VPN od A do Z: Jak funguje a jak ji správně vybrat

Co je VPN a k čemu je dobrá

Virtuální privátní síť, zkratka VPN pochází z anglického názvu Virtual Private Network, umožňuje v prostředí nezabezpečené sítě, např. v internetu, zřídit zabezpečené soukromé propojení. Soukromé znamená, že propojení je nejenom chráněno před odposlechem či manipulací, ale skryje i údaje o komunikujících stranách, např. jejich síťové IP adresy. Nikdo nepovolaný tak nezjistí, co je obsahem komunikace, ani kdo, s kým a odkud komunikuje. Slouží tak nejenom k ochraně soukromí, ale také třeba k obcházení geografických omezení.

Šifrování: základ bezpečné komunikace

Provoz v běžné počítačové síti není nijak zabezpečen. Data přenášená sítí může kdokoliv přečíst, ale také zjistit jejich odesílatele i příjemce, podobně jako si může kdokoliv na poště přečíst text třeba na pohlednici, kterou jsme poslali známým z dovolené. Text pohlednice můžeme sice napsat tajným písmem, kterému porozumí jen příjemce, nicméně odkud a kam byla doručována tím neskryjeme. Obdobně můžeme zašifrovat obsah dat přenášených třeba internetem, ale IP adresy komunikujících stran zůstanou pořád viditelné. A přitom IP adresa nejen identifikuje zařízení v síti, ale dá se z ní vyčíst třeba jeho zeměpisná poloha. Kvalitní šifrování dat tak ochrání obsah komunikace, nezajistí však její soukromí.

Tunelování: jak VPN přenáší data

Pro zajištění anonymity a integrity celého datového přenosu se používají technologie označované jako tunelování. Tunelování proto, že propojení lze přirovnat k pro ostatní uzavřenému tunelu, jímž mezi komunikujícími stranami proudí data. Základem tunelování opět šifrování. Původní pakety s již zašifrovanými daty se znovu zašifrují jako celek. Tím se skryje veškerý jejich obsah včetně IP adres a dalších informací a vloží se nových tzv. VPN paketů. Ty se sice přenášejí běžným způsobem sítí, ale nikdo kromě odesílatele a příjemce je nedokáže dešifrovat a nahlédnout do jejich obsahu.

Z popsaného principu je zřejmé, že tunel, jímž datové pakety bezpečně putují, je třeba nejdříve vytvořit. Mnozí z nás, kteří aspoň občas pracujeme z domova, tento postup velice dobře znají a vědí, že před vzdáleným přístupem z počítače, notebooku nebo mobilního telefonu se do firemní sítě musí nejprve přihlásit. Co to ve skutečnosti znamená? Po zadání přihlašovacích údajů se VPN klient v počítači spojí se vzdáleným VPN serverem a ověří s ním oprávnění využívat VPN spojení. Následně si server a klient stanoví unikátní parametry šifrování, které zajistí, že předávané pakety mohou dešifrovat jen oni a nikdo jiný v síti. Tím je VPN tunel vytvořen a připraven pro přenos dat.

Pro vytvoření bezpečného VPN tunelu se dnes používá celá řada tzv. tunelovacích protokolů, které zajišťují různou úroveň zabezpečení a kompatibility mezi různými zařízeními. Patří k nim například rozšířený, flexibilní a bezpečný protokol OpenVPN, stabilní a rychlý IKE2/IPSec vhodný např. pro mobilní zařízení, L2TP/IPSec poskytující celkem dobrou úroveň zabezpečení i kompatibility. V prostředí Windows je rozšířený zejména protokol SSTP, vyvinutý společností Microsoft. Velmi rozšířený je i starší tunelovací protokol PPTP. Poskytuje sice nižší úroveň zabezpečení, zato je jednoduchý s vysokou úrovní kompatibility.

VPN neznamená jen bezpečí

Využití služeb virtuální privátní sítě nepřináší pouze ochranu soukromí a bezpečné firemní připojení přes veřejné nebo nedůvěryhodné sítě. Připojovat se třeba k internetovému bankovnictví přes veřejné Wi-Fi sítě v hotelích, v kavárnách, v nákupních střediscích nebo na letištích bez bezpečné VPN se dá považovat za poměrně velký hazard.

Na internetu VPN chrání před sledováním a profilací, neboť reklamní sítě, státní cenzura, ale ani poskytovatelé internetových služeb do VPN tunelu nevidí.

