FORMÁLNA DEFINÍCIA
Virtuálna privátna sieť VPN (Virtual Private Network) je komunikačné prostredie, v ktorom je riadený prístup ku komunikácii medzi jednotlivými entitami. Komunikačné prostredie je vytvorené na báze vopred definovanej formy rozdelenia spoločného komunikačného média, ktoré je následne schopné poskytovať sieťové služby na neexkluzívnej báze.
NEFORMÁLNA DEFINÍCIA
Virtuálna privátna sieť VPN je neverejná (počítačová) sieť, vybudovaná v rámci verejnej sieťovej infraštruktúry, akou je napr. Internet. Táto sieť typicky poskytuje zabezpečené pripojenie vzdialených pobočiek alebo účastníkov k materskej sieti.
Z predchádzajúcich definícií je možné stručne povedať, že VPN je vo svojej podstate logická sieť v rámci zdieľanej verejnej infraštruktúry. Poskytuje rovnaký výkon a pravidlá ako ktorákoľvek súkromná sieť typu LAN (Local Area Network).
Úplne zásadným problémom pri použití VPN je zaistenie jej bezpečnosti a poskytovanie služieb v požadovanej kvalite s ohľadom na parametre QoS (Quality of Service). Obe tieto požiadavky nerieši infraštruktúra siete založená na protokoloch TCP/IP (Transmission Control Protocol/Internet Protocol).
Požiadavky na bezpečnosť sa z hľadiska návrhu VPN riešia pomocou:
- tunelovania,
- šifrovania,
- autentizácie (autentifikácie) a
- riadenia prístupu.
Pojmom tunelovanie je chápaný proces zapuzdrenia pôvodného paketu do iného. Pôvodný paket je pre všetky medziľahlé zariadenia nečitateľný počas celej doby jeho prenosu.
Dôvodom pre implementáciu tunelovania je zaistenie bezpečnosti a vytvorenie transportného mechanizmu medzi geograficky odľahlými lokalitami. Na zapuzdrenie sa používajú napr. protokoly GRE (Generic Routing Encapsulation), IPsec (Internet Protocol Security), L2F (Layer 2 Forwarding), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
Tunelovanie je tiež možné využiť na prispôsobenie navzájom nekompatibilných protokolov, napr. prepojenie LAN s NetBEUI (NetBIOS Extended User Interface) alebo IPX (Internetwork Packet Exchange) cez Internet (protokol IP).
Reálne je možné implementovať aj tzv. rozdelené tunelovanie (Split Tunneling), kedy má klient možnosť súčasnej komunikácie nielen vo vnútri VPN, ale aj s Internetom.
Pod pojmom šifrovanie rozumieme proces na zaistenie dôvernosti aj integrity dát. Čisto technicky ide o zapuzdrenie dát do bezpečnej obálky, t.j. šifrovanie tajným kľúčom.
Autentizácia v rámci VPN zaisťuje proces overovania pravosti, resp. zabezpečí, že dáta prichádzajú zo zdroja, z ktorého tvrdia, že prichádzajú.
Používajú sa schémy založené na systémoch so zdieľaným kľúčom, ako je CHAP (Challenge Handshake Authentication Protocol), signatúra RSA (Rivest-Shamir-Adleman) a ďalšie. Nad rámec zabezpečenia zaisťujú tieto systémy tiež integritu dát, t.j. ich celistvosť.
Riadenie prístupu, resp. kontrola prístupu umožňuje obmedzovanie prístupu či vniknutia neautorizovaných používateľov v spojitosti s procesom kontroly práv jednotlivých používateľov.