Česko
Rychlost.cz VPN Bezpečnostní mechanismy VPN

Bezpečnostní mechanismy VPN

Pokud chcete bezpečně surfovat na internetu, nakupovat a používat internetové bankovnictví, měli byste si určitě pořídit VPN. Jeho výhody oceníte i při cestování do zahraničí nebo při sledování některých zahraničních streamovacích kanálů, jež u nás nejsou dostupné. A pokud občas surfujete po internetu v kavárně, využíváte hotspoty na veřejnosti nebo se někdy připojíte k letištní či hotelové Wi-Fi síti, rozhodně je lepší ochrana údajů a anonymita, které dokáže PNP zaručit.

Jaké bezpečnostní mechanismy se u VPN používají?

Ještě v nedávné době byla brána bezpečnost počítačových sítí na poměrně lehkou váhu, ovšem to už neplatí. Samozřejmostí se stalo nejen kvalitní zabezpečení proti virům, ale i proti snahám o získání privátních údajů. K tomuto účelu se velmi často jako spolehlivý a účinný prostředek využívají nejrůznější typy VPN. Je to dáno tím, že právě virtuální privátní sítě slouží jako skvělý mechanismus, který umožňuje jednotlivcům zaručit anonymitu, ochránit data a pro organizace přináší i možnost budovat skutečně "privátní" sítě s použitím sdílené infrastruktury, například veřejného Internetu. Je při tom navíc dosahováno stejné úrovně flexibility a bezpečnosti, jako je tomu v případě použití vlastní infrastruktury.

Jak to funguje?

Základní princip VPN spočívá v tunelování (posílání vlastním vytvořeným tunelem) šifrovaných dat přes sdílenou infrastrukturu mezi jednotlivými konci tunelů. Tunel je označení pro virtuální spojení mezi dvěma body přes sdílenou infrastrukturu. Sítě VPN jsou nejčastěji aplikovány ve dvou základních modelech - ve virtuálním propojení sítí a v připojování vzdálených uživatelů. Obecně vzato je také možné v případě potřeby vytvářet i složitější topologie tunelů mezi více lokalitami.

Základní principy u zabezpečení typu IPsec

Poměrně často se můžeme setkat s tunelovým režimem, který spočívá v tom, že tunel je zřízen mezi směrovači (tzv. IPsec branami), připojujícími LAN považované za bezpečné na nebezpečnou volně sdílenou infrastrukturu. IPsec brány tudíž tunelují a detunelují pakety z koncových zařízení, která vlastně vůbec nemusí o existenci IPsec vědět. Právě díky tomu, že se tunelují rovnou celé pakety z koncových zařízení včetně hlaviček, není možné ani vysledovat, které konkrétní stanice spolu komunikují.

IPsec má i své nevýhody

Základní nevýhodou VPN typu IPsec je to, že ji lze použít pouze pro protokol IP a nepodporuje jiné typy protokolů ani multicastový provoz. Za určitých podmínek je ale možné tento problém obejít tím, že provoz jiných protokolů nebo multicastový provoz (IP multicast je metoda přeposílání IP datagramů z jednoho zdroje skupině více koncových stanic) ještě před předáním do IPsec bude jednoduše zabalen do protokolu IP. Další nevýhodou je to, že provoz IPsec nesmí omezovat operátor sdílené infrastruktury.

abezpečení pomocí SSL/TLS

Názvy vycházejí ze zkratek anglického označení SLS (Secure Sockets Layer) a TLS (Transport Layer Security), kdy tyto dva protokoly pracují společně jako jeden a navzájem se vhodným způsobem doplňují. Tím získává zabezpečení na kvalitě a společně oba protokoly vytvářejí spolehlivé VPN připojení. Pro zjednodušení lze celý systém popsat jako VPN spojení, v němž webový prohlížeč slouží jako klient a přístup uživatelů je omezen jen na konkrétní aplikace, ne na celou síť.

Kde se nejčastěji používá SSL/TSL protokol VPN?

S tímto protokolem se můžete setkat především v elektronických obchodech a u poskytovatelů služeb. Je to dáno tím, že právě SSL/TSL poskytuje velmi dobře zabezpečené relace z počítače do aplikačního serveru. Využívají totiž toho, že webové prohlížeče jsou již integrovány se SSL a TSL. Pokud tedy dojde k připojení pomocí SSL, místo obvyklého "http" na začátku URL se zobrazí "https".

Další možnosti využití SSL/TPS

Konkrétní funkce brány SSL se může pro různé scénáře použití dost odlišovat. Pro aplikační protokoly brány, které je možné adaptovat na protokol HTTP, je někdy výhodnější použít brány SSL. Klientem tak bude standardní webový prohlížeč, podporující HTTPS a na serveru není nutné provádět žádné změny.

Další možností je realizace brány SSL pro využití při předávání portů, čímž vzdálený klient získá komponentu, která se bude v klientském zařízení tvářit jako VPN SSL proxy. S ní bude potom prohlížeč komunikovat tak, jako by se jednalo o lokální proxy server. Tuto koncepci však není možné realizovat u služeb, které nepoužívají jeden pevný port, ale rozsah dynamicky přidělovaných portů (například FTP služby).