Verkkojen väliset VPN:t: tyypit, vaatimukset ja asetuksetVerkkojen väliset VPN:t: tyypit, vaatimukset ja asetukset

Mikä on site-to-site-VPN?

Verkkojen välinen virtuaalinen erillisverkko eli VPN tarkoittaa suojattua VPN-yhteyttä kahden tai useamman erillisen verkon välillä. Se ei siis suojaa yksittäisiä laitteita, vaan viestintää kokonaisten lähiverkkojen (LAN) välillä – esimerkiksi yrityksen pääkonttorin ja sivutoimipisteen välillä.

Tämä VPN-tyyppi toimii kuin laajaverkko (WAN), jonka ansiosta tiimit eri sijainneissa voivat käyttää jaettuja resursseja aivan kuin ne olisivat yhteydessä samaan paikalliseen verkkoon. Muihin laajaverkkotyyppeihin verrattuna verkkojen väliset VPN:t luovat suojatun VPN-tunnelin useiden lähiverkkojen välille. Verkkojen välisiä VPN:iä käytetään usein seuraaviin tarkoituksiin:

• Maantieteellisesti kaukana toisistaan sijaitsevien yrityksen toimistojen yhdistäminen.
• Paikallisen infrastruktuurin ja etädatakeskusten välisten yhteyksien suojaaminen.
• Turvallisen viestinnän takaaminen kumppaniyritysten välillä.

Etäkäyttö-VPN:ää käytetään luomaan yhteys yksittäisten käyttäjien ja keskusverkon välillä (esimerkkinä voidaan ajatella työntekijää, joka käyttää yrityksen resursseja kotona työskennellessään). Site-to-site-VPN:t tarjoavat salatun yhteyden kokonaisten verkkojen välille. Ensimmäinen siis suojaa laitteen ja verkon välisen yhteyden, toinen taas suojaa verkkojen väliset yhteydet.

Miten verkkojen välinen VPN-yhteys toimii?

Verkkojen välinen VPN yhdistää verkot suojatusti toisiinsa luoden verkkojen välisen tunnelin käyttämällä VPN-protokollia, kuten IPseciä (Internet Protocol Security). Tämä tunneli salaa kaiken verkkojen välisen liikenteen ja suojaa sen ulkopuolisilta.

Jokaisessa verkossa on yhdyskäytävä (yleensä VPN-yhteensopiva reititin tai palomuuri), joka käsittelee liikenteen salauksen ja salauksen purkamisen. Nämä yhdyskäytävät reitittävät datan verkkojen välillä käyttäen ennalta määritettyjä sääntöjä, joten yhdessä verkossa olevat laitteet voivat kommunikoida toisessa verkossa olevien laitteiden kanssa aivan kuin ne olisivat samassa rakennuksessa.

IPsec on yleisin tähän tarkoitukseen käytetty protokolla. Se käsittelee salauksen ja todennuksen, ja usein sen kanssa käytetään L2TP:tä tai GRE:tä tunnelointiin. GRE itsessään ei salaa mitään – se vain luo tunnelin, joten siksi sitä käytetään tyypillisesti yhdessä IPsecin kanssa. Joissakin kokoonpanoissa käytetään OpenVPN:ää, erityisesti joustavammissa tai mukautetuissa asetuksissa.

Katsotaan seuraavaksi käytännön esimerkkiä. Kuvitellaan, että yrityksellä on toimisto sekä Berliinissä että New Yorkissa. Kummassakin sijainnissa on oma kannettavien, palvelimien, tulostimien ja muiden laitteiden verkostonsa. Yritys haluaa, että nämä verkostot toimivat aivan kuin kyseessä olisi yksi verkko, eikä mitään saa vuotaa julkiseen internetiin. Näin ratkaisu toteutetaan:

1. 1.Molempiin toimistoihin luodaan VPN-yhdyskäytävät. Ne toimivat turvallisina kääntäjinä paikallisen verkon ja VPN-tunnelin välillä.
2. 2.Yhdyskäytävien välille luodaan tunneli IPsecin avulla.
3. 3.Kaikki kahden toimiston välinen liikenne salataan, kun se siirtyy tunneliin, ja salaus puretaan, kun liikenne poistuu tunnelista.

