ΕΓΚΑΤΑΣΤΑΣΗ ΚΑΙ ΥΛΟΠΟΙΗΣΗ ΕΙΚΟΝΙΚΟΥ ΙΔΙΩΤΙΚΟΥ ΔΙΚΤΥΟΥ (Virtual Private Network) ΜΕ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ LINUX.

Transcript

1 ΕΓΚΑΤΑΣΤΑΣΗ ΚΑΙ ΥΛΟΠΟΙΗΣΗ ΕΙΚΟΝΙΚΟΥ ΙΔΙΩΤΙΚΟΥ ΔΙΚΤΥΟΥ (Virtual Private Network) ΜΕ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ LINUX.

2 ΠΕΡΙΕΧΟΜΕΝΑ Κεφάλαιο 1: Eισαγωγή στα VPN 1. Κατανόηση VPNs Τι ειναι το VPN? Εξέλιξη των VPNs VPN Tunneling Protocols Πλεονεκτήματα και μειονεκτήματα VPNs Εκτιμήσεις VPN 2. Είδη των VPN Απομακρυσμένη Διαχείριση των VPN Intranet VPNs Extranet VPNs Κεφάλαιο 2: Απαιτήσεις VPN, Δομικά Τμήματα, και Αρχιτεκτονική 1. Απαιτήσεις VPN Ασφάλεια Διαθεσιμότητα Quality of Service (QoS) Αξιοπιστία Συμβατότητα Διαχειρισιμότητα 2. Δομικά στοιχεία μιας VPN To υλικό VPN Tο λογισμικό VPN Security infrastructure of the organization Service provider's supporting infrastructure Δημόσια δίκτυα Οι σήραγγες 3. VPN Αρχιτεκτονικές Υλοποίηση VPN-based Αρχιτεκτονικής

3 A ΜΕΡΟΣ (ΘΕΩΡΗΤΙΚΟ)

4 Κατανόηση VPNs Η κινητήρια δύναμη πίσω από την ολόκληρη τεχνολογία VPN είναι η χρήση του Διαδικτύου και της παγκόσμιας πρόσβασής της. Εντούτοις, επειδή το Διαδίκτυο είναι ένα κοινό δημόσιο μέσο που μπορεί να προσεγγιστεί από καθένα, οποτεδήποτε, οπουδήποτε, η ανταλλαγή των στοιχείων πέρα από το είναι εξαιρετικά επιρρεπής σε να υποκλοπές και παράνομες προσβάση. Αρχική πρόθεση των VPNs είναι να παραδώσει ασφάλεια, απόδοση και την αξιοπιστία των dedicated networks εξασφαλίζοντας ότι η γενική οργάνωση θα δικαιολογεί το κόστος της εφαρμογής. Tι είναι ακριβώς ένα VPN; Σύμφωνα με τον τυποποιημένο ορισμό που παρέχεται από την Internet Engineering Task Force (IETF), ένα VPN είναι An emulation of [a] private Wide Area Network (WAN) using shared or public IP facilities, such as the Internet or private IP backbones. Με απλά λόγια, ένα VPN είναι μια επέκταση ενός ιδιωτικού intranet μέσω ένα δημόσιο δίκτυο (το Internet) που εξασφαλίζει ασφαλή και οικονομικώς αποδοτική συνδετικότητα μεταξύ των δύο ακρών επικοινωνίας. Το ιδιωτικό intranet επεκτείνεται με τη βοήθεια των ιδιωτικών λογικών «tunnels». Αυτές οι σήραγγες επιτρέπουν στις δύο άκρες για να ανταλλάξουν τα στοιχεία με έναν τρόπο που μοιάζει με το σημείο για να δείξει την επικοινωνία. Το σχήμα 1-1 απεικονίζει μια χαρακτηριστική οργάνωση VPN. Σχήμα 1-1: Η χαρακτηριστική οργάνωση VPN. Αν και η τεχνολογία tunneling βρίσκεται στον πυρήνα των VPNs, τα επιμελημένα μέτρα ασφάλειας και οι μηχανισμοί χρησιμοποιούνται επίσης για να εξασφαλίσουν ασφαλή μετάβαση των ευαίσθητων πληροφοριών πέρα από ένα μη ασφαλές μέσο. Αυτοί οι μηχανισμοί ασφάλειας περιλαμβάνουν τα εξής: Κρυπτογράφηση. Η κρυπτογράφηση είναι η διαδικασία της μετατροπής των δεδομένων σε μια μορφή που μπορεί να διαβαστεί μόνο από τον προοριζόμενο δέκτη. Προκειμένου να διαβαστεί το μήνυμα, ο δέκτης των δεδομένων πρέπει να έχει το σωστό κλειδί αποκρυπτογράφησης. Στα παραδοσιακά σχέδια κρυπτογράφησης, ο αποστολέας και ο δέκτης χρησιμοποιούν το ίδιο κλειδί για να κρυπτογραφήσουν και να αποκρυπτογραφήσουν τα στοιχεία. Αντιθέτως, η κρυπτογράφηση με δημόσιο-κλειδί χρησιμοποιεί δύο κλειδιά. Ένα από τα κλειδιά είναι γνωστό ως δημόσιο κλειδί, το οποίο καθένα μπορεί να χρησιμοποιήσει κατά τη διάρκεια της κρυπτογράφησης ή της αποκρυπτογράφησης. Αν και το όνομα του κλειδιού είναι «δημόσιο κλειδί» είναι κύριο από μια οντότητα. Εάν μια δεύτερη οντότητα πρέπει να επικοινωνήσει με τον ιδιοκτήτη του κλειδιού,

