Xarxa virtual privada

De la Viquipèdia, l'enciclopèdia lliure.
Saltar a la navegació Saltar a la cerca

Una xarxa virtual privada (traduïda de l’anglès a l’ italià literalment: Virtual Private Network [1] , acrònim: VPN ), en telecomunicacions , és una xarxa de telecomunicacions privada, establerta com a connexió entre subjectes que utilitzen, com a tecnologia de transport, protocol de transmissió compartida, com ara el conjunt de protocols d’Internet .

Diagrama de principis d'una VPN basada en Internet

El propòsit de les xarxes VPN és oferir a les empreses, a un cost més baix, les mateixes possibilitats que les línies de lloguer privades, però aprofitant les xarxes públiques compartides: per tant, podem veure una VPN com l’extensió geogràfica d’una xarxa local privada corporativa. connecta els llocs interns de la pròpia empresa repartits de manera diferent per un territori ampli, explotant l’ encaminament a través d’ IP per al transport a escala geogràfica i realment creant una xarxa LAN, anomenada "virtual" i "privada", equivalent a una infraestructura de xarxa física dedicada (és a dir, amb enllaços físics).

Descripció

El terme VPN és un terme general que defineix la idea i no una marca o estàndard; en particular, no hi ha cap organisme que reguli la denominació d’un producte com a VPN: per tant, cada fabricant pot utilitzar la denominació com vulgui. No obstant això, hi ha diversos organismes independents, àmpliament reconeguts, que certifiquen la interoperabilitat (la capacitat d’un sistema o producte de TI per cooperar i intercanviar informació) i la seguretat de sistemes de TI, com ICSA Labs . Un aparell o un programari, que porta la marca comercial ICSA Labs per a VPN IPsec , certament ha passat una sèrie de proves objectives i replicables, que garanteixen la compatibilitat amb totes les altres implementacions certificades i un nivell adequat de seguretat. Ara és habitual opinar que una VPN dissenyada adequadament té un grau de seguretat comparable al, si no superior, al d’una xarxa dedicada.

Amb una VPN, mitjançant Internet (o ràdio) gratuïta , per exemple, és possible connectar-se remotament (és a dir, des de l'exterior) a la xarxa informàtica de l'empresa. En termes simplificats: mitjançant una connexió VPN es pot "connectar" des d'un client (usuari, tant maquinari com programari) com si estigués connectat físicament (cable de xarxa o sandvitx sense fils). La connexió té lloc a través d'un túnel "virtual" (protegit i segur) suportat per Internet igual que el cable físic habitual. D'aquesta manera podeu utilitzar els recursos de xarxa habituals: carpetes, sistemes d'informació de gestió, correu electrònic de l'empresa, etc. A part de l'exemple empresarial, això s'aplica a qualsevol aplicació en què es requereixi una connexió de xarxa remota. A tall d’exemple, una institució universitària pot activar una VPN per permetre als seus estudiants consultar les publicacions d’origen a les quals s’ha subscrit; mentre l’usuari tingui activat el servei VPN, totes les seves sol·licituds passen pels servidors de la institució, com si la connexió es fes localment, obtenint així accés als serveis de subscripció reservats; al mateix temps, l'usuari també està subjecte a les polítiques del gestor que pot, per exemple, xifrar o no la connexió servidor-usuari o inhibir alguns protocols com ara P2P o l'accés a llocs d'Internet inclosos en una llista negra.

Les VPN es poden implementar a través dels sistemes operatius més habituals ( Windows , Linux , Android , iOS , macOS i MS-DOS ) o mitjançant programari de tercers (exemple: Cisco VPN Client o OpenVPN ) que permet configuracions més complexes i manejables. En general, una VPN consta de dues parts: una "externa a la xarxa privada" i, per tant, protegida, que preserva la transmissió, i una altra de menys fiable i segura que és "la de la xarxa", per exemple a través d'Internet. Les xarxes VPN utilitzen connexions que requereixen accés per garantir l'accés només als usuaris autoritzats; per garantir la seguretat que les dades enviades per Internet no siguin interceptades ni utilitzades per altres persones no autoritzades, les xarxes utilitzen sistemes de xifratge . Per tant, les xarxes VPN segures adopten protocols que xifren el trànsit que passa per la xarxa virtual. A més del xifratge , una VPN segura ha d’incloure mecanismes als seus protocols que evitin incompliments de seguretat, com ara el robatori d’ identitat digital o l’alteració de missatges. A la VPN sol ser un tallafoc entre l’ ordinador de l’empleat o d’un client i el terminal o servidor de xarxa. L’empleat, per exemple, quan estableix la connexió amb el tallafoc ha de verificar les dades que vol transmetre, passant per un servei d’autenticació intern.

