Edukira joan

Sare pribatu birtual

Wikipedia, Entziklopedia askea

Sare pribatu birtuala edo VPNa (virtual private network) sare-teknologia bat da, konputagailu-sare publikoen edo ez-fidagarrien gainean sare lokal bat hedatzea ahalbidetzen duena. Ordenagailuak sare partekatuei edo publikoei buruzko datuak bidaltzeko eta jasotzeko aukera ematen du, sare pribatu bat balitz bezala, sare pribatu baten funtzionaltasun, segurtasun eta kudeaketa-politika guztiekin.[1] Hori egiteko, puntutik punturako konexio birtuala ezartzen da; konexio dedikatuak, zifratuak edo bi medioen konbinazioak erabiliz.[2]

Adibide komunak dira enpresa baten bi sukurtsal edo gehiago konektatzea, euskarri teknikoko ekipoko kideei etxetik zenbaketa-zentrora konektatzeko aukera ematea edo erabiltzaile bat bere etxeko ekipamendura urruneko gune batetik sartu ahal izatea, hotel batetik adibidez. Hori guztia Internet[2] azpiegitura erabiliz gauzatzen da.

Internet bidezko VPN konexioa teknikoki wide area network (WAN) lotura bat da guneen artean, baina erabiltzaileari lotura pribatua dela iruditzen zaio: hortik private network izendapen birtuala.[3]

Hiru VPN eredu daude:

Sarbide urruneko VPN

[aldatu | aldatu iturburu kodea]

Gaur egun gehien erabiltzen den eredua da, eta urruneko guneetatik (bulego komertzialetatik, etxeetatik, hoteletatik, hegazkin prestatuetatik eta abar) enpresarekin konektatzen diren erabiltzaileak dira, Internet bitarteko bezala erabiliz. Behin egiaztatuta, enpresaren sare lokalean duten sarbide-mailaren oso antzekoa dute. Teknologia horrekin, enpresa askok beraien dial-up azpiegitura berritu dute (modemak eta telefono-lineak).

Punturik punturako VPN

[aldatu | aldatu iturburu kodea]

Eskema hori urruneko bulegoak erakundearen egoitza nagusiarekin konektatzeko erabiltzen da. VPN zerbitzariak Interneterako lotura iraunkorra duenez, guneetatik datozen Internet bidezko konexioak onartzen ditu eta VPN tunela ezartzen du. Sukurtsaletako zerbitzariak Internetera konektatzen dira, Interneteko zerbitzu-hornitzailea erabiliz. Horrek aukera ematen du puntutik punturako lotura tradizional garestiak ezabatzeko (normalean nodoen arteko kable fisikoko konexioen bidez egiten direnak), batez ere nazioarteko komunikazioetan. Ohikoagoa da hurrengo puntua, tunel edo tunneling teknologia ere deritzona.

Tunneling teknikaren bidez sare-protokolo bat kapsulatzen da beste baten gainean (kapsularatze-sarearen protokoloa), eta ordenagailu-sare baten barruan tunel bat sortzen da. Tunel hori ezartzeko, beste PDU baten barruan zehaztutako PDU bat (protokoloko datu-unitateak) sartzen da, tunelaren mutur batetik bestera transmititzeko, kapsulatutako PDUren tarteko interpretaziorik behar izan gabe. Horrela bideratzen dira tarteko nodoei buruzko datu-paketeak, pakete horien edukia argi ikusteko gai ez direnak. Muturreko puntuek eta erabilitako komunikazio-protokoloak zehazten dute tunela.

Teknika honen erabileraren adibiderik argienetako bat IP Mugikorreko agertokietan trafikoa berriz zuzentzea da. IP mugikorreko agertokietan, nodo-mugikor bat bere oinarrizko sarean ez dagoenean, bere Home-agent-ek funtzio jakin batzuk bete behar ditu bere postuan, eta funtzio horien artean dago nodo-mugikorrera zuzendutako trafikoa atzematea eta harengana bideratzea. Trafikoa berriz bideratzeko tunneling-mekanismo bat erabiltzen da; izan ere, paketeek jatorrizko egitura eta edukia gorde behar dituzte (jatorriko eta helmugako IP helbidea, portuak, etab.), nodo-mugikorrak jasotzen dituenean. Urrunetik maneiatzen da hau guztia.