5 χρησιμοποιεί αυτό το δημόσιο κλειδί για να κάνει έτσι. Το δημόσιο κλειδί έχει ένα αντίστοιχο ιδιωτικό κλειδί. Το ιδιωτικό κλειδί, όπως το όνομα προτείνει, είναι ιδιωτικό στην οντότητα (ή το πρόσωπο) στην οποία αποδίδεται. Κατά συνέπεια, με το κρυπτογράφηση δημοσίου-κλειδιού καθένα μπορεί να χρησιμοποιήσει το δημόσιο κλειδί του ιδιοκτήτη για να κρυπτογραφήσει και να στείλει ένα μήνυμα. Εντούτοις, μόνο ο ιδιοκτήτης έχει το ιδιωτικό κλειδί απαραίτητο να αποκρυπτογραφήσει αυτό το μήνυμα. Σε μια επικοινωνία, ο αποστολέας χρησιμοποιεί το δημόσιο κλειδί του για να κρυπτογραφήσει το μήνυμα. Ο παραλήπτης ανακτά το μήνυμα και αποκρυπτογραφεί το κωδικοποιημένο μήνυμα χρησιμοποιώντας το ιδιωτικό κλειδί. Pretty Good Privacy (PGP) και Data Encryption Standard (DES) είναι δύο από τα δημοφιλέστερα κρυπτογραφίες δημόσιου-κλειδιού. Αυθεντικοποίηση. Η αυθεντικοποίηση είναι η διαδικασία στην οποία τα δεδομένα παραδίδεται στον προοριζόμενο παραλήπτη του. Επιπλέον, η αυθεντικοποίηση επιβεβαιώνει επίσης την ακεραιότητα του μηνύματος και της πηγής της. Με την απλούστερη μορφή της, η αυθεντικοποίηση απαιτεί τουλάχιστον ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να αποκτήσει πρόσβαση στο διευκρινισμένο πόρο. Με σύνθετη μορφή της, η αυθεντικοποίηση μπορεί να βασιστεί στo κρυπτογράφηση secret-key ή στη κρυπτογράφηση δημόσιου-κλειδιού. Authorization. Η έγκριση είναι η διαδικασία στην πρόσβαση των πόρους που βρίσκονται σε ένα δίκτυο αφότου έχει προσδιοριστεί επιτυχώς ο χρήστης και έχει επικυρωθεί. Σημείωση Θα μάθετε περισσότερων για την κρυπτογράφηση και την αποκρυπτογράφηση στο κεφάλαιο 3, «τμήματα ασφάλειας ενός VPN.» Τώρα που έχετε μια βασική ιδέα αυτού που ένα VPN συνεπάγεται, στο επόμενο τμήμα θα μάθετε πώς η τεχνολογία VPN μπήκε σε την ύπαρξη και την πορεία εξέλιξής της. Εξέλιξη των VPNs Τα VPNs δεν είναι μια νέα τεχνολογία. Το αντίθετο, αυτό που οι περισσότεροι από μας πιστεύουν, η έννοια των VPNs υπαρχει εδω και 15 χρόνια και πέρασε πολλές γενιές τεχνολογιών πριν φθάσει με πιό πρόσφατη μορφή του. Το πρώτο γνωστό VPNs προσφέρθηκε από τη AT&T στον τελος της δεκαετίας '80 και ήταν γνωστό ως Software Defined Networks (SDNs). Το SDNs ήταν μεγάλης απόστασης WANs που ήταν εξίσου εμπειρο στη χρησιμοποίηση της dedicated καθώς επίσης και (switched connectivity ) μεταστρεφόμενης συνδετικότητας και βασίστηκε έντονα στις βάσεις δεδομένων που χρησιμοποιήθηκαν για να ταξινομήσουν κάθε προσπάθεια πρόσβασης όπως τοπική ή μακρινή. Με βάση αυτές τις πληροφορίες, το πακέτο πληροφοριών καθοδηγήται στον προορισμό του πέρα από την κοινή δημόσια μεταστρεφόμενη υποδομή. Η δεύτερη γενιά VPNs δημιουργήθηκε με την εμφάνιση X.25 και των ISDN τεχνολογιών στις αρχές της δεκαετίας του '90. Αυτές οι δύο τεχνολογίες επέτρεψαν τη μετάδοση των ροών πακέτων μέσω ενός κοινού δημοσίου δικτύου. Επομένως, η ιδέα του χαμηλού κόστους μεταδόσης μέσω ένος δημόσιου δικτύου κέρδισε τη δημοτικότητα μεσα στο internetworking community. Για κάποιο διάστημα φάνηκε οτι το X.25 πρωτόκολλο πάνω σε ISDN γραμμη θα καθιερωνόταν ως εγγενές (native) VPN πρωτόκολλο. Εντούτοις, τα ποσοστά μετάδοσης απέτυχαν να ανταποκριθούν στο αναμενόμενο επίπεδο απόδοσης και η βραχύ βια δεύτερη γενεά VPNs ήταν πεπαλαιωμένη.

6 Μετά από τη δεύτερη γενεά, η αγορά VPN επιβράδυνε μέχρι την εμφάνιση των τεχνολογιών cellbased Frame Relay (FR) και του ασύγχρονου τρόπου μεταφοράς (ATM). Η τρίτη γενιά VPNs βασίστηκε σε αυτές τις τεχνολογίες του ATM και FR. Αυτές οι τεχνολογίες, στη συνέχεια, βασίστηκαν στην έννοια των virtual circuit switching, στην οποία τα πακέτα δεδομένων δεν περιέχουν τις διευθύνσεις πηγής ή προορισμού. Αντ' αυτού, φέρνουν τους δείκτες στα (VC)εικονικά κυκλώματα όπου οι κόμβοι πηγής και προορισμού που περιλαμβάνονται στη συναλλαγή βρίσκονται. (??) Σημείωση Η εικονική τεχνολογία μετατροπής κυκλωμάτων VC προσφέρει τα πολύ υψηλότερα ποσοστά μεταφοράς δεδομένων (160 Mbps και ανωτέρω) από προκάτοχος-sdn, X.25, και το ISDN της. Εντούτοις, η ενθυλάκωση της κυκλοφορίας IP στα πακέτα Fram Relay του ATM είναι αρκετά πιό αργή. Επίσης, τα FR και ATM- based δίκτυα δεν προσφέρουν την packet-level και end to end επικύρωση και την κρυπτογράφηση που απαιτούνται για high-end εφαρμογές, όπως τα πολυμέσα. Ένα άλλο πρόβλημα που συνδέεται με τα VC-προσανατολισμένα δίκτυα είναι ότι έχουν περιοριστεί στην ικανότητα να καθοδηγήσουν στα κορεσμένα δίκτυα, η οποία είναι ένα κοινό φαινόμενο στα κοινά δημόσια δίκτυα. Οταν το ηλεκτρονικό εμπόριο έγινε ο τρόπος να διευθυνθεί η επιχείρηση στα μέσα της δεκαετίας του '90, οι απαιτήσεις των χρηστών ήταν σαφείς. Οι χρήστες (και οργανώσεις) θέλησαν μια λύση που ήταν εύκολο να εφαρμοστεί σε κλίμακα, και να διαχειριστεί, συνολικά προσιτή, και ικανή ένα υψηλό επίπεδο της end-to-end ασφάλειας. H τωρινή γενιά VPN και IP-VPN συναντά όλες αυτές τις απαιτήσεις με την υιοθέτηση της tunneling τεχνολογίας. Τώρα, οι μεγάλης κλίμακας οργανώσεις και οι μικρές οργανώσεις που δεν θα μπορούσαν κάποτε να αντέξουν οικονομικά τις ακριβές μισθωμένες γραμμές- με αυτές τις λύσεις μπορούν να *mark* την παρουσία τους στην παγκόσμια αγορά. Tunnelling είναι η τεχνική ένα πακέτο στοιχείων σε ένα ανοίγοντας πρωτόκολλο, όπως η ασφάλεια IP (IPSec), IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), or Layer 2 Tunneling Protocol (L2TP), και τελικα το πακετο περνα απο το tunnel IP packet. Το επακόλουθο πακέτο καθοδηγείται έπειτα στο δίκτυο προορισμού χρησιμοποιώντας τις πληροφορίες του IP. Επειδή το αρχικό πακέτο δεδομένων μπορεί να είναι οποιουδήποτε τύπου, να ανοίξει μπορεί να υποστηρίξει την κυκλοφορία πολυπρωτοκόλλων, συμπεριλαμβανομένης της IP, του ISDN, FR, και του ATM. Στο επόμενο τμήμα, θα εισαχθείτε στα ο συνηθέστερα χρησιμοποιημένα ανοίγοντας πρωτόκολλα VPN.

