Lankide:Mikelget01/Proba orria

Sare pribatu birtuala edo VPNa (virtual private network) sare-teknologia bat da, konputagailu-sare publikoen edo ez fidagarrien gainean, sare lokal bat hedatzea ahalbidetzen duena. Ordenagailuak sare partekatuei edo publikoei buruzko datuak bidaltzeko eta jasotzeko aukera ematen du, sare pribatu bat balitz bezala, sare pribatu baten funtzionaltasun, segurtasun eta kudeaketa-politika guztiekin.[1] Hori egiteko, puntutik punturako konexio birtuala ezartzen da; konexio dedikatuak, zifratuak edo bi medioen konbinazioak erabiliz.[2]

Adibide komunak dira enpresa baten bi sukurtsal edo gehiago konektatzea, euskarri teknikoko ekipoko kideei etxetik zenbaketa-zentrora konektatzeko aukera ematea edo erabiltzaile bat bere etxeko ekipamendura urruneko gune batetik sartu ahal izatea, hotel batetik adibidez. Hori guztia Internet[2] azpiegitura erabiliz.

Internet bidezko VPN konexioa teknikoki wide area network (WAN) lotura bat da guneen artean, baina erabiltzaileari lotura pribatu bat balitz bezala iruditzen zaio: hortik private network izendapen birtuala.[3]

VPN motak aldatu

Hiru VPN eredu daude:

Sarbide urruneko VPN aldatu

Gaur egun gehien erabiltzen den eredua da, eta urruneko guneetatik (bulego komertzialetatik, etxeetatik, hoteletatik, hegazkin prestatuetatik eta abar) enpresarekin konektatzen diren erabiltzaileak dira, Internet bitarteko bezala erabiliz. Behin egiaztatuta, enpresaren sare lokalean duten sarbide-mailaren oso antzekoa dute. Teknologia horrekin, enpresa askok beraien dial-up azpiegitura berritu dute (modemak eta telefono-lineak).

Punturik punturako VPN aldatu

Eskema hori urruneko bulegoak erakundearen egoitza nagusiarekin konektatzeko erabiltzen da. VPN zerbitzariak Interneterako lotura iraunkorra duenez, guneetatik datozen Internet bidezko konexioak onartzen ditu eta VPN tunela ezartzen du. Sukurtsaletako zerbitzariak Internetera konektatzen dira, Interneteko zerbitzu-hornitzailea erabiliz. Horrek aukera ematen du puntutik punturako lotura tradizional garestiak ezabatzeko (normalean nodoen arteko kable fisikoko konexioen bidez egiten direnak), batez ere nazioarteko komunikazioetan. Ohikoagoa da hurrengo puntua, tunel edo tunneling teknologia ere deitua.

Tunnelling aldatu

Tunneling teknikaren bidez, sare-protokolo bat kapsulatzen da beste baten gainean (kapsularatze-sarearen protokoloa), eta ordenagailu-sare baten barruan tunel bat sortzen da. Tunel hori ezartzeko, beste PDU baten barruan zehaztutako PDU bat (protokoloko datu-unitateak) sartzen da, tunelaren mutur batetik bestera transmititzeko, kapsulatutako PDUren tarteko interpretaziorik behar izan gabe. Horrela bideratzen dira tarteko nodoei buruzko datu-paketeak, pakete horien edukia argi ikusteko gai ez direnak. Muturreko puntuek eta erabilitako komunikazio-protokoloak zehazten dute tunela.

Teknika honen erabileraren adibiderik argienetako bat IP Mugikorreko agertokietan trafikoa berriz zuzentzea da. IP mugikorreko agertokietan, nodo-mugikor bat bere oinarrizko sarean ez dagoenean, bere Home-agent-ek funtzio jakin batzuk bete behar ditu bere postuan, eta funtzio horien artean dago nodo-mugikorrera zuzendutako trafikoa atzematea eta harengana bideratzea. Trafikoa berriz bideratzeko tunneling-mekanismo bat erabiltzen da; izan ere, paketeek jatorrizko egitura eta edukia gorde behar dituzte (jatorriko eta helmugako IP helbidea, portuak, etab.), nodo-mugikorrak jasotzen dituenean. Urrunetik maneiatzen da hau guztia.

