Z kolei L2TP to protokół funkcjonujący w warstwie łącza danych opracowany przez Cisco Systems. Wykorzystuje on standardy L2F i PPTP do budowy tuneli komunikacyjnych, które mogą przenosić bezpieczny, szyfrowany ruch danych po dodatkowym zastosowaniu mechanizmów, takich jak PPTP lub IPSec. Kanały L2TP są obsługiwane przez routery Cisco, a także oprogramowanie open source pracujące pod kontrolą Linuxa. Microsoft udostępnia bezpłatne oprogramowanie klienckie do obsługi kanałów VPN L2TP/IPSec dla Windows 98, ME, NT, Windows XP, 2000, 2003 i Vista, a jego wersje serwerowe są zintegrowane z systemami Windows Server 2000 i 2003.

Protokoły SSL i TLS są przeznaczone do bezpiecznej transmisji danych w aplikacyjnej warstwie 4 modelu OSI. Wersja SSL 3.0 i jej następca TLS 1.0 są wykorzystywane głównie w połączeniu z HTTP jako protokół HTTPS umożliwiający bezpieczną wymianę danych ze stronami WWW.

SSL/TLS mogą być zastosowane do tworzenia tuneli VPN np. przy wykorzystaniu oprogramowania OpenVPN dostępnego dla systemów Linux, xBSD, Mac OS X, Pocket PC, Windows 2000, XP, 2003 i Vista.

W odróżnieniu od protokołu IPSec działającego w warstwie sieciowej, SSL VPN umożliwiają tworzenie łączy tylko w warstwie aplikacji.

Zalety i wady VPN

Technologia VPN umożliwia względnie bezpieczną i łatwą zdalną wymianę danych i zwykle jest rozwiązaniem znacznie tańszym od dzierżawionych linii telekomunikacyjnych, wymaga jednak zastosowania odpowiednich zabezpieczeń na brzegu sieci. Wymiana danych przez zdalne komputery łączące się z siecią LAN przy wykorzystaniu kanałów VPN powinna być kontrolowana podobnie jak w przypadku komputerów pracujących lokalnie.

Należy też pamiętać, że bezpieczny kanał VPN wykorzystuje mechanizmy szyfrowania, które mogą istotnie obciążać serwery. Dlatego też liczba obsługiwanych jednocześnie kanałów VPN jest z reguły ograniczona przez administratora systemu, tak aby nie powodować przeciążenia i zawieszenia komputera, co może prowadzić do niedostępności usług, jeśli okaże się, że wszystkie kanały VPN są zajęte.

Aby tego uniknąć, dość często umożliwia się zdalny dostęp do niektórych aplikacji, np. serwerów e-mail, bez pośrednictwa kanałów VPN, a tylko przy wykorzystaniu serwerów proxy lub IMAP (Internet Message Access Protocol).

Ważna różnica między najpopularniejszymi technologiami SSL/TLS i IPSec polega na tym, że ten pierwszy protokół umożliwia transmisję danych w systemach wykorzystujących zapory firewall z funkcjami NAT (translacja adresów), a drugi nie. Oprócz tego IPSec standardowo szyfruje wszystkie dane przesyłane między komputerami tworzącymi kanał VPN, a działanie SSL/TLS zależy od aplikacji.

W praktycznych zastosowaniach często wykorzystywana jest mieszanka różnych protokołów, tak aby uzyskać odpowiednią równowagę między wydajnością systemu a poziomem bezpieczeństwa.

Na przykład dość typowym scenariuszem jest zastosowanie SSL/TLS do połączenia przeglądarki komputera klienckiego z serwerem WWW chronionym przez zaporę firewall, serwera WWW z serwerem aplikacyjnym przy wykorzystaniu IPSec, a tego ostatniego z bazą danych chronioną przez kolejną zaporę znów wykorzystując SSL.

Bezpieczny klient VPN

Kanały VPN umożliwiają rozszerzenie dostępu do sieci LAN i jej zasobów na zdalnych pracowników i współpracowników firmy, zwiększając wygodę i efektywność pracy. Jednak każdy zdalny komputer może stanowić zagrożenie, jeśli nie jest odpowiednio kontrolowany i zabezpieczony przed nieuprawnioną aktywnością jego użytkownika lub hakera, który przejął nad nim kontrolę.

Dlatego warto zwrócić uwagę na podstawowe zasady bezpieczeństwa zaprezentowane przez programistę i projektanta stron WWW Martina Hellera. Mogą one pomóc w uchronieniu się przynajmniej przed niektórymi zagrożeniami i lukami w systemie bezpieczeństwa, które może spowodować wdrożenie systemu VPN.

Autentykacja

Dostęp za pomocą kanałów VPN powinien wykorzystywać najsilniejsze z możliwych metod autentykacji (identyfikacji) zdalnych użytkowników, które oferuje wykorzystywane oprogramowanie i system operacyjny.

Na przykład najlepszym zabezpieczeniem dla serwerów Windows jest autentykacja przy wykorzystaniu kart mikroprocesorowych i EAP-TLS (Extensible Authentication Protocol-Transport Level Security). Niestety wymaga to wdrożenia infrastruktury PKI (Public Key Infrastructure) i systemu do bezpiecznej dystrybucji kart, co nie jest wygodne i powoduje dodatkowe koszty. Kolejnym rozwiązaniem, które można polecić, jest wdrożenie EAP (Extensible Authentication Protocol) i MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol Version 2).

Natomiast protokoły PAP (Password Authentication Protocol), SPAP (Shiva Password Authentication Protocol) lub CHAP (Challenge Handshake Authentication Protocol) dają na tyle słabe zabezpieczenie, że warto zrezygnować z ich stosowania.