UF2-NF2. Xarxes privades virtuals
tornar M11 - UF2 Seguretat activa i accés remot
Contingut
Xarxes privades virtuals. VPN
UF1-NF1._Informació_i_dades#Transmetre_dades_xifrades
Subconjunt d'una xarxa pública amb accés restringit a usuaris autenticats i transmissions segures (xifrades). Xarxa privada (xifratge i autenticació) implementada sobre una infraestructura pública.
A efectes pràctics, clients externs (Internet), poden accedir als recursos de la xarxa Interna (de confiança) de manera transparent una vegada autenticats. També clients externs poden connectar-se. Així que en definitiva tots els usuaris de la VPN funcionen com si estiguessin en una xarxa dedicada amb independència de la seva ubicació.
Possibles implementacions VPN
- Connexions ssh (terminal remota) a un servidor intern
- Tunels SSH a màquines internes (Cal un túnel per màquina)
- IPsec. A nivell de xarxa
- De node a node
- De node a pasarela
- De pasarela a pasarela
- SSL. A nivell de xarxa
En general un servidor gestiona la VPN, i l'arquitectura física es semblant a les explicades a seguretat perimètrica
Les dues principals sol·lucions per a VPN's són
- OpenVPN, xifratge sobre ssl
- IPSec, xifratge sobre IP Sec
Beneficis i desavantatges de les VPN envers les línies dedicades
VPN a nivell de xarxa. OpenVPN
Autenticació basada en clau pública, xifratge SSL.
Un servidor gestiona la VPN (programari OpenVPN), els clients poden ser heterogenis, Linux, MAC, Windows.
Un host té el rol de Certification Authority, i expedeix els certificats per als clients remots.
OpenVPN Access Server (Open VAS): Servidor OpenVPN + Interface Web administració + clients
VPN a nivell de xarxa. IPSec
VPN a nivell d'aplicació SSH
ssh -fN -L 7022:ssh.empresa.com:22 bastion.empresa.com // Forwarding màquina DMZ
ssh -fN -o "HostKeyAlias ssh.empresa.com" localhost -p 7022 -L 7023:servidor.empresa.com:22
ssh -o "HostKeyAlias servidor.empresa.com" localhost -p 7023