Barne VPN edo VLAN aldatu

Gutxien hedatuena baina enpresarako ahaltsuena. Urruneko sarbidearen aldaera da, baina Internet konexio bezala erabiliz enpresaren sare lokala erabiltzen du. Barne sare lokaleko zerbitzuak eta eremuak isolatzeko balio du. Ahalmen honek wifiren ezaugarriak hobetzeko ezin hobea egiten du.

Soldatak kudeatzen duen zerbitzaria edo informazio garrantzitsua duen zerbitzariaren informazioa VPN makina baten atzean dago, honela kautotasuna eta zifratzea eransten zaizkio komunikazioari, eta, horri esker, gaitutako giza baliabideetako langileek soilik eskuratu ahal izango dute informazioa.

Beste adibide bat wifi sareetara konektatzea da, IPSec edo SSL tunel zifratuak erabiliz. Horiek, autentifikazio-metodo tradizionaletatik pasatzeaz gain (WEP, WPA, MAC helbideak, etab.), barneko edo kanpoko LANen sortutako VPN tunelaren segurtasun-kredentzialak gehitzen dituzte.

Segurtasunaren oinarrizko ezaugarriak aldatu

Sare pribatu birtual baten helburua urruneko tokiei zerbitzua ematea da, intranet bateko ezaugarri berdinak eskainiz:

  • Datuen konfidentzialtasuna: Intraneteko segurtasun-politikak bete behar dira baita Internetekiko harremanetan ere. Kautotze funtzioak (komunikatzen ari direnak esaten dutena diren edo ez) oso garrantzitsuak dira. Horregatik, gako publikoen banaketa politika egokia eta transmititzen den informazioaren zifraketa beharrezkoak dira.
  • Kudeaketa malgutasuna: Askotan mugitzen ari diren erabiltzaileak dauzkagu, baina ez dute atzipena egiteko toki finkorik.
  • Aplikazioen integrazio gardena: Komunikazioa hasi ondoren, intranet edo Internet bitarten ari den erabiltzaile batek berdin-berdin egingo dute lan.
  • Sarbide-kontrola: egiaztatutako parte-hartzaileek baimenduta dituzten datuetara baino ez dutela sarbidea ziurtatu nahi da.
  • Jardueren auditoretza eta erregistroa: funtzionamendu egokia eta berreskuratzeko gaitasuna ziurtatzea da helburua.
  • Zerbitzuaren kalitatea: errendimendu ona ziurtatzea da helburua, transmisio-abiaduran onargarria ez den degradaziorik ez egotea.

Guzti hau segurtasunarekin posible egiteko komunikazio baten kautotasuna, osotasuna eta konfidentzialtasuna bermatzeko baliabideak jarri behar dira. Komunikazio seguru bateko ezaugarriak:

  • Autentifikazioa eta baimena: Egiaztatu datagrama bakoitza adierazitako igorleak sortu duela. Identifikatzen den zatiari probatzailea esaten zaio. Identitatea egiaztatzen duen alderdiari egiaztatzailea esaten zaio. Ohikoa da probalaria baliabide jakin batzuetara sartu nahi duen erabiltzaile bat izatea, eta egiaztatzailea baliabide horietarako sarbidea babesten duen sistema bat izatea, eta egiaztatu behar du sartzen dena baliabide horietara sartzeko baimena duen erabiltzaile bat dela. Nor dago beste aldean? Erabiltzailea/makina eta zein sarbide maila izan behar du.
  • Osotasuna: Bidalitako datuak aldatu ez diren bermea edo ezaugarria. Datagrama baten edukia ez dela bidetik aldatu egiaztatzea, ez nahita, ez ausazko akatsen ondorioz. Hashing algoritmoak erabiltzen dira horretarako. MD5 eta SHA dira erabilienak.
  • Konfidentzialtasuna: Mezu baten edukia ezkutatzen du, mezua zifratuta doa, eta Internet bezalako sare publikoan edozeinek mezua irakur dezake. Testuinguru honetan baimendutako hartzaileak baino inork ez dezan mezua irakurri, informazio zifratuta doa. DES , 3DES eta AES bezalako algoritmoekin.
  • Ez onartzea: Mezua sinatuta doanez, sinatzaileak ezin du uko egin mezuaren jabea denik.
  • Ugalketa-babesa: Erasotzaile batek ezin du datagrama bat geldiarazi eta ondoren erreproduzitu.[4]

