3-6 minut

Jakie rozwiązanie wybrać, tworząc wirtualną sieć prywatną?

Przy wdrażaniu wirtualnych sieci prywatnych dział IT ma do wyboru dwie najpopularniejsze technologie – IPSec korzystającą z publicznej sieci Internet oraz MPLS stanowiące wydzieloną przez operatora sieć telekomunikacyjną, do której nikt inny nie ma dostępu. Przedstawiamy wady i zalety każdej z nich, w zależności od zastosowania i wielkości firmy.

W małej firmie – która ma kilka biur i podstawowe potrzeby komunikacyjne – wirtualna sieć prywatna realizowana za pomocą protokołu IPSec (IP Security Virtual Private Network) będzie bardziej uzasadniona ekonomicznie. W oparciu o publiczną sieć telekomunikacyjną tworzy się wówczas szyfrowane tunele VPN (Virtual Private Network). Za ich pośrednictwem można wymieniać dane w obrębie firmy. Często z tuneli VPN korzystają też pracownicy łącząc się zdalnie z firmowymi systemami. Wówczas korzystają oni z tzw. tokenów. Jest to elektroniczne urządzenie generujące kod, który służy do autoryzacji.

Szyfrowane tunele VPN można zestawić we własnym zakresie za pomocą niedrogich routerów, a także na bazie tanich łączy. Dział IT może nad taką siecią w pełni zapanować. Aby odzwierciedlić aktualne potrzeby biznesowe, można bowiem bardzo szybko i łatwo wprowadzić zmiany w jej konfiguracji. Dzięki pełnej kontroli nad tunelami firmowi specjaliści mogą sami usuwać problemy techniczne, bez konieczności angażowania operatora.

VPN oparty o IPSec, czyli szyfrowany tunel w sieci publicznej

Możliwości sieci VPN opartej o IPSec uzależnione są od funkcjonalności routerów. Jeśli ich producent wprowadzi nową funkcję, inżynierowie będą mogli ją szybko uruchomić w firmie. Z podobnymi zdarzeniami mieliśmy do czynienia w przeszłości, gdy np. Cisco wprowadziło wstępną klasyfikację pakietów na potrzeby priorytetyzacji ruchu różnych usług. Z kolei udostępnienie technologii dynamicznych łączy wielokrotnych DMVPN (Dynamic Multiple VPN) umożliwiło automatyczne uruchamianie tuneli między wieloma węzłami.

Sieć VPN oparta o IPSec to technologia elastyczna. Obsługuje zarówno łącza między różnymi operatorami, jak i połączenia, w których użytkownik mobilny łączy się z centralą. Dobrze skonfigurowany IPSec VPN, wyposażony w mocne uwierzytelnienie, jest technologią wystarczająco bezpieczną do pracy mobilnej. Dzięki takiej elastyczności jedna technologia może zaspokoić różne potrzeby biznesowe.

Sieć VPN oparta na IPSec może być wykorzystana jako łącze zapasowe. Ma to znaczenie w przypadku krytycznych połączeń. Szybko i automatycznie zestawiana sieć IP z użyciem tuneli IPSec może z powodzeniem posłużyć do zestawienia rezerwowego połączenia w razie awarii łączy podstawowych. Połączenie to będzie aktywne do czasu ich naprawy. W wielu przypadkach wystarczy w zupełności do realizacji zapasowych połączeń.

Wadą sieć opartej o tunele IPSec jest fakt, że – nawet jeśli w obrębie firmy wprowadzi się priorytetyzację ruchu krytycznych aplikacji – kontrola ta sięga jedynie krańców tunelu. Gdy pakiet opuści bramę VPN, wchodzi do sieci operatora, która zazwyczaj nie obsługuje znakowania pakietów ani priorytetyzacji ruchu. Sieć taka przeważnie działa w modelu Best Effort Delivery. Oznacza to możliwie najszybszą transmisję pakietów przesyłanych w kolejności nadsyłania. Z założenia wyklucza to pełną kontrolę priorytetów ruchu krytycznych aplikacji.

