Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Computernetwerk

Virtual Private Networking – VPN

advertisement 
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Virtual Private Networking – VPN.............................................................................................................. - 2 1.
Inleiding ................................................................................................................................................. - 2 -
2.
Het principe VPN .................................................................................................................................. - 2 -
3.
Wat is VPN ? ......................................................................................................................................... - 3 Definitie ...................................................................................................................................................... - 3 Het principe Router ..................................................................................................................................... - 3 Hoe gebeurd deze verzending precies (Packets) ......................................................................................... - 4 Waaruit bestaat de beveiliging van de vertrouwelijkheid van informatie ? ................................................ - 4 -
4.
Soorten VPN ? ....................................................................................................................................... - 5 -
5.
Voorbeelden van VPN........................................................................................................................... - 7 -
6.
Nadelen van VPN .................................................................................................................................. - 9 -
7.
Voordelen van VPN .............................................................................................................................. - 9 -
8.
Hoeveel kost VPN ................................................................................................................................ - 10 -
9.
VPN bij Tyco Thermal Controls NV ................................................................................................. - 10 -
-1-
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Virtual Private Networking – VPN
1. Inleiding
De zakenwereld ziet er heden ten dage heel anders uit dan een paar decennia geleden.
Daar waar men vroeger eerder lokale en regionale aandachtspunten had, moeten veel
bedrijven nu denken aan een wereldwijde markt en bijhorende logistiek. Veel organisaties
hebben nu faciliteiten verspreid over het hele land en/of over de hele wereld. Eén
onderwerp hebben ze allen gemeen : een manier om een snelle, veilige en vertrouwbare
communicatie te onderhouden tussen de verschillende locaties.
Tot recent werd dit tot stand gebracht door lijnen te leasen om zo een WAN (Wide Area
Network) op te starten. Deze lijnen varieerden van een ISDN (Integrated Services Digital
Network, 128 Kbps) naar een OC3 (Optical Carrier-3, 155 Mbps) en liet toe het private
netwerk van de ondernemingen uit te breiden tot ver buiten zijn geografische territorium.
Deze WAN had – in tegenstelling tot een publiek netwerk zoals het internet - als voordeel
vertrouwbaar en beveiligd te zijn maar was een dure costcenter voor de onderneming,
zeker wanneer het om geleasde lijnen ging. Deze kost kon aardig oplopen wanneer de
afstand tussen de verschillende locaties toenam.
Naarmate het Internet steeds meer en meer ingeburgerd raakte gingen bedrijven deze
mogelijkheid gebruiken om hun eigen netwerken uit te breiden. Het begrip « Intranet »
ontstond, deze waren paswoord-beveiligd en dienden enkel voor het gebruik van de
werknemers zelf.
Nu installeren veel organisaties hun eigen VPN (Virtual Private Networking) om tegemoet
te komen aan de noden van externe werknemers (vb. Thuiswerkers) en de verschillende
locaties van de firma te verbinden in een netwerk.
2. Het principe VPN
Beeld je in dat je leeft op een eiland in een hele grote oceaan. Om je heen zijn er nog
duizenden eilandjes, sommige dichtbij terwijl anderen veel verder van jou verwijderd zijn.
Om van het ene eiland naar het andere te reizen neem je een bootje. Dit houdt wel in dat je
vrijwel geen privacy hebt : alles wat je doet of meeneemt in het bootje kan gezien worden
door anderen.
Laat ons nu vooropstellen dat elk eiland een private LAN (Local Area Network)
vertegenwoordigt en dat de oceaan het internet is, dan kunnen we zeggen dat het reizen
per boot hetzelfde is als connecteren aan een web server of andere apparatuur om op het
internet te raken. Je hebt geen controle over de onderdelen van het internet, net zoals je
geen controle hebt over de andere mensen in het bootje. Het is dan ook evident dat je op
die manier vatbaar bent voor problemen ivm veiligheid en vertrouwelijkheid als je
connecteert tussen 2 private netwerken door middel van een publiek netwerk.
Om gemakkelijker, directer en veiliger te reizen naar een ander eiland besluit jouw eiland een
brug te bouwen tussen de twee eilanden. Dit is een dure aangelegenheid zelfs wanneer het
andere eiland dichtbij is gelegen maar de nood voor een vertrouwbare, veilige reis van de
inwoners en hun bagage is zo hoog dat je het toch doet. Jouw eiland had dit ook graag gedaan
met een veel verder afgelegen eiland maar kan deze kosten niet dragen.