Un usuari autenticat pot tenir privilegis especials per accedir a recursos que generalment no són accessibles per a tots els usuaris. La majoria dels programes de client requereixen que tot el trànsit IP VPN passi per un "túnel virtual" entre xarxes que utilitzen Internet com a enllaç. Des del punt de vista de l'usuari, això significa que mentre la connexió VPN està activa, tot l'accés extern a la xarxa segura ha de passar pel mateix tallafoc com si l'usuari estigués connectat físicament a la xarxa segura. Això redueix el risc que els usuaris externs puguin accedir a la xarxa privada de la companyia. L’eina més explotada en aquest sentit és el túnel , és a dir, la transmissió de dades a través d’una xarxa privatitzada, que fa que els nodes d’ encaminament de la xarxa pública no puguin percebre que la transmissió forma part d’una xarxa oculta; per tant, permet utilitzar la xarxa pública per transportar dades en nom de clients autoritzats a accedir a la xarxa privada, garantint que la comunicació de punta a punta entre els usuaris quedi lògicament confinada a la mateixa xarxa privada. El túnel es crea normalment encapsulant les dades i el protocol al protocol de xarxa pública, de manera que les dades que passen pel túnel no són comprensibles per a tercers que poden estar examinant les dades transmeses. La seguretat de la connexió VPN té una importància cabdal, perquè la xarxa en què treballen els altres equips pot ser insegura o només parcialment segura. Per tant, la VPN ha de garantir un nivell de seguretat que protegeixi els equips dels empleats que treballen simultàniament a la mateixa xarxa, un dels quals pot estar infectat amb un virus , cuc o troià .

Autenticació d'usuari

La naturalesa de la VPN, que transmet dades privades a les xarxes públiques, requereix atenció a les possibles amenaces a les dades i a l’impacte de les dades perdudes. Una VPN es preocupa per les amenaces de seguretat oferint serveis de seguretat en regnes, el procés per assegurar-se que un client o un sistema sigui qui afirma ser. Hi ha molts mecanismes d’autenticació, però els més utilitzats són:

  • alguna cosa que sabeu: (un identificador, com ara una contrasenya o un PIN );
  • alguna cosa que tingueu: (un símbol llegible per ordinador, com ara una targeta intel·ligent );
  • alguna cosa que sou: (la retina o les empremtes digitals).

Els inicis de sessió i les contrasenyes es consideren generalment una autenticació dèbil, mentre que l’autenticació forta s’aconsegueix combinant dos tipus d’autenticació diferents. El nivell real de seguretat, òbviament, depèn del context, perquè, per exemple, es pot robar una targeta intel·ligent , mentre que les credencials d’accés poden ser difícils d’identificar. Les dades de seguretat robades o perdudes poden permetre diversos atacs i requerir diversos esquemes d’autenticació.

Cap tècnica ofereix seguretat d’autenticació completa, ni tan sols biomètrica (empremtes digitals, impressions de veu i mapatge de la retina).

Avantatges per a les empreses

Una VPN ben estructurada pot oferir grans avantatges a una empresa:

  • amplia la connectivitat geogràfica;
  • millora la seguretat quan les línies de dades no s’han xifrat;
  • redueix els costos d’operació;
  • redueix el temps de trànsit i els costos de transport per a clients remots;
  • simplifica la topologia de xarxa, almenys en determinats escenaris;
  • proporciona la possibilitat de xarxes globals;
  • proporciona suport a la xarxa;
  • proporciona compatibilitat amb xarxes de banda ampla ;
  • proporciona un temps de recuperació més ràpid que el transport tradicional de línies WAN (Wide Area Network);
  • mostra una bona economia d’escala .

