Wirtualna sieć prywatna (VPN, Virtual Private Network) to połączenie typu punkt-punkt przez sieć prywatną lub sieć publiczną, taką jak Internet. Klient VPN korzysta ze specjalnych protokołów opartych na protokole TCP/IP, określanych jako protokoły tunelowania. Ustanawiają one między dwoma komputerami bezpieczny kanał, przez który można przesyłać dane. Z perspektywy dwóch uczestniczących komputerów istnieje między nimi dedykowane połączenie punkt-punkt, chociaż w rzeczywistości dane są przesyłane przez Internet, tak jak miałoby to miejsce w przypadku każdego innego pakietu. W typowej sieci VPN klient inicjuje przez Internet wirtualne połączenie typu punkt-punkt z serwerem dostępu zdalnego. Serwer dostępu zdalnego odpowiada na wywołanie, uwierzytelnia wywołującego i przesyła dane między klientem sieci VPN a prywatną siecią organizacji.

Aby umożliwić emulację łącza typu punkt-punkt, dane są hermetyzowane, czyli opatrywane nagłówkiem. Nagłówek zawiera informacje routingu, które umożliwiają przesyłanie danych przez sieć udostępnioną lub publiczną i dotarcie do punktu końcowego. Aby umożliwić emulację łącza prywatnego, wysyłane dane są szyfrowane w celu zachowania poufności. Aby uzyskać więcej informacji na temat protokołów tunelowania obsługiwanych w tej wersji systemu Windows, zobacz Protokoły tunelowania sieci VPN (strona może zostać wyświetlona w języku angielskim).

Aby uzyskać informacje na temat wymagań instalacyjnych, zobacz Wymagania dotyczące instalowania usługi RRAS jako serwera sieci VPN.

Połączenie sieci VPN

Połączenie wirtualnej sieci prywatnej (VPN)

Istnieją dwa typy połączeń VPN:

Połączenie VPN dostępu zdalnego

Połączenia dostępu zdalnego przez sieć VPN umożliwiają użytkownikom pracującym w domu lub poza biurem uzyskiwanie dostępu do serwera w sieci prywatnej przy użyciu infrastruktury udostępnionej przez sieć publiczną, taką jak Internet. Z punktu widzenia użytkownika połączenie VPN to połączenie typu punkt-punkt między komputerem klienckim i serwerem organizacji. Typ infrastruktury sieci udostępnionej lub publicznej nie jest istotny, ponieważ dane są przesyłane przy użyciu sieci VPN podobnie jak w przypadku dedykowanego łącza prywatnego.

Połączenie VPN typu lokacja-lokacja

Połączenie VPN typu lokacja-lokacja (nazywane również połączeniem VPN typu router-router) umożliwia organizacjom nawiązywanie połączeń trasowanych między biurami lub z innymi organizacjami przez sieć publiczną przy zachowaniu bezpieczeństwa komunikacji. Gdy sieci są połączone przez Internet, jak pokazano na poniższym rysunku, router przesyła pakiety dalej do następnego routera za pośrednictwem połączenia VPN. Dla routerów połączenie VPN działa jak dedykowane łącze warstwy łącza danych.

Połączenie VPN typu lokacja-lokacja łączy dwie sieci prywatne. Serwer sieci VPN udostępnia połączenie trasowane z siecią, do której jest dołączony. Router wywołujący uwierzytelnia się na routerze odpowiadającym, a router odpowiadający uwierzytelnia się na routerze wywołującym (w celu zachowania uwierzytelniania wzajemnego). Pakiety wysyłane przez każdy router za pośrednictwem połączenia VPN typu lokacja-lokacja zazwyczaj nie są generowane przez te routery.

Dwie lokacje zdalne połączone przez Internet za pośrednictwem połączenia VPN

Wirtualna sieć prywatna (VPN) łącząca zdalne lokacje przez Internet

Właściwości połączeń VPN

  • Hermetyzacja Prywatne dane są hermetyzowane przy użyciu nagłówka, który zawiera informacje routingu umożliwiające przesyłanie danych przez sieć tranzytową. Aby zapoznać się z przykładami hermetyzacji, zobacz Protokoły tunelowania sieci VPN (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=140602).

  • Uwierzytelnianie. Uwierzytelnianie połączeń VPN ma trzy różne formy:

    1. Uwierzytelnianie na poziomie użytkownika przy użyciu uwierzytelniania protokołu PPP. W celu ustanowienia połączenia VPN serwer sieci VPN uwierzytelnia klienta sieci VPN, który próbuje nawiązać połączenie, przy użyciu metody uwierzytelniania na poziomie użytkownika opartej na protokole PPP (Point-to-Point Protocol) i sprawdza, czy klient sieci VPN jest odpowiednio uwierzytelniony. W przypadku uwierzytelniania wzajemnego klient sieci VPN uwierzytelnia również serwer sieci VPN, co zapewnia ochronę przed komputerami podającymi się za serwery sieci VPN.

    2. Uwierzytelnianie na poziomie komputera przy użyciu usługi IKE (Internet Key Exchange). W celu ustanowienia skojarzenia zabezpieczeń protokołu IPsec (Internet Protocol security) klient sieci VPN i serwer sieci VPN dokonują wymiany certyfikatów komputerów lub klucza wstępnego przy użyciu protokołu IKE. W obu przypadkach zarówno klient, jak i serwer sieci VPN, uwierzytelniają się wzajemnie na poziomie komputera. Stanowczo zaleca się stosowanie uwierzytelniania opartego na certyfikatach komputerów, ponieważ jest to zdecydowanie silniejsza metoda uwierzytelniania. Uwierzytelnianie na poziomie komputera jest używane przez połączenia protokołu L2TP (Layer Two Tunneling Protocol)/IPsec lub IKE w wersji 2.

    3. Uwierzytelnianie pochodzenia danych oraz integralność danych. Dane przesyłane za pośrednictwem połączenia VPN zawierają kryptograficzną sumę kontrolną opartą na kluczu szyfrowania znanym tylko nadawcy i odbiorcy, co umożliwia sprawdzenie, czy dane pochodzą od nadawcy po drugiej stronie połączenia i czy nie były modyfikowane podczas przesyłania. Uwierzytelnianie pochodzenia danych oraz integralność danych są dostępne tylko dla połączeń L2TP/IPsec oraz IKE w wersji 2.

  • Szyfrowanie danych Aby zapewnić poufność danych podczas przesyłania przez tranzytową sieć udostępnioną lub publiczną, dane są szyfrowane przez nadawcę oraz odszyfrowywane przez odbiorcę. Procesy szyfrowania i odszyfrowywania są oparte na wspólnym kluczu szyfrowania używanym przez nadawcę i odbiorcę.

    Przechwycone pakiety przesyłane przez połączenie VPN w sieci tranzytowej nie mogą zostać odczytane przez osobę, która nie dysponuje wspólnym kluczem szyfrowania. Długość klucza szyfrowania jest istotnym parametrem zabezpieczeń. Klucz szyfrowania można określić przy użyciu odpowiednich technik obliczeniowych. Techniki tego typu wymagają jednak większej mocy obliczeniowej i większej ilości czasu w przypadku dłuższego klucza szyfrowania. Aby więc zapewnić poufność danych, należy używać możliwie najdłuższego klucza.

Dodatkowe informacje


Spis treści