Barne VPN edo VLAN

[aldatu | aldatu iturburu kodea]

Gutxien hedatuena baina enpresarako ahaltsuena. Urruneko sarbidearen aldaera da, baina Internet konexio bezala erabiliz enpresaren sare lokala erabiltzen du. Barne sare lokaleko zerbitzuak eta eremuak isolatzeko balio du. Ahalmen honek wifiaren ezaugarriak hobetzeko ezin hobea egiten du.

Soldatak kudeatzen duen zerbitzaria edo informazio garrantzitsua duen zerbitzariaren informazioa VPN makina baten atzean dago, honela kautotasuna eta zifratzea eransten zaizkio komunikazioari eta, horri esker, gaitutako giza baliabideetako langileek soilik eskuratu ahal izango dute informazioa.

Beste adibide bat wifi sareetara konektatzea da, IPSec edo SSL tunel zifratuak erabiliz. Horiek, autentifikazio-metodo tradizionaletatik pasatzeaz gain (WEP, WPA, MAC helbideak, etab.), barneko edo kanpoko LANen sortutako VPN tunelaren segurtasun-kredentzialak gehitzen dituzte.

Segurtasunaren oinarrizko ezaugarriak

[aldatu | aldatu iturburu kodea]

Sare pribatu birtual baten helburua urruneko tokiei zerbitzua ematea da, intranet bateko ezaugarri berdinak eskainiz:

  • Datuen konfidentzialtasuna: Intraneteko segurtasun-politikak bete behar dira baita Internetekiko harremanetan ere. Kautotze funtzioak (komunikatzen ari direnak esaten dutena diren edo ez) oso garrantzitsuak dira. Horregatik, gako publikoen banaketa politika egokia eta transmititzen den informazioaren zifraketa beharrezkoak dira.
  • Kudeaketa malgutasuna: Askotan mugitzen ari diren erabiltzaileak daude, baina ez dute atzipena egiteko toki finkorik.
  • Aplikazioen integrazio gardena: Komunikazioa hasi ondoren, intranet edo Internet bitarten ari den erabiltzaile batek berdin-berdin egingo dute lan.
  • Sarbide-kontrola: egiaztatutako parte-hartzaileek baimenduta dituzten datuetara baino ez dutela sarbidea ziurtatu nahi da.
  • Jardueren auditoretza eta erregistroa: funtzionamendu egokia eta berreskuratzeko gaitasuna ziurtatzea da helburua.
  • Zerbitzuaren kalitatea: errendimendu ona ziurtatzea da helburua, transmisio-abiaduran onargarria ez den degradaziorik ez egotea.

Hau guztia segurtasunarekin posible egiteko komunikazio baten kautotasuna, osotasuna eta konfidentzialtasuna bermatzeko baliabideak jarri behar dira. Komunikazio seguru bateko ezaugarriak:

  • Autentifikazioa eta baimena: Egiaztatu datagrama bakoitza adierazitako igorleak sortu duela. Identifikatzen den zatiari probatzailea esaten zaio. Identitatea egiaztatzen duen alderdiari egiaztatzailea esaten zaio. Ohikoa da probalaria baliabide jakin batzuetara sartu nahi duen erabiltzaile bat izatea, eta egiaztatzailea baliabide horietarako sarbidea babesten duen sistema bat izatea, eta egiaztatu behar du sartzen dena baliabide horietara sartzeko baimena duen erabiltzaile bat dela. Nor dago beste aldean? Erabiltzailea/makina eta zein sarbide maila izan behar duen.
  • Osotasuna: Bidalitako datuak aldatu ez diren bermea edo ezaugarria. Datagrama baten edukia ez dela bidetik aldatu egiaztatzea, ez nahita, ez ausazko akatsen ondorioz. Hashing algoritmoak erabiltzen dira horretarako. MD5 eta SHA dira erabilienak.
  • Konfidentzialtasuna: Mezu baten edukia ezkutatzen du, mezua zifratuta doa, eta Internet bezalako sare publikoan edozeinek mezua irakur dezake. Testuinguru honetan baimendutako hartzaileak soilik irakur dezan mezua, informazioa zifratuta doa. DES , 3DES eta AES bezalako algoritmoekin.
  • Ez onartzea: Mezua sinatuta doanez, sinatzaileak ezin du uko egin mezuaren jabea denik.
  • Ugalketa-babesa: Erasotzaile batek ezin du datagrama bat geldiarazi eta ondoren erreproduzitu.[4]