Jos siis Joe Berliinissä haluaa tehdä pyynnön New Yorkissa olevaan tietokantaan, hänen pyyntönsä kulkee Berliinin yhdyskäytävän kautta, se salataan ja se matkustaa suojatusti tunnelin läpi, ja sitten New Yorkin yhdyskäytävä purkaa salauksen ja pyyntö vastaanotetaan tietokannassa. Vastaus kulkee samaa salattua reittiä takaisin. Joe ei koskaan huomaa mitään, sillä prosessi vie vain muutamia sekunteja.

Mitä site-to-site-VPN vaatii?

Verkkojen välisen VPN:n luomiseen tarvitaan seuraavat elementit:

• VPN-yhteensopivat reitittimet tai palomuurit kussakin sijainnissa. Laitteiston täytyy tukea IPsec-protokollaa tai muita samankaltaisia protokollia.
• Julkinen IP-osoite jokaista yhdyskanavaa varten. Näin ne löytävät toisensa internetissä.
• Jaettu VPN-protokolla. Useimmissa kokoonpanoissa käytetään IPsec-protokollaa salaukseen ja todennukseen.
• Verkko-osoitteiden suunnittelu. Vältä päällekkäisiä aliverkkoja verkkojen välillä ja pidä reititys yksinkertaisena.
• Järjestelmänvalvojan pääsy kummankin verkon reitittimeen ja palomuuriin. Tunnelin asetukset on muodostettava kummassakin päässä.
• Vakaa internet-yhteys kummassakin verkossa. Koko kokoonpano on riippuvainen vakaasta yhteydestä.

Minkä tyyppisiä verkkojen välisiä VPN:iä on olemassa?

Verkkojen välisiä VPN:iä on kahta päätyyppiä:

• Intranet-perustaiset site-to-site-VPN:t yhdistävät saman yrityksen useat toimistot tai toimipisteet. Esimerkiksi kauppaketju voi yhdistää kaikki liikkeet pääkonttoriin luodakseen yhtenäisen sisäisen verkon. Kaikki toimii julkisen internetin kautta, mutta yhteys on yksityinen ja suojattu.
• Ekstranet-perustaisia site-to-site-VPN:iä käytetään erillisten yritysten, kuten toimittajien, kumppanien tai asiakkaiden, välillä. Ekstranet-perustainen VPN mahdollistaa hallitun pääsyn tiettyihin yrityksen verkon osiin ilman koko verkon avaamista.

Kun kyseessä ovat suuremmat kokoonpanot, jotkut yritykset valitsevat MPLS-VPN:n, joka on yksityinen, hallittu vaihtoehto, joka selviää monimutkaisemmasta reitityksestä.

Mitä eroa on verkkojen välisellä VPN:llä ja etäkäyttö-VPN:llä?

Site-to-site-VPN eroaa etäkäyttö-VPN:stä. Etäkäyttö-VPN on yleisin kuluttajien käyttämä virtuaalinen erillisverkko – sitä käytetään niin puhelimissa kuin kannettavissa tietokoneissakin yksilötason tietosuojan turvaamiseen.

Etäkäyttö-VPN:t käyttävät sovellus-palvelin-mallia. Laitteelle asennettu sovellus reitittää käyttäjän internet-toiminnan palvelimen kautta ja salaa tiedot niiden liikkuessa sovelluksen ja palvelimen välillä. Tämä on tehokas tapa suojata yksityisyyttä verkossa, piilottaa laitteidesi IP-osoitteet ja vähentää väliintulohyökkäysten uhkaa.

Verkkojen väliset eli site-to-site-VPN:t eivät käytä sovellus-palvelin-mallia. Salaustunneli kulkee kunkin verkon yhdyskäytävän välillä, joten käyttäjät eivät tarvitse laitteellaan sovellusta, kunhan he lähettävät ja vastaanottavat tietoa VPN-yhdyskäytävänsä kautta.

Etäkäyttö-VPN:iä voidaan tietysti käyttää pienissä ja suuremmissakin yrityksissä. Työntekijät voivat käyttää sovellusta laitteellaan saadakseen pääsyn tiettyyn yrityksen palvelimeen, jolla esimerkiksi säilytetään tiedostoja ja muita verkkoresursseja. Monet yritykset käyttävät sekä etäkäyttö-VPN:iä että verkkojen välisiä VPN:iä.

Mitä eroa on site-to-site-VPN:llä ja point-to-site-VPN:llä?

