Software company albania
Header

VPN(Virtual Private Network)

June 4th, 2013 | Posted by Teodora Papa in Application Security | General

Bota ka ndryshuar shumë në dekadat e fundit. Në vend që të perballen me shqetësimet lokale shumë biznese, tashmë duhet të mendojnë edhe për tregjet globale. Shumë kompani kanë objekte të shtrirë në të gjithë vendin, ose rreth botës dhe gjithe ketyre kompanive u nevojitet një mënyrë për të pasur nje komunikim të shpejtë, të sigurt dhe të besueshme kudo ku ndodhen zyrat e tyre.

p1

Me rritjen e popullaritetit te Internetit, bizneset e kthyen atë si një mjet për të zgjeruar rrjetet e tyre. Së pari u perhap Intraneti, i cili permban faqe te mbrojtura me fjalkalim qe jane te dizenjuar vetem per punonjesit e kompanise. Tani, shumë kompani janë duke krijuar VPN e tyre (Virtual Private Network) për të akomoduar nevojat e punonjësve ne zyrat e largëta. Pra VPN perdoret per te mundesuar zyrat apo perdoruesit remote te lidhen me rrjetin privat nepermjet nje rrjetit publik te till si interneti.
Ekzistojnë dy lloje të VPN:

  • Remote Access VPN

Remote-access, i quajtur gjithashtu VPDN(Virtual Private Dial-up Network), është nje lidhje user-to-LAN qe përdoret nga një kompani me punonjes të cilët kanë nevojë për tu lidhur në rrjet privat nga pozicione te ndryshme gjeografike.

  •  Site to Site VPN

Përmes përdorimit të pajisjeve të dedikuara dhe në shkallë të gjerë enkriptimi, një kompani mund të lidhë faqet te shumta fikse mbi një rrjet publik si Interneti. Site-to-Site VPN mund të jetë një nga dy lloje:

Intranet-base – Në qoftë se një kompani ka një ose më shumë zyra remote që ata dëshirojnë
të bashkohen në një rrjet të vetëm privat, ata mund të krijojë një VPN intranet për të lidhur LAN me LAN.
Extranet-base – Kur një kompani ka një marrëdhënie të ngushtë me një kompani tjetër (për shembull, një partner, furnizuesi apo klient), ata mund të ndërtojnë një VPN extranet që lidh LAN me LAN, dhe që lejon të gjitha kompanit e ndryshme për të punuar në një mjedis te perbashket.
p2

 

 

Analogji: Secili LAN është një Ishull
Paramendoni se ju jetoni në një ishull në një oqean të madh. Ka mijëra ishuj të tjerë rreth jush, disa shumë të afert dhe të tjerët më larg. Mënyra normale për të udhëtuar është për të marrë një traget nga ishulli juaj për cdo ishull që dëshironi të vizitoni. Sigurisht, që udhëtimi në një anije do të thotë që ju nuk keni pothuajse asnjë privatesi. Çdo gjë që ju bëni mund të shihet nga dikush tjetër.
Le të themi se secili ishull përfaqëson një LAN private dhe se oqeani është Interneti.Udhëtim me anije është si lidhja e një serveri në Web ose pajisje tjetër përmes Internetit.Ju nuk keni kontroll mbi telat dhe routerat që përbëjnë Internetin, sikurse ju nuk keni kontroll mbi pasagjeret e tjerë në traget. Kjo ju lë të ndjeshëm ndaj çështjeve të sigurisë në qoftë se perpiqeni te lidheni midis dy rrjeteve private duke përdorur një burim publik.
Duke vazhduar me analogjinë tonë, ishull juaj vendos për të ndërtuar një urë në një tjetër ishull në mënyrë që udhetimi i pasagjereve te jete me i thjesht, më i sigurt dhe i drejtpërdrejtë. Eshte e kushtushme te ndertosh dhe te mirembash nje ure edhe kur ishulli qe ke ndertuar uren eshte sh afer. Por nevoja për nje rrugë të besueshme dhe të sigurt është aq e madhe saqe nuk merret parasysh kostoja. Ishull juaj do të donte të lidhej me një ishull të dytë që është shumë më larg, por kostoja eshte shume here me e madhe dhe e paperballueshme.
Kjo është shumë i ngjashëm me të paturit e një linjë të dhënë me qira. Urat (linja me qira) janë të ndara nga oqeani (internet), por perseri janë në gjendje të lidhë ishujt (rrjetat LAN). Shumë kompani kanë zgjedhur këtë rrugë për shkak të nevojës për siguri dhe besueshmëri në lidhjen e tyre me zyrat remote. Sidoqoftë, nëse zyrat janë shumë larg njëri-tjetrit, kostoja mund të jetë shumë e lartë – sikurse do ishte dhe ndertimi i nje ure ne nje distance shume te madhe.
Por, si VPN e zgjidhe kete problem? Duke përdorur analogjinë tonë, ne mund të japë çdo banor te ishullit tonë një nëndetëse të vogël. Le të supozojmë se nëndetsja juaj ka disa veti të mahnitshme:
– Është i shpejtë.
– Është e lehtë ta merrni me vete kudo që të shkoni.
– Është në gjendje tju mbaj teresisht te fshehur nga ndonjë anije apo nëndetëse tjeter.
– Është i besueshëm.
– Shtimi i nendetesve te tjera kushton shume pak ne qofte se nendetsja e pare eshte blere.