VPNren oinarrizko eskakizunak

[aldatu | aldatu iturburu kodea]
  • Erabiltzailea identifikatzea: VPNek erabiltzaileen nortasuna egiaztatu behar dute, eta baimenik ez dutenak sartzea saihestu.
  • Datuak zifratzea: sare publikoaren (Internet) bidez transmitituko diren datuak zifratu egin behar dira, atzemanez gero irakurri ezin izateko. Jarduera hau zifratze simetrikoko algoritmoekin egiten da; hala nola, DES, 3DES edo AES algoritmoekin (Advanced Encryption Standard, AES128, AES192 edo AES256 aukeretan). Algoritmo horiek igorleak eta hartzaileak bakarrik irakur ditzake.
  • Gakoak administratzea: VPNek erabiltzaileentzako zifratze-gakoak eguneratu behar dituzte.
  • SEAL segurtasun-algoritmo berria.
  • Sare protokolo anitzak onartzea (IP, IPX...).

Inplementazioak

[aldatu | aldatu iturburu kodea]

Protokolo estandarra IPSEC da, baina PPTP, L2F, L2TP, SSL/TLS, SSH eta abar ere badaude. Bakoitzak bere abantailak eta desabantailak ditu segurtasunari, erraztasunari, mantentze-lanei eta bezero motei dagokienez.

Gaur egun, SSL/TLS protokoloarekin lotuta dagoen produktu-lerro bat hazten ari da, irtenbide horien konfigurazioa eta eragiketa lagunkoiago egiten saiatzen dena.

Ikusitako bi kasuetan firewall irtenbideak erabil daitezke («suebakiak» edo «su-hesiak»), eta segurtasun-maila altua lortzen da ematen duen babesagatik, errendimenduaren kaltetan.

VPN arkitektura

[aldatu | aldatu iturburu kodea]

VPN konfigurazio mota desberdinak daude (begiratu hurrengo atala), hala ere osagai berdinak dituzte:

  • VPN zerbitzaria: VPN bezeroen edo beste VPN zerbitzariren baten aldetik VPN konexioak onartzen dituen host bat da. Lehen kasuan, VPN zerbitzariak urruneko VPN atzipen bat hornitzen du edo bidatzaile-bidatzaile arteko konexio bat.
  • VPN bezeroa: VPN zerbitzari batekin VPN konexio bat hasten duen ordenagailua da. Konexio mota hau urruneko VPN atzipenerako erabiltzen da.
  • Tunela, tunel protokoloak eta pasabide-sarea. Kanpo-sarean zehar, datuak kapsulatuak doazen konexio partea da tunela. Hasieran, tunel protokoloak, mota bateko tramak (SPX/IPX adibidez) beste trama mota bateraezin batzuekin (TCP/IP adibidez) lan egiten zuten sareetan zehar bidaiatzeko asmatu ziren. Benetan, beren erabilgarritasuna beti hau izan da: sare mota bateko tramak beste mota bateko protokolo batekin bidaltzea. Sareari pasabide-sare deritzo. Pasabide-sare adibide bat Internet da, baina baliteke VPNren baten pasabide-sarea intranet bat izatea.
  • VPN konexioa: datuak zifratzen diren konexio partea. Zehazki VPN batez hitz egiteko, datuak konexio puntu berdinean zifratu eta kapsulatu behar dira. Inork galde dezake zergatik ez den nahikoa zifratzearekin. Erantzuna berehalakoa da: IP pakete oso bat zifratu eta Internetetik bidaltzen bada ez da inora joango, Interneteko bideratzaileek ezingo baitute IP pakete goiburua irakurri, eta bertan baitago bideratzeko beharrezkoa duten informazioa. Tunel protokolo ezagunenak PPTP, L2TP eta IPSec dira.

