Skip to content

August 15, 2011

VPN – Rrjetat Private Virtuale (Virtual Private Network)

Pershendetje antar Te KasaBlog

Ne kete tutorial do ju tregoj se qka eshte VPN “Rrjetat Private Virtuale” dhe per qka perdoret.

Bota ka ndryshuar shumë në disa dekada të fundit. Në vend të marrjes me brengat lokale ose regjionale, shumë biznese tashmë duhet të mendojnë për tregjet dhe logjistikën globale. Shumë kompani kanë objekte të shpërndara nëpër tërë shtetin madje dhe në shtete tjera, dhe të gjithë ata kanë nevoje për një mënyrë të shpejtë, të sigurt dhe të besueshme të komunikimit pa marrë parasysh vendndodhjen e zyrës. Deri vonë, kjo nënkuptonte përdorimin e linjave të huazuara për të mirëmbajtur rrjetën WAN. Këto linjat të huazuara, duke filluar prej ISDN 128 Kbps e deri te OC3 prej 155 Mbps me lidhje fiber optike, i mundësonin kompanive të zgjeronin rrjetat e tyre private përtej rrethinës së afërme gjeografike
.Rrjetat WAN kanë avantazhe të dukëshe mbi rrjetat publike siç është Interneti për sa i përket besueshmërisë, efikasitetit dhe sigurisë,. por mirëmbajtja e rrjetës WAN, në veçanti kur ajo është e ndërtuar prej linjave të huazuara, mund të jetë mjaft e kushtueshme dhe shpesh kostoja vjen duke u rritur me rritjen e distancës .
Me rritjen e popullaritetit të Internetit, bizneset iu kthyen atij si një mjet i zgjerimit të rrjetave të tyre personale. Së pari u paraqiten intranetet, që janë faqe të mbrojtura me fjalëkalime të cilat janë të dizajnuara për përdorim vetëm nga punëtorët e asaj kompanie. Tani, shumë kompani janë duke krijuar VPN rrjeta personale për të përmbushur nevojat e punëtorëve nga largësia dhe zyrave të largëta.

VPN është shkurtesë nga gjuha angleze e fjalëve Virtual Private Network të cilat në përkthim të lirë kanë domethënien e rrjetës private virtuale.

Fig.1. Dizajni i një rrjeti VPN

Imazh

Një VPN rrjetë e zakonshme mund të ketë një LAN rrjetë kryesore në zyrat qendrore të kompanisë, LAN rrjete tjera në zyrat ose objektet në largësi dhe shfrytëzues individual që lidhjen në rrjetë nga tereni.

Parimisht, një VPN është rrjetë private që përdorë rrjetën publike (zakonisht Internetin) për tu lidhur me pikat ose shfrytëzuesit në largësi. Në vend të përdorimit të linjave të huazuara të dedikuara, VPN përdorë linja “virtuale” të kanalizuara nëpër Internet prej rrjetës private të kompanisë deri te pika ose punëtorët në largësi. Në këtë punim do të paraqesim kuptimet elementare të VPN-it dhe do të shohim disa nga komponentet, teknologjitë, tunelimin dhe sigurinë e VPN-it.

Dobitë e VPN-së

Një VPN i dizajnuar si duhet mund të ketë dobi të shumëfishtë për një kompani.
Për shembull,ai mund të:

• Zgjërojë konektivitetin gjeografik
• Përmirësojë sigurinë
• Ul koston operacionale në krahasim me WAN lidhjet tradicionale
• Zvogëlojë kohën e transitit dhe koston e transportit për shfrytëzuesit në largësi
• Përmirësojë produktivitetin
• Thjeshtësojë topologjinë e rrjetës
• Ofrojë mundësinë për rrjetëzim global
• Ofrojë mundësi për rrjetëzim broadband
• Mundësojë kthim më të shpejtë të investimit se sa WAN rrjetat tradicionale

Një VPN rrjetë e dizajnuar mirë duhet të ketë:

• Siguri
• Besueshmëri
• Mundësi zgjerimi
• Menaxhim të rrjetit
• Menaxhim të politikave

Llojet e Rrjetave VPN

Ekzistojnë dy lloje të zakonshme të VPN-ëve. Qasja nga largësia, që mund të quhet edhe dial-up rrjetë virtuale private (VPDN),dhe VPN pikë në pikë.