 

MPLS, czyli wydzielona sieć, do której nikt nie ma dostępu

Dla bardziej wymagających klientów, dla których bezpieczeństwo przesyłanych pakietów ma krytyczne znaczenie operatorzy oferują sieci MPLS (Multi-Protocol Label Switching). Są to wydzielone sieci, do których żaden inny klient nie ma dostępu. Na brzegu sieci operatora znajdują się tzw. węzły Provider Edge. Oferują one usługę VRF (Virtual Routing & Forwarding). Dzięki niej sieć danego klienta można odseparować logicznie od innych. Jakość połączeń jest istotna dla klientów, którzy opierają na sieci łączność telefoniczną, wideokonferencje i dostęp do Internetu.

Sieci realizowane w technologii MPLS są niedoścignione pod względem jakości usług QoS (Quality of Service). MPLS sprawdza się, gdy istotne są niewielkie opóźnienia, szerokie pasmo i niska utrata pakietów. Jest to szczególnie ważne w aplikacjach interaktywnych, a także przy ruchu audio i wideo. Jeśli firma zamierza przesyłać szerokopasmowe strumienie wideo związane z usługami interaktywnymi, naturalnym wyborem powinno być łącze MPLS, gdyż ta technologia minimalizuje opóźnienia i straty pakietów w tranzycie. W porównaniu z siecią VPN opartą o IPSec, łącze MPLS może zagwarantować utrzymanie deklarowanych parametrów. Są wśród nich: dostępne pasmo czy opóźnienia przez cały czas, praktycznie niezależnie od innego ruchu.

Sieć MPLS zapewnia większe bezpieczeństwo transmisji

Sieć VPN oparta o IPSec jest narażona na ataki, gdyż koncentrator pracuje przy publicznej adresacji IP i jest osiągalny z zewnątrz firmy. Przy budowie takich łączy należy uwzględnić ten fakt i zadbać o bezpieczeństwo urządzeń. Atak tą drogą może mieć bardzo poważne skutki. Szczególnie wtedy, gdy inżynierowie nie wprowadzą na czas aktualizacji oprogramowania routerów. Podatność w systemie operacyjnym routera może bowiem ułatwić włamanie. Na tego typu zagrożenia mogą być narażone urządzenia różnych producentów. Tylko w tym roku znaleziono kilka istotnych luk w oprogramowaniu firm Cisco i Juniper. Z takim ryzykiem firma również musi się liczyć. Powinna być też przygotowana na regularne aktualizacje oprogramowania wszystkich urządzeń.

Urządzenie terminujące tunel VPN jest także narażone na ataki odmowy obsługi. Zdarza się to nawet wtedy, gdy listy kontroli dostępu (ACL) blokują niepożądane połączenia na routerze. Nawał pakietów związanych z rozproszonym atakiem odmowy obsługi (DDoS) może wysycić łącze internetowe, które obsługuje router. Skutkiem takiego ataku może być zatem poważne ograniczenie dostępności i jakości usługi łączy IPSec VPN.

Tego typu zagrożeń nie mają łącza realizowane za pomocą dostarczanych przez operatora sieci MPLS. Nie są widoczne z zewnątrz, o ich bezpieczeństwo i dostępność dba operator świadczący daną usługę. Pakiety przesyłane w sieci MPLS mogą zawierać dowolny ruch i są przy tym oznaczane unikatowymi etykietami. Dzięki przesyłaniu pakietów na podstawie etykiet nie ma możliwości, aby pakiet oznaczony niewłaściwą etykietą lub jej pozbawiony został przesłany i pojawił się w sieci klienta.

 

Pamiętajmy!

Między dwiema technologiami wirtualnych sieci prywatnych istnieją istotne różnice techniczne. Sieć VPN oparta o IPSec jest zazwyczaj tańsza. Dzielimy ją też z wieloma innymi użytkownikami danej sieci. Cechuje się także większą elastycznością i łatwością samodzielnego wdrożenia. Dotyczy to również połączeń między operatorami. Z kolei sieć MPLS jest realizowana przez operatora i oferuje znacznie szersze możliwości transportu ruchu aplikacji krytycznych. Jest jednak kosztowniejsza i trudniej dostępna. Sieć ta jest jednak dostępna tylko i wyłącznie dla naszej firmy.

Transmisja danych

Ten artykuł dotyczy produktu

Transmisja danych

Przejdź do produktu
IP VPN

Ten artykuł dotyczy produktu

IP VPN

Przejdź do produktu

Data publikacji: 02.03.2017

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail