Skip to main content

14.1 Virtuálne siete VPN

VPN

VPN (Virtual Private Network) predstavuje obvykle šifrované spojenie privátnych sietí prostredníctvom verejnej siete (internetu). Klient (individuálny alebo celá pobočka) sa spojí s centrálnou sieťou bez potreby samostatného L2 spojenia - či už vlastného káblu, prenajatého vlákna alebo bezdrôtového mostu.

VPN prináša výhody:

  • šetrenie nákladov: nie sú potrebné vyhradené linky na prepojenie;
  • bezpečnosť: umožňuje šifrované spojenie aj cez verejnú sieť, či na nezabezpečené služby;
  • škálovateľnosť: umožňuje pridávať ďalších používateľov / siete bez významnej potreby ďalších prostriedkov;
  • flexibilita: klient sa môže pripojiť odkiaľkoľvek, teda aj počas cestovania.

Formy VPN

Z praktického hľadiska rozlišujeme dve formy VPN spojenia:

  • sieť so sieťou (Site-to-Site): smerovač pobočky sa spojí so smerovačom centrály a vzájomne prepoja lokálne siete, teda jednotliví klienti v oboch sieťach nemusia nič konfigurovať - smerovače s VPN nazývame aj VPN brány;
  • vzdialený prístup klienta (Remote Access): VPN klient sa pripojí individuálne, teda spojenie nadviaže jeho zariadenie (počítač) s VPN koncentrátorom / serverom.

Vzdialený prístup cez VPN využívajú predovšetkým zamestnanci firiem a iných organizácii, no čoraz častejšie ho využívajú aj domáci používatelia:

  • priamo vo webovom prehliadači (napr. Opera) pre anonymný, či zabezpečený prístup;
  • pomocou rozšírení internetovýchwebových prehliadačov pre obídenie geografických obmedzení (napr. Hola);
  • využitím klientskych aplikácií pre spojenie, napríklad za účelom hier po sieti (napr. LogMeIn Hamachi).

Marketingové označenie „VPN“ často klame. To, čo ponúkajú webové prehliadače (či už natívne alebo formou doplnkov) v skutočnosti nie sú plnohodnotné VPN, ale len webové proxy servery. Nešifrujú všetku komunikáciu z OS, ale len webové prístupy. Z laického pohľadu pri bežnom prehliadaní webu sa tento rozdiel stiera, no z pohľadu sieťového administrátora (a celkovej bezpečnosti zariadenia) ide o zásadnú odlišnosť.

Rozšírenie Hola funguje ako P2P sieť a ktorýkoľvek používateľ môže robiť výstupný uzol ktorýmkoľvek iným používateľom, ktorí si zvolili jeho krajinu. Toto predstavuje bezpečnostné riziko!

V prípade podnikového nasadenia sa využívajú (alebo využívali) protokoly PPTP, SSTP, L2TP/IPsec, OpenVPN a WireGuard - všetky menované môžeme implementovať v MikroTik RouterOS aj v úlohe klienta, aj v úlohe servera. Líšia sa úrovňou a spôsobom zabezpečenia, podporou v operačných systémoch klientskych zariadení, ale aj rôznymi špecifickými výhodami.

Tunelovanie verzus VPN

V sieťach sa často stretávame s pojmami tunelVPN, ktoré sa niekedy nesprávne zamieňajú. Aký je medzi nimi rozdiel?

  • Tunel: Predstavuje samotnú techniku zapuzdrenia (encapsulation). Pôvodný paket z LAN sa celý zabalí (skryje) do iného paketu s verejnými IP adresami, aby mohol byť prenesený cez internet. Tunel vytvorí virtuálnu „rúru“ medzi dvoma bodmi,bodmi (oba musia mať verejnú IP adresu), no sám o sebe neposkytuje žiadne zabezpečenie. Ak útočník zachytí komunikáciu v nešifrovanom tuneli (napríklad pri protokoloch IPIP, GRE alebo EoIP), dokáže si jej obsah bez problémov prečítať.
  • VPN: Stavia na koncepte tunela, no pridáva kľúčovépredovšetkým slovo súkromnázabezpečenie (private). Skutočná VPN zabezpečuje tunel pomocou šifrovania (dáta sú nečitateľné pre tretietretiu strany)stranu), overovania totožnosti (autentifikácia komunikujúcich strán) a kontroly integrity (istota, že dáta neboli po ceste zmenené). Zároveň VPN umožňuje spojenie aj v prípade, že len jedna strana má pevnú verejnú IP adresu (druhá strana môže byť klient v teréne na mobilnom pripojení).

Zjednodušene povedané: Každá bezpečná VPN využíva tunelovanie, ale nie každý sieťový tunel je VPN.

Back to top