Product SiteDocumentation Site

2.7. Virtuele privé netwerken (VPN's)

Bedrijven met verscheidene satelliet kantoren verbinden vaak met elkaar met specifieke lijnen voor effectiviteit en bescherming van gevoelige data tijdens de overdracht. Bijvoorbeeld, veel bedrijven gebruiken frame relay of Asynchronous Transfer Mode (ATM) lijnen voor een eindpunt-naar-eindpunt oplossing om een kantoor met andere te verbinden. Dit kan een duur voorstel zijn, in het bijzonder voor bedrijven van gemiddelde grootte (SMB's) die uit willen breiden zonder de hoge kosten te betalen die behoren bij specifieke digitale circuits voor grote ondernemingen.
Om aan deze behoeft te voldoen, werden Virtuele privé netwerken (VPN's) ontwikkeld. Door het opvolgen van dezelfde functionele principes als specifieke circuits, staan VPN's beveiligde digitale communica toe tussen twee partijen (of netwerken), waarmee een Wide Area Network (WAN) gemaakt wordt van bestaande Local Area Networks (LAN's). Waarin het verschilt van frame relay of ATM is het transport medium. VPN's verzenden over IP met gebruik van datagrams als de transport laag, wat het een veilig kanaal door het Internet maakt naar een bedoelde bestemming. De meeste vrije VPN implementaties bevatten open standaard versleutelings methoden om de data tijdens de overdracht verder te maskeren.
Sommige bedrijven gebruiken hardware VPN oplossingen om de beveiliging te verbeteren, terwijl andere software gebruiken of op protocollen gebaseerde implementaties. Verschillende leveranciers bieden hardware VPN oplossingen, zoals Cisco, Nortel, IBM, en Checkpoint. Er is een vrije op software gebaseerde VPN oplossing voor Fedora met de naam FreeS/Wan die een standaard Internet Protocol Security (IPsec) implementatie gebruikt. Deze VPN oplossingen , onafhankelijk of ze op hardware of software gebaseerd zijn, werken als speciale routers die bestaan tussen de IP verbinding van een kantoor naar een ander.

2.7.1. Hoe werk een VPN?

Als een pakket wordt verzonden van een client, stuurt deze het door de VPN router of gateway, welke een Authenticatie header (AH) toevoegt voor de route en authenticatie. De data wordt dan versleuteld en, tenslotte, ingesloten binnen een Encapsulating Security Payload (ESP). Deze laatste vertegenwoordigt de versleuteling en afhandelings instructies.
De ontvangende VPN router stript de kop informatie, ontsleutelt de data, en verstuurt het naar de bedoelde bestemming (een werkstation of een andere node op een netwerk). Door gebruik van een netwerk-naar-netwerk verbinding ontvangt de ontvangende node op het locale netwerk de pakketten al ontsleuteld en klaar om verwerkt te worden. Het versleuteling/ontsleuteling proces in een netwerk-naar-netwerk VPN verbinding is transparant voor een locale node.
Met zo'n verbeterd niveau van beveiliging, moet een aanvaller niet alleen een pakket onderscheppen, maar het pakket ook ontsleutelen. Indringers die een man-in-het-midden aanval uitvoeren tussen een server en de client moeten ook toegang hebben tot tenminste een van de privé sleutels voor authenticatie van de sessies. Omdat zij verscheidene lagen van authenticatie en versleuteling gebruiken, zijn VPN's een veilig en effectief middel om te verbinden tussen meerdere node op afstand om te werken als een vereningd intranet.