7 VPN Tunneling Protocols Τρία σημαντικά ανοίγοντας πρωτόκολλα χρησιμοποιούνται κυρίως σε VPNs για να εξασφαλίσουν τις πτυχές ασφάλειας των vpn-βασισμένων συναλλαγών. Αυτοί περιλαμβάνουν τα εξής: IP Security (IPSec). Αναπτυγμένο από IETF, IPSec είναι ένα ανοιχτό πρότυπο που εξασφαλίζει την ασφάλεια μετάδοσης και την επικύρωση χρηστών πέρα από τα δημόσια δίκτυα. Αντίθετα από άλλες τεχνικές κρυπτογράφησης, IPSec λειτουργεί στο στρώμα δικτύων του προτύπου (OSI). Επομένως, μπορεί να εφαρμοστεί ανεξάρτητα από τις εφαρμογές που τρέχουν πέρα από το δίκτυο. Κατά συνέπεια το δίκτυο μπορεί να ασφαλιστεί χωρίς την ανάγκη να εφαρμοστεί και να συντονιστεί η ασφάλεια κάθε μεμονωμένης εφαρμογής. Point-to-Point Tunneling Protocol (PPTP). Αναπτυγμένο από τη Microsoft, 3COM, το PPTP προτάθηκε ως εναλλακτική λύση του IPSec. Εντούτοις, IPSec παραμένει ακόμα το αγαπημένο tunneling πρωτόκολλο. Το PPTP λειτουργεί στο 2 στρώμα του προτύπου της OSI και χρησιμοποιείται για την ασφαλή μετάδοση της κυκλοφορίας βασισμένης στα WINDOWS. Layer 2 Tunneling Protocol (L2TP). Αναπτυγμένο από τη Cisco Systems, L2TP προορίστηκε επίσης να αντικαταστήσει IPSec ως de facto tunneling πρωτόκολλο. Εντούτοις, IPSec συνεχίζει ακόμα να είναι το κυρίαρχο πρωτόκολλο για την ασφαλή επικοινωνία μέσω του Διαδικτύου. To L2TP είναι Layer 2 Forwarding (L2F) και PPTP και χρησιμοποιείται για Point-to-Point Protocol (PPP) frames πανω απο X.25, FR, and ATM networks. Σημείωση L2F ήταν ένα προηγούμενο ιδιόκτητο πρωτόκολλο που προτάθηκε από τη Cisco Systems για να ασφαλής μεταδόσεις μέσω του Διαδικτύου. Εντούτοις, αντικαταστάθηκε αργότερα από L2TP, το οποίο πρόσφερε ισχυρότερη κρυπτογράφηση των data και κάλυπτε επίσης τα Windows domain όπου L2F απέτυχε. Στο επόμενο τμήμα, θα μάθετε για τα διάφορα πλεονεκτήματα που προσφέρονται από VPNs και τα διάφορα μειονεκτήματα που συνδέονται με τους. Πλεονεκτήματα και μειονεκτήματα VPNs VPN προσφέρει έναν μεγάλο αριθμό οφελών. Αυτά τα πλεονεκτήματα ακολουθούν: Μειωμένο κόστος της εγκατάστασης. Το VPNs κοστίζει αρκετά λιγότερο από τις παραδοσιακές λύσεις, οι οποίες είναι βασισμένες στις μισθωμένες γραμμές, τον FR, το ATM, ή το ISDN. Αυτό είναι επειδή VPNs εξαλείφει την ανάγκη για τις μεγάλης απόστασης συνδέσεις με την αντικατάσταση τους με τις τοπικές συνδέσεις σε ένα δικτύων, ISP, ή ISP Point of Presence (POP). Μειωμένες δαπάνες διαχείρισης και επάνδρωσης. Με τη μείωση των μεγάληςαπόστασης τηλεποικινωνιακών δαπανών, VPNs ρίχνει επίσης τις WAN-based δαπάνες

8 λειτουργίας δικτύων σε ένα ιδιαίτερο βαθμό. Επιπλέον, μια οργάνωση μπορεί να ρίξει το γενικό κόστος του δικτύου εάν ο WAN-based εξοπλισμός που χρησιμοποιείται στο VPN ρυθμίζεται από ISP. Ο λόγος πίσω από το χαμηλωμένο κόστος της λειτουργίας εξηγείται από το γεγονός ότι η οργάνωση δεν πρέπει να υιοθετήσει τόσο πολλη εκπαιδευμένο και ακριβό προσωπικό δικτύωσης όπως και εάν το VPN ρυθμίστηκε από η ίδια την οργάνωση. Ενισχυμένη συνδετικότητα. Το VPNs απασχολεί το Διαδίκτυο για την διασύνδεση μεταξύ των μακρινών μερών ενός intranet. Επειδή το Διαδίκτυο είναι προσιτό συνολικά, ακόμη και τα πιό μακρινά υποκαταστήματα, οι χρήστες, και οι κινητοί χρήστες (όπως οι πωλητές) μπορούν εύκολα να συνδέσουν με το εταιρικό intranet. Ασφάλεια των συναλλαγών. Επειδή VPNs χρησιμοποιεί τη tunneling τεχνολογία για να διαβιβάσει τα δεδομένα πανω απο μη ασφαλή δημόσια δίκτυα, οι συναλλαγές στοιχείων είναι ασφαλείς σε μια έκταση(?). Εκτός από τη tunneling τεχνολογία, εκτενή μέτρα ασφάλειας χρήσης VPNs, όπως η κρυπτογράφηση, αυθεντικοποίηση, η έγκριση για να εξασφαλιστεί η ασφάλεια, η εμπιστευτικότητα, και η ακεραιότητα των στοιχείων διαβιβάζονται. Κατά συνέπεια, VPNs προσφέρει έναν αρκετά υψηλό βαθμό της ασφάλειας συναλλαγής. Αποτελεσματική χρήση του εύρους ζώνης. Στην περίπτωση της σύνδεσης Διαδικτύου βασισμένης στις μισθωμένες γραμμές, το εύρος ζώνης σπαταλιέται εξ ολοκλήρου λογο έλλειψεις μιας ενεργού σύνδεσης στο Διαδίκτυο. Το VPNs, αφ' ενός, δημιουργεί τις λογικές σήραγγες για να διαβιβάσει τα στοιχεία όταν και όπως ζητηθεί. Κατά συνέπεια, το εύρος ζώνης δικτύων χρησιμοποιείται μόνο όταν υπάρχει μια ενεργός σύνδεση στο Διαδίκτυο. Επομένως, υπάρχει αρκετά λιγότερη πιθανότητα ξοδέματος των διαθέσιμων εύρους ζώνης των δικτύων. Ενισχυμένη εξελιξιμότητα. Επειδή VPNs είναι βασισμένα στο Διαδίκτυο, επιτρέπουν σε ένα εταιρικό intranet να εξελιχθεί και να αυξηθεί όταν και όπως αλλάζουν οι επιχειρησιακές ανάγκες, με τις ελάχιστες δυνατές δαπάνες για τον πρόσθετο εξοπλισμό. Αυτό κάνει VPNbased intranets ιδιαίτερο - εξελικτικό και προσαρμοστικό στη μελλοντική ανάπτυξη, χωρίς τοποθέτηση πάρα πολλής πίεσης στον προϋπολογισμό δικτύων της οργάνωσης. Παρά τον αριθμό πλεονεκτημάτων που προσφέρονται από VPNs, μερικά μειονεκτήματα συνδέονται επίσης με τους ότι έχει καταστήσει πολλούς χρήστες δύσπιστους για τη χρήση τους. Αυτά τα μειονεκτήματα περιλαμβάνουν τα εξής: Υψηλή εξάρτηση στο διαδίκτυο. Η απόδοση ενός VPN-βασισμένου δικτύου είναι ιδιαίτερα - εξαρτώμενη από την απόδοση του Διαδικτύου. Οι μισθωμένες γραμμές εγγυώνται το εύρος ζώνης που διευκρινίζεται σε μια σύμβαση μεταξύ ISP και της οργάνωσης. Εντούτοις, κανένας δεν μπορεί να εγγυηθεί την απόδοση του Διαδικτύου. Μια υπερφόρτωση της κυκλοφορίας και της συμφόρησης μπορεί να έχει δυσμενείς επιπτώσεις στην απόδοση του ολόκληρου VPN-βασισμένου δικτύου. Έλλειψη υποστήριξης σε legacy παλαιά πρωτόκολλα. Παρόν VPNs είναι εξ ολοκλήρου βασισμένο στην τεχνολογία IP. Εντούτοις, πολλές οργανώσεις συνεχίζουν να χρησιμοποιούν τους κεντρικούς υπολογιστές και άλλα τέτοια συσκευές και πρωτόκολλα κληρονομιών στις καθημερινές συναλλαγές τους. Κατά συνέπεια, VPNs είναι κατά ένα μεγάλο μέρος ασυμβίβαστο με τις συσκευές και τα πρωτόκολλα κληρονομιών. Αυτό το πρόβλημα μπορεί να λυθεί, σε μια έκταση, με τη βοήθεια να ανοίξει τους μηχανισμούς. Αλλά, η συσκευασία SNA και άλλη κυκλοφορία μη-ip μέσα στα πακέτα IP μπορούν να επιβραδύνουν την απόδοση του ολόκληρου δικτύου.

