Ein virtuelles privates Netz (VPN) ist ein sicheres Netz, das in erster Linie öffentliche Fernmeldeinfrastrukturen wie das Internet verwendet, um entfernten Büros oder reisenden Benutzern einen Zugang zu einem organisatorischen Hauptnetz zur Verfügung zu stellen.

VPNs verlangen normalerweise, dass entfernte Benutzer des Netzes, und häufig sichere Daten mit der Brandmauer und den Verschlüsselungstechnologien beglaubigt werden, um Enthüllung der privaten Information zu nicht bevollmächtigten Parteien zu verhindern.

Es gibt zwei Typen von VPNs; entfernter Zugang VPNs und Seite zur Seite VPNs. Entfernte Zugriffs-VPNs sind für individuelle Benutzer, die nicht in einer festen Position - entfernte oder wandernde Benutzer wie Verkäufer sind. Die Seite zur Seite VPNs ist für vielfache Benutzer in einer festen Position - wie Regionalbüros.

VPNs kann jeder Netzfunktionalität dienen, die in jedem Netz, wie das Teilen von Daten und Zugang zu Netzmitteln, Druckern, Datenbanken, Websites gefunden wird, usw. erfährt Ein VPN Benutzer normalerweise das Hauptnetz gewissermaßen, das zum verbinden direkt mit dem Hauptnetz identisch ist. Die VPN Technologie über das öffentliche Internet hat das Bedürfnis ersetzt, teure hingebungsvolle in weit reichenden Netzinstallationen einmal typische Fernmeldestromkreise der gepachteten Linie zu beschlagnahmen und aufrechtzuerhalten.

Virtuelle private Netztechnologie reduziert Kosten, weil sie physische gepachtete Linien nicht braucht, um entfernte Benutzer mit einem Intranet zu verbinden.

Geschichte und Status

Virtuelle private Netze haben viele Jahre lang in der Form gestützter privater Netze des Relais des Rahmens bestanden. IP-VPNs sind mehr überwiegend in der Kommunikationsindustrie wegen der bedeutenden Kostendämmungen geworden, hat Bandbreite und Sicherheit vergrößert. Gestützte VPNs dieser IP wird schließlich finden, dass ihr Weg in fast jedes Netz Kommunikationstätigkeit gestützt hat, die ob es vorkommt, über den zellularen zum zellularen, Satelliten, Seite-zu-Seite, oder innerhalb von korporativen lokalen Bereichsnetzen sein.

Typen von VPN

VPN Systeme können klassifiziert werden durch:

• die Protokolle, die an den Tunnel der Verkehr verwendet

sind

• der Beendigungspunkt des Tunnels, d. h., Kundenrand oder Netzversorger-Rand
• ob sie sich Seite-zu-Seite oder Konnektivität des entfernten Zugangs bieten
• die Niveaus der Sicherheit haben zur Verfügung gestellt
• die OSI Schicht präsentieren sie dem in Verbindung stehenden Netz, wie Schicht 2 Stromkreise oder Schicht 3 Netzkonnektivität

Die folgenden Abteilungen besprechen einige Klassifikationsschemas.

Sicherheitsmechanismen

Sichern Sie kryptografische tunneling Protokolle des Gebrauches von VPNs, um zur Verfügung zu stellen:

• Vertraulichkeit durch das Blockieren von Abschnitten und Paket, das schnüffelt
• das Erlauben die Absenderbeglaubigung, Identitätsmanipulation zu blockieren
• Nachrichtenintegrität durch das Verhindern der Nachrichtenmodifizierung

Sichere VPN Protokolle schließen den folgenden ein:

