Virtuální privátní síť (VPN) je propojení mezi dvěma body realizované přes privátní nebo veřejnou síť, jako je například Internet. Klient VPN využívá speciální protokoly založené na protokolu TCP/IP nazývané protokoly pro tunelová propojení, které vytvoří zabezpečený kanál mezi dvěma počítači, přes který lze odesílat data. Z pohledu těchto dvou počítačů mezi nimi existuje vyhrazená linka mezi dvěma body, přestože ve skutečnosti jsou data směrována přes Internet jako jakýkoli jiný paket. Při typickém nasazení sítě VPN iniciuje klient přes Internet virtuální propojení mezi dvěma body k serveru vzdáleného přístupu. Server vzdáleného přístupu přijme volání, ověří volajícího a přenese data mezi klientem VPN a privátní sítí organizace.

Linka mezi dvěma body se emuluje zapouzdřením (neboli zabalením) dat do hlavičky. Tato hlavička obsahuje směrovací informace, které umožňují průchod dat přes sdílenou nebo veřejnou síť až do koncového bodu. Privátní linka je emulována tak, že přenášená data jsou z důvodu utajení šifrována. Další informace o protokolech tunelového propojení podporovaných v této verzi systému Windows naleznete v článku Protokoly pro tunelové propojení sítí VPN (stránka může být v angličtině).

Požadavky na instalaci naleznete v tématu Požadavky na instalaci služby RRAS jako serveru VPN.

Připojení VPN

Připojení k síti VPN

Existují dva typy připojení VPN:

Připojení VPN pro vzdálený přístup

Připojení VPN pro vzdálený přístup umožňuje uživateli, který pracuje doma nebo na cestách, pracovat se serverem v privátní síti pomocí infrastruktury veřejné sítě, například Internetu. Z pohledu uživatele je VPN propojení mezi dvěma body, a sice mezi klientským počítačem a serverem organizace. Infrastruktura sdílené nebo veřejné sítě není podstatná, protože logicky to vypadá, jako by data byla odesílána přes vyhrazenou privátní linku.

Propojení lokalit prostřednictvím sítě VPN

Propojení lokalit prostřednictvím sítě VPN (někdy označované jako propojení směrovačů prostřednictvím sítě VPN) umožňuje organizaci směrovat připojení mezi samostatnými pobočkami nebo s jinými organizacemi přes veřejnou síť při současném zachování zabezpečené komunikace. Při propojení sítí přes Internet, jak znázorňuje následující obrázek, předává směrovač s podporou VPN pakety dalšímu směrovači s podporou VPN přes připojení VPN. Z pohledu směrovačů vypadá připojení VPN logicky jako vyhrazená linka v linkové vrstvě.

Propojení lokalit prostřednictvím sítě VPN slouží k propojení dvou privátních sítí. Server VPN poskytuje směrované připojení k síti, ve které se tento server VPN nachází. Volající směrovač se ověří vůči odpovídajícímu směrovači a z důvodu vzájemného ověření se odpovídající směrovač ověří vůči volajícímu směrovači. Pakety, které jsou odesílány z obou směrovačů přes připojení VPN, zpravidla u propojení lokalit prostřednictvím sítě VPN nepocházejí z těchto směrovačů.

Dvě vzdálené lokality propojené sítí VPN přes Internet

Síť VPN připojující vzdálené servery sítí Internet

Vlastnosti připojení VPN

  • Zapouzdření: Privátní data jsou zapouzdřena pomocí hlavičky obsahující směrovací informace, které umožňují průchod dat přes tranzitní síť. Příklady zapouzdření jsou popsány v článku Protokoly pro tunelové propojení sítí VPN (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=140602).

  • Ověřování: U připojení VPN má ověřování tři různé formy:

    1. Ověřování na úrovni uživatele pomocí ověřování protokolem PPP (Point-to-Point Protocol): Při navazování připojení VPN ověří server VPN klienta VPN, který se pokouší připojit pomocí metody ověřování na úrovni uživatele protokolem PPP, a ověří, zda má klient VPN příslušnou autorizaci. Pokud se používá vzájemné ověřování, klient VPN ověří server VPN, což poskytuje ochranu proti počítačům, které se vydávají za servery VPN.

    2. Ověřování na úrovni počítače pomocí protokolu IKE (Internet Key Exchange): Při zřizování přidružení zabezpečení protokolu IPsec (Internet Protocol security) využívají klient VPN a server VPN protokol IKE k výměně certifikátů počítače nebo předsdílených klíčů. V obou případech se klient a server VPN vzájemně ověřují na úrovni počítače. Ověřování pomocí certifikátu počítače je mnohem účinnějším způsobem ověření a proto je důrazně doporučeno. Ověřování na úrovni počítače se používá u připojení pomocí protokolu L2TP (Layer Two Tunneling Protocol)/IPsec nebo IKE verze 2.

    3. Ověřování původu a integrity dat: Za účelem ověření, zda data odesílaná přes připojení VPN a pocházející z druhé strany připojení nebyla během přenosu nijak upravena, obsahují data šifrovaný kontrolní součet založený na šifrovacím klíči, který zná pouze odesílatel a příjemce. Ověřování původu a integrity dat je dostupné u připojení pomocí protokolů L2TP/IPsec a IKE verze 2.

  • Šifrování dat: Pro utajení dat během jejich přenosu sdílenou nebo veřejnou tranzitní sítí jsou data na straně odesílatele zašifrována a na straně příjemce dešifrována. Šifrování a dešifrování je založeno na tom, že odesílatel i příjemce používají společný šifrovací klíč.

    Zachycené pakety odeslané přes připojení VPN v tranzitní síti jsou nesrozumitelné každému, kdo nemá k dispozici tento společný šifrovací klíč. Délka šifrovacího klíče je důležitým parametrem zabezpečení. Šifrovací klíč lze odhalit pomocí výpočetních postupů. Čím delší jsou však šifrovací klíče, tím větší výpočetní výkon a delší výpočetní čas je zapotřebí. Pro spolehlivé utajení dat je proto důležité používat co nejdelší šifrovací klíč.

Další informace


Obsah