De bruggen kunnen gezien worden als de geleasde lijnen die los staan van het internet
(oceaan) en toch 2 LANs (eilanden) aan elkaar connecteren. Veel bedrijven hebben dit systeem
toegepast uit nood aan een veilige en vertrouwbare manier om verschillende kantoren met
elkaar te verbinden. Hoe groter de afstand tussen deze kantoren hoe hoger de kosten van dit
systeem.
-2-
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Stel nu dat we aan elke bewoner van ons eiland een duikbootje
kunnen geven die de eigenschap heeft snel te zijn, makkelijk
mee te nemen waar je ook gaat, jou en jouw bagage compleet
verbergt van andere bootjes en duikbootjes, vertrouwbaar is en
het goedkoop is om meerdere duikbootjes aan jouw collectie toe
te voegen eens de eerste is aangekocht, dan kan iedere
inwoner niettegenstaande dat deze duikbootjes reizen in een
oceaan samen met honderden andere bootjes, heen en weer
reizen wanneer ze maar willen en dit met een gegarandeerde
privacy en security.
Dit is eigenlijk hoe VPN werkt : elk afgelegen lid van jouw netwerk kan op een veilige en
vertrouwbare manier communiceren met het private LAN door het internet als medium te
gebruiken. Een VPN installatie kan ook veel makkelijker uitgebreid worden met gebruikers en
andere locaties dan wanneer je gebruik zou maken van leased lines. Bij deze laatste zijn de
kosten afhankelijk van de geografische afstand tussen de verschillende locaties terwijl dit
weinig verschil uitmaakt bij het opzetten van een VPN-installatie.
3. Wat is VPN ?
Definitie
Een VPN is een uitbreiding van het LAN (Local Area Network = privaat netwerk) dat een
publiek netwerk, doorgaans internet, gebruikt om verschillende sites en gebruikers te
verbinden. VPN gebruikt “virtuele connecties” om van het privaat netwerk van de
onderneming door het internet gerout te worden naar de externe site of gebruiker.
Het principe Router
Wanneer je een email verstuurt naar een collega, hoe komt het dat dit berichtje terecht
komt in de mailbox van jouw collega ipv te verschijnen in één van die miljoenen andere
mailboxen ? Dit stukje technologie hebben we te danken aan de router die berichten laten
stromen tussen verschillende netwerken door ipv te laten stromen in een netwerk.
We leggen dit uit aan de hand van een voorbeeld.
We bekijken een onderneming met een x aantal werknemers die elk over een computer
beschikken. We delen deze onderneming in in 2 groepen waarvan Groep A leden telt die
doorgaans hele zware files doorsturen. Intern zullen werknemers berichten naar elkaar
doorsturen en hiervoor zullen zij gebruik maken van een netwerk. Wanneer een werknemer
van groep A een heel groot bericht zou doorsturen naar een andere dan zou deze een heel
groot gedeelte in beslag nemen van de capaciteit van het netwerk waardoor deze laatste
trager zal werken voor alle andere gebruikers van groep B. Zonder een router zal dit
bericht te zien zijn voor elke andere computer aangesloten op het lokale netwerk. Elke
individuele computer zal dan het bericht onderzoeken en besluiten of dit bericht voor hem
is bestemd of niet. Dit systeem heeft uiteraard een negatief effect op de performantie van
het netwerk.
Om dit te voorkomen kan een bedrijf dan 2 aparte netwerken opstarten, één voor groep A
en één voor groep B. Een Router zal deze 2 netwerken aan elkaar linken en connecteren
aan het internet. In dit geval zal enkel de router alle berichten zien die verzonden zijn en
beslissen voor welke computer deze bestemd is.
-3-
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Kort samengevat kan men de rol van een router indelen als volgt :
 Verzekeren dat de verzonden informatie de connectie van andere gebruikers niet
verstoord;
 Verzekeren dat de informatie aankomt op de juiste bestemming.
Hoe gebeurd deze verzending precies (Packets)
Wanneer je iemand telefoneert dan zal het telefoonsysteem een stabiel circuit opbouwen
tussen jouw telefoon en de telefoon die jij belt. Dit circuit behelst verschillende stappen
door kabels, switches, satellieten, enz. maar elk van deze stappen worden gerealiseerd en
blijven constant gedurende het gehele telefoongesprek. Echter is het wel zo dat wanneer
er een probleem optreedt in een deel van het circuit (bvb. Een boom die valt op één van de
gebruikte lijnen) het gesprek onmiddellijk en abrupt onderbroken wordt.
