A virtuális magánhálózat (VPN) a magán- vagy nyilvános hálózatokon, például az interneten keresztüli pont-pont típusú kapcsolat. A VPN-ügyfél az alagútprotokollnak nevezett speciális, TCP/IP-alapú protokollt használ, amely az adatküldésre szolgáló biztonságos csatornát hoz létre két számítógép között. A két részt vevő számítógép szemszögéből nézve dedikált pont-pont típusú kapcsolat van közöttük, noha az adatok valójában a többi egyéb csomaghoz hasonlóan az interneten keresztül irányítódnak át. A tipikus virtuális magánhálózati környezetekben az ügyfél virtuális pont-pont típusú kapcsolatot kezdeményez egy távelérési kiszolgálóval az interneten keresztül. A távelérési kiszolgáló válaszol a virtuális hívásra, hitelesíti a hívó felet, és átviszi az adatokat a VPN-ügyfél és a szervezet magánhálózata között.
A rendszer a pont-pont típusú kapcsolat emulálásához az adatokat egy fejlécbe ágyazza (burkolja). A fejléc útválasztási információkat tartalmaz, amelyek lehetővé teszik, hogy az adat a végpont eléréséhez áthaladhasson a megosztott vagy nyilvános hálózaton. A magánkapcsolat emulálásához a küldött adat a titkosság megőrzése érdekében titkosított. A Windows e verziója által támogatott alagútprotokollokkal kapcsolatos további információ a következő webhelyen található:
A telepítés követelményeivel kapcsolatban lásd: A RRAS VPN-kiszolgálóként való telepítésének követelményei.
VPN-kapcsolat
A VPN-kapcsolatoknak két típusa létezik:
Távelérésű VPN
A távelérésű VPN-kapcsolat egy nyilvános hálózat, például az internet által biztosított infrastruktúra használatával teszi lehetővé a hozzáférést az otthon vagy út közben dolgozó felhasználónak a magánhálózaton lévő kiszolgálóhoz. A felhasználó szempontjából a virtuális magánhálózat pont-pont típusú kapcsolat az ügyfélszámítógép és a szervezet kiszolgálója között. A megosztott vagy nyilvános hálózat infrastruktúrája lényegtelen, mert úgy tűnik, mintha az adatot a rendszer dedikált magánhálózaton keresztül küldte volna el.
Két hálózat közötti pont-pont típusú VPN
A pont-pont típusú VPN-kapcsolat (néha útválasztótól-útválasztóig típusú VPN-kapcsolatnak is nevezik) lehetővé teszi, hogy a szervezet nyilvános hálózaton keresztül, a biztonságos kommunikáció fenntartása mellett hozzon létre útválasztást alkalmazó kapcsolatokat különálló irodák között vagy egyéb szervezetekkel. Ha a hálózatok - az alábbi ábrának megfelelően - az interneten keresztül kapcsolódnak, az útválasztó VPN-kapcsolaton keresztül továbbítja a csomagokat a VPN-szolgáltatást végző másik útválasztóhoz. Az útválasztók szemszögéből a VPN-kapcsolat dedikált adatkapcsolati rétegbeli kapcsolatként működik.
A pont-pont típusú VPN-kapcsolat két magánhálózatot kapcsol össze. A VPN-kiszolgáló útválasztásos kapcsolatot biztosít ahhoz a hálózathoz, amelyhez a VPN-kiszolgáló csatlakoztatva van. A hívó útválasztó hitelesíti magát a választ küldő útválasztónak, majd a kölcsönös hitelesítéshez a választ küldő útválasztó hitelesíti magát a hívó útválasztónak. Egy pont-pont típusú VPN-kapcsolatban a VPN-kapcsolaton keresztül az útválasztóktól küldött csomagok általában nem az útválasztóktól származnak.
