VPN

מתוך WikiBook

מהו VPN?

ככל שהפופולריות של האינטרנט גדלה, עסקים התייחסו לכך כאמצעי להרחבת הרשת שלהם. בהתחלה השתמשו העסקים באינטראנט - אתרים המוגנים בעזרת סיסמא, שיועדו לשימוש בלעדי של עובדי החברה. כיום, אירגונים צריכים להתמודד עם לוגיסטיקות של תקשורת פנים ארגונית כאשר בפועל הארגון ועובדיו כבר לא מרוכזים במשרד או בניין אחד של החברה אלא פשורים על שטחים נרחבים לעיתים ברחבי העולם. ארגונים רבים יוצרים לעצמם רשתות וירטואליות פרטיות (VPN) על מנת לענות על צרכי העובדים המרוחקים מהמשרד.

המונח VPN (VIRTUAL PRIVATE NETWORK) מתייחס לרשת פנימית, פרטית המתבססת על תשתיות ציבוריות (זול יותר אבל גם מסוכן ומצריך firewall טוב על מנת להגן על המידע הארגוני ותוכנות זדוניות שיכולות לחדור לארגון). הגדרה לוגית מתארת רשת המחברת בין מערכות קצה (מחשבים, מדפסות, נתבים וכדומה), ארגונים, משתמשים, בתוך הארגון כרשת פנים ארגונית או בכל וריאציה אחרת שיכולים להיות גם במרחקים גיאוגרפים גדולים. הם מתקשרים ביניהם תוך שימוש בקידוד מוצפן כך שמשתמש חיצוני לא יוכל לתקשר ואף לא יהיה מודע לקיומה של התקשורת. כאשר אופן הרשת היא למעשה מלאכותית כלומר נעשית ע"י שימוש במשהו שאינו קיים באופן פיזי.

המונח VPN מתייחס למספר טכנולוגיות לבנייה של רשת כזאת ולא על טכנולוגיה או דרך מסויימת. הגישה לרשת הפרטית יכולה להיות באמצעות: א. מפתח מסתובב. ב. תוכנה על שולחן העבודה (Desktop) של המשתמשים. ג. חומרה ייעודית כגון VPN concentrator או פיירוול (firewall) מאובטח. ד. שרת VPN מיוחד לתקשורת באמצעות חיוג. ה. NAS (network access server) – שרת שמאפשר גישה מרחוק למשתמש.

vpn- דנית ישראל

תוכן עניינים 1 מבוא 2 מהו VPN? 3 שימושי ה-VPN 4 סוגים שונים של VPN 5 Remote access v.p.n 6 IP/TCP 7 שיטות אבטחה 8 סיכום 9 ביבליוגרפיה

[עריכה] מבוא

מאת יעל שמואל

העברת המידע לאורך ולרוחב בכל ארגון הוא הבסיס לקיומו ולפעילותו. לאורך התפתחות התקשורת בהיסטוריה, כל השיטות להעברת המידע היו כרוכות באמצעים פיזיים, כגון: בים, ביבשה, באוויר, סוכני שטח, טלפון ועוד. עם התפתחות האינטרנט, התקשורת הפכה לתקשורת עולמית, אולם בארגונים שהתקשורת ביניהם ובתוכם הייתה ברשת, עשו זאת באמצעים פיזיים (כבלים וכדומה). השכרה , סלילה או רכישה של קווי תקשורת בינלאומיים הינה תהליך מורכב ויקר, ולכן ארגונים רבים מעדיפים להשתמש בתשתית ציבורית כדי להעביר מידע בין סניפי הארגון. כאן נכנסת לתמונה שיטת ה- VPN. שיטה זו הינה שיטה להעברת מידע פרטי על גבי תשתית שעיקרה או כולה בבעלות ציבורית או עם גישה ציבורית ובבעלות פרטית. הטכנולוגיה מתבססת על תשתית ציבורית, בדרך כלל האינטרנט, כדי להעביר נתונים וקול בתוך הרשת הפרטית, כך שתהיה למשתמש ב- VPN גישה למשאבים ארגוניים גם כאשר אין כבל ישיר המחבר ביניהם. עם זאת, בשימוש בטכנולוגיה זו, חשוב במיוחד לתת את הדעת ואת הפתרונות המתאימים לשיקולי אבטחת מידע לצורך מניעת תופעות כגון ריגול תעשייתי ושמירה על סודות מסחריים. על כל חברה לבחור את סוג הVPN שמתאים לצרכיה, במהלך הבחירה וההרכבה עלולה להיבחר בחירה לא נכונה עקב מגוון הסוגים הרב והשיטות שהשוק מציע. על כן מבצעים ניתוחי סיכון של האבטחה המסופקת על ידי יישום מסוים, חישוב קצב הגדילה של הרשת, והמורכבות הקשורה בהם.

בעבודה זו בחרנו לעסוק בשיטת תקשורת זו- VPN, מאחר והיא השיטה העתידנית שתאפשר תקשורת אלחוטית וירטואלית להמונים ולמרחקים גדולים, לא רק לארגונים עתירי הון שיש להם את המשאבים להשקיע ברשתות המוגבלות אשר היו נהוגות עד כה.

[עריכה] מהו VPN?

הרשת הגלובאלית והמידע הזמין בכל עת שמאפשר האינטרנט תורם רבות למשתמשים פרטיים ועסקיים כאחד אך יש לכך מחיר חיבורה של הרשת המקומית אל האינטרנט חושף אותה גם לסכנה של פגיעה מצד גורמים עוינים ברשת. הסכנות שבחשיפה לאינטרנט מביאות ליצירת דימוי של רשת האינטרנט כמתווך לא בטוח להעברת תקשורת. הדברים נכונים במיוחד עבור משתמשים עסקיים, העלולים להפסיד הרבה כסף במקרה בו ייפגעו רשתות המחשב שלהם, או שמידע שלהן ייחשף לעיני גורמים מתחרים. אחת הדרכים שפותחו על מנת לענות על בעיות האבטחה היא שימוש ברשתות וירטואליות פרטיות (VPN). בטכנולוגיה זו משמש האינטרנט כמתווך בלבד, כאשר כל המידע עובר דרכו באופן מוצפן ומאובטח היטב. עד לא מזמן נעשה שימוש רב בטכנולוגית WAN(Wide Area Network),שימוש בתשתית פיזית של כבלים. בהשוואה לרשתות ציבוריות (ובראשן האינטרנט) בלטה מאד טכנולוגיה זו (WAN) ביתרונותיה מבחינת ביצועים , אבטחת מידע ואמינות.יחד עם זאת,אחזקה של WAN היא משוכה כלכלית אשר הולכת וגדלה יחד עם הגידול במספר המשרדים המקושרים ובמרחק ביניהם. הפתרון המודרני נקרא VPN(Virtual Private Network) . בעשורים האחרונים העולם השתנה רבות.אנו עדים להתפתחות טכנולוגית מהירה ומשמעותית המחייבת מענה מתאים לצרכיה. כשהשימוש באינטרנט התפתח והפך לנחלת הכלל עסקים ראו בו דרך להרחבת הרשת שלהם. בהתחלה השתמשו העסקים ב אתרים המוגנים בעזרת סיסמא, שיועדו לשימוש הבלעדי של עובדי החברה, אולם האמצעים היו יקרים והיה צורך למצוא דרך יעילה, מהירה וזולה המתאימה גם להמונים ועם זאת – מאובטחת. בנוסף, כיום העסק אינו עוד מבנה מרכזי יחיד אלא פזורה של מבנים ברחבי מדינה , במדינות שונות ואף ביבשות זרות.במציאות הזו ,דרך לשמור על תקשורת מהירה,בטוחה ואמינה היא אינה דבר מתבקש אלא תנאי קיום הכרחי. ארגונים רבים יוצרים לעצמם רשתות וירטואליות פרטיות - VPN על מנת לענות על צרכי העובדים המרוחקים מהמשרד,ועם זאת לשמור על ביטחון ופרטיות החברה. חברות רבות מאמצות להן בניית VPN שיתאים לצרכים האינדיבידואלים שלהן יחד עם המרחק שבין הנפשות הפועלות.בעיקרון VPN היא רשת פרטית המשתמשת ברשת ציבורית ,לרבות האינטרנט, על-מנת לחבר משתמשים ואתרים מרוחקים. ניתן לומר בעצם שזוהי רשת מלאכותית דמיונית- שהרי אין בינה חיבורים פיזיים ממשיים, כלומר- רשת וירטואלית