Wanneer je een email verstuurt vindt er zich een heel andere procedure plaats.
In een hedendaags netwerk wordt elke email opgebroken in verschillende kleine stukjes
die we packets noemen. Alle packets worden individueel verzonden en worden
gereassembleerd wanneer ze op hun bestemming zijn aangekomen. Elk packet van één
enkel bericht kan verzonden worden via een verschillende route. Dit proces kan je
vergelijken met een train die in zijn traject gestuurd wordt door switches, een email stroomt
over een van de duizenden verschillende routes om van de ene computer naar de andere
te geraken. Dit type netwerk noemt men een packet-switched netwerk. Dit houdt dan ook
in dat je geen netwerk hoeft op te zetten tussen jezelf en de geadresseerde die zich op een
andere locatie bevindt.
Routers zijn geprogrammeerd om de meest gebruikte netwerk protocols te begrijpen, dwz
dat zij de format van de adressen en de grootte (bytes) van het basispacket kennen en
weten hoe er voor te zorgen dat alle packets geassembleerd worden en op hun
bestemming aankomen. Meer nog, zij zullen deze informatie versturen via de best
mogelijke route (Afhankelijk van het tijdstop kunnen sommige delen van een publiek
packet-switched netwerk drukker zijn dan andere. Wanneer dit het geval is zullen de routers
met elkaar communiceren zodat de packets verstuurd worden via minder bezette netwerk
routes).
Protocols zijn een aantal regels en afspraken (stelsel) waaraan twee computers zich
moeten houden als ze met elkaar willen communiceren. Bijvoorbeeld tussen terminal en
computer of tussen randapparaat en computer. Zo heeft elke internettoepassing een eigen
protocol.
Vb. IP: Afkorting van Internet Protocol. De op internet gehanteerde taal om gegevens uit te
wisselen. Met deze taal kan een computer precies aangeven naar welk adres de informatie
toe moet;
HTTP: Afkorting van HyperText Transport Protocol. Hiermee kunnen eenvoudig HTMLdocumenten over internet worden verstuurd. Een internet adres begint altijd met http://,
zoals bijvoorbeeld http://www.educos.nl. Dit gaat bijna altijd automatisch en http:// kan
weggelaten worden.
Waaruit bestaat de beveiliging van de vertrouwelijkheid van informatie ?
Een degelijke VPN-installatie heeft verschillende methodes om jouw connectie en data
vertrouwelijk te houden :
o
Firewall : een firewal vormt een softwarematige muur tussen het private netwerk en
het internet. Verschillende regels kunnen geïmplementeerd worden zoals het aantal
open poorten te limiteren, welke types van packets er door zijn gegaan en welke
soort protocols er door mogen gaan.
-4-
Academiejaar
2003-2004
o
o
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Encryptie : dit is het proces waarbij alle data dat van de ene computer verstuurd
wordt naar de andere, geëncodeerd wordt in een formaat dat enkel de
geadresseerde computer kan decoderen. Hierin onderscheiden we 2 categoriën :
o
Symmetric-key encryption : Elke computer heeft een geheime code die hij
gebruikt om de date te encoderen vooraleer het over het netwerk verstuurd
wordt naar de andere computer. Een vereiste is wel dat de andere computer
deze code ook heeft om het bericht opnieuw te decoderen.
o
Public-key encryption : deze methode gebruikt de combinatie van een private
code en een publieke. De private code is enkel gekend door jouw computer
terwijl de publieke code door jouw computer verstuurd wordt aan de andere
computer waar hij veilig mee wil communiceren. Om dus een geëncodeerd
bericht te decoderen moet de computer deze gekregen publieke code gebruiken
samen met zijn eigen individuele private code.
IPSec (Internet Protocol Security Protocol): heeft 2 verschillende encryptie
mogelijkheden : tunnel en transport. Tunneling maakt gebruik van 3 verschillende
protocols :
o
Carrier protocol – het protocol dat gebruikt wordt door het netwerk
waarover de data stroomt.
o
Encapsulating protocol – het protocol dat verpakt wordt rond de originele
data. (GRE, IPSec, L2F, PPTP, L2TP)
o
Passenger protocol – De originele data dat verstuurd wordt (IPX, NetBeui,
IP).
