Vše co jste chtěli vědět o VPN, ale báli jste se zeptat

 • VPN (Virtual Private Network) - Co to vlastně je

  • Bezpečné (autentizované a šifrované) a přitom pro uživatele zcela transparentní spojení mezi dvěma či více sítěmi.
  • Pro spojení mezi uživatelem a požadovanou destinací použita veřejná síť - nejčastěji internet
 • Možnosti spojení

 • Obrázek použití VPN v praxi

  • LAN - LAN spojení

   • Vztah brána - brána
    • Vyžadováno šifrování přenosu a ověření autenticity obou stran
    • Obě brány tak mezi sebou na IP adresách třetí tranzitní sítě navážou spojení (tunel)
    • LAN to LAN spojení

  • Uživatel - LAN

   • Vztah klient - klient
    • Každá stanice má přidělenou vlastní IP adresu
    • Požadováno šifrování přenosu a případné ověření autentičnosti obou stran
    • Vztah klient, který se chce připojit k jinému klientovi

   • Vztah klient - brána
    • Klient = mobilní účastník ("road warrior") s dynamicky přidělenou IP adresou
    • Vhodné mít přidělenou IP adresu dle číslovacího plánu
    • Brána - Statická IP adresa
    • Mobilní účastník tak obdrží veřejnou IP adresu, ale zároveň pro připojení do sítě používá svojí vnitřní IP adresu ze sítě, do které se připojuje
    • Jeho IP adresa a veřejná IP adresa protistrany je tak využita pouze pro navázání spojení
    • Připojení klienta k firemní síti

  Na začátek
 • Požadavky kladené na VPN

  • Zajištění integrity dat

   • Pomocí jednosměrné hashovací funkce
    • Funkce generuje přesně danou velikost souboru založenou na jeho skutečné velikosti
    • Ověření je provedeno výpočtem na straně příjemce, kde dojde k výpočtu hodnoty a jejímu porovnávání s poslanou hodnotou
    • Příklady hashovacích algoritmů MD5, SHA-1 and RIPE-MD-160
   • Pomocí MACs (Message-authentication codes)
    • Přiřadí klíč k hashovacím funkcím
    • Odesílatel vytvoří soubor, kde je vypočítaná MAC na základě klíče sdíleného s příjemcem a následně je tento soubor přepojen k posílanému souboru
    • Příjemce pak na základě klíče opět spočte MAC a porovná se souborem, který je přiložen
   • Pomocí Digitálního podpisu
    • Odesílatel podepíše dokument s jeho privátním klíčem a příjemce ověří poté tento soubor pomocí odesílatelova veřejného klíče
  • Autentifikace

   • Pomocí digitálního podpisu
    • (založen na standardu X.509)
    • Vydáván certifikační autoritou
    • Identita svázána s veřejným klíčem
     • Obsahuje inforamce o uživateli jako např. jméno, společnost, apod.
     • Inforamce specifické vydavateli
     • Dobu platnosti
     • a další
    • Tyto informace budou použity k vytvoření přehledu, který je pak zakódován pomocí privátního klíče Certifikační Autoritou k podepsání certifikátu
 • Výhody použití

  • Rozšíření hranic působnosti bez nutnosti budovat další síťovou infrastrukturu
  • Značné úspory proti budování vlastních WAN sítí
  • Dle zvoleného řešení zaručena bezpečnost
  • Možnost být stále v kontaktu s daty v lokální síti
  • Škálovatelnost (rozšiřitelnost) - možnost růstu úměrně potřebám
  Na začátek