Atès que la VPN ha ampliat la " xarxa principal " amb una gran quantitat d'equips i dispositius, algunes implementacions de seguretat necessiten una atenció especial:

  • cal reforçar i reforçar la seguretat envers el client (això va ser determinat per l’ administració central del client i per l’ aplicació de la política de seguretat ), és a dir, és necessari que una empresa que necessiti cada empleat pugui utilitzar la seva VPN fora de les oficines, abans que tot instal·leu un tallafoc certificat (algunes organitzacions amb dades especialment sensibles fan que els empleats utilitzin dues connexions WAN diferents: una per treballar en dades sensibles i l’altra per a la resta d’usos);
  • cal limitar l’escala d’accés a l’objectiu de la xarxa;
  • cal avaluar les polítiques de registre i, en la majoria dels casos, revisar-les.

En les situacions en què les empreses o persones físiques tenen obligacions legals de mantenir informació confidencial, pot haver-hi problemes legals o penals. Dos exemples són la normativa HIPAA als Estats Units sobre dades segures i la normativa general de la Unió Europea que s’aplica a tota la informació comercial i comptable i s’estén als que comparteixen aquestes dades.

Tipus de VPN

  • VPN de confiança
  • VPN segura
  • VPN híbrida
  • VPN multi-fil
  • Obrir VPN

VPN de confiança

La garantia que ofereix la xarxa VPN de confiança és la seguretat que cap tercer no autoritzat pot utilitzar el circuit del client. Això implica que el client té la seva pròpia adreça IP i la seva pròpia política de seguretat.

El circuit viatja a través d'un o més "commutadors" de comunicació que poden ser compromesos per qualsevol persona que vulgui molestar el trànsit de la xarxa. Per tant, un client de VPN espera que el proveïdor de VPN ( proveïdor ) mantingui la integritat del circuit per tal d’evitar l’entrada d’intrusos.

Les empreses que utilitzen una VPN de confiança volen tenir la confiança que les seves dades es mouen a través d’una sèrie de camins que tenen propietats específiques i que estan controlats per un proveïdor de serveis d’Internet (ISP). Per tant, el client té confiança que els camins pels quals es mouen aquestes dades es mantenen segurs segons els criteris d’un acord anterior, encara que en general el client no sàpiga quins camins utilitza el proveïdor de la VPN de confiança.

Més recentment, els proveïdors de serveis han començat a oferir un nou tipus de VPN de confiança, aquesta vegada utilitzant Internet en lloc de la xarxa telefònica com a substrat de comunicació. Aquestes noves VPN de confiança no ofereixen seguretat, però ofereixen als clients una manera de crear fàcilment segments de xarxa a gran escala ( WAN ). Els segments VPN de confiança també es poden controlar des d’un sol lloc i sovint amb una garantia de qualitat de servei (QoS - Quality of Service) pel proveïdor.

Requisits necessaris

  • Ningú que no formi part del proveïdor de VPN de confiança pot influir en la creació o modificació de la ruta VPN.
    • Ningú fora de la relació de confiança no pot canviar cap part de la VPN.
  • Ningú que no formi part del proveïdor de VPN de confiança pot modificar les dades entrants o suprimides del camí de la VPN.
    • Les dades viatgen dins dels diversos camins que són compartits per diversos clients del proveïdor, per tant, la ruta VPN ha de ser especificada per la VPN i ningú més que el proveïdor de confiança pot modificar les diverses dades.
  • El camí i l'adreça utilitzats en una VPN de confiança s'han d'establir abans de crear-la.
    • El client ha de saber què espera del proveïdor per planificar i construir la xarxa per a la qual col·labora.

Tecnologies utilitzades per la VPN de confiança

En referència a la pila ISO / OSI , les tecnologies utilitzades es divideixen en tecnologies de nivell 2 i nivell 3 ;

Nivell 2
Nivell 3

VPN segura

Atès que Internet s’ha estès i s’ha convertit en un important mitjà de comunicació, la seguretat ha esdevingut al mateix temps cada vegada més important, tant per als clients com per als proveïdors . Com que la VPN no oferia una seguretat completa, els proveïdors de connectivitat van començar a crear protocols que permetien xifrar les dades per la xarxa o per l’ ordinador d’origen, de manera que es poguessin transportar a Internet com qualsevol altra dada, per després ser desxifrades. en arribar a la xarxa de l’empresa o a l’ordinador receptor.

