Vše co jste chtěli vědět o VPN, ale báli jste se zeptat

|O VPN|Vše kolem OpenVpn|About|

  • VPN (Virtual Private Network) - Co to vlastně je

    • Bezpečné (autentizované a šifrované) a přitom pro uživatele zcela transparentní spojení mezi dvěma či více sítěmi.
    • Pro spojení mezi uživatelem a požadovanou destinací použita veřejná síť - nejčastěji internet

  • Možnosti spojení

    • Obrázek použití VPN v praxi

    • LAN - LAN spojení

      • Vztah brána - brána
        • Vyžadováno šifrování přenosu a ověření autenticity obou stran
        • Obě brány tak mezi sebou na IP adresách třetí tranzitní sítě navážou spojení (tunel)

          • LAN to LAN spojení

    • Uživatel - LAN

      • Vztah klient - klient
        • Každá stanice má přidělenou vlastní IP adresu
        • Požadováno šifrování přenosu a případné ověření autentičnosti obou stran

          • Vztah klient, který se chce připojit k jinému klientovi

      • Vztah klient - brána
        • Klient = mobilní účastník ("road warrior") s dynamicky přidělenou IP adresou
        • Vhodné mít přidělenou IP adresu dle číslovacího plánu
        • Brána - Statická IP adresa
        • Mobilní účastník tak obdrží veřejnou IP adresu, ale zároveň pro připojení do sítě používá svojí vnitřní IP adresu ze sítě, do které se připojuje
        • Jeho IP adresa a veřejná IP adresa protistrany je tak využita pouze pro navázání spojení

          • Připojení klienta k firemní síti

    Na začátek

  • Požadavky kladené na VPN

    • Zajištění integrity dat

      • Pomocí jednosměrné hashovací funkce
        • Funkce generuje přesně danou velikost souboru založenou na jeho skutečné velikosti
        • Ověření je provedeno výpočtem na straně příjemce, kde dojde k výpočtu hodnoty a jejímu porovnávání s poslanou hodnotou
        • Příklady hashovacích algoritmů MD5, SHA-1 and RIPE-MD-160
      • Pomocí MACs (Message-authentication codes)
        • Přiřadí klíč k hashovacím funkcím
        • Odesílatel vytvoří soubor, kde je vypočítaná MAC na základě klíče sdíleného s příjemcem a následně je tento soubor přepojen k posílanému souboru
        • Příjemce pak na základě klíče opět spočte MAC a porovná se souborem, který je přiložen
      • Pomocí Digitálního podpisu
        • Odesílatel podepíše dokument s jeho privátním klíčem a příjemce ověří poté tento soubor pomocí odesílatelova veřejného klíče

    • Autentifikace

      • Pomocí digitálního podpisu
        • (založen na standardu X.509)
        • Vydáván certifikační autoritou
        • Identita svázána s veřejným klíčem
          • Obsahuje inforamce o uživateli jako např. jméno, společnost, apod.
          • Inforamce specifické vydavateli
          • Dobu platnosti
          • a další
        • Tyto informace budou použity k vytvoření přehledu, který je pak zakódován pomocí privátního klíče Certifikační Autoritou k podepsání certifikátu

  • Výhody použití

    • Rozšíření hranic působnosti bez nutnosti budovat další síťovou infrastrukturu
    • Značné úspory proti budování vlastních WAN sítí
    • Dle zvoleného řešení zaručena bezpečnost
    • Možnost být stále v kontaktu s daty v lokální síti
    • Škálovatelnost (rozšiřitelnost) - možnost růstu úměrně potřebám
    Na začátek