9 Στο επόμενο τμήμα, θα μάθετε για τα γεγονότα που πρέπει να εξεταστούν κατά την εφαρμογή μιας λύσης βασισμένης σε VPN Εκτιμήσεις VPN Οι σημαντικότερες εκτιμήσεις που λαμβάνουν υπόψη εφαρμόζοντας την vpn-βασισμένη λύση δικτύωσης είναι Ασφάλεια. Επειδή στοιχεία ευαίσθητης και επιχείρησης αποστολής τα κρίσιμα πρέπει να ταξιδεψουν μέσω ένα εξαιρετικά επισφαλές δίκτυο, όπως το Διαδίκτυο, η ασφάλεια είναι η κορυφαία ανησυχία μεταξύ των οργανώσεων και των διοικητών δικτύων. Τα κατάλληλα μέτρα πρέπει να ληφθούν για να εξασφαλίσουν ότι τα στοιχεία δεν μπορούν να παρεμποδιστούν, να κρυφακουστούν, ή να βλαφθούν ενώ κατά τη μεταφορά. Οι ισχυροί μηχανισμοί κρυπτογράφησης πρέπει να χρησιμοποιηθούν για να κρυπτογραφήσουν τα στοιχεία. Μια άλλη σημαντική ανησυχία της επιλογής μιας vpn-βασισμένης λύσης για το δίκτυο επιχειρήσεων σας είναι ότι η επιλεγμένη λύση πρέπει να είναι συμβατή με τις υπάρχουσες λύσεις υποδομής δικτύου και ασφάλειας, όπως οι αντιπυρικές ζώνες, τα πληρεξούσια, το λογισμικό αντιιών, και άλλα τέτοια συστήματα ανίχνευσης παρείσφρυσης. Ένα άλλο σημείο που λαμβάνεται υπόψη είναι ότι η ολόκληρη λύση πρέπει να είναι εύχρηστη με τη χρησιμοποίηση μιας ενιαίας εφαρμογής. Λειτουργικότητα των συσκευών από πολλαπλούς προμηθευτές. Εάν υπάρχει η μικρότερη έλλειψη λειτουργικότητας μεταξύ των συσκευών που χρησιμοποιούνται για να εφαρμόσουν το VPN, είναι δύσκολο να εγγυηθεί το QoS. Επομένως, οι συσκευές πρέπει να εξεταστούν λεπτομερώς για τη λειτουργικότητα πρίν εφαρμόζουν τους στο VPN. Οι εμπειρογνώμονες συστήνουν ότι όσο το δυνατόν περισσότερο, οι συσκευές που χρησιμοποιούνται για την εφαρμογή ενός VPN πρέπει να είναι από έναν προμηθευτή. Αυτό εξασφαλίζει την πλήρη διαλειτουργικότητα συσκευών και την εγγυημένη υψηλή επίδοση. Κεντρική διαχείριση VPN. Πρέπει να είναι δυνατό να διαμορφωθούν, να ρυθμιστούν, και να ανιχνευθούν λάθη και προβλήματα στα VPN. Επίσης, είναι σημαντικό ότι το λογισμικό διαχείρισης πρέπει να παράγει όλα τα logs. Αυτά τα logs βοηθούν έναν διαχειριστή δικτύων να εντοπίσουν προβλήματα και να τα λύσουν προτού υπάρξουν δυσμενείς επιπτώσεις στην απόδοση δικτύων. Εύκολη εγκατάσταση. Η λύση VPN πρέπει να είναι εύκολο να εφαρμοστεί και να διαμορφώσει. Εάν εφαρμόζετε τις μεγάλης κλίμακας λύσεις, πρέπει να εξασφαλίσετε ότι το διοικητικό λογισμικό είναι ικανό της καταγραφής και παρακολούθηση του μεγάλου αριθμού σηράγγων που το σύστημα εφαρμόζει. Εύκολια χρησιμοποίησης. Το VPN λογισμικό, ειδικά το VPN client software, πρέπει να είναι απλό έτσι ώστε ακόμη και οι τελικοί χρήστες μπορούν να εγκαταστήσουν, εάν είναι απαραίτητο. Επιπλέον, οι διαδικασίες επικύρωσης και οι διεπαφές πρέπει να είναι εύκολο να καταλαβευτούν και να χρησιμοποιήσουν. Εξελιξιμότητα. Η ύπαρξη VPN πρέπει να είναι ικανή στις μελλοντικές απαιτήσεις και τις προσθήκες χωρίς ραφή και με την ελάχιστη αλλαγή στη υπάρχουσα υποδομή. Απόδοση. Η κρυπτογράφηση, που είναι μια πολύ σημαντική πτυχή των VPNs, είναι μια εντατική ΚΜΕ λειτουργία. Επομένως, είναι απαραίτητο στο να επιλεχτούν οι συσκευές που

10 είναι ραμμένες γι'αυτή την δουλειά, όπως η κρυπτογράφηση στοιχείων, γρήγορα και αποτελεσματικά. Εάν όχι, το χαμηλό επίπεδο της απόδοσης μπορεί να ρίξει τη γενική απόδοση του VPN. Διαχείριση εύρους ζώνης. Για να εξασφαλίσει τη υψηλή επίδοση, την υψηλή διαθεσιμότητα, και εγγυημένο QoS, είναι ουσιαστικό να κατορθωθεί το εύρος ζώνης αποτελεσματικά. Η διαχείριση εύρους ζώνης έχει πολλές πτυχές. Αυτοί περιλαμβάνουν τη διαχείριση του εύρους ζώνης από τους χρήστες, από τις ομάδες, και τις εφαρμογές, έτσι ώστε είναι δυνατό να δοθούν προτεραιότητα οι χρήστες, οι ομάδες, και οι εφαρμογές ανά πολιτική επιχείρησης. Επιλογή ISP. Ο ISP που επιλέγετε για το VPN σας πρέπει να είναι αξιόπιστος και πρέπει να είναι ικανός να υποστήριξη τους VPN χρήστες και τους διαχειριστές δικτύων οποτεδήποτε. Αυτό είναι ακόμα κρισιμότερο εάν ISP σας διαχειρίζεται τις υπηρεσίες. Θα θελήσετε επίσης να εξασφαλίσετε το ενδεχόμενο ISP σας προσφέρει το είδος υπηρεσιών που ψάχνετε και, το πιο σημαντικό, μπορείτε να παρέχετε τις υπηρεσίες ασήμαντες στη γεωγραφική θέση.?? Προστασία του δικτύου από τα άσχετα δεδομένα. Επειδή ειναι άμεσα συνδεδεμένο με το Διαδίκτυο,το VPN μπορεί να φραξεί από τα ασχετα δεδομένα που αποτρέπουν το δίκτυο από να αποδώσει μεγιστα. Σε ακραίες περιπτώσεις, αυτά τα data μπορoύν να κρασσάρουν ολόκληρο το intranet που οδηγεί στη διάσπαση της συνδετικότητας και των υπηρεσιών. Κατά συνέπεια, οι σήραγγες VPN πρέπει να παρέχουν έναν μηχανισμό για τον φιλτράρισμα της μη-vpn κυκλοφορίας. Αυτοί οι μηχανισμοί να περιλαμβάνουν περιορισμούς στις υπηρεσίες εύρους ζώνης ή μια πολιτική της μη ανάθεσης των διευθύνσεων IP στους κόμβους που βρίσκονται μέσα στο δίκτυο, εμποδίζοντας κατά συνέπεια την αναρμόδια πρόσβαση σε αυτούς τους κόμβους από το internet. Το επόμενο τμήμα ρίχνει το φως στους διάφορους τύπους VPN-based λύσεων οπου συνηθέστερα εφαρμόζονται.