Aquest trànsit xifrat actua com un " túnel " entre dues xarxes: fins i tot si un intrús intentava llegir les dades, no podia desxifrar el contingut ni modificar-lo, ja que els canvis serien detectats immediatament pel receptor i després rebutjats. Les xarxes construïdes mitjançant xifratge de dades s’anomenen VPN segura.

El principal motiu pel qual les empreses utilitzen una VPN segura és que poden transmetre informació sensible per Internet sense por de ser interceptades.

Les VPN segures són particularment útils per permetre l'accés remot dels usuaris connectats a Internet des de zones no controlades per l' administrador de la xarxa .

Requisits necessaris

  • Tot el trànsit d’una VPN segura s’ha de xifrar i autenticar.
    • Molts dels protocols utilitzats per crear VPN segures permeten la creació de xarxes autenticades, però sense xifrar.
      • Tot i que aquesta xarxa és més segura que una xarxa sense autenticació, no es podria considerar una VPN perquè no protegeix la privadesa.
  • Les propietats de seguretat d'una VPN han de ser acordades per totes les parts de la VPN.
    • Les VPN segures tenen un o més túnels i cada túnel té dos extrems.
      • Els administradors dels dos extrems de cada túnel han de poder acordar les propietats de seguretat del túnel.
  • Ningú fora de la VPN pot comprometre les propietats de seguretat de la VPN.
    • Ha de ser impossible per a un intrús canviar les propietats de seguretat d'una o més parts de la VPN per tal de debilitar el xifratge o comprometre les claus de xifratge utilitzades.

Tecnologies utilitzades per les VPN segures

  • IPsec amb xifratge a cada túnel.
  • IPsec intern a L2TP .
  • SSL / TLS 3.0 o TLS amb xifratge.

Aquestes tecnologies estan estandarditzades a laInternet Engineering Task Force (IETF). [2]

VPN híbrida

Una VPN segura es pot utilitzar com a part d’una VPN de confiança creant un tercer tipus de VPN, introduït recentment al mercat:

VPN híbrida

Les parts segures d’una VPN híbrida poden ser controlades per un client o el mateix proveïdor que proporciona la part de confiança de la VPN híbrida. De vegades, tota una VPN híbrida està protegida amb una VPN segura, però més sovint només una part de la VPN híbrida és segura. És clar que les VPN segures i les VPN de confiança tenen propietats molt diferents:

  • Les VPN segures proporcionen seguretat, però no asseguren les rutes;
  • Les VPN de confiança garanteixen propietats del camí com QoS, però no la seguretat contra intrusions.

A causa d’aquestes fortaleses i debilitats, es van introduir VPN híbrides. Tot i això, els escenaris d’ús continuen evolucionant. Una situació típica per desplegar una VPN híbrida és quan una empresa ja té una VPN de confiança i vol seguretat en part de la VPN. Tot i això, cap de les tecnologies VPN de confiança impedeix la creació de VPN híbrides i alguns fabricants estan construint sistemes que admetin explícitament la creació de serveis de VPN híbrids.

Requisits necessaris

  • Les adreces de frontera entre la VPN segura i la VPN de confiança han de ser extremadament clares.
    • En una VPN híbrida, la VPN segura hauria de ser un subconjunt de la VPN de confiança. Per a cada parell d'adreces indicades en una VPN híbrida, l'administrador de la VPN ha de poder saber amb seguretat si el trànsit entre les dues adreces forma part de la VPN segura o no.

Protocols utilitzats

Les VPN segures utilitzen protocols de túnel criptogràfic per oferir autenticació del remitent i integritat del missatge amb la finalitat de defensar la privadesa [3] . Un cop escollides, implementades i utilitzades, algunes tècniques poden proporcionar comunicacions segures a través de xarxes no segures. Les tecnologies VPN segures s’han d’utilitzar com a " superposicions de seguretat " mitjançant infraestructures de xarxa dedicades.

