VPN - רשת פרטית וירטואלית

Post date: Mar 3, 2013 7:53:59 AM

Virtual Private Network (רשת פרטית מדומה) היא שיטה להעברת מידע פרטי על גבי תשתית שעיקרה או כולה בבעלות ציבורית או בבעלות פרטית עם גישה לכלל הציבור. מטרתו של ה-VPN היא להעביר מידע מהרשת הארגונית לאדם כלשהו, שנמצא במקום שבו לא קיימת תשתית תקשורת פרטית של הארגון, אבל קיימת תשתית ציבורית (בדרך כלל רשת האינטרנט).

ארגונים בעלי סניפים בכל רחבי העולם מעדיפים שלא להקים רשת פרטית בין כל הסניפים. הסיבה לכך היא המורכבות והעלות הגבוהה הכרוכה בהשכרה, סלילה או רכישה של קווי תקשורת בינלאומיים. לפיכך, ארגונים כאלו מרבים להשתמש ב-VPN על-גבי תשתיות ציבוריות קיימות כדי להעביר מידע בין סניפי הארגון.

ישנם מקרים בהם נעשה שימוש בטכנולוגיה זו גם על ידי סוכני שטח, על מנת שיוכלו לעבוד גם כאשר הם אצל לקוח, כאשר ישנם שיקולי אבטחת מידע נוספים כמו מניעת ריגול תעשייתי ושמירה על סודות מסחריים.

VPN אשר מותאם באופן אישי יכול להועיל לחברה בצורה משמעותית בדרכים הבאות:

C קשר בין יחידות שונות של החברה במקומות גאוגרפים מרוחקים יותר.

C עלויות נמוכות יותר מאשר השימוש בטכנולוגיית WAN.

C מונע ניוד עובדים ממקום למקום, דבר אשר חוסך משאבים רבים.

C יעילות רבה יותר של החברה.

C מפשטת את הרשת ובכך עושה אותה ידידותית יותר למשתמש.

C מאפשרת עבודות בינלאומיות ברשת.

C מאפשרת קשר של וידאו בין המקומות השונים של החברה.

C החזר ההשקעה בטכנולוגיית ה-VPN. מהיר יותר מאשר טכנולוגיות אחרות.

יישום השיטה:

יישום שיטה מחייב שימוש בשיטות אנקפסולציה אשר מאפשרות אימות והצפנה, וזאת בנוסף לניתוב שקיים ברשת

Point-to-Point Protocol - פרוטוקול בשכבת ה- Data Link במודל OSI המאפשר יצירת תקשורת ישירה בין שני צמתים. פרוטוקול זה מאפשר חיבור מאומת כולל העברת נתונים מוצפנת ודחיסת נתונים. פרוטוקול זה נמצא בשכבת הקו (מודל TCP).

ישנם שתי שיטות עיקריות לאימות וזיהוי בפרוטוקול זה PAP ו-CHAP

  1. הגדרת ניתוב סטטי/דינמי בין הראוטרים

  2. הגדרת אנקפסולציה PPP (בשני הראוטרים)

  3. הגדרת שיטת הזדהות

3.1 PAP

שיטת PAP (password authentication protocol) כוללת הקמת מאגר נתונים של המשמשים המורשים (DATABASE) והעברתם רשת השכנה לצורך אימות הזיהוי.

הגדרות של PAP יוגדרו לאחר השלמת הגדרות של רשתות מקומיות וניתוב בין הרשתות

מהות הפקודה

מתן שם לראוטר

Router 1

Router(config)#hostname maabada

maabada(config)#interface serial 0/0/0

maabada(config-if)#encapsulation ppp

maabada(config-if)#ppp authentication pap

maabada(config-if)#ppp pap sent-username michael password 123

Router 0

Router(config)#hostname kita_gdola

kita_gdola(config)#int s 0/0/0

kita_gdola(config-if)#encapsulation ppp

kita_gdola(config-if)#ppp authentication pap

kita_gdola(config-if)#ppp pap sent-username maabada password computer

כניסה לממשק סריאלי

הגדרת אנקספולציה

הגדרת שיטת ההזדהו

הגדרת המשתמשים וסיסמאות המורשים

על אף היעילות תהליך הזיהוי באמצעות authentication pap, יש לזכור שכל הססמאות מעוברות כטקסט רגיל (ללא הצפנה). לכן שימוש בשיטה זו "בעיתית" עקב יכולת גבוהה ליירט את הנתוני ההזדהות

3.2 שיטת CHAP ( Challenge Handshake Authentication Protocol) מאפשרת שימוש בזיהוי והזדהות תוך כדי הצפנת נתונים המשתמשים