11 Είδη VPN Ο στόχος της τεχνολογίας VPN είναι να αντιμετωπίσει τρεις βασικές προϋποθέσεις. Αυτά περιλαμβάνουν τα εξής: 1.Πρόσβαση εξ αποστάσεως, τα κινητά, και τηλεργασίας εργαζόμενοι ενός οργανισμού με το εταιρικό δίκτυο πόρων οποιαδήποτε στιγμή. 2.Η διασύνδεση μεταξύ απομακρυσμένων υποκαταστημάτων. 3.Ελεγχόμενη πρόσβαση σε πόρους δικτύου είναι αναγκαίες για τους πελάτες, προμηθευτές και άλλους εξωτερικούς φορείς που είναι σημαντικά για επιχειρήσεις. Με βάση τους στόχους που αναφέρονται ανωτέρω, η σημερινή VPNs έχουν εξελιχθεί στις ακόλουθες τρεις κατηγορίες: Remote Access VPNs Intranet VPNs Extranet VPNs Θα μάθετε γι 'αυτά τα τρία είδη VPNs λεπτομερώς στα ακόλουθα τμήματα. Remote Access VPNs Όπως υποδηλώνει το όνομα, απομακρυσμένης πρόσβασης VPN παρέχει οποτεδήποτε πρόσβαση εξ αποστάσεως, τα κινητά, και τηλεργασίας εργαζόμενοι ενός οργανισμού με το εταιρικό δίκτυο πόρων. Συνήθως, αυτά τα αιτήματα απομακρυσμένης πρόσβασης έχουν εκδοθεί από τους χρήστες που βρίσκονται συνεχώς εν κινήσει ή από μικρά και απομακρυσμένα υποκαταστήματα ότι η έλλειψη μιας μόνιμης σύνδεσης με το εταιρικό intranet. Όπως φαίνεται στο Σχήμα 1-2, η εξ αποστάσεως πρόσβαση σε λειτουργία εγκατάστασης πριν από την συγκεντρωση των VPNs περιλαμβάνονται τα ακόλουθα βασικά στοιχεία: A Remote Access Server (RAS), που βρίσκεται στην κεντρική τοποθεσία και πιστοποιεί και επιτρέπει αιτήματα απομακρυσμένης πρόσβασης. Dial-up σύνδεση με την κεντρική σελίδα, η οποία μπορεί να συνεπάγεται υψηλά τέλη στην περίπτωση αιτήματων μεγάλων αποστάσεων. Η Υποστήριξη του προσωπικού είναι υπεύθυνη για την ρύθμιση, συντήρηση, διαχείριση του RAS και των απομακρυσμένων χρηστών.

12 Εικόνα 1-2: Το μη απομακρυσμένης πρόσβασης VPN setup. Με την εφαρμογή απομακρυσμένης πρόσβασης VPNs, στους απομακρυσμένους χρήστες και υποκαταστήματα το μόνο που χρειάζεται ειναι dial-up συνδέσεις με τον ISP ή την ISP POP και σύνδεση με το εταιρικό δίκτυο μέσω του Internet. Το αντίστοιχο setup της απομακρυσμένης πρόσβασης VPN απεικονίζεται στο Σχήμα 1-3. Εικόνα 1-3: Το Remote Access VPN setup. Όπως μπορεί να συναχθεί από το Σχήμα 1-3, τα σημαντικότερα πλεονεκτήματα της απομακρυσμένης πρόσβασης VPNs από την παραδοσιακή προσέγγιση απομακρυσμένης πρόσβασης έχουν ως εξής: Η ανάγκη για RAS και από τις σχετικές μόντεμ υπηρεσίες εχει εντελώς εξαλειφθεί. Η ανάγκη για προσωπικό υποστήριξης εξαλείφεται λόγω της απομακρυσμένης συνδεσης που διευκολύνεται από τον ISP. Δεν υπάρχει η ανάγκη για υπεραστικές συνδέσεις dial-up. Οι υπεραστικές συνδέσεις

13 αντικαθίστανται από τοπικό dial-up συνδέσεις. Η παροχή φθηνής dial-up υπηρεσία για τους χρήστες σε μεγάλες αποστάσεις. Διότι η dial-up πρόσβαση είναι τοπική, το μόντεμ εκτελεί δεδομένων σε υψηλότερα ποσοστά σε σχέση με την πρόσβαση σε μεγάλες αποστάσεις. Τα VPN παρέχουν καλύτερη δυνατότητα πρόσβασης στο εταιρικό site διότι στήριζουν ενα ελάχιστο επιπέδο πρόσβασης υπηρεσιών, παρά τη μεγάλη αύξηση του αριθμού των ταυτόχρονων χρήστων που έχουν πρόσβαση στο δίκτυο. Καθώς ο αριθμός των χρηστών που συνδέονται σε ένα VPN setup αυξάνεται, αν και υπηρεσιών μπορεί να μειωθεί, η δυνατότητα πρόσβασης δεν είναι πλήρως διαταραχθεί. Παρά τον αριθμό των πλεονεκτημάτων που προσφέρουν οι Remote Access VPNs, μερικά εγγενή μειονεκτήματα που συνδέονται με αυτά. Αυτά περιλαμβάνουν τα εξής: Το Remote Access VPNs δεν προσφέρουν εγγυημένο QoS. Η πιθανότητα απώλειας δεδομένων είναι πολύ υψηλή. Επιπλέον, τα πακέτα μπορούν να παραδοθούν κατακερματισμένα και εκτός σειράς. Επειδή η επεξεργασία των αλγορίθμων κρυπτογράφησης, τα headers των πρωτόκολλων είναι γενικά αυξημένα. Αυτό οδηγεί σε καθυστέρηση στη διαδικασία ελέγχου. Επιπλέον, και IP- PPP δεδομένων με συμπίεση είναι εξαιρετικά αργή. Λόγω της παρουσίας του Internet, κατά τη διαβίβαση των high-end multimedia δεδομένων το σύνολο της απομακρυσμένης πρόσβασης VPN, σήραγγες, η καθυστέρηση στην μετάδοση μπορεί να είναι πολύ υψηλή και η απόδοση μπορεί να είναι εξαιρετικά χαμηλή. Στην επόμενη ενότητα, θα μάθετε για τη δεύτερη κατηγορία-vpns Intranet VPNs. Intranet VPN Intranet VPNs χρησιμοποιούνται για την διασύνδεση απομακρυσμένων υποκαταστημάτων ενός οργανισμού στο εταιρικό intranet. Σε ένα intranet setup, χωρίς τη χρήση της τεχνολογίας VPN κάθε απομακρυσμένη τοποθεσία πρέπει να συνδέεται με το εταιρικό intranet (ραχοκοκαλιά router), χρησιμοποιώντας campus routers. Το σύστημα αυτό φαίνεται στο Σχήμα 1-4.