VPNren oinarrizko eskakizunak aldatu

  • Erabiltzailea identifikatzea: VPNek erabiltzaileen nortasuna egiaztatu behar dute, eta baimenik ez dutenak sartzea saihestu.
  • Datuak zifratzea: sare publikoaren (Internet) bidez transmitituko diren datuak zifratu egin behar dira, atzemanez gero irakurri ezin izateko. Jarduera hau zifratze simetrikoko algoritmoekin egiten da, hala nola DES, 3DES edo AES algoritmoekin (Advanced Encryption Standard, AES128, AES192 edo AES256 aukeretan). Algoritmo horiek igorleak eta hartzaileak bakarrik irakur ditzake.
  • Gakoak administratzea: VPNek erabiltzaileentzako zifratze-gakoak eguneratu behar dituzte.
  • SEAL segurtasun-algoritmo berria.
  • Sare protokolo anitzak onartzea (IP, IPX...).

Implementazioak aldatu

Protokolo estandarra IPSEC da, baina PPTP, L2F, L2TP, SSL/TLS, SSH eta abar ere badaude. Bakoitzak bere abantailak eta desabantailak ditu segurtasunari, erraztasunari, mantentze-lanei eta bezero motei dagokienez.

Gaur egun, SSL/TLS protokoloarekin lotuta dagoen produktu-lerro bat hazten ari da, soluzio horien konfigurazioa eta eragiketa lagunkoiago egiten saiatzen dena.

Ikusitako bi kasuetan firewall soluzioak erabil daitezke («suebakiak» edo «su-hesiak»), eta segurtasun-maila altua lortzen da ematen duen babesagatik, errendimenduaren kaltetan.

VPN arkitektura aldatu

VPN konfigurazio mota desberdinak daude (begiratu hurrengo atala), hala ere osagai berdinak dituzte:

  • VPN zerbitzaria: VPN bezeroen edo beste VPN zerbitzariren baten aldetik VPN konexioak onartzen dituen host bat da. Lehen kasuan, VPN zerbitzariak urruneko VPN atzipen bat hornitzen du edo bidatzaile-bidatzaile arteko konexio bat.
  • VPN bezeroa: VPN zerbitzari batekin VPN konexio bat hasten duen ordenagailua da. Konexio mota hau, urruneko VPN atzipenerako erabiltzen da.
  • Tunela, tunel protokoloak eta pasabide-sarea. Kanpo-sarean zehar, datuak kapsulatuak doazen konexio partea da tunela. Hasieran, tunel protokoloak, mota bateko tramak (SPX/IPX adibidez) beste trama mota bateraezin batzuekin (TCP/IP adibidez) lan egiten zuten sareetan zehar bidaiatzeko asmatu ziren. Benetan, beren erabilgarritasuna beti hau izan da: sare mota bateko tramak beste mota bateko protokolo batekin bidali. Sareari pasabide-sare izena ematen zaio. Pasabide-sare adibide bat Internet da, baina baliteke VPNren baten pasabide-sarea intranet bat izatea.
  • VPN konexioa: datuak zifratuak diren konexio partea. Zehazki VPN batetaz hitz egiteko, datuak konexio puntu berdinean izan behar dira zifratuak eta kapsulatuak. Inork galde dezake zergatik ez den nahikoa zifratzearekin. Erantzuna berehalakoa da: IP pakete oso bat zifratu eta Internetetik bidaltzen badugu ez da inora joango, Interneteko bideratzaileek ezingo baitute IP pakete goiburua irakurri, eta bertan baitago bideratzeko beharrezkoa duten informazioa. Tunel protokolo ezagunenak PPTP, L2TP eta IPSec dira.