• IPsec (Internetprotokoll-Sicherheit) wurde von Internet Engineering Task Force (IETF) entwickelt, und wurde für IPv6 am Anfang entwickelt, der es verlangt. Dieses standardbasierte Sicherheitsprotokoll wird auch mit IPv4 weit verwendet. Schicht 2 Tunneling Protokoll geht oft IPsec durch. Sein Design entspricht die meisten Sicherheitsabsichten: Beglaubigung, Integrität und Vertraulichkeit. IPsec fungiert durch die Zusammenstellung eines IP Pakets in Verbindung mit einem Umgebungspaket und encrypting das Ergebnis.
• Transportschicht-Sicherheit (SSL/TLS) kann Tunnel ein Verkehr eines kompletten Netzes, wie es im Projekt von OpenVPN tut, oder eine individuelle Verbindung sichert. Mehrere Verkäufer stellen entferntem Zugang VPN Fähigkeiten durch SSL zur Verfügung. Ein SSL VPN kann von Positionen in Verbindung stehen, wo IPsec in Schwierigkeiten mit der Netzadressumrechnung und den Brandmauer-Regeln gerät.
• Datagram Transport Layer Security (DTLS), wird in Cisco AnyConnect VPN verwendet, um die Probleme zu lösen, die SSL/TLS mit tunneling über UDP hat.
• Microsoft Point-to-Point Encryption (MPPE) arbeitet mit ihrem Punkt-zu-Punkt-Tunneling Protokoll und in mehreren vereinbaren Durchführungen auf anderen Plattformen.
• Secure Socket Tunneling Protocol (SSTP) des Microsofts, das im Windows-Server 2008 und im Windows-Aussicht-Dienstsatz 1 eingeführt ist. SSTP Tunnels Point-to-Point Protocol (PPP) oder Schicht 2 Tunneling Protokoll-Verkehr durch einen SSL 3.0 Kanal.
• MPVPN (Vielpfad Virtuelles Privates Netz). Ragula Systems Development Company besitzt das eingetragene Warenzeichen "MPVPN".
• Sichern Sie Shell (SSH) VPN - OpenSSH bietet VPN tunneling (verschieden vom Hafen-Versand) an, um Fernverbindungen zu einem Netz oder Netzgruppe-Verbindungen zu sichern. Server von OpenSSH stellt eine begrenzte Zahl von gleichzeitigen Tunnels zur Verfügung, und die VPN-Eigenschaft selbst unterstützt persönliche Beglaubigung nicht.

Beglaubigung

Tunnel-Endpunkte müssen beglaubigen, bevor sichere VPN Tunnels gegründet werden können.

Benutzergeschaffener entfernter Zugang VPNs kann Kennwörter, Biometrie, Zwei-Faktoren-Beglaubigung oder andere kryptografische Methoden verwenden.

Netz-zu-Netz-Tunnels verwenden häufig Kennwörter oder Digitalzertifikate, weil sie dauerhaft den Schlüssel versorgen, dem Tunnel zu erlauben, automatisch und ohne Eingreifen vom Benutzer zu gründen.

Routenplanung

Protokolle von Tunneling können in einer Punkt-zu-Punkt-Netzwerkarchitektur funktionieren, die theoretisch als kein VPN betrachtet würde, weil, wie man erwartet, ein VPN definitionsgemäß willkürliche und sich ändernde Sätze von Netzknoten unterstützt. Aber da die meisten Router-Durchführungen eine softwaredefinierte Tunnel-Schnittstelle unterstützen, sind von den Kunden mit Nachschub versorgte VPNs häufig einfach definierte Tunnels, die herkömmliche Routenplanungsprotokolle führen.

PPVPN Bausteine

Je nachdem, ob der PPVPN (Versorger Mit Nachschub versorgter VPN) Läufe in der Schicht 2 oder Schicht 3, die Bausteine, die unten beschrieben sind, L2 nur, L3 nur sein, oder sie beide verbinden kann. Mehrprotokoll-Etikett, das (MPLS) Funktionalität schaltet, verschmiert die L2-L3 Identität.

RFC 4026 hat die folgenden Begriffe verallgemeinert, um L2 und L3 VPNs zu bedecken, aber sie wurden in RFC 2547 eingeführt.

Kundenrand-Gerät. (CE):

Ein Gerät an den Kundenpropositionen, das Zugang zum PPVPN zur Verfügung stellt. Manchmal ist es gerade ein Abgrenzungspunkt zwischen der Versorger- und Kundenverantwortung. Andere Versorger erlauben Kunden, es zu konfigurieren.

Versorger-Rand-Gerät (PE):

Ein PE ist ein Gerät oder Satz von Geräten am Rand des Versorger-Netzes, das die Ansicht des Versorgers von der Kundenseite präsentiert. PEs sind der VPNs bewusst, die durch sie in Verbindung stehen, und VPN-Staat aufrechterhalten.

