Wybór rozwiązania

Projektując sieć VPN, warto zadać sobie następujące pytania:

• Czy sieć ma być ukierunkowana na dostępność konkretnych aplikacji czy na użytkowników?
• W jaki sposób będą zabezpieczone punkty końcowe?
• Ile osób będzie korzystało z połączeń VPN?

Jeżeli sieć ma się skupiać na wszechstronnej obsłudze użytkowników i oferować im pełny dostęp do sieci, wówczas należy rozważyć zastosowanie bram VPN obsługujących zarówno tunele IPSec, jak i SSL.

W sieciach stawiających sobie za cel możliwie rozległą dostępność aplikacji korzystnym rozwiązaniem są bramy SSL VPN, wspierające dostęp typu clientless z poziomu przeglądarki.

Mechanizmy ochronne weryfikujące zdalne maszyny pod kątem przestrzegania narzuconej polityki bezpieczeństwa mogą być dostarczone jako dodatek do bramy VPN lub jako oprogramowanie dodatkowe od niezależnych firm. Oprogramowanie zabezpieczające punkty końcowe, wbudowane w stosowaną platformę VPN, jest łatwiejsze w konfiguracji i z reguły nie stwarza problemów integracyjnych. Zarazem jednak przy wszystkich uaktualnieniach i wprowadzaniu nowych mechanizmów jest się uzależnionym od danego producenta.

Stosując oprogramowanie firm niezależnych, mamy większą ofertę produktów. Ceną jest konieczność integracji ze stosowaną platformą VPN. Mając możliwość wyboru zabezpieczenia punktów końcowych, można wybierać rozwiązanie najlepsze w danej chwili i w razie potrzeby wymienić je na inne.

Liczba użytkowników determinuje wymaganą przepustowość. Należy pamiętać, że nie wszyscy użytkownicy będą jednocześnie korzystać z tuneli VPN. Należy też zapewnić możliwość zwiększenia wydajności sieci w przyszłości.

Przy podstawowym dostępie do zdalnego pulpitu łatwiejsze jest wykorzystanie Windows Remote Desktop wbudowanego w system operacyjny czy np. VNC. Jednak skuteczniejszy dostęp do wybranych zasobów i monitoring połączeń zapewniają sieci SSL VPN.

VPN na straży telefonii

Sieci VPN są coraz powszechniej wykorzystywane do zabezpieczania transmisji VoIP. Pakiety głosowe przesyłane poprzez publiczną sieć Internet można łatwo przechwycić. Jeżeli nie są one zaszyfrowane, wówczas odtworzenie konwersacji nie stanowi problemu. Dane głosowe muszą być zabezpieczane tak jak dane firmowe. Coraz więcej bram i centrali IP posiada funkcjonalność VPN. Szyfrowanie VoIP-VPN oferuje też część telefonów. Dzięki połączeniu telefonii IP z usługą VPN zdalni pracownicy mogą poprzez tunel VPN korzystać bezpośrednio z firmowych central IP PBX, bowiem system telefoniczny i terminal użytkownika znajdują się wówczas w tej samej sieci logicznej.

VPN poprawia jakość VoIP?

Teoretycznie jakość transmisji głosu w połączeniach nieszyfrowanych powinna być lepsza niż w sieciach VPN. Wynika to z konieczności szyfrowania i dodatkowej transmisji ruchu głosowego UDP poprzez protokoły TCP i SSL. W najlepszym przypadku jakość pomiędzy łączem nieszyfrowanym a szyfrowanym będzie taka sama, przy sieciach o małych opóźnieniach.

Testy przeprowadzone przez Network World Lab Alliance zaskakująco wykazały lepszą jakość głosu w połączeniach SSL VPN (od 5% do 20%). Okazało się, że przyczyną tego jest wykorzystanie protokołu TCP, który przeprowadzał retransmisje pakietów. Małe opóźnienia powodują, że czas retransmisji pakietów nie przekracza parametrów bufora odbiorczego jitter. Wykorzystanie protokołu UDP w zwykłych sieciach VoIP powoduje, że straty pakietów głosowych są nieodwracalne.

WLAN VPN

Sieci VPN wykorzystywane są też do zabezpieczania transmisji w sieciach bezprzewodowych WLAN. Jest to dotąd najpewniejsza metoda gwarantująca poufność wobec ujawnianych co pewien czas przypadków przełamania zabezpieczeń sieci WLAN (WPA, WEP). Brak dostatecznych mechanizmów zabezpieczeń czyni bowiem firmową sieć Wi-Fi dostępną dla każdej anteny znajdującej się w zasięgu fal radiowych. Do łamania zabezpieczeń i podsłuchu transmisji WLAN istnieją specjalne narzędzia, np. WepCrack, AirSnort.

Tunele VPN są też sensowną metodą zabezpieczania transmisji w coraz szybszych sieciach radiowych EDGE, WiMAX czy HDSPA.

Dostępne routery/bramy WLAN często oferują tworzenie sieci VPN dla połączeń radiowych. Najczęściej wykorzystywany jest tutaj IPSec oraz agresywny lub normalny tryb wymiany kluczy IKE.

Większość polskich operatorów oferuje już usługę zestawiania korporacyjnych, zarządzanych sieci VPN. Jest to oferta atrakcyjna głównie dla małych firm, które nie muszą inwestować we własną infrastrukturę i personel. Według szacunków IDC 14% połączeń VPN jest zestawianych w zarządzanych sieciach VPN.

Sieci VPN zmierzają w kierunku jednoczesnego udostępniania usług transmisji głosu, danych i wideo - V3PN (Voice, Video and Data Virtual Private Network), z obsługą klas ruchu QoS.