Site-to-site-VPN:t yhdistävät kokonaisia verkkoja, ja ne sopivat erinomaisesti yrityksille, joilla on useita toimistoja, joiden välillä tarvitaan jatkuvaa ja suojattua yhteyttä. Ne toimivat siltana niin, että eri tiimit voivat jakaa resursseja aivan kuin he olisivat samassa paikallisverkossa.

Point-to-site-VPN:t toimivat laitteen ja verkon välillä, ja ne on kehitetty yksilökäyttäjiä varten. Niiden avulla etätyöskentelijät voivat luoda suojatun yhteyden työpaikan verkkoon missä tahansa: kotona, kahvilassa tai matkoilla. Tämä ratkaisu on joustava, käyttäjäkeskeinen ja sopii erinomaisesti yrityksille, joilla on työntekijöitä useissa sijainneissa.

Näin verkkojen välinen VPN-tunneli luodaan

Katsotaan seuraavaksi, miten verkkojen välinen VPN-tunneli luodaan:

1. 1.Valitse VPN-yhteensopivat reitittimet tai palomuurit kussakin verkossa.
2. 2.Tee kumpaankin laitteeseen seuraavat asetukset:
   • Staattinen julkinen IP-osoite, jotta ne löytävät toisensa.
   • Sama VPN-protokolla (IPsec on yleinen).
   • Samat salausasetukset.
3. 3.Määrittele paikalliset ja etäaliverkot kertoaksesi kullekin yhdyskäytävälle, mitä liikennettä tunneloida.
4. 4.Ota käyttöön todennus (esijaettu avain tai digitaalinen sertifikaatti).
5. 5.Avaa vaaditut palomuurin portit (yleensä UDP 500 ja 4500 IPsecille).
6. 6.Testaa tunnelia varmistaaksesi, että liikenne salataan ja reititys on kunnossa.

Miten verkkojen välisen VPN:n asetukset tehdään?

Site-to-site-VPN:n asentamista varten tarvitaan VPN-yhteensopiva reititin tai palomuuri kussakin verkossa. Seuraa alla olevia vaiheita asennusta varten:

1. 1.Kirjaudu reitittimen tai palomuurin järjestelmänvalvojan käyttöliittymään.
2. 2.Siirry VPN-osioon ja valitse "Site-to-site"- tai "IPsec"-VPN.
3. 3.Aseta paikallinen aliverkko (sisäinen verkkosi) ja etäkohteen julkinen IP-osoite.
4. 4.Syötä etäaliverkko (toisen toimipisteen sisäinen verkko).
5. 5.Valitse salaus- ja todennusasetukset (kuten AES tai SHA).
6. 6.Syötä esijaettu avain tai lataa digitaaliset sertifikaatit.
7. 7.Ota käyttöön NAT-läpivienti, jos sitä tarvitaan (riippuu verkkosi asetuksista).
8. 8.Tallenna ja ota asetukset käyttöön.
9. 9.Toista asetukset etälaitteella.
10. 10.Testaa yhteyttää varmistaaksesi, että tunneli toimii.

Mitkä ovat parhaita käytäntöjä verkkojen välisen VPN:n käyttöönotossa?

Tunnelin luominen on ensimmäinen askel, mutta sen lisäksi se täytyy pitää suojattuna ja vakaana. Seuraavat parhaat käytännöt auttavat siinä:

• Käytä vahvaa salausta, kuten AES-256 IPsecin kanssa.
• Huolehdi laiteohjelmistojen päivityksistä ja turvallisuudesta kaikilla VPN-laitteilla.
• Rajaa pääsy käyttämällä palomuurisääntöjä.
• Tarkista lokit säännöllisesti ja aseta hälytykset ilmoittamaan epätavallisesta liikenteestä.
• Ota käyttöön vikasietoiset asetukset, jos jatkuva saatavuus on kriittisen tärkeää.

Mitä laitteita verkkojen välinen VPN vaatii?

Site-to-site-VPN:n pyörittämiseen ei vaadita hienoja laitteita, mutta tarvitset oikeat työkalut:

• Reititin tai palomuuri, joka tukee site-to-site-VPN:n kanssa toimivia protokollia (kuten IPsec).
• Kaksoislaajaverkkoreitittimet, jos sinulla on tarvetta internet-yhteyden kahdentamiselle tai kuormituksen tasapainottamiselle.
• VPN-keskittimet useiden tunneleiden hallitsemiseen laajan mittakaavan verkoissa.
• Vakaan yhteyden takaava reititin kussakin sijainnissa.

