VPN-y zaufane to takie, w których jako klienci ufamy dostawcy usługi, że ten zatroszczy się o bezpieczeństwo kanału komunikacyjnego. Podpisując umowę z dostawcą, otrzymujemy zapewnienie, że nikt - poza operatorem lub grupą operatorów - nie będzie w stanie zmodyfikować parametrów i trasy połączenia. Musimy też wierzyć, że nikt nie będzie miał możliwości zmiany danych podczas ich przesyłania, wstrzykiwania pakietów (Packet injection) i sniffingu. Do tej grupy możemy zaliczyć w warstwie drugiej: ATM, Frame Relay, przesyłanie ramek warstwy drugiej za pośrednictwem MPLS, a w warstwie trzeciej: MPLS z BGP.

VPN-y zabezpieczone są znacznie bliższe codziennym zastosowaniom, gdyż ich tworzenie, utrzymywanie i kontrola (w tym wdrażanie mechanizmów bezpieczeństwa) zależy wyłącznie od nas. Stosując tego typu rozwiązania, chcemy żeby transmisja między stronami była szyfrowana, a dane uwierzytelnione. Wymaga to uzgodnienia parametrów połączenia po obydwu jego stronach. W grupie tej znajdą się produkty oparte na protokole IPSec (zarówno w trybie transportowym, jak i tunelowym), także wewnątrz połączenia L2TP oraz rozwiązania SSL/TLS.

Hybrydy to połączenie zalet dwóch wcześniejszych technologii, takich jak gwarancja ścieżek przesyłu i QoS (zaufane) z bezpieczeństwem (zabezpieczone). Jest to stosunkowo nowy na rynku kawałek "VPN-owego tortu". Chodzi tutaj o możliwość "puszczenia" ruchu zabezpieczonego kanałem zaufanym. Z reguły rozwiązania takie będą wykorzystywane przez firmy z wykupionymi łączami, np. Frame Relay, i chcące na określonym odcinku lub całej trasie połączenia zabezpieczyć przesyłane dane.

Nie ma jednak co ukrywać, że najbardziej popularne są trzy rodzaje rozwiązań VPN, oparte na IPSec/IKE, SSL/TLS oraz MPLS. Dwa pierwsze są dość uniwersalne i nadają się do zastosowania niemalże "od ręki".

IPSec

Jest to jedna z najszerzej wykorzystywanych technologii do budowy wirtualnych tuneli. W przeciwieństwie do rozwiązań SSL VPN (które znakomicie nadają się do realizacji połączeń w trybie client-to-site), prym w połączeniach site-to-site wiodą właśnie rozwiązania spod znaku IPSec. Są one trochę bardziej skomplikowane od SSL VPN. Wymagają również wykorzystania kilku protokołów - w zależności od celu, jaki chcemy osiągnąć. Cztery najważniejsze z nich to: AH (Authentication Header), ESP (Encapsulating Security Payload), IKE (Internet Key Exchange) oraz IPComp (IP Payload Compression).

Jednym z większych problemów, jakie napotykają rozwiązania IPSec, jest NAT, o czym wcześniej pisaliśmy. Wprowadzane są różnego rodzaju techniki pozwalające jednak na korzystanie z translacji adresów. Stosuje się enkapsulację pakietów ESP w UDP, w przypadku ruchu, takiego jak VIP czy FTP bramy aplikacyjne ALG (Application Layer Gateway), czy też NAT-T (NAT Traversal) - rozszerzenie do protokołu IKE. Do tego dochodzą dodatkowe elementy: współpraca z L2TP (Layer 2 Tunneling Protocol) lub PFS (Perfect Forward Secrecy).

Mimo to IPSec jest wydajną i bezpieczną technologią, ale niestety nie pozbawioną wad. Jeżeli realizowane jest połączenie client-to-site, należy zainstalować i skonfigurować odpowiedniego agenta na stacji roboczej. Choć IPSec jest standardem, to każdy producent ma własnego agenta, który raczej nie będzie bezproblemowo działał z innymi rozwiązaniami. Pojawiają się więc firmy, które dostrzegły lukę i tworzą klientów uniwersalnych, np. Greenbow (www.greenbow.fr) - oczywiście za odpowiednim wynagrodzeniem.

W razie problemów i konieczności reinstalacji oprogramowania będziemy mieli kłopoty - w korporacjach rzadko który użytkownik ma uprawnienia administratora, które są wymagane do instalacji takiego agenta.