Konexio motak aldatu

Urruneko sarbideko konexioa aldatu

Sare pribatu batera konektatzen den ordenagailu bateko bezero edo erabiltzaile batek egiten du, VPN konexioaren bidez bidalitako paketeak urruneko sarbideko bezeroari sortzen zaizkio, urruneko sarbideko zerbitzaria autentifikatzen da, eta zerbitzaria bezeroaren aurrean autentifikatzen da.

VPN router eta router arteko konexioa aldatu

Router batek egiten du, eta router hori, aldi berean, sare pribatu batera konektatzen da. Konexio mota honetan, edozein routerretatik bidalitako paketeak ez dira routerretan sortzen. Deia egiten duen routerra erantzuten duen routerraren aurrean autentifikatzen da, eta routerra, berriz, deia egiten duen routerraren aurrean autentifikatzen da.

VPN firewall eta firewall arteko konexioa aldatu

VPN firewall konexio bat horietako batek egiten du, eta hori, aldi berean, sare pribatu batera konektatzen da. Konexio mota honetan, paketeak edozein erabiltzailek bidaltzen ditu Interneten. Deiak egiten duen firewall-a erantzun duenaren aurrean autentifikatzen da, eta erantzun hori, berriz, deitzailearen aurrean autentifikatzen da.

VPN ingurune mugikorretan aldatu

VPNren amaiera-puntua [5]ez dagoenean IP helbide bakar batean finkatuta, baizik eta hainbat sareren artean mugitzen denean, hala nola operadore mugikorren datu-sareetan edo Wifi[6] sare bateko sarbide-puntu desberdinetan. VPN mugikorrak segurtasun publikoan erabili dira, ordena publikoko indarrei aplikazio kritikoetarako sarbidea emanez, hala nola, kriminalak identifikatzeko datuak dituzten datu-baseetarako, eta konexioa sare mugikor bateko hainbat azpi-sareren artean mugitzen da.[7]

VPNren abantailak aldatu

  • Datuen segurtasuna, konfidentzialtasuna eta osotasuna.
  • Kostuak gutxitu eta erabilerrazak.[8]
  • Edozein konputagailutan instalatzeko erraza.
  • Bere sarbide kontrola organizazioaren politiketan oinarrituta dago.
  • Informazioa konprimatuta doanez datu trafikoa arintzen du.
  • Komunikazioen kostua aurrezten du.
  • Zure eskualdean eskuragarri ez dagoen edukira ematen du sarbidea.[9]
  • Langileak telefono deiak erabili gabe sar daitezke enpresaren zerbitzuetara.
  • Organizazioak haien bazkideei bere zerbitzuak eskaini ahal dizkie VPNaren bidez, sarbide kontrolatua eta kanal segurua ahalbidetzen duelako.

Erreferentziak aldatu

  1. Mason, A. G., Cisco Secure Virtual Private Network. Cisco Press, 2002, p. 7.
  2. a b (Gaztelaniaz) Redes privadas virtuales. .
  3. Virtual Private Networking. .
  4. Networking virtual private network. .
  5. ¿Que es un VPN?. .
  6. Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com, 16 de julio de 2006
  7. Willett, Andy. "Solving the Computing Challenges of Mobile Officers", www.officer.com, May, 2006.
  8. Free VPN. .
  9. Access to Blocked Content. .

Ikus, gainera aldatu

Bibliografía aldatu

Kanpo estekak aldatu