VPDN pertej IPSec

Është lidhje shfrytëzues-në-LAN që përdoret nga kompanitë që kanë punëtorë të cilët kanë nevojë të lidhen në rrjetën private prej lokacioneve të ndryshme që janë largë nga zyrat qendrore. Zakonisht, një korporatë që dëshiron të krijon VPN të madhë me mundësi të qasjes nga largësia duke nën-kontraktuar një ofrues të shërbimit për ndërmarrje ose ESP. ESP zakonisht krijon një server për qasje në rrjetë ose NAS dhe ofron shfrytëzuesit në largësi me klient softuerë për kompjuterët e tyre. Ata pastaj mund të kyçen përmes një numri telefonik pa pagesë ndaj NAS-it dhe të përdorin VPN softuerin klient për tu qasur në rrjetën e korporatës.
Një shembull i mirë është kompania e cila ka nevojë për VPN për qasje nga largësia është kompania me dhjetëra njerëz të shitjes nëpër terren. Pra VPN qasja nga largësia mundëson lidhje të sigurt të enkriptuar në mes të rrjetës private të kompanisë dhe shfrytëzuesve nga largësia permes shërbimit të ofruar nga pala e tretë.

Fig.2. VPDN përtej IPsec

Imazh

VPN pikë-në-pikë

Përmes përdorimit të pajisjeve të dedikuara dhe enkriptimit në shkallë të gjerë, kompania mund të lidhë pika të shumëfishta nëpërmjet rrjetës publike siç është Interneti. VPN-i pikë-në-pikë mund të jetë i njërit nga këto dy lloje:

• I bazuar në Intranet – nëse kompania ka një ose më shumë pika të largëta që dëshirojnë të bashkojnë në një rrjetë private, ajo mund të krijojë një VPN intranet për të lidhur një LAN me një tjetër.
• I bazuar në Ekstranet – kur kompania ka lidhje të ngushta me një kompani tjetër (për shembull, ndonjë partner, furnitorë apo klient), ata mund të ndërtojnë VPN ekstranet që lidhë një LAN me një tjetër dhe i cili lejon shumë kompani të ndryshme të punojnë në ambient të ndarë.

Fig.3. VPN pike në pike

Imazh

Analogjia – Secili LAN është sikurse nje ishull

Të imagjinojmë se jetojmë në një ishull në një oqean të madh. Janë me mijëra ishuj të tjerë gjithandej rreth nesh jush, disa fare afër e disa të tjera shumë largë. Mënyra normale për udhëtim do të ishte marrja e një anije prej ishullit tone tuaj deri në cilindo ishull që dëshironi të vizitoni. Natyrisht, udhëtimi në anije nënkupton se nuk kemi aspak intimitet. Çfarëdo që bëjmë mund të shihet nga persona te tjere.Të themi se secili ishull përfaqëson një rrjetë LAN private dhe se oqeani është Interneti. Udhëtimi me anije është diçka sikur lidhja në ueb server ose ndonjë pajisje tjetër përmes Internetit. Nuk keni fare kontrollë mbi kabllot dhe rrugët që e përbëjnë Internetin, sikurse që nuk keni kontrollë mbi njerëzit e tjerë në anije. Kjo na lë në dyshim për sa i përket çështjeve të sigurisë në rast të ndërlidhjes së dy rrjetave private me përdorimin e resurseve publike.
Duke e vazhduar analogjinë, ishulli jonë mund të vendosë të ndërtojë një urë deri te ishulli tjetër për të pasur një mënyrë më të lehtë, më të sigurtë dhe më të drejtpërdrejtë për njerëzit që udhëtojnë në mes të dy ishujve. Është mjaft shtrenjtë për të ndërtuar dhe mirëmbajtur urën, edhe pse ishulli me të cilin po ndërlidhem mund të jetë shumë afër. Por nevoja për rrugë të besueshme dhe të sigurt është aq e madhe saqë ju do ta ndërtoni urën patjetër. Ishulli jonë më vonë do të dëshirojë të lidhet me ishullin e dytë që është shumë më large e kështu me radhë.
Kjo është bukur shumë e ngjashme me posedimin e linjës së huazuar. Urat (linjat e huazuara) janë të ndara nga oqeani (Interneti), por prapëseprapë janë në gjendje të lidhen me ishujt (LAN rrjetat). Shumë kompani kanë zgjedhur këtë rrugë për shkak te nevojës për siguri dhe besueshmëri gjatë lidhjes me zyrat e tyre të largëta. Sidoqoftë, nëse zyrat janë shumë largë njëra prej tjetrës, kostoja mund të jetë shumë e lartë – sikurse që është dhe ndërtimi i urës që ka gjatësi të madhe.
Pra si përshatet VPN në këtë tregim? Duke e përdorur analogjinë, do të mund të ia siguronim secilin banorë në ishullin tonë nga një nëndetëse të vogël. Të supozojmë se nëndetsja jonë ka disa veti impozante.