Versorger-Gerät (P):

Ein P Gerät funktioniert innerhalb des Kernnetzes des Versorgers, und verbindet zu keinem Kundenendpunkt direkt. Es könnte zum Beispiel Routenplanung für viele Versorger-bediente Tunnels zur Verfügung stellen, die dem PPVPNs der verschiedenen Kunden gehören. Während das P Gerät ein Schlüsselteil ist, PPVPNs durchzuführen, ist es nicht selbst VPN-bewusst und erhält VPN-Staat nicht aufrecht. Seine Hauptrolle erlaubt dem Dienstleister, seine PPVPN Angebote als zum Beispiel durch das Handeln als ein Ansammlungspunkt für vielfachen PEs zu erklettern. P-To-P-Verbindungen, in solch einer Rolle, sind häufig hohe Kapazität optische Verbindungen zwischen Hauptpositionen des Versorgers.

Benutzersichtbare PPVPN Dienstleistungen

Diese Abteilung befasst sich mit den Typen von im IETF betrachtetem VPN; einige historische Namen wurden durch diese Begriffe ersetzt.

OSI Schicht 1 Dienstleistungen

Virtuelle private private und Leitungsliniendienstleistungen (VPWS und VPLS)

In beiden dieser Dienstleistungen bietet der Dienstleister kein volles aufgewühltes oder überbrücktes Netz an, aber stellt Bestandteile zur Verfügung, um kundenverwaltete Netze zu bauen. VPWS sind Punkt-zu-Punkt-, während VPLS punkt-zu-Mehrpunkt-sein kann. Sie können Schicht 1 wettgeeiferte Stromkreise ohne Datenverbindung sein.

Der Kunde bestimmt den gesamten Kunden VPN Dienst, der auch Routenplanung, Überbrücken einschließen, oder Netzelemente veranstalten kann.

Eine unglückliche Akronym-Verwirrung kann zwischen Virtuellem Privatem Liniendienst und Virtuellem Privatem LAN Dienst vorkommen; der Zusammenhang sollte verständlich machen, ob "VPLS" die Schicht 1 virtuelle private Linie oder die Schicht 2 virtuelle private LAN bedeutet.

OSI Schicht 2 Dienstleistungen

Virtueller LAN

Eine Schicht 2 Technik, die die Koexistenz von vielfachen Sendungsgebieten von LAN berücksichtigt, die über Stämme mit dem IEEE 802.1Q Hauptleitungsprotokoll miteinander verbunden sind. Andere Hauptleitungsprotokolle sind verwendet worden, aber sind veraltet, einschließlich Inter-Switch Link (ISL), IEEE 802.10 geworden (ursprünglich ein Sicherheitsprotokoll, aber eine Teilmenge wurde für die Hauptleitung eingeführt), und Wetteifer von ATM LAN (GASSE).

Virtueller privater LAN Dienst (VPLS)

Entwickelt durch IEEE erlauben VLANs vielfach hat LANs markiert, um allgemeine Hauptleitung zu teilen. VLANs umfassen oft nur Kundenmöglichkeiten. Wohingegen VPLS, wie beschrieben, in der obengenannten Abteilung (OSI Schicht 1 Dienstleistungen) Unterstützungswetteifer sowohl von Punkt-zu-Punkt-als auch von Punkt-Zu-Mehrpunkt-Topologien, die Methode besprochen hier Schicht 2 Technologien solcher als 802.1d und 802.1q LAN Hauptleitung erweitert, um Transporte wie U-Bahn Ethernet durchzugehen.

Wie verwendet, in diesem Zusammenhang ist ein VPLS eine Schicht 2 PPVPN, aber nicht eine private Linie, mit der vollen Funktionalität eines traditionellen lokalen Bereichsnetzes (LAN) wetteifernd. Von einer Benutzereinstellung macht ein VPLS es möglich, mehrere LAN Segmente über einen, optischen oder Paketvermittlungsversorger-Kern miteinander zu verbinden; ein dem Benutzer durchsichtiger Kern, die entfernten LAN Segmente lassend, sich als ein einzelner LAN benehmen.

In einem VPLS eifert das Versorger-Netz mit einer Lernbrücke wett, die fakultativ VLAN Dienst einschließen kann.

Pseudoleitung (PW)

PW ist VPWS ähnlich, aber es kann verschiedene L2 Protokolle an beiden Enden zur Verfügung stellen. Gewöhnlich ist seine Schnittstelle ein BLASSES Protokoll wie Asynchrones Übertragungsweise- oder Rahmenrelais. Im Gegensatz, wenn das Zielen, das Äußere eines LAN aneinander grenzenden zwischen zwei oder mehr Positionen, des Virtuellen Privaten LAN Dienstes oder IPLS zur Verfügung zu stellen, passend sein würde.

