy ci mogą korzystać z bezpiecznych zasobów tej sieci w taki sposób, jakby byli bezpośrednio podłączeni do serwerów sieciowych. Przykładem firmy, która potrzebuje zdalnie dostępnej sieci VPN, jest duża firma zatrudniająca setki sprzedawców w terenie. Inna nazwa tego typu sieci VPN to wirtualna prywatna sieć dial-up (VPDN), ponieważ w swojej najwcześniejszej formie zdalnie dostępna sieć VPN wymagała połączenia z serwerem za pomocą analogowego systemu telefonicznego.

W zdalnie dostępnej sieci VPN wymagane są dwa elementy. Pierwszym z nich jest serwer dostępu do sieci (NAS, zwykle wymawiany w rozmowie jako „nazz”), zwany także bramą medialną lub serwerem zdalnego dostępu (RAS). (Uwaga: specjaliści IT używają również określenia NAS w odniesieniu do sieciowej pamięci masowej.) Serwer NAS może być serwerem dedykowanym lub jedną z wielu aplikacji działających na serwerze współdzielonym. Jest to NAS, do którego użytkownik łączy się z Internetu w celu korzystania z VPN. NAS wymaga od użytkownika podania ważnych danych uwierzytelniających w celu zalogowania się do sieci VPN. Aby uwierzytelnić dane uwierzytelniające użytkownika, NAS używa albo własnego procesu uwierzytelniania, albo oddzielnego serwera uwierzytelniającego działającego w sieci.

Innym wymaganym elementem zdalnych sieci VPN jest oprogramowanie klienckie. Innymi słowy, pracownicy, którzy chcą korzystać z VPN ze swoich komputerów, potrzebują oprogramowania na tych komputerach, które może ustanowić i utrzymać połączenie z VPN. Większość systemów operacyjnych ma dziś wbudowane oprogramowanie, które może łączyć się ze zdalnie dostępnymi sieciami VPN, choć niektóre sieci VPN mogą wymagać od użytkowników zainstalowania określonej aplikacji. Oprogramowanie klienckie konfiguruje połączenie tunelowe z serwerem NAS, który użytkownik wskazuje za pomocą adresu internetowego. Oprogramowanie zarządza również szyfrowaniem wymaganym do zapewnienia bezpieczeństwa połączenia. Więcej o tunelowaniu i szyfrowaniu można przeczytać w dalszej części artykułu.

Duże korporacje lub firmy z doświadczonym personelem IT zazwyczaj kupują, wdrażają i utrzymują własne sieci VPN zdalnego dostępu. Firmy mogą również zdecydować się na outsourcing usług VPN zdalnego dostępu za pośrednictwem dostawcy usług dla przedsiębiorstw (ESP). ESP konfiguruje NAS dla firmy i utrzymuje jego sprawne działanie.

Zdalnie dostępna sieć VPN jest świetna dla pojedynczych pracowników, ale co z całymi oddziałami firmy zatrudniającymi dziesiątki, a nawet setki pracowników? Następnie przyjrzymy się innemu rodzajowi sieci VPN używanej do utrzymywania łączności między firmami w sieci LAN-to-LAN.

Sieć VPN typu Site-to-site

Sieć VPN typu site-to-site umożliwia biurom znajdującym się w wielu stałych lokalizacjach nawiązywanie bezpiecznych połączeń między sobą za pośrednictwem sieci publicznej, takiej jak Internet. Sieć VPN typu site-to-site rozszerza sieć firmową, udostępniając zasoby komputerowe z jednej lokalizacji pracownikom w innych lokalizacjach.

Przykładem firmy, która potrzebuje sieci VPN typu site-to-site, jest rozwijająca się korporacja z dziesiątkami oddziałów na całym świecie.

Istnieją dwa rodzaje sieci VPN typu site-to-site:

Intranet-based – Jeśli firma ma jedną lub więcej zdalnych lokalizacji, które chce połączyć w jedną sieć prywatną, może utworzyć intranetową sieć VPN, aby połączyć każdą oddzielną sieć LAN z jedną siecią WAN.
Extranet-based – Jeśli firma ma bliskie relacje z inną firmą (np. partnerem, dostawcą lub klientem), może zbudować ekstranetową sieć VPN, która połączy sieci LAN tych firm. Ekstranetowa sieć VPN pozwala firmom współpracować w bezpiecznym, współdzielonym środowisku sieciowym, uniemożliwiając jednocześnie dostęp do ich oddzielnych intranetów.
Mimo że cel sieci VPN typu site-to-site jest inny niż w przypadku sieci VPN typu remote-access, można w niej używać tego samego oprogramowania i sprzętu. Jednak w idealnej sytuacji sieć VPN typu site-to-site powinna eliminować konieczność uruchamiania na każdym komputerze oprogramowania klienckiego VPN, tak jak w przypadku zdalnej sieci VPN. Dedykowane urządzenia klienckie VPN, opisane w dalszej części artykułu, mogą osiągnąć ten cel w sieci VPN typu site-to-site.

