„Site-to-site“ VPN: tipai, reikalavimai ir nustatymas

Kas yra „site-to-site“ VPN?

„Site-to-site“ virtualusis privatusis tinklas (VPN) yra saugus VPN ryšys tarp dviejų ar daugiau atskirų tinklų. Užuot saugojęs atskirus įrenginius, jis apsaugo ryšį tarp visų vietinių tinklų (LAN), pavyzdžiui, tarp įmonės būstinės ir filialų.

Šis VPN tipas veikia kaip visuotinis tinklas (WAN) ir leidžia skirtingose vietose esančioms komandoms naudotis bendrais ištekliais taip, tarsi jos būtų prisijungusio prie to paties vietinio tinklo. Skirtingai nei kiti WAN tipai, „site-to-site“ VPN sukuria saugų VPN tunelį tarp kelių LAN tinklų. Įprastai jis naudojamas:

• sujungti geografiškai nutolusius įmonės biurus;
• apsaugoti ryšius tarp vietinės infrastruktūros ir nuotolinių duomenų centrų;
• užtikrinti saugų bendravimą tarp partnerių įmonių.

Nuotolinės prieigos VPN yra skirtas užmegzti ryšį tarp atskirų naudotojų ir centrinio tinklo (pavyzdžiui, darbuotojui prisijungiant prie įmonės išteklių iš namų). Tuo tarpu „site-to-site“ VPN užšifruoja ryšį tarp visų tinklų. Vienas apsaugo ryšį tarp įrenginio ir tinklo, kitas – tiltą tarp vieno ir kito tinklo.

Kaip veikia „site-to-site“ VPN ryšys?

„Site-to-site“ VPN saugiai sujungia tinklus, sukurdamas tunelį tarp dviejų vietų ir naudodamas VPN protokolus, pavyzdžiui, „IPsec“ (interneto protokolo apsauga). Šis tunelis šifruoja visą srautą tarp vietų, todėl yra neįskaitomas pašaliniams.

Kiekvienas tinklas turi tinklų sietuvą (dažniausiai tai yra VPN palaikantis maršrutizatorius arba užkarda), kuris užšifruoja ir iššifruoja srautą. Šie tinklų sietuvai nukreipia duomenis tarp vietų pagal iš anksto nustatytas taisykles, todėl vieno tinklo įrenginiai gali bendrauti su kito tinklo įrenginiais, tarsi jie būtų tame pačiame pastate.

Tam dažniausiai naudojamas „IPsec“ protokolas. Jis tvarko šifravimą ir autentifikavimą, dažnai kartu su L2TP arba GRE protokolais, atsakingais už tuneliavimą. GRE protokolas pats nieko nešifruoja – jis tik sukuria tunelį, todėl dažniausiai yra naudojamas kartu su „IPsec“. Kai kuriose sąrankose gali būti naudojamas „OpenVPN“, ypač lankstesnėse arba pritaikytose konfigūracijose.

Paimkime pavyzdį iš realaus gyvenimo. Sakykime, kad įmonė turi biurus Berlyne ir Niujorke. Kiekvienoje vietoje veikia atskiras nešiojamųjų kompiuterių, serverių, spausdintuvų ir kitų įrenginių tinklas. Įmonė nori, kad šie tinklai veiktų kaip vienas, bet jokie duomenys nepatektų į viešąjį internetą. Štai kaip tai padaroma:

1. 1.Abiejuose biuruose įrengiami VPN tinklų sietuvai. Jie veikia tarsi saugūs tarpininkai tarp vietinio tinklo ir VPN tunelio.
2. 2.Naudojant „IPsec“ protokolą, tarp tinklų sietuvų sukuriamas tunelis.
3. 3.Visas srautas tarp dviejų biurų užšifruojamas, kai patenka į tunelį, ir iššifruojamas, kai iš jo išeina.

Taigi, jei Berlyne esantis Džo nori pateikti užklausą duomenų bazei Niujorke, jo užklausa keliauja per Berlyno tinklų sietuvą, yra užšifruojama, saugiai perduodama tuneliu, iššifruojama Niujorko tinklų sietuve ir galiausiai pasiekia duomenų bazę. Atsakymas grįžta tuo pačiu šifruotu keliu. Džo nieko nepastebi – šis procesas užtrunka vos kelias sekundes.