[עריכה] שימושי ה-VPN

טכנולוגיית ה-VPN מתבססת על תשתית ציבורית, לרוב דרך רשת האינטרנט, בכדי להעביר נתונים וקול בתוך הרשת הפרטית כך שתהיה למשתמש ב- VPN גישה למשאבים ארגוניים גם כאשר אין כבל ישיר המחבר ביניהם. כאשר משתמש מעוניין להתחבר לרשת פנים ארגונית ממקום אשר בו אין גישה פיזית לרשת,הוא יכול להתחבר לרשת ציבורית כגון אינטרנט ולהיעזר בתוכנת לקוח על מנת להתחבר אל תוך הרשת הארגונית ללא בחיבור פיזי אליה.

VPN מותאם באופן אישי לחברה מסוימת ולכן מועיל לחברה בצורה משמעותית מאוד בדרכים הבאות:

o יצירת קשר בין יחידות שונות של החברה או הארגון הנמצאות במקומות גיאוגרפיים

        מרוחקים זה מזה.

o אבטחת רשת מתקדמת. o העלויות הינן נמוכות יותר בשימוש בטכנולוגיית ה- VPN, מאשר השימוש בטכנולוגיית

        ה- WAN    .

o השימוש בשיטת ה- VPN מונעת וחוסכת בניוד עובדים ממקום למקום, דבר אשר

        חוסך משאבים רבים   לארגון או החברה.

o נוצרת יעילות רבה יותר של הארגון או החברה. o השיטה מפשטת את הרשת ובכך עושה אותה ידידותית יותר למשתמש. o השיטה מאפשרת עבודות בינלאומיות ברשת. o השיטה מאפשרת קשר של וידאו וקול דרך המקומות השונים של החברה. o החזר ההשקעה בטכנולוגיית ה-VPN מהיר יותר מאשר טכנולוגיות אחרות.

[עריכה] סוגים שונים של VPN

מערכת ה- VPN תומכת בלפחות שלושה סוגי שימוש, בכדי לבחור את סוג הרשת מתחשבים במטרות הארגון וכן בבעיות אשר הארגון רוצה לפתור: Site to site interanet v.p.n אינטראנט V.P.N מאפשר ערוצי תקשורת מאובטחים על גבי האינטרנט ממיקומים פיסים שונים, הארגון מחובר לרשת פרטית אחת. כאן ה- VPN מקשרת מפקדות משותפות, משרדים רחוקים, ומשרדים מסונפים דרך תשתית משותפת, תוך שימוש בקישורים מסוימים. עסקים נהנים ממדיניות הזהה לזו של רשת פרטית, כולל אבטחה, איכות שרות, יכולת להתנהל, ומהימנות. Site to site extranet v.p.n סוג זה של VPN מקשר לקוחות, ספקים, שותפים, או קהילות בעלות עניין לאינטרנט משותף, דרך תשתית משותפת, תוך שימוש בקישורים מסוימים. עסקים נהנים ממדיניות הזהה לזו של רשת פרטית, כולל אבטחה, איכות שירות, יכולת להתנהל, ומהימנות. כמעט וזהה ל Site to site interanet v.p.n, למעט העובדה שהם מיועדים לשותפים חיצוניים.