Konexio motak

[aldatu | aldatu iturburu kodea]

Urruneko sarbideko konexioa

[aldatu | aldatu iturburu kodea]

Sare pribatu batera konektatzen den ordenagailu bateko bezero edo erabiltzaile batek egiten du, VPN konexioaren bidez bidalitako paketeak urruneko sarbideko bezeroari sortzen zaizkio, urruneko sarbideko zerbitzaria autentifikatzen da, eta zerbitzaria bezeroaren aurrean autentifikatzen da.

VPN router eta router arteko konexioa

[aldatu | aldatu iturburu kodea]

Router batek egiten du, eta router hori, aldi berean, sare pribatu batera konektatzen da. Konexio mota honetan, edozein routerretatik bidalitako paketeak ez dira routerretan sortzen. Deia egiten duen routerra erantzuten duen routerraren aurrean autentifikatzen da, eta routerra, berriz, deia egiten duen routerraren aurrean autentifikatzen da.

VPN firewall eta firewall arteko konexioa

[aldatu | aldatu iturburu kodea]

VPN firewall konexio bat horietako batek egiten du, eta hori, aldi berean, sare pribatu batera konektatzen da. Konexio mota honetan, paketeak edozein erabiltzailek bidaltzen ditu Interneten. Deiak egiten duen firewalla erantzun duenaren aurrean autentifikatzen da, eta erantzun hori, berriz, deitzailearen aurrean autentifikatzen da.

VPN ingurune mugikorretan

[aldatu | aldatu iturburu kodea]

VPNren amaiera-puntua [5]ez dagoenean IP helbide bakar batean finkatuta, baizik eta hainbat sareren artean mugitzen denean; hala nola, operadore mugikorren datu-sareetan edo Wifi[6] sare bateko sarbide-puntu desberdinetan. VPN mugikorrak segurtasun publikoan erabili dira, ordena publikoko indarrei aplikazio kritikoetarako sarbidea emanez, hala nola, kriminalak identifikatzeko datuak dituzten datu-baseetarako, eta konexioa sare mugikor bateko hainbat azpi-sareren artean mugitzen da.[7]

VPNren abantailak

[aldatu | aldatu iturburu kodea]
  • Datuen segurtasuna, konfidentzialtasuna eta osotasuna.
  • Kostuak gutxitu eta erabilerrazak.[8]
  • Edozein konputagailutan instalatzeko erraza.
  • Bere sarbide kontrola organizazioaren politiketan oinarrituta dago.
  • Informazioa konprimatuta doanez datu trafikoa arintzen du.
  • Komunikazioen kostua aurrezten du.
  • Norbere eskualdean eskuragarri ez dagoen edukira ematen du sarbidea.[9]
  • Langileak telefono deiak erabili gabe sar daitezke enpresaren zerbitzuetara.
  • Organizazioak haien bazkideei bere zerbitzuak eskaini ahal dizkie VPNaren bidez, sarbide kontrolatua eta kanal segurua ahalbidetzen duelako.

Erreferentziak

[aldatu | aldatu iturburu kodea]
  1. Mason, A. G., Cisco Secure Virtual Private Network. Cisco Press, 2002, p. 7.
  2. a b (Gaztelaniaz) Redes privadas virtuales. .
  3. Virtual Private Networking. .
  4. Networking virtual private network. .
  5. ¿Que es un VPN?. .
  6. Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com, 16 de julio de 2006
  7. Willett, Andy. "Solving the Computing Challenges of Mobile Officers", www.officer.com, May, 2006.
  8. Free VPN. .
  9. Access to Blocked Content. .

Ikus, gainera

[aldatu | aldatu iturburu kodea]

Kanpo estekak

[aldatu | aldatu iturburu kodea]