„Site-to-site“ VPN reikalavimai

Norint nustatyti „site-to-site“ VPN, jums reikės:

• VPN palaikančių maršrutizatorių ar užkardų kiekvienoje vietoje. Jūsų aparatinė įranga turi palaikyti „IPsec“ arba panašius protokolus.
• Viešų IP adresų kiekvienam tinklų sietuvui. Taip jie randa vienas kitą internete.
• Bendro VPN protokolo. Daugumoje sąrankų šifravimui ir autentifikavimui naudojamas „IPsec“ protokolas.
• Tinklo adresų planavimo. Sukonfigūruokite tinklus taip, kad jie nepersidengtų tarp vietovių ir maršrutizavimas vyktų sklandžiai.
• Administratoriaus prieigos prie kiekvieno tinklo maršrutizatoriaus ir užkardos. Turėsite konfigūruoti tunelio nustatymus abiejose pusėse.
• Patikimo interneto ryšio kiekvienoje vietoje. Visa sąranka priklauso nuo stabilaus ryšio.

Kokie yra „site-to-site“ VPN tipai?

Egzistuoja du pagrindiniai „site-to-site“ tipai:

• Intraneto pagrindu veikiantys „site-to-site“ VPN jungia kelis tos pačios organizacijos biurus ar filialus. Pavyzdžiui, mažmeninės prekybos tinklas gali sujungti visas savo parduotuves su pagrindine būstine, sukurdamas vientisą vidinį tinklą. Viskas veikia naudojant viešąjį internetą, bet ryšys yra privatus ir saugus.
• Ekstraneto pagrindu veikiantys „site-to-site“ VPN naudojami tarp atskirų organizacijų, pvz., tiekėjų, partnerių ir klientų. Ekstraneto pagrindu veikiantis VPN leidžia suteikti kontroliuojamą prieigą prie tam tikrų jūsų tinklo dalių, neatveriant viso tinklo.

Didesnėms sistemoms kai kurios įmonės renkasi MPLS VPN – privačią, valdomą alternatyvą, galinčią atlikti sudėtingesnį maršrutizavimą.

Kuo skiriasi „site-to-site“ VPN ir nuotolinės prieigos VPN?

„Site-to-site“ VPN skiriasi nuo nuotolinės prieigos virtualaus privataus tinklo. Nuotolinės prieigos VPN yra dažniausiai naudojamas asmeninis virtualaus privataus tinklo tipas. Jį galima naudoti telefone ar kompiuteryje, siekiant kasdien užtikrinti privatų ryšį.

Nuotolinės prieigos VPN naudoja kliento ir serverio modelį. Klientas yra įrenginyje įdiegta programėlė, kuri nukreipia jūsų internetinę veiklą per serverį ir šifruoja duomenis, kol jie perduodami tarp kliento ir serverio. Tai veiksmingas būdas apsaugoti privatumą internete, paslėpti įrenginių IP adresus ir sumažinti tarpininko atakų pavojų.

„Site-to-site“ VPN nenaudoja kliento ir serverio modelio. Šifravimo tunelis veikia tarp kiekvienoje vietoje esančių tinklų sietuvų, todėl naudotojui nereikia turėti kliento savo įrenginyje, jei jis siunčia ir gauna informaciją per VPN tinklų sietuvą.

Žinoma, kartais įmonės ir dedelės organizacijos irgi naudoja nuotolinės prieigos VPN. jų darbuotojai naudoja įrenginyje esantį klientą, kad prisijungtų prie konkretaus įmonės serverio, kuriame, pavyzdžiui, saugomi failai ar kiti tinklo ištekliai. Daugelis įmonių naudoja ir nuotolinės prieigos VPN, ir „site-to-site“ VPN.

Kuo skiriasi „site-to-site“ VPN ir „point-to-site“ VPN?