Vpn זה מצריך הגבלה ע"י firewall  על מנת לא לאפשר לשותפים העסקיים להגיע למידע פרטי וחסוי של הארגון.

[עריכה] Remote access v.p.n

הרצת תוכנת לקוח של VPN ,לקוח ה-VPN מאפשר למתקשרים מרחוק (עובדים מהבית, בנסיעות, סוכני שטח וכ"ו) לתקשר על גבי הרשת המרכזית ולקבל גישה לשרתים ממיקומים שונים. מכאן שחברות גדולות המפוזרות בארץ ובעולם, בעלות הרבה סוכני מכירות ועובדים בשטח ירכשו לעצמם סוג זה של VPN. סוג זה, המתבסס על גישה מרחוק במימדים גדולים ייצור enterprise service provider (ESP) שמאפשר גישה לרשת באמצעות שרת (NAS - network access server). באופן זה למשתמשים יש תוכנה הממוקמת על שולחן העבודה (Desktop). התקשורת מתבססת על חיוג לשרת על מנת להתחבר לרשת, דבר המאפשר להם העברת מידע למרחקים ואבטחת המידע.

[עריכה] IP/TCP

פרוטוקול תקשורת -אוסף של כללים שקובעים אילו הודעות יש לשלוח ומתי, ואיך לעבד את ההודעות המתקבלות. פרוטוקול IP -מאפשר קישור בין רשתות מסביב לעולם, ולמעשה מאפשר תקשורת אוניברסאלית. כך יכול, למשל, אדם היושב בביתו בתל אביב, לשלוח דואר אלקטרוני לאוסטרליה, או להתעדכן בחדשות מאתר של CNN שיושב בארה"ב, בלי שדפדפן האינטרנט או תוכנת הדואר האלקטרוני יצטרכו לדעת איך להגיע לאוסטרליה או לארה"ב: פרוטוקול IP דואג להגעה ליעד. ) TCP (transmission control protocol -הוא פרוטוקול התעבורה המרכזי של משפחת פרוטוקולי האינטרנט. שימושו העיקרי הוא כפרוטוקול תעבורה מעל IP.

-TCP/IP. ארכיטקטורת TCP/IP מאפשרת קישור בין רשתות רבות ושונות, ללא תלות במבנה כל רשת ובטכנולוגיה שעומדת בבסיסה. הפרוטוקולים המרכיבים את אותה מאפשרים לעשות זאת, ובכך ליצור רשת של רשתות. TCP/IP הינו פרוטוקול "רשתות של רשתות" הנפוץ והשימושי ביותר, הסיבה העיקרית לכך היא העובדה שפרוטוקול IP משמש את האינטרנט.

TCP/IP בנוי לפי מודל השכבות, מודל זה מפריד את הפונקציונאליות של פרוטוקולי התקשורת השונים לשכבות נוחות לניהול, שיושבות אחת מעל השנייה. כל שכבה מטפלת בחלק מסוים של תהליך התקשורת ברשת.  ובנוסף צריכה לדעת לתקשר עם השכבה שמתחתיה ועם השכבה שמעליה, אך היא אינה צריכות לדעת איך השכבות האחרות עובדות.

דוגמאות למודלים כאלה של VPN - ATM (Asynchronous Transfer Mode), Frame relay

[עריכה] שיטות אבטחה

VPN הינו רשת פנימית ופרטית, המתבססת על תשתיות ציבוריות. שיטה זו היא אומנם זולה יותר, אולם היא גם מצריכה מערכת אבטחה טובה על מנת להגן על המידע הארגוני ולהגן מפני כניסות בלתי מורשות שיכולות לחדור לארגון. 