IP-only LAN ähnlicher Dienst (IPLS)

Eine Teilmenge von VPLS, die CE Geräte müssen L3 Fähigkeiten haben; der IPLS präsentiert Pakete aber nicht Rahmen. Es kann IPv4 oder IPv6 unterstützen.

OSI Schicht 3 PPVPN Architekturen

Diese Abteilung bespricht die Hauptarchitekturen für PPVPNs, derjenige, wo der PE Doppeladressen in einem einzelnen Routenplanungsbeispiel, und dem anderen, virtuellem Router disambiguiert, in dem der PE ein virtuelles Router-Beispiel pro VPN enthält. Die ehemalige Annäherung und seine Varianten, haben den grössten Teil der Aufmerksamkeit gewonnen.

Eine der Herausforderungen von PPVPNs bezieht verschiedene Kunden ein, die denselben Adressraum, besonders den IPv4 privaten Adressraum verwenden. Der Versorger muss im Stande sein, überlappende Adressen im PPVPNs der vielfachen Kunden zu disambiguieren.

BGP/MPLS PPVPN

In der Methode, die durch RFC 2547 definiert ist, kündigen BGP Erweiterungen Wege im IPv4 VPN Adressfamilie an, die von der Form von 12-Byte-Schnuren sind, mit 8-Byte-Route Distinguisher (RD) beginnend und mit einer IPv4 4-Byte-Adresse endend. RDs disambiguieren sonst Doppeladressen in demselben PE.

PEs verstehen die Topologie jedes VPN, die mit MPLS Tunnels entweder direkt oder über P Router miteinander verbunden werden. In der MPLS Fachsprache sind die P Router Etikett-Schalter-Router ohne Bewusstsein von VPNs.

Virtueller Router PPVPN

Die Virtuelle Router-Architektur, im Vergleich mit BGP/MPLS Techniken, verlangt keine Modifizierung zu vorhandenen Routenplanungsprotokollen wie BGP. Dadurch, von logisch unabhängigen Routenplanungsgebieten mit Nachschub zu versorgen, ist der Kunde, der einen VPN operiert, für den Adressraum völlig verantwortlich. In den verschiedenen MPLS Tunnels werden die verschiedenen PPVPNs durch ihr Etikett disambiguiert, aber brauchen Routenplanung distinguishers nicht.

Virtuelle Router-Architekturen brauchen Adressen nicht zu disambiguieren, weil aber nicht ein PE Router, der Bewusstsein des ganzen PPVPNs hat, der PE vielfache virtuelle Router-Beispiele enthält, die einem und nur einem VPN gehören.

Tunnels von Plaintext

Einige virtuelle Netze können Verschlüsselung nicht verwenden, um den Dateninhalt zu schützen. Während VPNs häufig Sicherheit zur Verfügung stellen, passt ein Unencrypted-Bedeckungsnetz innerhalb der sicheren oder vertrauten Kategorisierung nicht ordentlich. Zum Beispiel hat sich ein Tunnel zwischen zwei Gastgebern niedergelassen, dass verwendet Generic Routing Encapsulation (GRE) tatsächlich ein virtuelles privates Netz, aber weder sicher noch vertraut sein würde.

Außer dem GRE Beispiel oben schließen heimische plaintext tunneling Protokolle Layer 2 Tunneling Protocol (L2TP) ein, wenn es ohne IPsec und Point-to-Point Tunneling Protocol (PPTP) oder Microsoft Point-to-Point Encryption (MPPE) aufgestellt wird.

Vertraute Liefernetze

Vertraute VPNs verwenden kryptografischen tunneling nicht, und verlassen sich stattdessen auf die Sicherheit eines Netzes eines einzelnen Versorgers, um den Verkehr zu schützen.

• Multi-Protocol Label Switching (MPLS) wird häufig verwendet, um VPNs häufig mit der Servicequalitätskontrolle über ein vertrautes Liefernetz zu überziehen.
• Layer 2 Tunneling Protocol (L2TP), das ein standardbasierter Ersatz und ein Kompromiss ist, der die guten Eigenschaften von jedem für zwei VPN Eigentumsprotokolle nimmt: Layer 2 Forwarding (L2F) von Cisco Point-to-Point Tunneling Protocol (PPTP) (des veralteten) und Microsofts.

Von der Sicherheitseinstellung, VPNs, entweder dem zu Grunde liegenden Liefernetz zu vertrauen, oder muss Sicherheit mit Mechanismen im VPN selbst geltend machen. Wenn die vertrauten Liefernetzläufe unter physisch sicheren Seiten nur, beide vertrauten und sicheren Modelle keinen Beglaubigungsmechanismus für Benutzer brauchen, Zugang zum VPN zu gewinnen.

VPNs in beweglichen Umgebungen

Bewegliche VPNs werden in einer Einstellung verwendet, wo ein Endpunkt des VPN zu einer einzelnen IP-Adresse nicht befestigt wird, aber stattdessen über verschiedene Netze wie Datennetze von Zelltransportunternehmen oder zwischen vielfachen Wi-Fi Zugriffspunkten wandert. Bewegliche VPNs sind in der öffentlichen Sicherheit weit verwendet worden, wo sie Strafverfolgungsoffizier-Zugang zu gegenüber der Mission kritischen Anwendungen, wie computergestützte Absendung und kriminelle Datenbanken geben, während sie zwischen verschiedenen Teilnetzen eines beweglichen Netzes reisen. Sie werden auch in der Felddienstverwaltung und von Gesundheitsfürsorge-Organisationen unter anderen Industrien verwendet.

Zunehmend werden bewegliche VPNs von beweglichen Fachleuten und Angestellten angenommen, die zuverlässige Verbindungen brauchen. Sie werden verwendet, um nahtlos über Netze und in und aus Radioeinschluss-Gebieten zu wandern, ohne Anwendungssitzungen zu verlieren oder die sichere VPN Sitzung fallen zu lassen. Ein herkömmlicher VPN kann solche Ereignisse nicht überleben, weil der Netztunnel gestört wird, Anwendungen veranlassend, Unterbrechung zu trennen, oder zu scheitern, oder sogar das Rechengerät selbst zu veranlassen, abzustürzen.

Anstatt den Endpunkt des Netztunnels zur physischen IP-Adresse logisch zu binden, wird jeder Tunnel zu einer dauerhaft verbundenen IP-Adresse am Gerät gebunden. Die bewegliche VPN Software behandelt die notwendige Netzbeglaubigung und erhält die Netzsitzungen aufrecht, die gewissermaßen zur Anwendung und dem Benutzer durchsichtig sind. Host Identity Protocol (HIP), unter der Studie durch die Internettechnikeinsatzgruppe, wird entworfen, um Beweglichkeit von Gastgebern durch das Trennen der Rolle von IP-Adressen für die Gastgeber-Identifizierung von ihrer locator Funktionalität in einem IP Netz zu unterstützen. Mit der HÜFTE erhält ein beweglicher Gastgeber seine logischen über den Gastgeber-Identitätsbezeichner hergestellten Verbindungen aufrecht, während er mit verschiedenen IP-Adressen verkehrt, wenn er zwischen Zugriffsnetzen wandert.

Siehe auch

• Opportunistische Verschlüsselung
• Spalt tunneling
• Vermittelter VPN
• OpenVPN
• UT-VPN
• Tinc (Protokoll)
• DMVPN (dynamischer Mehrpunkt-VPN)
• Virtueller privater LAN Dienst über MPLS
• Ethernet Virtueller Privater LAN (EVP-LAN oder ELAN) definiert durch MEF

Weiterführende Literatur

Links

• JANET das Vereinigte Königreich "Verschiedene Geschmäcke nach VPN: Technologie und Anwendungen"
• Virtuelles Privates Netzkonsortium - eine Handelsvereinigung für VPN Verkäufer
• CShip VPN-Wiki/List
• Virtuelle private Netze auf Microsoft TechNet
• Das Schaffen von VPNs mit IPsec und SSL/TLS Linux Zeitschriftenartikel von Rami Rosen
• curvetun ein mit Sitz in curve25519 Leichtgewichtsmehrbenutzer IP Tunnel / VPN
• Mit VPN, um Internetzensur darin zu umgehen, Wie man Internetzensur, ein GLASSCHLACKE-Handbuch, am 10. März 2011, 240 Seiten Umgeht