• Është e shpejtë
• Është e lehtë të mirret me veti kudo që të shkojme .
Është në gjendje te fshihet plotësisht nga cilado anije apo nëndetëse tjetër
• Është e besueshme
• Kushton fare pak të shtojmë nëndetëse të reja në flotën tonë pasi që kemi siguruar një të tillë.

Edhe pse ata janë duke udhëtuar nëpër oqean së bashku me trafikun tjetër, banorët e dy ishujve tonë do të mund të udhëtojnë prej një ishulli në tjetrin sa herë që kanë dëshirë me intimitet dhe siguri të lartë. Kjo është parimisht mënyra në të cilën funksionon rrjeta VPN. Secili anëtar i rrjetës në largësi mund të komunikojë në mënyrë të sigurt dhe të besueshme duke përdorur Internetin si medium për tu ndërlidhur në mes të LAN rrjetave të ndryshme private. VPN mund të rritet për të mundësuar më shumë shfrytëzues dhe lokacione të ndryshme më lehtë se sa që është e mundshme me linja të huazuara. Në të vërtetë, mundësia e zgjerimit është një ndër avantazhet kryesore të rrjetave VPN në krahasim me rrjetat e zakonshme me linja të huazuara. Përkundër rastit me linja të huazuara, ku kostoja rritet në proporcion me distancën,ku lokacioni gjeografik të cilësdo zyre ka fare pak rëndësi në krijimin e rrjetës VPN.

Sigura e rrjetave VPN

Një rrjetë VPN e dizajnuar si duhet përdorë disa metoda për të mbajtur lidhjen dhe të dhënat e sigurta prej ndërhyrjeve, në mes të cilave:
• Firewall-ët
• Enkriptimin
• IPSec
• AAA Serveret (Authentication,Authorization,and Accounting)

Në vazhdim do tëshqyrtojm secilin prej këtyre modeleve të sigurisë.

Firewalli

Firewall-i apo murri i zjarrtë siguron një barrierë të fortë në mes të rrjetës private dhe Internetit. Firewall-ët mund të instalohen ashtu që të ndalojnë qasjen në një numër të caktuar të porteve, të filtrojnë llojin a pakove që mund dhe nuk mund të kalojnë si dhe mund të caktojmë protokollet të cilat janë të lejuara të kalojnë përmes tyre. Disa produkte për rrjeta VPN, siç është rauteri Cisco 1700, mund të avancohen me instalimin e firewall-it duke aplikuar një sistem të caktuar operativ nga Cisco. Është e preferueshme që rrjeta të ketë të instaluar një firewall të mirëfilltë para implementimit të VPN-it, por firewall-i gjithashtu mund të përdoret edhe për të terminuar sesionet e VPN klientëve.