רשת VPN מאובטחת כהלכה היא כזו המשתמשת בשיטות האבטחה הבאות: 1. Firewalls 2. Encryption 3. IPSec 4. AAAservers

1. Firewalls

רבים מן המשתמשים באינטרנט ,כתחביב או כעיסוק ,נתקלו בביטוי Firewall. Firewall משמש כמחסום הגנה בין הרשת הפרטית לבין האינטרנט.בין אם רשת VPN גדולה ובין אם רשת ביתית קטנה, Firewall אחראי על הגנה מפני הפרעות ואיומים שונים כגון תכנים, משתמשים זרים והתפשטות של וירוסים.

2. Encryption

קידוד הוא תהליך של הפיכת המידע שמחשב אחד שולח למחשב אחר לצופן שרק המחשב הנמען יכול לפענח. שיטות הצפנה נפוצות: א) Symmetric-key encryption בשיטה זו לכל מחשב יש צופן סודי בעזרתו הוא יכול להצפין מידע בטרם הוא נשלח ברשת למחשב נמען אחר. לנמענים הרצויים ניתנים המפתחות המתאימים שבעזרתם הם יכולים לפענח את המידע המקודד שמגיע אליהם. בשיטה זו ניתן להגביל את מספר המחשבים שיכולים לפצח את הקוד.

ב) Public-key encryption שיטה זו משלבת קידוד פרטי(סימטרי) ופומבי. בשיטה זו הקוד הסימטרי מוצפן גם הוא ועל המחשב הנמען להשתמש בשני מפתחות ( סימטרי ופומבי) על-מנת לפענח את המידע המתקבל. 3.IPsec IPsec הוא הפרוטוקול הנפוץ ביותר כיום להקמת VPN ויוצר חסינות גבוהה ביותר מפני התקפות. שיטה זו מספקת אפשרויות קידוד ואימות נתונים מקיפות בעזרת שני מודלים : Tunnel ו- Transport. שיטה זו מסוגלת להצפין מידע המועבר בין מספר התקנים: Router to Router Firewall to Router PC to Router PC to server

מה כולל IPSEC? וידוא זהות – כל SESSION יכלול העברת חתימה דיגיטאלית בתקן C509v3, שתוכיח כי המידע אכן בא מ"שער ה-VPN" הנכון. הצפנה - שימוש בתקנים חזקים כמו DES, RSA ו-Diffie-helman אנקפסולציה - שער ה-VPN מצפין את כתובת ה-IP של המחשב המסתתר מאחוריו, ומדביק לחבילה כתובת IP חדשה. באופן זה לא ניתן לדעת מי שלח בפועל את החבילה. שיטה זו גם מונעת התקפות התחזות.

Photo courtesy Cisco Systems, Inc. A remote-access VPN utilizing IPSec

4. AAAserver

שיטה אשר בודקת כל פנייה של משתמש עפ"י דפוס משולש של שאלות: א) מי אתה? - Authentication ב) מהן סמכויותיך? - Authorization ג) מהן כוונותיך? - Accounting

דוגמאות לתוכנות V.P.N הנמכרות בשוק

Officeconnect vpn firewall

תוכנה זו שמציעה חברת 3COM הינה פתרון חסכוני לאבטחת רשתות פרטיות וירטואליות במהירות גבוהה . מיועד לעסקים עם אתרים מרוחקים ועובדים מרחוק. Officeconnect vpn firewall יכול ליזום ולסיים עד 50 רשתות VPN בו זמנית לקישור אתר לאתר או משתמש לאתר vpn firewall, מאפשר לעד 253 משתמשים לשתף גישה מאובטחת לאינטרנט באמצעות חיבור פס רחב אחד. איחוד זה חוסך בכסף ומבטל את הצורך לרכוש ולתחזק מספר קוים וכתובות. Office connect vpn firewall מגן על רשתות ע"י מניעת גישה בלתי מורשית לרשת באמצעות firewall מתקדם, מובנה עם בדיקת זיהוי ויכולות הגנה, ובאמצעות הצפנת המידע העובר באינטרנט. התוכנה תומכת בפרוטוקולים הבאים לאבטחה- 3DES,IP(IPSEC)DES,AES-128 כמו כן גם בפרוטוקולי PPTP ו-L2TP בכדי להבטיח רוחב פס מספיק לקול ומולטימדיה.