Vb. Een product wordt naar jou toegestuurd via UPS. De leverancier verpakt het
product (passenger protocol) in een doos (encapsulating protocol) en wordt dan op
de truck (carrier protocol) gezet. Deze verlaat het magazijn (entry tunnel interface).
De truck (carrier protocol) rijdt dan over de snelweg (internet) tot bij jou thuis (exit
tunnel interface) and levert de doos af. Jij opent de doos (encapsulating protocol)
en neemt er het product uit (passenger protocol).
Transport zal enkel instaan voor het protocol van de originele data. Enkel systemen
die IPSec compliant zijn kunnen deze tool gebruiken. Ook moeten de firewalls van
elk netwerk gelijkaardige policies geïnstalleerd hebben.
4. Soorten VPN ?
o
Remote-access – ook genaamd een virtual private dial-up network (VPDN), dit is een
user-to-LAN connectie dat gebruikt wordt door bedrijven die werknemers hebben die
moeten kunnen connecteren tot het private network vanuit verschillende locaties. We zien
vaak dat bedrijven zullen outsourcen naar een enterprise service provider (ESP). Deze
zet dan een network access server (NAS) op en installeert dan desktop client software op
de computers van de gebruikers. Deze kunnen dan via een gratis nummer connecteren op
de NAS en de VPN client software te gebruiken om access te krijgen tot het corporate
netwerk.
o
Site-to-site – men kan ook verschillende sites verbinden over een publiek network als het
internet.
o
Intranet-based – Wanneer een bedrijf meerdere geografisch verschillende locaties
heeft dan kan hij die allen verenigen in één privaat network. Hier wordt er een
intranet VPN gecreëerd om een LAN-to-LAN connectie te maken.
-5-
Academiejaar
2003-2004
o
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Extranet-based – Dit wordt eerder gebruikt wanneer een onderneming een nauwe
samenwerkingsrelatie met een andere onderneming (vb. Leverancier of klant). Dan
wordt er een extranet VPN gecreëerd date een LAN-to-LAN connectie maakt en dat
zal toelaten dat verschillende bedrijven kunnen werken in een shared environment.
Hier ziet men een voorstelling van de 3 VPN soorten :
-6-
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
5. Voorbeelden van VPN
Voorbeeld 1: LAN to LAN
Huidige situatie:
2 Netwerken
20 MS Windows 98 PC’s per netwerk
2 MS W2000 servers per netwerk
In dit soort netwerken wordt de W2000 server machine veelal gebruikt als fileserver met
gedeelde mappen. Om de gedeelde mappen op de twee locatie daadwerkelijk veilig te
kunnen delen zal er een VPN verbinding opgezet moeten worden.
De situatie ziet er dan als volgt uit:
Benodigdheden :
2 X router
2 X ADSL/kabel
2 X ADSL/Kabel modem
-7-
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Voorbeeld 2: Telewerken vanaf een vaste locatie
Dit is een variant van een “LAN to LAN”-VPN. Hierbij heeft de thuisgebruiker geen server
lokaal en wordt er dus via de VPN verbinding veilig ingelogd op de server van het
hoofdkantoor. Dit zijn zeer populaire configuraties omdat ze eenvoudig zijn te installeren,
configureren en beheren.
De situatie ziet er dan als volgt uit:
Benodigdheden:
2 X router
2 X ADSL/kabel
2 X ADSL/Kabel modem
De initiële investering en variabele kosten zijn zeer gering in vergelijking met alternatieve
kosten van inbellen en/of in de file staan.
-8-
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
Voorbeeld 3: Telewerken
Bij deze oplossing komen de kostenbesparingen pas echt tot hun recht. Zo kan men in
Thailand lokaal inbellen en daarna een VPN opzetten met de server op het hoofdkantoor.
De data is dan veilig beschikbaar alsof de werknemer lokaal zit te werken.
De situatie ziet er dan als volgt uit:
Benodigdheden:
1 X router
1 X ADSL/Kabel modem
1 X Windows 2000 laptop
6. Nadelen van VPN
Afhankelijk van de configuratie zitten er nog wat haken en ogen aan een VPN. Hieronder
zijn de meest voorkomende nadelen op een rijtje gezet:
o Zoals bij voorbeeld 1 aangegeven was kan het mogelijk zijn dat de huidige
netwerkconfiguratie volledig aangepast moet worden om een LAN to LAN VPN op te
zetten.
o In het geval van voorbeeld 1 en 2; indien door technische storing de ADSL/Kabel
verbinding uitvalt, valt ook de VPN verbinding weg. Er kan in zo’n geval gedacht worden
aan een ISDN backup om dit soort problemen op te vangen. Echter aangezien ISDN
slechts 128kbs is zal dit aanzienlijk trager gaan.
o Bij voorbeeld 3 wordt er een VPN opgezet met een laptop die lokaal inbeld. Deze
configuratie gaat ervan uit dat er MS W2000 of NT is geïnstalleerd met een ISDN
modem. Hierbij geld hetzelfde probleem: ISDN heeft een max van 128kbs wat niet te
vergelijken is met een lokaal netwerk van 100mbps (+/- 1000 keer zo snel!)