Edhe pse udhëtojnë në oqean, banorët e dy ishujve tanë mund të udhëtojnë sa herë që ata donin të me privatesi dhe siguri. Ky është në thelb një VPN. Çdo anëtar i largët i rrjetit tuaj mund të komunikojë në mënyrë të sigurt dhe të besueshme duke përdorur Internetin si medium për të lidhur në LAN private. Një VPN mund te zmadhohet qe të akomodoj më shumë përdorues dhe pozicione të ndryshme shumë më të lehtë se një ure të dhënë me qira. Në fakt, fleksibiliteti është një avantazh i madh që ka VPN-ja ne krahasim me linjat tipike te huazuara. Ndryshe nga linjat e huazuara, ku kostoja rritet në proporcion me distancen, vendndodhjet gjeografike e çdo zyre nuk ka rendesi per krijimin e nje VPN-je.
Një VPN përdor disa metoda për të mbajtur lidhjen dhe të dhëna të sigurta:

  •  Firewalls
  •  Enkriptim
  •  IPSec
  •  Server AAA

VPN Sigurimit: Firewalls
Një firewall siguron një barrierë të fortë mes rrjetit tuaj private dhe internet. Ju mund të vendosni firewalls për të kufizuar numrin e porteve të hapura, llojin e paketave qe mund te kalojne dhe cilat protokolle jane te lejueshme. Ju duhet të keni një firewall të mirë përpara se të vini ne zbatim një VPN, por një firewall mund të përdoret gjithashtu për të përfunduar nje sesion te VPN-s.

VPN Sigurimit: Enkriptimi
Enkriptimi është proces i marrjes i të gjithe të dhënave nga nje kompjuter tek nje tjeter dhe kodimi I tyre ne ate formë që vetëm kompjuteri tjetër do të jetë në gjendje të deshifroj. Shumica e enkriptimeve te sistemeve kompjuterike i përkasin ketyre dy kategorive:
Celes simetrik enkriptimi
– Celes publik enkriptimi
Në celesin simetrik enkriptimi, secili kompjuter ka çelësin sekret (kodi) I cili sherben per te enkriptuar nje paket informacioni perpara se ajo te dergohet te kompjuterat e tjere.Celesi simetrik kërkon që ju te dini cilat komjuter do shkembejne informacion qe ju te keni mundesi te instaloni celesin per secilin prej tyre. Celesi simetrik I enkriptimit është në thelb i njëjtë me një kod të fshehtë që secili nga dy kompjutera duhet të dije në mënyrë që të deshifroj këtë informacion. Kodi ofron çelësin për deshifrimin e mesazhit. Shembull: Ju krijoni një mesazh të koduar për të dërguar një miku, në të cilin çdo shkronje e zëvendëson me shkronjën që është dy me poshtë në alphabet.Kështu “A” bëhet “C”, dhe “B” bëhet “D”. Ju keni tashmë ka thënë një mik të besuar se kodi është “Shift nga 2″. Pershendetje ckemi merr mesazhin dhe e dekodon atë. Çdokush tjetër që e sheh mesazhin do të shohi vetëm marrëzi.
Kompjuteri dërgues e kodon dokumentin me një çelës simetrik, pastaj kodon çelësin simetrik me çelësin publik të kompjuterit pranues. Kompjuteri marres e përdor çelësin e tij privat per te deshifruar çelësin simetrik. Ai pastaj përdor çelësin simetrik për të deshifruar këtë dokument.
Celesi publik i enkriptimit përdor një kombinimi te çelësit privat me çelësin publik.Çelësi privat është i njohur vetëm për kompjuterin tuaj, ndera çelësi publik është dhënë nga kompjuteri juaj në çdo kompjuter që dëshiron të komunikojë me të. Qe të deshifroj një mesazh të enkriptuar, kompjuteri duhet të përdorë çelësin publik, të dhënë nga kompjuteri dhe çelësit te vet privat. Një celes public i njohur enkriptimi quhet Pretty Good Privacy (PGP) e cila te lejon te enkriptosh pothuajse gjithcka.
VPN Sigurimit: IPSec
Internet Protocol Security Protocol (IPSec) ofron karakteristika të zgjeruara të sigurisë siç janë algoritmet e enkriptimit më të sofistikuara dhe legalizim më të plotë. IPSec ka dy mënyra Enkriptimi: tunel dhe transport. Tuneli enkripton header dhe payload-in (sasia e te dhenave qe perbane nje pakete) e çdo pakete ndërsa transporti kodon vetëm payload-in. Vetëm sistemet që janë në përputhje me IPSec mund të përfitojnë nga ky protokoll.