Check point v.p.n 1

תוכנה VPN 1 הנה תוכנה המבוססת על מנגנוני בקרה ואמצעי בטיחות סטנדרטיים, המאפשרת שליטה מוחלטת על כל פיסת מידע, הנכנסת אל הרשת או יוצאת ממנה. התוכנה בודקת כל נתון העובר בנקודות המפתח על גבי הרשת(שרתי אינטרנט, נתבים, תחנות עבודה), ומשתמשת בכלי בקרה התראה ודיווח מרכזיים המתועדים בתחנת השליטה. התוכנה מאפשרת תרגום כתובות ועל ידי כך עבודה באינטרנט עם רשתות בעלות כתובות "בלתי רשמיות" והמרתן באופן אוטומטי ב"כתובות חוקיות". מנגנון זיהוי ובקרה מאפשר שליטה על משתמשים הרשאים לצאת מתוך הרשת המקומית לאינטרנט, ו/או משתמשים הרוצים להיכנס לרשת המקומית מהאינטרנט.

[עריכה] סיכום

עם הזמן, טכנולוגיות תקשורת נתונים, כמו כל דבר אחר, מתפתחת מתפשטת ומשתכללת בקצב מסחרר. בעבר דרכי התקשורת בין מחשבים היו מסורבלים, שכן הם דרשו חיווט- אמצעי פיזי. דבר זה יצר קושי כאשר מדובר במרחקים גדולים מדי, והעלות בהתאם- יקרה. שיטת ה- VPN מתגברת על מכשולים אלו, והיא כיום שיטה נפוצה מאוד. שימוש ב- VPN מסייע לחסוך כסף על- ידי שימוש ברשת האינטרנט הציבורית במקום לבצע שיחות טלפון בינעירוניות כדי להתחבר בבטחה לרשת הפרטית שלך. כמו כן, השיטה ידידותית למשתמש, נוחה לתפעול ומאפשרת עבודות משותפות למרחקים גדולים- מפשטת את המרחק אשר היה פעם מקור לבעיות בחברה הרוצה להתפתח. כרגע אין סטנדרטים כלליים לרכיבי התוכנה והחומרה של VPN. כל ספק המספק שירות VPN מבצע זאת בשיטה הנתמכת בצורה הטובה ביותר על ידי רכיבי החומרה ויישומי התוכנה שלו עצמו. עם זאת, עם גדילת ההתעניינות באינטרנט, אבטחת רשת הפכה לדאגה עיקרית עבור חברות ברחבי העולם. העובדה, שהמידע והכלים הדרושים לחדירת אבטחת רשתות משותפות זמינים לכול, הגבירה דאגה זו. בגלל התמקדות גדלה זו באבטחת רשת, מנהלי רשת, לעיתים קרובות משקיעים יותר מאמצים בהגנה על הרשתות שלהם מאשר בארגון וניהול הרשת. ובכל זאת, לסיכום ה- VPN תרם מאוד להגברת היעילות בתחום המחשבים, בתחום התקשורת ובכלל.

[עריכה] ביבליוגרפיה

o practice.ntcn.edu.tw o Bulletin Feb 2004 Issue o What is a VPN? revision 1, P. Ferguson & G. Huston, April 1998 o "BGP" communities Attribute" ,Chandra .P, T.Li, Aougust 1996 o www.microsoft.com o http://www2.eitan.ac.il/comnet/file2110.asp o www.cisco.com o http://computer.howstuffworks.com/