14 Σχήμα 1-4: Η εγκατάσταση intranet χρησιμοποιώντας WAN κορμό. Η εγκατάσταση φαίνεται στο Σχήμα 1-4 είναι πολύ ακριβό, διότι τουλάχιστον δύο δρομολογητές έχουν την υποχρέωση να συνδεθούν σε έναν απομακρυσμένο campus στο Intranet της εταιρίας. Επιπλέον, η υλοποίηση, συντήρηση και διαχείριση του backbone intranet μπορεί να είναι μια εξαιρετικά δαπανηρή υπόθεση, ανάλογα με τον όγκο της κυκλοφορίας στο δίκτυο που διέρχεται από αυτό και τη γεωγραφική έκταση του συνόλου του intranet. Για παράδειγμα, το κόστος μιας παγκόσμιας intranet μπορεί να είναι έως και αρκετές χιλιάδες δολάρια ανά μήνα! Όσο μεγαλύτερη είναι η απόσταση από το intranet, το πιο ακριβό μπορεί να είναι. Με την εφαρμογή των λύσεων VPN, το ακριβό WAN backbone αντικαθίσταται από χαμηλού κόστους με τη σύνδεση στο Διαδίκτυο, η οποία μπορεί να μειώσει το συνολικό κόστος της υλοποίησης ολόκληρου του intranet. Ένα τυπικό VPN-based λύση απεικονίζεται στο Σχήμα 1-5. Σχήμα 1-5: Η εγκατάσταση intranet με βάση VPN. Τα μεγάλα πλεονεκτήματα που προσφέρει το VPN με βάση αυτο το setup φαίνεται στο Σχήμα 1-5 περιλαμβάνουν τα ακόλουθα: Είναι αποδοτικό λόγω της εξάλειψης των router που χρησιμοποιούνται για να σχηματίσουν τo WAN backbone. Αυτό μειώνει σημαντικά τον αριθμό του προσωπικού που απαιτείται υποστήριξη σε όλη την υδρόγειο, που σταθμεύουν σε διάφορες απομακρυσμένες τοποθεσίες. Επειδή το Διαδίκτυο ως μέσο σύνδεσης, είναι πιο εύκολο να δεχθεί peer-to-peer συνδέσεις. Αποτελεσματικό ως προς το κόστος της εφεδρικής μονάδας μπορεί να επιτευχθεί χρησιμοποιώντας τις VPN σήραγγες σε συνεργασία με την fast switching τεχνολογία,

15 όπως το FR(frame relay). Λόγω του τοπικού χαρακτήρα των dial-up σύνδεση με τον ISP, η πρόσβαση είναι ταχύτερη και καλύτερη. Επίσης, η εξάλειψη των μεγάλων αποστάσεων των υπηρεσιών ενός οργανισμού βοηθά στην περαιτέρω μείωση του κόστους λειτουργίας του intranet. Τα μειονεκτήματα που συνδέονται με intranet VPN λύσεις παρατίθενται δίπλα: Επειδή τα στοιχεία διοχετέυονται μέσω ενός κοινού δημόσιου δικτύου-το Διαδίκτυο-, επιθέσεις όπως DOS attacks, μπορούν να εξακολουθούν να δημιουργούν σοβαρές απειλές για την ασφάλεια του δικτύου. Η πιθανότητα απώλειας πακέτου δεδομένων κατά τη μεταφορά είναι ακόμη πολύ υψηλό. Στην περίπτωση της μεταφοράς της high-end δεδομένων, όπως τα πολυμέσα, καθυστέρηση στην μετάδοση μπορεί να είναι πολύ υψηλή και η απόδοση μπορεί να είναι εξαιρετικά χαμηλή, λόγω της παρουσίας του Internet. Εξαιτίας της σύνδεσης στο Internet, οι επιδόσεις μπορεί να είναι σποραδικές και QoS δεν είναι εγγυημένο. Στην επόμενη ενότητα, θα μάθετε για το τρίτο και το τελικό τύπο VPNs-Extranet VPNs. Extranet VPNs Σε αντίθεση με το intranet και της απομακρυσμένης πρόσβασης λύσεις που βασίζονται σε VPN, το Extranet VPNs δεν είναι πλήρως διαχωρισμένα από τον "έξω κόσμο". Στην πραγματικότητα, Extranet VPNs επιτρέπουν ελεγχόμενη πρόσβαση σε πόρους δικτύου που είναι αναγκαίες για την εξωτερικές επιχειρηματικές οντότητες, όπως εταίρους, τους πελάτες και προμηθευτές, οι οποίοι διαδραματίζουν σημαντικό ρόλο στην οργάνωση της επιχείρησης. Η παραδοσιακή προσέγγιση της extranet σύνδεσης φαίνεται στο Σχήμα 1-6. Εικόνα 1-6: Το παραδοσιακό extranet setup.

16 Όπως φαίνεται στο Σχήμα 1-6, η παραδοσιακή εγκατάσταση είναι πολύ ακριβή, επειδή κάθε χωριστό δίκτυο στο intranet πρέπει να προσαρμόζεται ανάλογα με το εξωτερικό δίκτυο. Αυτό συνήθως οδηγεί σε πολύπλοκη εφαρμογή και στην διαχείριση των διαφόρων δικτύων. Επίσης, η ανάγκη για εξειδικευμένο προσωπικό για τη διατήρηση και τη διαχείριση αυτού του εξαιρετικά πολύπλοκου εγκατάστασης είναι πολύ υψηλό. Επιπλέον, αυτό το είδος της εγκατάστασης δεν μπορεί να επεκταθεί εύκολα, επειδή κάτι τέτοιο θα ανέτρεπε το σύνολο του εσωτερικού και θα μπορούσε να επηρεάσει τα άλλα συνδεδεμένα εξωτερικά δίκτυα. Ως αποτέλεσμα του συνόλου των προβλημάτων που μπορεί να συναντήσετε κατά τη σύνδεση ενός intranet σε εξωτερικά δίκτυα, την εφαρμογή των Extranets μπορεί να είναι εφιάλτης ένος σχεδιαστή δίκτυων και του διαχειριστή του. Η υλοποίηση των VPNs έχει κάνει με την δημιουργίας ενός extranet σημαντικά εύκολο και αποδοτικό από πλευράς κόστους. Το Extranet VPN setup φαίνεται στο Σχήμα 1-7. Σχήμα 1-7: Η Extranet VPN setup. Τα πλεονεκτήματα του VPN Extranet περιλαμβάνει τα ακόλουθα: Κλασματικό κόστος σε σύγκριση με τις παραδοσιακά setup. Εύκολη εφαρμογή, συντήρηση, ευκολία και την τροποποίηση της ισχύουσας ρύθμισης. Λόγω της παρουσίας του Internet, θα έχουν μεγαλύτερη επιλογή οι πωλητές κατά την επιλογή και την προσαρμογή λύσεις ανάλογα με τις ανάγκες ενός οργανισμού. Επειδή το Internet τμήμα συντηρείται από τον ISP, η ανάγκη για ενίσχυση του προσωπικού έχει μειωθεί σημαντικά, με αποτέλεσμα να μειωθεί το κόστος της λειτουργίας του συνόλου της εγκατάστασης. Λίγα είναι τα μειονεκτήματα που συνδέονται με την Extranet VPN λύση. Αυτά περιλαμβάνουν τα εξής: Απειλές για την ασφάλεια, όπως η DOS attacks εξακολουθούν να υπάρχουν.