Enkriptimi

Enkriptimi është proces i marrjes së të dhënave dhe dërgimi i tyre tek kompjuteri tjetër me ç’rast bëhet kodimi i tyre në atë formë që vetëm kompjuteri pranues të jetë në gjendje ti de-kodoj ato. Shumica e sistemeve të enkriptimit kompjuterik i takojnë njërës nga këto dy kategori.:

• Enkriptim me çelës -simetrik
• Enkriptim me çelës -publik

Te enkriptimi me çelës-simetrik, secili kompjuter ka çelësin sekret (kodin) të cilin e përdorë për të enkriptuar pakot e informatave para se ti dërgojë ato mbi rrjetë deri te kompjuteri tjeter. Çelësi-simetrik kërkon të dimë se cili kompjuter do të komunikojë me njëri tjetrin ashtu që të mund të instalojmë çelësin në secilin prej tyre. Enkriptimi me çelës-simetrik është parimisht i njëjte me kodin sekret që duhet të dijnë secili prej kompjuterëve në mënyrë që të mund të bëhet de-kodimi i informatave. Kodi sigurin çelësin për de-kodimin e mesazhit. Mund ta mendojmë dhe kështu: Nëse krijojmë një mesazh të koduar për ta dërguar te një shok në të cilin mesazh secila shkronjë është e zëvendësuar me shkronjën që është dy pozita nën të në alfabet, ne në të vërtetë e kemi koduar mesazhin. Kështu “A” bëhet “C”, dhe “B” bëhet “D”. Ne tashmë i kemi thënë shokut se kodi është “Zhvendosja për 2”. Shoku e mer mesazhin dhe e dekodon. Nëse ndokush tjetër e sheh mesazhin atij do ti diket si gjepur.

Enkriptimi me çelës-publik përdor kombinimin e çelësit privat dhe atij publik. Çelësi privat është i njohur vetëm për kompjuterin tuaj, derisa çelësi publik është i caktuar nga kompjuteri juaj dhe i ipet cilitdo kompjuter tjetër me të cilin kompjuteri juaj dëshiron të komunikojë në mënyrë të besueshme dhe me siguri. Për të de-koduar një mesazh të enkriptuar, kompjuteri së pari duhet të përdor çelësin publik, të dhënë nga kompjuteri dërgues, dhe çelësin e tij privat. Një softuer shumë i popularizuar për enkriptim me çelës-publik është softueri Pretty Good Privacy (PGP), i cili lejon pothuajse enkriptimin e çdo gjëje.

IPSec

IPSec është një protokol i veçantë i cili mundëson përdorimin e funksioneve të avancuara të sigurisë siç janë algoritme të më të avancuara të enkriptimit dhe autentikim më kompleks.

Fig.4 . Arkitektura e IPSec

Imazh

IPSec gjithashtu ka dy mënyra të enkriptimit : tunel dhe transport.
Tuneli enkripton titullarin dhe ngarkesën e secilës pako derisa mënyra e transportit enkripton ngarkesën. Vetëm sistemet që janë të pajtueshëm me IPSec mund të përdorin avantazhet e këtij protokoli. Gjithashtu, të gjitha pajisjet duhet të përdorin një çelës të përbashkët dhe firewall-ët e secilës rrjetë duhet të kenë politika shumë të ngjashme të sigurisë.
IPSec mund të eknriptojë të dhënat në mes të pajisjeve të ndryshme, siç janë:

• Router me router
• Firewall me router
• PC me router
• PC me server

AAA Serverët (Authentication,Authorization,and Accounting)

AAA serverët përdoren për qasje më të sigurt në ambientet e qasjes-nga-larg në rrjetën VPN. Kur një kërkesë për inicimin e sesionit arrin prej një klienti me dial-up, ajo kërkesë kanalizohet drejt serverit AAA
. AAA pastaj kontrollon:
• Kush jeni ju (autentikim)
• Çfarë keni autorizim të bëni (autorizim)
• Çfarë bëni ju në të vërtetë (llogari-dhënie)

Informatat për dhënien e llogarisë janë veçanërisht të dobishme për përcjelljen e klientëve në rastet e auditimit të sigurisë, faturimit apo për qëllime të raportimit.

Leave a Reply