7. Voordelen van VPN
o
o
o
o
o
o
Uitbreiden van de geografische connectiemogelijkheden ;
Verbeteren van beveiliging;
Verlagen van de operationele kosten vs. de traditionele WAN;
Verlagen van de verplaatsingskosten van reizende werknemers;
Verhogen van de productiviteit;
Verstrekken van mogelijkheid tot Global networking.
-9-
Academiejaar
2003-2004
Sabine Van Canegem
Organisatieleer – Bedrijfsorganisatie 3de jaar
Opdracht : Informatica
Datum : 21-10-2003
8. Hoeveel kost VPN
Afhankelijk van het soort VPN en de manier waarop deze gebruikt wordt variëren de kosten
sterk. Dit heeft te maken met het type Internet aansluiting, de huidige netwerkconfiguratie,
aantal VPN aansluitingen en het soort applicatie dat men wil gaan gebruiken. Hieronder
zijn een aantal voorbeeld configuraties samengesteld welke een beeld schetsen van de
kosten:
Alle vermelde prijzen zijn exclusief 19% BTW en exclusief installatie aan € 90,- per uur
9. VPN bij Tyco Thermal Controls NV
Tyco Thermal Controls is een wereldwijde organisatie waar het een noodzaak is in contact
te kunnen staan met verschillende sites en werknemers op business travel of on the field.
Daarvoor gebruiken wij de 2 verschillende soorten installaties :
Remote-Access waar remote users inbellen via een VPN server. Dit is een standaard
Windows 2000 server waarop RRAS wordt geactiveerd (Remote Routing Access Services).
Dit laat toe om via de externe interface (die op hetzelfde segment hangt als de ISP router)
mensen te laten binnenkomen met een VPN-connector. De VPN-server doet dan een
authentificatie van de user (via Windows 2000 Active Directory) en laat dan de mensen
door (al dan niet tot het hele interne netwerk naargelang de instellingen). Wij gebruiken
enkel de RAS (Remote Access Service) en disablen de routing gezien Win2000 AD dat
overneemt.
Site-to-Site tunnels worden opgezet tussen firewalls onderling. Zo heeft elke TTC-site een
firewall die aan het internet hangt. Tussen de firewalls onderling wordt een VPN-tunnel tot
stand gebracht waardoor het hele VPN-gebeuren veilig (secure) loopt (3DES en SHA
encryptie). Het beheer van de VPN gebeurt door een Managment Station, centraal
geplaatst, die de policies (een verzameling van rules die bepalen wat wel en niet door de
firewall mag) verzamelt en vanwaar deze worden geladen op elke firewall indien nodig.
Wij gebruiken doorgaans Nokia Firewalls (met Ipso als OS) en Checkpoint FW1
(binnenkort CP Next Generation) als Firewall software applicatie.
- 10 -
Related documents
Handmatige installatie: Open VPN A
Handmatige installatie: Open VPN A
vpn op windows 8
vpn op windows 8
Inloggen via de SSL-VPN website van het VUMC
Inloggen via de SSL-VPN website van het VUMC
WorkshopVPN.pps - hcc!pc netwerkgroep
WorkshopVPN.pps - hcc!pc netwerkgroep
Installatie VPN
Installatie VPN
Peplink Balance - OceanSat
Peplink Balance - OceanSat
Configuratie van VPN met L2TP/IPsec
Configuratie van VPN met L2TP/IPsec
NETWERKOPLOSSINGEN
NETWERKOPLOSSINGEN
Lactaat-acidose komt voor bij patiënten die een antiretrovirale
Lactaat-acidose komt voor bij patiënten die een antiretrovirale
Firewalls - Introductie
Firewalls - Introductie
Wifi onderweg: gebruik een VPN - FERM
Wifi onderweg: gebruik een VPN - FERM
Download
advertisement