On myös hyvä huomioida se, että laitteistoissa tulee olla riittävästi prosessointitehoa salauksen käsittelyyn, jotta verkon suorituskyky ei kärsi.

Mitä hyötyä site-to-site-VPN:istä on?

Verkkojen välisen VPN:n hyötyjä eri kokoisille yrityksille ovat esimerkiksi seuraavat:

• Parannettu tietojen suojaus. Site-to-site-VPN salaa käyttäjien tai eri sijaintien välillä siirrettävän datan (tästä on kyse aiemmin mainitsemassamme VPN-tunnelissa). Tämä tarkoittaa, että jos vaaralliset toimijat sieppaavat kohteiden välillä liikkuvaa tietoa, ilman salauksen purkuavainta se näkyy heille siansaksana, jota ei ole mahdollista tulkita.
• Sujuva resurssien jakaminen. Vaikka tämä on useimpien laajaverkkojen etu, se on silti syytä mainita. Site-to-site-VPN:n avulla työntekijät eri puolilla maailmaa voivat viestiä, jakaa resursseja ja käyttää arkaluontoisia tietoja turvallisesti. Kyseessä on erinomainen tapa ylläpitää synergiaa hajaantuneessa työntekijäjoukossa, kunhan kaikilla on pääsy kohteisiin, joissa yhdyskanavat toimivat.
• Helppo käyttöönotto. Yksi site-to-site-VPN:n eduista verkon turvallisuusratkaisuna on se, että se ei vaadi sovellus-palvelin-mallia. Yrityksen verkon kaikkien käyttäjien ei tarvitse ladata tiettyä sovellusta laitteilleen, vaan he voivat vain muodostaa yhteyden VPN-yhdyskäytävään ja hyötyä yllä kuvailluista turvallisuuseduista. Sovelluksettoman mallin käyttämisestä on iloa myös sellaisissa harvinaisissa tapauksissa, joissa tietyt käyttöjärjestelmät tai laitteet eivät ole yhteensopivia VPN-ohjelmiston kanssa.

Minkälaisia rajoituksia verkkojen välisillä VPN:illä on?

Site-to-site-VPN:iä koskevat myös rajoitukset, jotka on syytä huomioida:

• Ei sovi etätyöskentelyyn. Vuodesta 2020 alkaen etätyöskentely on yleistynyt ja arkipäiväistynyt. Tästä syystä monet työntekijät työskentelevät kotona tai coworking-toimistoissa, joissa heillä ei ole pääsyä tiettyyn VPN-yhdyskäytävään. Tämä koskee myös yrityksiä, jotka käyttävät freelancereita, jotka voivat harvoin fyysisesti käyttää toimipisteitä, jotka VPN yhdistää toisiinsa.
• Rajallinen turvallisuus ja yksityisyys. Huolimatta siitä, kuinka turvallisia VPN-protokollasi ovat, site-to-site-VPN suojaa tiedot vain niiden liikkuessa yhdyskäytävien välillä. Yhdyskäytävien päässä olevat lähiverkot eivät välttämättä ole suojassa kyberrikollisilta ja nuuskijoilta, joten kun tietojen salaus poistetaan ja ne siirretään tietylle laitteelle tai toimipisteeseen, ne saattavat paljastua. Tässä asiassa sovellus-palvelin-VPN vie voiton, sillä niiden kohdalla yksittäisten käyttäjien laitteiden liikenne liikkuu molempiin suuntiin salattuna.
• Hajautettu käyttöönotto ja hallinta. Monet yritykset hyödyntävät VPN-ratkaisuja parantaakseen verkkojensa turvallisuutta, mutta monet niistä suosivat järjestelmiä, joiden käyttöönotto ja hallinta voidaan hoitaa keskitetysti. Keskitetty hallinta helpottaa teknistä vianmääritystä ja parantaa suojausta. Site-to-site-VPN:n käyttöönottoon liittyy eri tiimejä eri toimipisteissä, mikä voi tehdä keskitetystä hallinnasta vaikeampaa.

Miksi käyttää verkkojen välistä VPN:ää yritysten väliseen viestintään?

Site-to-site-VPN:ää kannattaa käyttää B2B-viestintään, sillä se tarjoaa monenlaisia etuja: 

• Turvallisuus. Kaikki verkkojen välillä kulkeva liikenne salataan, mikä suojaa erilaisilta uhilta.
• Hallinta. Sinä päätät, mihin verkon osiin kumppaneillasi tai alihankkijoillasi on pääsy.
• Kustannustehokkuus. Ratkaisu poistaa tarpeen kalliisiin vuokrattuihin linjoihin tai erillisiin piireihin.
• Käytännöllisyys. Ratkaisu saa ulkoa käsin tapahtuvan käytön tuntumaan samalta kuin verkon sisäisen käytön.