17 Αυξημένος κίνδυνος της διείσδυσης της οργάνωσης του intranet. Λόγω των υποκείμενων παρουσία του Internet, στην περίπτωση της υψηλής στάθμης των δεδομένων, όπως τα πολυμέσα, καθυστέρηση στην μετάδοση μπορεί να είναι πολύ υψηλό και η απόδοση μπορεί να είναι εξαιρετικά χαμηλές. Εξαιτίας της υφιστάμενης σύνδεσης στο Internet, οι επιδόσεις μπορεί να είναι σποραδική και QoS δεν είναι εγγυημένo. Παρά τα μειονεκτήματα που δημιουργούνται VPN λύσεις με βάση, ο αριθμός των πλεονεκτημάτων που προσφέρουν οι VPNs υπερβαίνουν κατά πολύ τα μειονεκτήματα. Σε αυτό το κεφάλαιο σας παρουσιάσαμε τις ποιο αγαπημένες VPN τεχνολογίες. Παρόλο τις βασικές τεχνολογίες, μάθαμε τα θετικά και αρνητικά των VPN και επιπροσθέτως τα που και γιατί των VPN, μάθαμε για τους διάφορους τυπους των VPN, τις συνήθεις τυπους τους, και τους ρόλους που εχουν στην ανάπτυξη του υπάρχουν δικτύου προς την ασφάλεια και το κόστος τους.

18 Κεφάλαιο 2: Απαιτήσεις VPN, Δομικά Τμήματα, και Αρχιτεκτονική Έχετε μάθει στο προηγούμενο κεφάλαιο ότι ένα VPN είναι μια ασφαλής και σχετικά απλή μέθοδος για τη δημιουργία σύνδεσης intranet μεταξύ των δημόσιων δικτύων. Η VPN τεχνολογία δεν μειώνει μόνο το κόστος της εγκατάστασης είναι ένα εξαιρετικά ασφαλές περιβάλλον δικτύου, αλλά και μειώνει το κόστος διαχείρισης και προσωπικού. Επιπλέον, προσφέρει υψηλή διαθεσιμότητα, επεκτασιμότητα, και αποτελεσματική χρήση του εύρους ζώνης του δικτύου. Τι χρειάζεται για την δημιουργία μιας VPN-based λύσης; Ποια είναι τα στοιχεία και τις απαιτήσεις ενός VPN; Ποια είναι τα δομικά στοιχεία ενος VPN; Ποιες είναι οι πιθανές αρχιτεκτονικές ενος VPN; Αυτά είναι τα ερωτήματα που εξετάζει αυτό το κεφάλαιο. VPN Απαιτήσεις Το VPN είναι μια τροποποιημένη έκδοση ενός ιδιωτικού δικτύου που σας επιτρέπει να επηρεάσει τα παραδοσιακά LAN ή intranet εγκατάστασης μαζί με το Internet και άλλα δημόσια δίκτυα να επικοινωνούν οικονομικά και με ασφάλεια. Ως αποτέλεσμα, οι περισσότερες απαιτήσεις VPN και τις απαιτήσεις ενός παραδοσιακού ιδιωτικού δικτύου είναι ουσιαστικά η ίδια. Ωστόσο, οι ακόλουθες απαιτήσεις ξεχωρίζουν σαφώς στην περίπτωση των VPNs: Ασφάλεια Διαθεσιμότητα Quality of Service (QoS) Αξιοπιστία Συμβατότητα Διαχειρισιμότητα Ασφάλεια Τα ιδιωτικά δίκτυα και τα intranet προσφέρουν ένα περιβάλλον υψηλής ασφάλειας, διότι το δίκτυο των πόρων δεν είναι προσβάσιμα στο ευρύ κοινό. Ως εκ τούτου, η πιθανότητα για παράνομη πρόσβαση στους πόρους του intranet είναι εξαιρετικά χαμηλή. Ωστόσο, αυτή η υπόθεση μπορεί να μην ισχύει για VPNs που χρησιμοποιούν το Διαδίκτυο και άλλα δημόσια δίκτυα, όπως τα δημόσια τηλεφωνικά δίκτυα μεταγωγής (PSTN), για την επικοινωνία. Το VPN setup θα προσφέρει στους hackers & crackers μια πιθανή ευκαιρία να αποκτήσουν πρόσβαση σε ένα ιδιωτικό δίκτυο και τα δεδομένα που προκύπτουν σε αυτό μέσω των δημοσίων δικτύων. Ως αποτέλεσμα, η ασφάλεια δεν μπορεί να θεωρείται δεδομένη. Υψηλά μέτρα ασφάλειας πρέπει να εφαρμοστούν με αυστηρότητα.