Els protocols més populars que implementen una VPN segura són:

  • IPsec ( seguretat IP), que s’utilitza habitualment a IPv4 (part obligatòria d’IPv6).
  • PPTP ( protocol de túnel punt a punt ), desenvolupat per Microsoft.
  • SSL / TLS , utilitzat tant per fer túnels de tota la xarxa, com en el projecte OpenVPN , com per assegurar-se que és essencialment un servidor intermediari web. SSL és un marc , molt sovint associat al comerç electrònic, que ha demostrat ser d’una gran flexibilitat i, per tant, s’utilitza com a capa de seguretat per a diverses implementacions (més o menys estàndard) de xarxes privades virtuals. Aquest protocol és l’origen dels clients VPN anomenats VPN SSL (OpenVPN, per exemple, és una VPN SSL [4] ).
  • Quarantena VPN: la màquina del terminal del client de la VPN pot ser una font d'atac, que no depèn del disseny de la VPN. Hi ha solucions que proporcionen serveis VPN de quarantena que controlen l’ordinador remot. El client es manté en quarantena fins que s’elimini la infecció.
  • MPVPN (Multi Private Virtual Private Network), una marca registrada propietat de Ragula System Development Company.
  • Els ISP ara ofereixen un servei VPN per a empreses que vulguin la seguretat i la comoditat d’una VPN. A més de proporcionar als empleats remots accés segur a la xarxa interna, de vegades s’inclouen altres serveis de seguretat i gestió. Aquests mecanismes no implementen en si mateixos una xarxa virtual, sinó només una comunicació segura entre dos terminals. En aquests casos, el mecanisme de xarxa virtual s’ha d’implementar mitjançant un protocol específic que després s’encapsula. Ara hi ha una sèrie d’enfocaments alternatius (i òbviament incompatibles) d’aquest esquema, entre els quals podem esmentar els següents:
    • Protocol SOCKS : aquest enfocament és el més "estàndard", ja que SOCKS és un estàndard IETF per al tallafoc genèric transversal definit a RFC 1928 ;
    • OpenVPN proporciona un executable que crea un túnel xifrat amb una altra instància del mateix programa en un ordinador remot i pot transportar tota la pila TCP / IP;
    • un altre enfocament àmpliament utilitzat utilitza el protocol SSH que és capaç, com OpenVPN, de crear túnels entre dues màquines connectades. Aquesta característica va néixer per transportar XWindow, però s'ha implementat de manera general i, per tant, és possible utilitzar-la per transportar qualsevol protocol. Una implementació molt popular, ja que és de codi obert i gratuïta, és OpenSSH ;
    • ara l'enfocament de tots els proveïdors de tallafocs és utilitzar STL per assegurar la comunicació amb un servidor intermediari al qual es pot accedir mitjançant el navegador. En realitat, el canal xifrat es crea generalment mitjançant una miniaplicació Java o un objecte ActiveX , que per tant es pot instal·lar de manera gairebé transparent per a l'usuari final. La facilitat de gestió resultant fa que aquest enfocament sigui especialment popular en organitzacions complexes.

Algunes xarxes VPN segures no utilitzen algoritmes de xifratge, però assumeixen que un sol subjecte de confiança gestiona tota la xarxa compartida i que, per tant, la impossibilitat d’accedir al trànsit global de la xarxa fa que els canals individuals siguin segurs, ja que el gestor de xarxa només proporciona a cada subjecte amb la seva pròpia VPN. Els protocols que fan servir aquesta filosofia inclouen:

  • L2F ( capa 2 reenviament), desenvolupat per Cisco;
  • L2TP ( Layer 2 Tunneling Protocol), desenvolupat en col·laboració entre Microsoft i Cisco;
  • L2TPv3 ( capa 3 del protocol de túnel versió 3). Les VPN de confiança no fan servir túnels criptogràfics, sinó que confien en la seguretat d’una xarxa de proveïdor únic per protegir el trànsit. En cert sentit, es tracta d’una elaboració d’una xarxa tradicional;
  • El Multi Protocol Label Switching ( MPLS ) sovint s’utilitza per crear una VPN de confiança.

Dispositiu TAP

Alguns clients de solucions VPN (per exemple, OpenVPN ) també instal·len un dispositiu de xarxa virtual del tipus TAP al sistema operatiu per activar la funció de túnel segur. Si desactiveu el servei relacionat, la connexió amb l'amfitrió no es completarà.

Nota

Altres projectes

Enllaços externs