1.1. Architektura typu gateway-to-gateway
Architektura typu gateway-to-gateway służy do zapewnienia bezpiecznej komunikacji pomiędzy dwoma sieciami. Jest ona często wykorzystywana do połączenia ze sobą dwóch odległych oddziałów firmy. Przykład takiej architektury pokazano na rysunku 1.1.
Rysunek 1.1. Architektura gateway-to-gateway.
Implementacja takiej struktury odbywa się poprzez umiejscowienie w obu sieciach urządzeń pełniących rolę bram VPN, a następnie na ustanowieniu połączenia VPN pomiędzy tymi bramami. Nawiązanie połączenia odbywa się w pewien ustalony sposób. Jedna z bram VPN wysyła żądanie ustanowienia połączenia do drugiej bramy, następnie obie bramy wymieniają się między sobą informacjami uwierzytelniającymi oraz negocjują między sobą parametry połączenia. Dopiero po udanych negocjacjach połączenie jest rzeczywiście ustanowione. W zależności od implementacji i konfiguracji, połączenie takie może chronić cały ruch lub tylko pewne klasy ruchu. Można także ustanowić kilka połączeń VPN pomiędzy bramami, z których każde będzie chronić inną klasę ruchu i posiadać inne parametry, np. bardziej skomplikowany algorytm szyfrujący do przesyłania bardziej poufnych danych.
Architektura typu gateway-to-gateway nie chroni ruchu na całej drodze od użytkownika z jednej sieci do użytkownika z drugiej sieci. Chroniony jest tylko odcinek zaznaczony na rysunku 1.1. linią ciągłą, czyli odcinek pomiędzy dwoma bramami VPN. Odcinek pomiędzy danych użytkownikiem a bramą w tej samej sieci nie jest chroniony przez połączenie VPN, dlatego też tego rodzaju architekturę zaleca się stosować do połączenia ze sobą dwóch zaufanych sieci.
Zaletą takiego rozwiązania jest prostota implementacji oraz stosunkowo niskie koszty, ponieważ nie wymaga się instalowania dodatkowego oprogramowania na stacjach roboczych i serwerach. Ponadto nie ma potrzeby dodatkowej konfiguracji systemów operacyjnych. Zabezpieczeniem przesyłanych danych, na przykład szyfrowaniem zajmuje się brama VPN, a nie poszczególni użytkownicy. Z tego względu architektura typu gateway-to-gateway jest przezroczysta dla użytkowników i serwerów [1].
1.2. Architektura typu host-to-gatewayArchitektura typu host-to-gateway jest bardzo często wykorzystywana w wielu rozwiązaniach i cieszy się coraz większą popularnością. Umożliwia ona bezpieczny zdalny dostęp do zasobów sieciowych. Dzięki niej programiści, administratorzy i inni pracownicy zdalni mogą połączyć się z siecią lokalną swojej firmy z komputera domowego lub nawet z kafejki internetowej i przesyłać poufne dane bez ryzyka przechwycenia ich prze niepożądane osoby [1]. Architektury tego typu została przedstawiona na rysunku 1.2.
Rysunek 1.2. Architektura host-to-gateway.
Rozwiązanie to wymaga urządzenia pełniącego rolę bramy VPN po stronie sieci, z którą łączą się pracownicy zdalni oraz specjalnego oprogramowania po stronie użytkowników, np. programowy klient VPN w przypadku wykorzystania protokołu IPsec.
W chwili łączenia się użytkownika z bramą VPN wymagana jest jakaś forma uwierzytelnienia, np. w postaci hasła. Z tego względu architektura typu host-to-gateway wymaga większych nakładów pracy niż architektura gateway-to-gateway i nie jest ona przezroczysta dla użytkowników. Uwierzytelnianie użytkowników realizuje brama VPN lub dedykowany serwer, np. serwer RADIUS (ang. Remote Authentication Dial In User Service).
Architektura host-to-gateway nie chroni ruchu na całej trasie jego przepływu. Zabezpieczony jest tylko odcinek pomiędzy komputerem, z którego łączy się użytkownik zdalny, a bramą VPN. Architekturę tej używa się bardzo często do połączenia użytkownika zdalnego łączącego się z sieci publicznej z zasobami w sieci zaufanej.
wstecz
http://blog.kacperos.pl/najlepsze-darmowe-uslugi-vpn/