• Partner24 Sp. z o.o. | ul. Fordońska 87 | 85-719 Bydgoszcz
Strona główna / Technologie

VPN - Bezpieczne połączenie oddziałów firmy

Bezpieczna infrastruktura teleinformatyczna to jeden z ważniejszych aspektów każdej organizacji. Powinno być zapewnione na każdym poziomie struktury informatycznej w tym w sieciach komputerowych. Z drugiej strony coraz częstszym scenariuszem jest decentralizacja organizacji, firma jest podzielona na oddziały a cześć pracowników pracuje zdalnie i potrzebuje dostępu do danych gromadzonych na serwerach firmowych z poza sieci lokalnej. Rozwiązanie problemu bezpiecznej komunikacji użytkownika pracującego zdalnie lub spięcia oddziałów firmy w jedna sieć jest zastosowanie technologii VPN czyli wirtualnych sieci prywatnych. Sieci VPN niejako nakładane są na publiczną sieć internet, tworząc logiczne połączenia pomiędzy routerami organizacji, zwane tunelami VPN. Istotą technologii VPN jest fakt szyfrowania oraz autentykacji całej transmisji w tunelu VPN. Wykorzystywane jest szereg algorytmów kryptograficznych takich jak szyfrowania symetryczne, asymetryczne, funkcje skrótu, certyfikaty zapewniając bezpieczeństwo transmisji w tunelach VPN poprzez publiczna sieć Internet. Z punktu widzenia sposobu zestawienia połączenia  rozróżnia się dwa główne typy:

  • Tunel typu Site-to-Site - jest to połączenie VPN zestawione pomiędzy routerami, najczęściej wykorzystywane do spięcia oddziałów firmy. Połączenie zestawiane jest na stałe, a ruch pomiędzy oddziałami trasowany jest zgodnie z protokołami routingu. Tunele Site-to-Site wykorzystuje się także do spięcia firmy z dostawami chmur publicznych jak AWS, Azure, gdy zamierzamy zbudować środowisko hybrydowe lub przenieś cała infrastrukturę do chmury. Wymiana danych pomiędzy siecią firmową a chmurą jest szyfrowana.
  • Tunel typu Client-to-Site - jest to połączenie VPN zestawiane pomiędzy routerem a urządzeniem użytkownika. Połączenie zestawiane jest na życzenie użytkownika, który musi się przejść proces autoryzacji oraz autentykacji przed zestawieniem połączenia. Autentykacja użytkownika może odbyć się w oparciu o login i hasło w powiązaniu z usługami katalogowymi jak Active Directory lubi wykorzystaniem certyfikatów. Tunel typu Client-to-Site umozliwia bezpieczną pracę zdalną.

Tunele można zróżnicować w zależności od protokołu komunikacji:
 

  • IPSec - to najbardziej popularny zestaw protokołów komunikacji, działa on na zasadzie kapsułkowania, czyli do oryginalnego pakietu IP jest obudowywany dodatkowymi informacjami a sama zawartość jest szyfrowana. IPSec to zestaw protokołów opracowanych między innymi przez NSA, a sama dokumentacja RFC opisująca IPSec jest dość ogólna, co może powodować niezgodności w szczególności gdy chcemy nawiązać połączenie pomiędzy urządzeniami różnych producentów. W komunikacji wyróżnia się dwie podstawowe fazy. Faza autoryzacji i negocjacji parametrów transmisji takich jak zbiór algorytmów kryptograficznych wykorzystywanych przez dwie strony, odpowiada zbiór protokołów IKE. Druga faza odpowiada za wymianę danych.
  • WebVPN - zbiór technologii informatycznych wykorzystujących TLS/SSL do zapewnienia bezpieczeństwa transmisji danych pomiędzy urządzeniami. Technologia WebVPN cechuje się funkcjonalnością clientless czyli w przypadku połączeń Client-to-Site użytkownik nie musi posiadać specjalistycznej aplikacji. Szyfrowane połączenie można za pomocą przeglądarki i strony WWW. Ponadto protokoły WebVPN nie są tak wrażliwe na uwarunkowania sieci takie jak NAT w porównaniu z IPSec

Nasza firma wdraża usługi informatyczne bezpiecznego połączenia oddziałów firmy oraz pracy zdalnej, wykorzystujemy sprzęt czołowych markowych producentów jak CISCO.