Miten yritysverkoissa voidaan hyödyntää site-to-site-VPN:iä?

Verkkojen välisten VPN:ien ansiosta yritykset voivat toimia yhtenä yksittäisenä yksikkönä toimipisteiden määrästä riippumatta. Näin yritykset hyödyntävät niitä:

• Tietojen turvallinen jakaminen eri puolilla maailmaa sijaitsevien toimipisteiden välillä.
• Keskitetyt varmuuskopiot sivutoimipisteistä.
• Sisäisten sovellusten (kuten CRM tai ERP) käyttö kaikissa toimipisteissä.
• Pääsyn tarjoaminen jaettuihin tietokantoihin ja työkaluihin.
• Yhtenäisen turvallisuuskäytännön luominen eri toimipisteiden välille.
• Hybridi joustavuus – site-to-site-VPN:ien käyttö toimistoverkoissa yhdistettynä etäkäyttö-VPN:ään työntekijöille, jotka työskentelevät kotona tai liikkuessaan.

Onko site-to-site-VPN parempi kuin verkkopohjainen VPN?

Riippuu siitä, mitä tarvitset:

• Site-to-site-VPN on kehitetty kokonaisten verkkojen yhdistämiseen. Se sopii parhaiten liiketoimintakäyttöön ja pääsyn tarjoamiseen kumppaneille.
• Verkkopohjainen VPN (kuten SSL-VPN) sopii erinomaisesti yksittäisille käyttäjille, jotka tarvitsevat nopean selainpohjaisen pääsyn tiettyihin sovelluksiin tai palveluihin. Se on mainio satunnaiseen etäkäyttöön, mutta sitä ei ole tarkoitettu kokonaisten verkkojen integrointiin.

Onko VPN oikea ratkaisu yrityksellesi?

Jos haluat tietää, sopiiko VPN yrityksellesi, täytyy vastata kahteen jatkokysymykseen: mikä on yritys-VPN, ja miten se tukee turvallista pääsyä suuremmassa mittakaavassa? Yritys-VPN voi parantaa verkkoyksityisyyttä ja tietojen suojausta turvaamalla yhteydet ja hallitsemalla eri tiimien ja sijaintien pääsyä sisäisiin resursseihin.

NordLayer, yksi tehokkaimmista saatavilla olevista B2B-VPN-ratkaisuista, tarjoaa monenlaisia vaihtoehtoja eri kokoisille yrityksille. Jos valitset Verkkojen välisen NordLayer-VPN-palvelun, saat käyttöösi omat yhdyskäytävät kaikille lähiverkoillesi.

Vaikka yritykselläsi olisikin jo olemassa verkostointiratkaisu, kuten MPLS, NordLayerillä on tärkeä rooli yleisessä kyberturvallisuusstrategiassa. NordLayer tarjoaa myös sovellus-palvelin-mallin, jonka ansiosta yritykset voivat jakaa tietoja ja resursseja työntekijöille niin toimistolla kuin sen ulkopuolellakin.

NordVPN: vaihtoehtoinen ohjelmistoratkaisu site-to-site-VPN:ille

NordVPN tarjoaa yksinkertaisemman ja edullisemman vaihtoehdon perinteisille verkkojen välisille VPN:ille. Se sopii erityisesti pienille yrityksille, jotka tarvitsevat turvallista etäkäyttöä. Vaikka kyseessä ei ole site-to-site-VPN, yritykset voivat käyttää omaa IP-osoitetta tarjotakseen työntekijöille turvallisen ja hallitun pääsyn verkkoonsa ilman tarvetta monimutkaiselle perinteiselle kokoonpanolle.

NordVPN tarjoaa muun muassa AES-256-salauksen, maailmanlaajuisen palvelinverkoston ja lisäturvallisuusvaihtoehtoja, kuten kaksois-VPN, ja se takaa, että yhteydet ovat nopeita ja vakaita. Lisäksi sen helppo käyttöliittymä ja ympärivuorokautinen tuki tekevät siitä erinomaisen valinnan yrityksille, jotka tarvitsevat luotettavan etäpääsyn ilman mutkikasta käyttöönottoa.