1Virtuální privátní síť – definice základních pojmů

FORMÁLNÍ DEFINICE

Virtuální privátní síť VPN (Virtual Private Network) je komunikační prostředí, ve kterém je řízen přístup ke komunikaci mezi jednotlivými entitami. Komunikační prostředí je vytvořeno na bázi předem definované formy rozdělení společného komunikačního média, které je následně schopno poskytovat síťové služby na ne-exkluzivní bázi.

NEFORMÁLNÍ DEFINICE

Virtuální privátní síť VPN je neveřejná (počítačová) síť, vybudovaná v rámci veřejné síťové infrastruktury, jakou je např. Internet. Tato síť typicky zajišťuje zabezpečené připojení vzdálených poboček nebo účastníků k mateřské síti.

Z předchozích definic lze stručně říci, že VPN je ve své podstatě logická síť v rámci sdílené veřejné infrastruktury. Poskytuje stejný výkon a pravidla jako kterákoliv soukromá síť typu LAN (Local Area Network).

Zcela zásadním problémem při použití VPN je zajištění její bezpečnosti a poskytování služeb v požadované kvalitě s ohledem na ukazatele QoS (Quality of Service). Oba tyto požadavky neřeší infrastruktura sítě založená na protokolech TCP/IP (Transmission Control Protocol/Internet Protocol).

Požadavky na bezpečnost se z hlediska návrhu VPN řeší pomocí:

Pojmem tunelování je chápán proces zapouzdření původního paketu do jiného. Původní paket je pro všechna mezilehlá zařízení nečitelný po celou dobu jeho přenosu.

Důvodem pro implementaci tunelování je zajištění bezpečnosti a vytvoření transportního mechanismu mezi geograficky odlehlými lokalitami. K zapouzdření se používají např. protokoly GRE (Generic Routing Encapsulation), IPSec (Internet Protocol Security), L2F (Layer 2 Forwarding), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).

image
Mechanismus tunelování v síti VPN

Tunelování je ovšem možné využít také pro přizpůsobení navzájem nekompatibilních protokolů, např. propojení LAN s NetBEUI (NetBIOS Extended User Interface) nebo IPX (Internetwork Packet Exchange) přes Internet (protokol IP).

Reálně je možné implementovat i tzv. rozdělené tunelování (Split Tunneling), kdy má klient možnost současné komunikace jak uvnitř VPN, tak i s Internetem.

Pod pojmem šifrování rozumíme proces pro zajištění důvěrnosti i integrity dat. Čistě technicky jde o zapouzdření dat do bezpečné obálky, tj. šifrování tajným klíčem.

Autentizace v rámci VPN zajišťuje proces ověřování pravosti, resp. zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí.

Používají se schémata založená na systémech se sdíleným klíčem, jako je CHAP (Challenge Handshake Authentication Protocol), signatura RSA (Rivest–Shamir–Adleman) a další. Nad rámec zabezpečení zajišťují tyto systémy také integritu dat, tj. jejich celistvost.

Řízení přístupu, resp. kontrola přístupu umožňuje omezování přístupu či vniknutí neautorizovaných uživatelů ve spojitosti s procesem kontroly práv jednotlivých uživatelů.