Teraz, gdy znasz już dwa typy sieci VPN, przyjrzyjmy się, w jaki sposób Twoje dane są zabezpieczone podczas przesyłania ich przez sieć VPN.

Sprzęt używany w sieci VPN

Choć VPN można skonfigurować na zwykłym sprzęcie komputerowym, takim jak standardowe serwery, większość firm decyduje się na dedykowany sprzęt zoptymalizowany pod kątem VPN i ogólnego bezpieczeństwa sieci. Mała firma może mieć cały swój sprzęt VPN na miejscu lub, jak wspomniano wcześniej, może zlecić usługi VPN dostawcy usług dla przedsiębiorstw. Większa firma z oddziałami może zdecydować się na kolokację części swojego sprzętu VPN, co oznacza, że umieści ten sprzęt w obiekcie kolokacyjnym (lub colo). Colo to duże centrum danych, które wynajmuje przestrzeń firmom potrzebującym skonfigurować serwery i inny sprzęt sieciowy za pomocą bardzo szybkiego, niezawodnego połączenia internetowego.

Jak wspomniano wcześniej, nie ma standardu, którego przestrzegałyby wszystkie sieci VPN pod względem konfiguracji. Planując lub rozbudowując sieć VPN, należy jednak wziąć pod uwagę następujące elementy wyposażenia:

• Serwer dostępu do sieci – Jak opisano wcześniej, serwer NAS jest odpowiedzialny za konfigurowanie i utrzymywanie każdego tunelu w zdalnie dostępnej sieci VPN.
• Firewall – zapora sieciowa stanowi silną barierę między siecią prywatną a Internetem. Pracownicy działu IT mogą ustawić zapory, aby ograniczyć rodzaj ruchu, jaki może przechodzić z Internetu do sieci LAN, oraz na jakich portach TCP i UDP. Nawet bez sieci VPN sieć LAN powinna zawierać zaporę sieciową, aby chronić się przed złośliwym ruchem internetowym.
• Serwer AAA – Akronim ten oznacza trzy zadania serwera: uwierzytelnianie, autoryzację i księgowość. W przypadku każdego połączenia VPN serwer AAA potwierdza, kim jesteś (uwierzytelnianie), określa, do czego masz dostęp za pośrednictwem połączenia (autoryzacja) i śledzi, co robisz, gdy jesteś zalogowany (księgowanie).

Jednym z powszechnie stosowanych standardów dla serwerów AAA jest usługa RADIUS (Remote Authentication Dial-in User Service). Pomimo swojej nazwy, RADIUS nie jest przeznaczony wyłącznie dla użytkowników dial-up. Gdy serwer RADIUS jest częścią sieci VPN, obsługuje uwierzytelnianie dla wszystkich połączeń przechodzących przez NAS sieci VPN.

Komponenty VPN mogą działać obok innego oprogramowania na współdzielonym serwerze, ale nie jest to typowe i może zagrozić bezpieczeństwu i niezawodności sieci VPN. Mała firma, która nie zleca usług VPN na zewnątrz, może wdrożyć oprogramowanie firewall i RADIUS na serwerach ogólnych. Jednak wraz ze wzrostem potrzeb firmy w zakresie VPN, rośnie też zapotrzebowanie na sprzęt zoptymalizowany pod kątem VPN. Poniżej przedstawiono dedykowane urządzenia VPN, które firma może dodać do swojej sieci. Urządzenia te można zakupić w firmach produkujących sprzęt sieciowy:

• Koncentrator VPN – To urządzenie zastępuje serwer AAA zainstalowany na serwerze ogólnym. Sprzęt i oprogramowanie współpracują ze sobą w celu ustanowienia tuneli VPN i obsługi dużej liczby jednoczesnych połączeń.
• Router z obsługą sieci VPN/optymalizowany pod kątem sieci VPN – Jest to typowy router, który przekazuje ruch w sieci, ale z dodatkową funkcją kierowania ruchu za pomocą protokołów specyficznych dla sieci VPN.
• VPN-enabled Firewall (zapora sieciowa z obsługą VPN) – Jest to konwencjonalna zapora sieciowa chroniąca ruch między sieciami, ale z dodatkową funkcją zarządzania ruchem przy użyciu protokołów specyficznych dla sieci VPN.
• Klient VPN – jest to oprogramowanie działające na specjalnym urządzeniu, które pełni rolę interfejsu tunelu dla wielu połączeń. Dzięki takiej konfiguracji każdy komputer nie musi uruchamiać własnego oprogramowania klienckiego VPN.