19 Τα δεδομένα και τα μέσα που βρίσκονται εντός του δικτύου μπορεί να εξασφαλιστούν με τον εξής τρόπο: Η υλοποίηση των περιφερειακών αμυντικών μηχανισμών που επιτρέπουν την κίνηση επιτρέπεται μόνο από αξιόπιστες πηγές στο δίκτυο και να μπλοκάρει όλα τα άλλες πηγές. Firewalls και Network Address Translation (NAT) αποτελούν παραδείγματα των αμυντικών μηχανισμών που εφαρμόζονται στο σημείο όπου ένα ιδιωτικό δίκτυο ή intranet είναι συνδεδεμένο με το δημόσιο δίκτυο. Τα Firewalls δεν εξετάζει μόνο την εισερχόμενη κίνηση, αλλά και την εξερχόμενη κυκλοφορία, εξασφαλίζοντας έτσι ένα υψηλό επίπεδο ασφάλειας. Το NAT, από την άλλη πλευρά, δεν αποκαλύπτουν τις πραγματικές διευθύνσεις IP των πόρων που βρίσκονται στο εσωτερικό του δικτύου. Ως αποτέλεσμα, οι hackers και άλλοι εισβολείς δεν μπορούν να έχουν στόχο μια συγκεκριμένη πηγή που βρίσκεται εντός του intranet και, κατά συνέπεια, τα δεδομένα που είναι αποθηκευμένα εκεί. Με την εφαρμογή της αυθεντικότητας των χρηστών και των πακέτων για να προσδιορίσει την ταυτότητα του χρήστη και να καθορίσει εάν τα πρόσωπα αυτά θα πρέπει να επιτρέπεται η πρόσβαση στους προσβάσιμους VPN πόρους του δικτύου. Η Authentication Authorization Accounting (AAA) είναι ένα παράδειγμα από ένα τέτοιο ολοκληρωμένο σύστημα χρήστη. Πρώτον, πιστοποιεί τον χρήστη την πρόσβαση στο δίκτυο. Αφού ο χρήστης είναι πιστοποιηθεί με επιτυχία, τότε ο χρήστης μπορεί να την πρόσβαση μόνο στους πόρους που του έχουν εξουσιοδοτηθεί να χρησιμοποιεί. Επιπλέον, ένα λεπτομερές αρχείο καταγραφής των δραστηριοτήτων όλων των χρηστών του δικτύου διατηρείται επίσης, γεγονός που επιτρέπει στους διαχειριστές δικτύου για την παρακολούθηση των δραστηριοτήτων χωρίς άδεια. Η εφαρμογή του μηχανισμού κρυπτογράφησης δεδομένων που να διασφαλίζουν την αυθεντικότητα, την ακεραιότητα και την εμπιστευτικότητα των δεδομένων, ενώ τα δεδομένα που μεταδίδονται σε μια untrusted Internetwork. Το Internet Protocol Security (IPSec) έχει αναδειχθεί ως ένα από τα πλέον ισχυρούς μηχανισμούς κρυπτογράφησης. Το μόνο που δεν κρυπτογραφεί τα δεδομένα που διαβιβάζονται, αλλά και επιτρέπει την ταυτοποίηση του κάθε χρήστη και κάθε πακέτο ξεχωριστά. Σημείωση Ανατρέξτε στο Κεφάλαιο 11, "VPN Ασφαλείας Τεχνολογίες», για λεπτομερείς πληροφορίες για τα firewalls και η AAA μοντέλο. Διάφορα συστήματα κρυπτογράφησης δεδομένων συμπεριλαμβανομένων Diffie-Hellman RSA και αλγόριθμοι που καλύπτεται από το κεφάλαιο 3, «Ασφάλεια Συνιστώσες ενός VPN." Μπορείτε να μάθετε για IPSec αναλυτικά στο Κεφάλαιο 6, "Εισαγωγή στη IPSec." Οι μέθοδοι ασφαλείας VPN θα πρέπει να επιλεχθούν με προσοχή. Δεν θα πρέπει μόνο να είναι εύκολη στην εφαρμογή και διαχείριση, αλλά θα πρέπει να αντέχουν κάθε δυνατότητα παραβιάσεις από εσωτερικούς χρήστες επίσης. Επιπλέον, ο χρήστης θα πρέπει να είναι εύκολή και γρήγορή η διαδικασία login, ώστε οι χρήστες να μην αντιμετωπίζουν προβλήματα, στην VPN πρόσβαση. διαθεσιμότητα και αξιοπιστία Διαθεσιμότητα αναφέρεται στη συνολική uptime του δικτύου. Σε ιδιωτικά δίκτυα και intranets, το uptime είναι σχετικά υψηλό, επειδή το σύνολο της υποδομής είναι ιδιόκτητα και η εταιρία εχει τον πλήρη έλεγχο της. Ωστόσο,τα VPNs που χρησιμοποιούν ενδιάμεσο internetworks με τη μορφή του Διαδικτύου και των PSTNs. Ως εκ τούτου, το VPN ρυθμίσεις εξαρτώνται σε μεγάλο βαθμό από τον

20 ενδιάμεσο Internetwork. Σε αυτό το σενάριο, η διαθεσιμότητα εξαρτάται σε μεγάλο βαθμό από τον ISP που χρησιμοποιείτε. Γενικά, οι ISP διασφαλίζουν την διαθεσιμότητα με τη μορφή ενός Service Level Agreement (SLA). Ένα SLA είναι μια γραπτή συμφωνία μεταξύ των ISP και τον χρήστη (ένας οργανισμός ή εταιρεία) που θα εγγυάται το δίκτυο θα ειναι uptime. Αν και ακριβό, μερικές uptime δίκτυο ISP που προσφέρουν μέχρι και 99 τοις εκατό. Εάν η εταιρία σας ψάχνει για πολύ υψηλή διαθεσιμότητα, ψάξτε για ένα ISP που προσφέρει μια άκρως ανθεκτική υποδομή μεταγωγής κορμού (resilient backbone switching infrastructure). Αυτό περιλαμβάνει: Οι ισχυρές δυνατότητες δρομολόγησης, η οποία επιτρέπει την επαναδρομολόγηση της κυκλοφορίας μέσα από μια εναλλακτική διαδρομή στην περιπτωση οταν μια κύρια διαδρομή είναι κορεσμένη. Για να εξασφαλιστεί η μέγιστη δυνατή αποτελεσματικότητα, αυτή η δυνατότητα δρομολόγησης πρέπει επίσης να υποστηρίζεται τις επιλογές να μπορεί να ορίσει τις προτιμήσεις δρομολόγησης όπως και όταν αυτό απαιτείται. Redundancy πρόσβασης γραμμές, οι οποίες μπορούν να χρησιμοποιηθούν για να αυξηθεί η ζήτηση για το εύρος ζώνης δικτύου. Πλήρως πλεονάζων με πλήρη υποδομή με αυτόματο failover.?? Αυτή η υποδομή δεν θα πρέπει να περιλαμβάνει μόνο hot-swappable devices(servers, καθώς και την πρόσβαση και συσκευές αποθήκευσης), αλλά και τροφοδοτικά ισχύος και ψύξης. Η αξιοπιστία είναι μια άλλη σημαντική απαίτηση των VPNs και είναι σφιχτά συνδεμενα με τον παράγοντα διαθεσιμότητα. Η αξιοπιστία των συναλλαγών σε VPNs διασφαλίζει την end-to-end παράδοσης των δεδομένων σε όλες τις καταστάσεις. Όπως και οι περισσότερες άλλες ρυθμίσεις δικτύων, την αξιοπιστία σε ένα περιβάλλον που βασίζεται στο VPN μπορεί να επιτευχθεί με μεταγωγή πακέτων σε ένα διαφορετικό δρόμο, αν η σύνδεση ή συσκευή κατά την διαδρομή θα πρέπει να αποτύχουν. Όλη αυτή η διαδικασία είναι διαφανής για τον τελικό χρήστη και μπορεί να επιτευχθεί με την εφαρμογή της redundancy σε συνδέσμους, καθώς και το υλικό. Quality of Service Quality of Service (QoS) είναι η δυνατότητα ενός δικτύου για την αντιμετώπιση κρίσιμων καταστάσεων με την ανάθεση σε ένα υψηλότερο ποσοστό του εύρους ζώνης δικτύου και τους πόρους για την καθοριστικής σημασίας για την αποστολή και καθυστέρηση ευαίσθητες εφαρμογές. Εφαρμογές, όπως οι χρηματοπιστωτικές συναλλαγές και για την επεξεργασία, είναι πιο σημαντικό από την άποψη των επιχειρήσεων από το χρήστη που περιλαμβάνουν δραστηριότητες οπως Web surfing. Επίσης, εφαρμογές όπως η καθυστέρηση τηλεδιάσκεψης είναι εξαιρετικά ευαίσθητα και απαιτούν αρκετό εύρος ζώνης για να αποφευχθεί η κακή ποιότητα της μεταφοράς και jitter. Είναι ευθύνη του QoS να διαθέσει επαρκές εύρος ζώνης για αυτές τις αιτήσεις χωρίς καθυστέρηση. QoS αποτελείται από δύο κρίσιμες διαστάσεις-latency και διακίνησης. Καθυστέρηση είναι η καθυστέρηση σε μια συνεχή επικοινωνία και είναι εξαιρετικά σημαντική για εφαρμογές ήχου και βίντεο. Throughput αναφέρεται στην ύπαρξη κατάλληλων εύρος ζώνης σε όλες τις αιτήσεις, ιδίως τα σημαντικά και ευρυζωνικές εφαρμογές. Όπως και η διαθεσιμότητα, QoS εξαρτάται επίσης από ένα SLA. Με τη βοήθεια ενός SLA, ένα ISP υπόσχεται ένα συγκεκριμένο επίπεδο απόδοσης για την καθυστέρηση και ο συνδρομητής. Αν σε