Két távoli hely csatlakoztatása virtuális magánhálózattal az interneten keresztül
A VPN-kapcsolatok tulajdonságai
- Beágyazás. Az adatok az átviteli hálózaton való továbbításukat lehetővé tevő, útválasztási információkat tartalmazó fejléccel ágyazódnak be. A beágyazás példái a következő webhelyen tekinthetők meg:
VPN alagútprotokollok (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?linkid=140602). - Hitelesítés. A VPN-kapcsolatok hitelesítése három különböző módon lehetséges:
- Felhasználószintű hitelesítés PPP-hitelesítéssel. A VPN-kapcsolat létrehozásához a VPN-kiszolgáló hitelesíti a csatlakozást PPP-alapú felhasználószintű hitelesítési módszerrel megkísérlő VPN-ügyfelet, és ellenőrzi, hogy a VPN-ügyfél rendelkezik-e a megfelelő engedélyekkel. A kölcsönös hitelesítés használatakor a VPN-ügyfél szintén hitelesíti a VPN-kiszolgálót: ez védelmet nyújt azokkal a számítógépekkel szemben, amelyek VPN-kiszolgálóknak álcázzák magukat.
- Számítógépszintű hitelesítés internetes kulcscserével (IKE). Az IPsec-biztonságitársítás (SA) létrehozása érdekében a VPN-ügyfél és a VPN-kiszolgáló az IKE protokollt használja a számítógép-tanúsítványok vagy egy előmegosztott kulcs cseréjéhez. A VPN-ügyfél és a kiszolgáló mindkét esetben a számítógépek szintjén hitelesítik egymást. A számítógép-tanúsítvány hitelesítése erősebb hitelesítési módszer, ezért mindenképpen ajánlott. A számítógépszintű hitelesítést az L2TP/IPsec-protokoll vagy a 2-es verziójú IKE-protokoll szerinti kapcsolatok használják.
- Adatok származásának hitelesítése és adatintegritás. Annak ellenőrzésére, hogy a VPN-kapcsolaton keresztül küldött adatok a kapcsolat másik végén keletkeztek, és nem lettek módosítva az átvitel során, az adatok titkosítási ellenőrzőösszeget tartalmaznak egy olyan titkosítási kulcs alapján, amelyet kizárólag a feladó és a fogadó ismer. Az adat származásának hitelesítése és az adatintegritás csak az L2TP/IPsec- és a 2-es verziójú IKE-protokoll szerinti-kapcsolatoknál alkalmazható.
- Felhasználószintű hitelesítés PPP-hitelesítéssel. A VPN-kapcsolat létrehozásához a VPN-kiszolgáló hitelesíti a csatlakozást PPP-alapú felhasználószintű hitelesítési módszerrel megkísérlő VPN-ügyfelet, és ellenőrzi, hogy a VPN-ügyfél rendelkezik-e a megfelelő engedélyekkel. A kölcsönös hitelesítés használatakor a VPN-ügyfél szintén hitelesíti a VPN-kiszolgálót: ez védelmet nyújt azokkal a számítógépekkel szemben, amelyek VPN-kiszolgálóknak álcázzák magukat.
- Adattitkosítás. Ahhoz, hogy a megosztott vagy nyilvános átviteli hálózat bejárása során az adat titkosítása biztosított legyen, az adatot a feladó titkosítja, majd a fogadó visszafejti. A titkosítási és a visszafejtési folyamatok egy közös titkosítási kulcs használatával a feladótól és a fogadótól is függnek.
Az átviteli hálózaton a VPN-kapcsolaton keresztül küldött, lehallgatott csomagok értelmezhetetlenek azok számára, akik nem rendelkeznek a közös titkosítási kulccsal. A titkosítási kulcs hossza fontos biztonsági paraméter. A titkosítási kulcs visszafejthető számítási technikák használatával. Az ilyen technikák alkalmazásához azonban egyre nagyobb számítási teljesítmény és számítási idő szükséges, ahogy a titkosítási kulcsok nagyobbak lesznek. Ezért az adatok titkosításának biztosításához fontos a lehető legnagyobb kulcsméret használata.