VPN vine de la Virtual Private Network si reprezinta o modalitate prin care organizatia poate stabili o conexiune, de obicei securizata, cu diferite alte entitati atunci cand se foloseste o retea externa, nu se afla sub controlul organizatiei, cum ar fi de exemplu Internetul sau reteaua unui furnizor de servicii (Service Provider).
Sa ne imaginam o organizatie care are un sediu general (HQ) si mai multe puncte de lucru sau branch-uri raspandite pe o anumita suprafata geografica. Desi multe organizatii migreaza deja catre o infrastructura de retea in cloud, aceasta migrare nu se poate face peste noapte. Unele resurse, servicii si aplicatii inca sunt accesibile numai prin HQ. Asadar, apare nevoia de interconectare a acestor branch-uri cu HQ-ul. Modul traditional de a face aceste interconectari este prin circuite de MPLS puse la dispozitie de un SP. Desi sunt multe avantaje ale tehnologiei MPLS, anumiti factori precum costul unui circuit, latimea de banda relativ mica comparativ cu cerintele aplicatiilor actuale si dependinta de prezenta aceluiasi SP in fiecare locatie remote inclina balanta in favoarea tehnologiilor de VPN care folosesc Internetul ca infrastructura de transport. In acest caz, VPN-ul creaza “iluzia” ca doua locatii de-ale organizatiei despartite de o oarecare distanta geografica sunt direct conectate, desi intre ele se afla o intreaga alta infrastructura care devine total transparenta din perspectiva modului de comunicare.
Apare si conceptul de tunel VPN ca element logic de legatura intre cele doua retele private ale organizatiei. Tunelul reprezinta componenta logica prin care datele sunt transmise direct intre cele doua locatii, desi din punct de vedere fizic datele trec printr-un numar nedefinit de echipamente. Tunelul creeaza o retea virtuala care leaga cele doua locatii ale organizatiei, de unde si denumirea de VPN. Daca vrem sa ne apropiem de zona de SDN (software defined networking), avem doua componente importante:
- underlay-ul sau infrastructura fizica prin care circula pachetele de date, de exemplu Internetul
- overlay-ul sau reteaua VPN care asigura conectivitatea intre cele doua locatii
Tunelele VPN pot fi de doua tipuri:
- site-to-site: tunelul VPN leaga doua locatii; in fiecare locatie poate fi o retea oricat de mare
- remote access: tunelul VPN leaga un utilizator remote de o locatie, de obicei de HQ
Tunelele VPN site-to-site sunt folosite atunci cand dintr-un branch, unde pot fi mai multi utilizatori, trebuie sa se acceseze resurse care se afla la HQ. Tunelele se stabilesc de regula cu ajutorul routerelor sau al firewall-urilor si pot fi initiate din oricare directie. Tunelele site-to-site pot fi realizate sub mai multe topologii in functie de nevoile organizatiei: punct la punct, hub and spoke sau full mesh.
Tunelele VPN remote access sunt folosite atunci cand un singur utilizator doreste sa acceseze resursele centralizate la HQ. In acest caz este nevoie ca utilizatorul sa foloseasca fie un browser web, fie un client dedicat de VPN pentru a initia conexiunea VPN, iar la HQ sa se inchida tunelul pe un router sau pe un firewall.
Avand in vedere ca tunelele VPN folosesc cel mai adesea Internetul ca infrastructura de transport apare si problema securitatii. Internetul este o retea publica, la care orice are acces. Datele transmise prin Internet pot fi interceptate, pot fi citite si pot fi modificate. Organizatia trebuie sa se asigure ca aceste lucruri nu se intampla cu datele sale. De aceea, tunelul VPN trebuie sa ofere protectie. Standardul de securitate in industrie pentru tunelele VPN este reprezentat de framework-ul IPsec pentru tunelele site to site. IPsec este o colectie de protocoale si algoritmi prin care se poate asigura:
- confidentialitatea datelor prin criptarea lor inainte de a fi transmise peste reteaua nesigura
- integritatea datelor pentru a fi siguri ca mesajele transmise sunt nealterate
- autentificarea capetelor de tunel pentru a valida identitatea acestora
Tunelele VPN remote access ofera aceleasi masuri de protectie, insa de obicei se foloseste protocolul SSL/TLS pentru a crea un canal securizat de comunicare intre utilizator si HQ. Sunt si implementari de clienti de VPN care ofera conexiuni securizate prin IPsec.
Atat tunelul VPN site-to-site, cat si cel de tip remote access isi bazeaza functionalitatea pe ceea ce se numeste “domeniu de criptare”. Domeniul de criptare defineste retelele care trebuie sa fie protejate la fiecare capat al conexiunii VPN. Putem aveam urmatorul scenariu:
- la HQ avem un subnet de servere 10.101.102.0/24
- in branch avem un subnet de utilizatori 172.19.100.0/24
Daca dorim sa stabilim un tunel VPN prin care utilizatorii din branch sa poata accesa securizat serverele de la HQ, atunci domeniul de criptare din perspectiva branch-ului este:
- retea sursa: 172.19.100.0/24
- retea destinatie: 10.101.102.0/24
Iar din perspectiva HQ-ului domeniul de criptare este definit in oglinda:
- retea sursa: 10.101.102.0/24
- retea destinatie: 172.19.100.0/24
Cand un utilizator din branch cu adresa IP 172.19.100.123 va dori sa acceseze serverul din HQ cu adresa 10.101.102.103, pe echipamentul din branch pe care se configureaza tunelul VPN se va declansa logica de incapsulare a pachetului folosind tehnologia IPsec care va securiza acel pachet inainte de a-l trimite catre destinatie peste Internet. Astfel pachetul ajunge din branch in HQ. Raspunsul se intoarce de la server catre client, urmandu-se aceeasi pasi. Tunelul IPsec asigura o conexiune confidentiala si bidirectionala intre cele doua locatii.
Desi tunelele VPN poate incep sa fie folosite mai putin la interconectarea locatiilor unei organizatii, tehnologia VPN este un element fundamental pentru securitate si va ramane asa pentru mult timp. Forta de munca din ce in ce mai descentralizata are nevoie sa acceseze resursele organizatiei intr-un mod sigur pentru ambele parti, organizatiile au nevoie sa isi acceseze securizat aplicatiile migrate in cloud, organizatiile au nevoie de SDWAN pentru a putea migra de la infrastructura traditionala de WAN spre una moderna, scalabila si orientata spre cloud pentru a deservi mai bine utilizatorii. Iata doar cateva use case-uri pentru care vom folosi tunelele VPN o vreme buna de acum inainte.
Mihai Dumitrascu, Sr Systems Engineer