„Site-to-site“ VPN sujungia visus tinklus ir puikiai tinka įmonėms, turinčioms kelis biurus, kuriems reikia nuolatinio ir saugaus ryšio. Jie veikia tarsi tiltas tarp vietovių, tad skirtingos komandos dalijasi ištekliais lyg prisijungusios prie to paties vietinio tinklo.

„Point-to-site“ VPN yra skirti individualiems naudotojams. Jie leidžia nuotoliniams darbuotojams saugiai prisijungti prie biuro tinklo iš bet kurios vietos: namų, kavinės ar kelionėje. Jie lankstūs ir orientuoti į naudotoją, todėl irgi tinka įmonėms, kurių darbuotojai dirba skirtingose vietose.

Kaip sukurti „site-to-site“ VPN tunelį?

Peržiūrėkite veiksmus, kuriais nustatomas „site-to-site“ VPN tunelis:

1. 1.Pasirinkite VPN palaikančius maršrutizatorius ar užkardas kiekvienoje vietovėje.
2. 2.Kiekviename įrenginyje nustatykite:
   • pastovų viešą IP adresą, kad įrenginiai rastų vienas kitą;
   • sutampantį VPN protokolą (dažniausiai naudojamas „IPsec“);
   • sutampančius šifravimo nustatymus.
3. 3.Apibrėžkite vietinius ir nuotolinius potinklius bei nustatykite, kokį srautą turi tuneliuoti kiekvienas tinklų sietuvas.
4. 4.Nustatykite autentifikavimą (iš anksto nustatytą raktą arba skaitmeninį sertifikatą).
5. 5.Atidarykite būtinus užkardos prievadus (įprastai UDP 500 ir 4500, skirtus „IPsec“).
6. 6.Patikrinkite tunelį ir įsitikinkite, jog srautas yra šifruojamas ir maršrutizavimas yra teisingas.

Kaip atlikti „site-to-site“ VPN konfigūraciją?

Jei norite konfigūruoti „site-to-site“ VPN, jums reikės prieigos prie VPN palaikančio maršrutizatoriaus arba užkardos kiekvienoje vietoje. Norėdami įdiegti, atlikite šiuos veiksmus:

1. 1.Prisijunkite prie savo maršrutizatoriaus arba užkardos administravimo sistemos.
2. 2.Eikite į VPN skiltį ir pasirinkite „site-to-site“ arba „IPsec“ VPN.
3. 3.Pasirinkite vietinį potinklį (savo vidinį tinklą) ir nuotolinio partnerio viešąjį IP.
4. 4.Įveskite nuotolinį potinklį (kitos vietos vidinį tinklą).
5. 5.Pasirinkite šifravimo ir autentifikavimo nustatymus (pvz., AES arba SHA).
6. 6.Įveskite iš anksto nustatytą raktą arba įkelkite skaitmeninius sertifikatus.
7. 7.Jei reikia, įjunkite „NAT traversal“ techniką (priklauso nuo jūsų tinklo nustatymų).
8. 8.Išsaugokite ir pritaikykite nustatymus.
9. 9.Pakartokite konfigūraciją nuotoliniame įrenginyje.
10. 10.Patikrinkite ryšį ir įsitikinkite, jog tunelis veikia.

Kaip geriausia nustatyti „site-to-site“ VPN?

Sukurti tunelį yra viena, o išlaikyti jį saugų ir stabilų – visai kas kita. Keletas geriausios praktikos pavyzdžių padės jums tai padaryti teisingai:

• Naudokite stiprų šifravimą, pvz., AES-256 su „IPsec“.
• Reguliariai atnaujinkite visų VPN įrenginių programinę įrangą.
• Ribokite prieigą naudodami užkardos taisykles.
• Reguliariai tikrinkite veiklos žurnalus ir nustatykite įspėjimus dėl neįprasto srauto.
• Jei būtinas aukštas prieinamumas, įjunkite atsarginį veikimą.

Kokia aparatinė įranga reikalinga „site-to-site“ VPN?

Norint naudoti „site-to-site“ VPN, nereikia sudėtingos įmonėms skirtos įrangos – tereikia tinkamų įrankių:

• Maršrutizatoriaus arba užkardos, kurie palaiko „site-to-site“ VPN protokolus (pvz., „IPsec“).
• Dvigubų WAN maršrutizatorių, jei norite turėti atsarginį interneto kanalą arba paskirstyti apkrovą.
• VPN koncentratorių, skirtų valdyti kelis tunelius didelio masto tinkluose.
• Modemo, užtikrinančio stabilų interneto ryšį kiekvienoje vietoje.

Svarbu, kad aparatinė įranga būtų pakankamai galinga ir galėtų tvarkyti šifravimą nesulėtindama tinklo veiklos.

Kokie yra „site-to-site“ VPN privalumai?

Visų dydžių įmonėms skirto „site-to-site“ VPN privalumai:

• Didesnė duomenų apsauga. „Site-to-site“ VPN šifruoja duomenis, perduodamus tarp naudotojų arba skirtingų vietovių (tai yra anksčiau minėtas šifruotas VPN tunelis). Tai reiškia, kad jei piktavaliai perims tarp svetainių perduodamus duomenis, be tinkamo iššifravimo rakto jie matys tik nesuprantamą kodą.
• Supaprastintas išteklių bendrinimas. Nors tai būdinga daugeliui WAN, verta čia paminėti. „Site-to-site“ VPN leidžia darbuotojams visame pasaulyje bendrauti, dalytis ištekliais ir saugiai pasiekti konfidencialius duomenis. Tai veiksmingas būdas užtikrinti sklandų bendradarbiavimą tarp geografiškai nutolusių darbuotojų, jei kiekvienas turi prieigą prie vietų, kuriose įrengti tinklų sietuvai.
• Paprastas įtraukimas. Vienas iš privalumų naudojant „site-to-site“ VPN tinklo saugumo sprendimą yra tai, kad jis nepriklauso nuo kliento ar serverio modelio. Vietoje to, kad visi įmonės tinklo naudotojai turėtų įdiegti specialią kliento programinę įrangą savo įrenginiuose, jie gali tiesiog prisijungti prie VPN tinklų sietuvo ir naudotis minėta duomenų apsauga. Ne kliento modelio naudojimas taip pat padeda tais retais atvejais, kai tam tikros operacinės sistemos ir įrenginiai nėra suderinami su VPN programine įranga.

Kokie yra „site-to-site“ VPN apribojimai?

„Site-to-site“ VPN turi keletą apribojimų, į kuriuos reikėtų atsižvelgti:

• Netinka nuotoliniam darbui. Nuo 2020 m. nuotolinis darbas tapo daug įprastesnis. Daug darbuotojų dirba iš namų ar bendrų erdvių, kur neturi prieigos prie VPN tinklų sietuvo. Tas pats galioja ir organizacijoms, kurios naudojasi laisvai samdomų darbuotojų, kurie retai lankosi VPN siejamose vietose, paslaugomis.
• Ribotas saugumas ir privatumas. Kad ir kokie saugūs yra jūsų VPN protokolai, „site-to-site“ VPN saugo duomenis tik tada, kai jie keliauja tarp tinklų sietuvų. LAN tinklai abiejose šių tinklų sietuvų pusėse nebūtinai yra apsaugoti nuo kibernetinių nusikaltėlių ir šnipinėjimo. Informacija gali būti atskleista po to, kai iššifruota nusiunčiama į konkretų įrenginį. Tai sritis, kurioje kliento ir serverio VPN turi pranašumą, nes duomenys, keliaujantys į atskirus kliento įdiegtus įrenginius ir iš jų, įprastai yra šifruojami.
• Decentralizuotas diegimas ir valdymas. Nors daugelis įmonių diegia VPN sprendimus siekdamos labiau apsaugoti tinklą, dauguma teikia pirmenybę sistemoms, kurias galima diegti ir valdyti iš centrinio valdymo taško. Centralizuotas valdymas leidžia geriau ir saugiau spręsti technines problemas. Tačiau pasirinkus „site-to-site“ VPN, centralizuotas valdymas tampa sudėtingesnis, nes skirtingose vietose dalyvauja skirtingos komandos.

Kodėl B2B komunikacijai verta naudoti „site-to-site“ VPN?

B2B komunikacijai turėtumėte naudoti „site-to-site“ VPN, nes jis turi daug privalumų: 

• Saugumas. Visas srautas tarp tinklų yra šifruojamas, todėl sumažėja grėsmių pavojus.
• Kontrolė. Jūs nusprendžiate, kokias tinklo dalis gali pasiekti partneriai ir laisvai samdomi darbuotojai.
• Mažiau išlaidų. Nebereikia brangių nuomojamų linijų ar dedikuotų ryšio kanalų.
• Patogumas. Išorinė prieiga atrodo taip, lyg vyktų jūsų tinkle.

Kaip įmonių tinklai naudojasi „site-to-site“ VPN?

„Site-to-site“ VPN leidžia įmonėms veikti kaip vienam vienetui, kad ir po kiek skirtingų vietovių išsibarstę jų padaliniai. Štai kokiems tikslams įmonės naudoja šiuos VPN:

• Saugiai bendrina duomenis tarp biurų visame pasaulyje.
• Centralizuoja filialų duomenų atsargines kopijas.
• Įgalina vidines programėles (pvz., CRM arba ERP) visose vietose.
• Suteikia prieigą prie bendrų duomenų bazių ir įrankių.
• Kuria vieningą saugumo politiką visose vietovėse.
• Vykdo lankstų hibridinį darbą, derindamos biuro tinklams skirtą „site-to-site“ VPN ir nuotolinės prieigos VPN darbuotojams, kurie dirba iš namų arba yra išvykę.

Ar „site-to-site“ VPN yra geresnis už internetinį VPN?

Tai priklauso nuo jūsų poreikių:

• „Site-to-site“ VPN sujungia ištisus tinklus. Jis tinkamiausias vidinėms verslo operacijoms ir partnerių prieigai.
• Internetinis VPN (pavyzdžiui, SSL VPN) puikiai tinka asmenims, norintiems greitos prieigos prie konkrečių programėlių ar paslaugų per naršyklę. Jis puikiai tinka retkarčiais naudoti nuotoliniu būdu, tačiau nėra pritaikytas pilnai integracijai į tinklą.

Ar VPN tinka jūsų įmonei?

VPN gali sustiprinti daugumos įmonių interneto privatumą ir duomenų saugumą. „NordLayer“ yra vienas efektyviausių B2B VPN sprendimų, siūlantis įvairių variantų skirtingo dydžio įmonėms. Pasirinkę „NordLayer“ „site-to-site“ VPN paslaugą, galėsite naudotis specialiais tinklų sietuvais visiems savo LAN tinklams.

Net jei jau turite tinklo sprendimą, pvz., MPLS, „NordLayer“ gali atlikti svarbų vaidmenį jūsų bendroje kibernetinio saugumo strategijoje. „NordLayer“ taip pat siūlo kliento ir serverio modelį, leidžiantį organizacijoms saugiai dalytis duomenimis ir ištekliais su darbuotojais tiek biure, tiek už jo ribų.

„NordVPN“: programinės įrangos alternatyva „site-to-site“ VPN tinklams

„NordVPN“ siūlo paprastesnę ir pigesnę alternatyvą tradiciniams „site-to-site“ VPN, ypač mažoms įmonėms, kurioms reikia saugios nuotolinės prieigos. Nors tai nėra „site-to-site“ VPN, įmonės gali naudoti priskirtąjį IP adresą, kad nuotoliniams darbuotojams suteiktų saugią ir kontroliuojamą prieigą prie savo tinklo be sudėtingos tradicinės sąrankos.

„NordVPN“ užtikrina greitą ir saugų ryšį su tokiomis funkcijomis kaip AES-256 šifravimas, pasaulinis serverių tinklas ir papildomos saugumo priemonės, pvz., „Double VPN“. Jį paprasta naudoti, o klientų aptarnavimo centras veikia visą parą. „NordVPN“ – tai puikus pasirinkimas įmonėms, kurioms reikia patikimos nuotolinės prieigos be sudėtingų nustatymų.