p3

Gjithashtu, të gjitha pajisjet duhet të përdorin një çelës të përbashkët dhe firewall-et e secilës rrjet duhet të kene siguri shumë të ngjashme. IPSec mund të enkriptoj të dhënat mes pajisjeve të ndryshme, të tilla si:
• Router me router
• Firewall me routerit
• PC me router
• PC me server
VPN Sigurimit: AAA Servers
AAA (authentication authorization and accounting) servers janë përdorur për aksesim më të sigurt në një mjedis remote access VPN. Kur kerkesa për të krijuar një seancë vjen nga një klient dial-up, kërkesa është shfaqur në server AAA.
AAA pastaj kontrollon si më poshtë:
– Kush jeni (authentication)
– Çfarë ju lejohet të bëni (authorization)
– Çfarë ju në fakt bëni (accounting).
Tunelizimi
Shumica VPN mbështetet në tunelizim për të krijuar një rrjet privat që arrin pertej internet. Në thelb, tunelizimi është procesi i vendosjes së një pako të tërë brenda një pakete dhe e dërgon atë në një rrjet. Protokolli i paketes se jashtme është kuptuar nga rrjeti, të quajtura ndërfaqet tunel, ku pakoja hyn dhe del nga rrjeti.
Tunelizimi kërkon tri protokolle të ndryshme:
– Carrier protocol – protokoll i përdorur nga rrjeti që tregon se informacioni po udhëton
– Encapsulating protocol – protokoll (GRE, IPSec, L2F, PPTP, L2TP) që është mbështjellë rreth të dhënave origjinale
– Passenger protocol -Mbahen te dhënat origjinale (IPX, NetBeui, IP)
Tunelizimi ka implikime mahnitëse për VPN. Për shembull ne mund të vendosim një pako që përdor një protokoll jo të mbështetur në internet (si NetBeui) brenda një pakete IP dhe ta dërgojnë atë në mënyrë të sigurtë në internet. Ose ne mund të vëme një pako që përdor një adresë private IP brenda një pakete që përdor një adresë globalisht unike IP për të zgjeruar një rrjet privat në Internet.
Tunelizimi: Site-to-Site
Në një site-to-site VPN, GRE (generic routing encapsulation) është zakonisht protokolli i enkapsulatimit që siguron framework-un për mënyrën se si të paketoi protocol passenger për transport mbi carrier protocol , e cila është IP-based. Kjo përfshin informacion mbi cfare lloj pakete jeni duke enkapsuluar dhe informacion rreth lidhjes ndërmjet klientit dhe serverit. Në vend të GRE, IPSec ne modelin e tunelit është përdorur dhe si protokoll enkapsulimi. IPSec funksionon mirë ne remote access edhe ne site-to-site VPN
Tunelizimi: Remote Access
Në një VPN remote access, tunelizimi zakonisht bëhet duke përdorur PPP (Point to Point Protocol). Një pjesë e TCP / IP: PPP është bartës për protokollet e tjera IP per të komunikuar në rrjetin mes kompjuterit host dhe një sistemi remote. Remote access VPN-tunneling mbështetet në PPP.

Le te mendojme per tunelizimin sikur eshte nje kompjuter qe dorëzohet tek ju nga UPS. Shitësi paketon kompjuterin (passenger protocol) në një kuti (encapsulating protocol), e cila është vënë pastaj në një kamion UPS (carrier protocol) në depon e shitësit (hyrja ne tunel). Kamioni (carrier protocol) udhëton mbi autostradat (internet) deri në shtëpinë tënd (dalja e tunelit) dhe dorezon kompjuterin. Keni hapur kutinë (encapsulating protokoll) dhe nxirni kompjuterin (passenger protocol). Ky eshte tunelizimi!

You can follow any responses to this entry through the RSS 2.0 You can skip to the end and leave a response. Pinging is currently not allowed.

Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Current ye@r *