Při cestách do zemí s omezeným přístupem k internetovým službám umožní VPN připojit se k oblíbeným, ale v dané zemi často zakázaným portálům. Existují dokonce země, které blokují i běžné informační portály, a bez VPN nedovolí se připojit třeba ani k českému Seznamu (vlastní zkušenost autora článku).

Z druhé strany VPN s napojením do internetu v určité zemi může pomoci obejít tzv. geoblokaci, tj. omezení přístupu ke službám určeným pouze pro danou zemi či region.

MPLS a VPLS: co skrývají tajemné zkratky

V nabídkách VPN připojení zejména u velkých poskytovatel se často vyskytují nejrůznější tajemné zkratky jako třeba MPLS a VPLS. Pojďme si alespoň krátce a zjednodušeně popsat, co znamenají a co se za nimi skrývá.

MPLS (Multiprotocol Label Switching) je technologie přenosu paketů sítí používající tzv. přepínání[1] na základě štítků (Label Switching). Myšlenka MPLS se začala rozvíjet už v polovině 90. let minulého století současně několika firmami – Cisco, IBM, Ipsilon nebo Toshliba. V roce 1996 představilo Cisco svůj vlastní systém s názvem Tag Switching. Ten se stal základem kompromisu mezi vyvíjenými proprietárními systémy a přispěl ke standardizaci MPLS v roce 1997.

Myšlenka MPLS je v zásadě velice jednoduchá. K paketům přenášeným v rámci MPLS se připojí tzv. návěští, značka (Label), které určuje jejich cestu sítí. Zařízení v síti pak pakety přeposílají na základě připojených návěští, nikoli na základě IP adres. MPLS tak umožňuje vytvořit bezpečný anonymní VPN tunel, a navíc zkracuje dobu přenosu paketů, neboť odpadá časově poměrně náročná analýza IP adres ve směrovačích (routerech). Technologie je protokolově nezávislá, flexibilní, snadno rozšiřitelná a mimo jiné podporuje i nastavování kvality služeb (QoS), neboť umožňuje jednoduše realizovat prioritizaci přenosů. Nevýhodou je, že síťové prvky musí MPLS podporovat, což dnes už ale je běžný standard.

Zkratka VPLS (Virtual Private LAN Service) se vztahuje k bezpečnému propojování lokálních s technologií Ethernet. Cílem je umožnit firmám propojit více poboček tak, aby se chovaly jako jediná velká síť, i když jsou fyzicky v různých lokalitách. Technologie VPLS staví na MPLS. Zjednodušeně řečeno jde vlastně o Ethernet síť využívající MPLS k přenosu dat. V současné době začíná být VPLS nahrazována modernější EVPN technologií.

Jak vybrat kvalitní, bezpečnou a spolehlivou VPN?

Ať už jde o vzdálené připojení k firemní síti nebo bezpečné propojení poboček či čistě soukromou snahu zvýšit bezpečnost internetového připojení, nejdůležitější je vždy zvolit důvěryhodného poskytovatele s certifikací, auditovanou službou a sjednanými parametry služby. Čím větší část VPN sítě poskytovatel provozuje po vlastních privátních datových sítích, tím lze považovat jeho VPN služby za bezpečnější a spolehlivější. 

Důležitým vodítkem při výběru VPN služby může být nejenom reputace poskytovatele, ale třeba i použití silných šifrovacích protokolů, nabízená rychlost připojení, dostatečný počet VPN serverů v různých zemích, podpora použitých operačních systémů, např. Windows, macOS, Linux a mobilních zařízení. Stojí za to se zaměřit i na další bezpečnostní a doplňkové funkce a ochrany, které poskytovatel nabízí.

Rozhodně nelze doporučit většinu bezplatných veřejných VPN, nota bene s neznámým nebo skrytým poskytovatelem. Nezřídka uživatele sledují a prodávají data nejenom reklamním agenturám.

Virtuální privátní sítě od Českých Radiokomunikací

VPN Českých Radiokomunikací zajistí se zaručenou bezpečností a kvalitou komunikaci a přenos mezi dat pobočkami, stejně jako pro práci z domova či z terénu. Ověřené technologie, šifrování a ochrana před kybernetickými útoky činí komunikaci skutečně privátní. Komunikace je bezpečná, bez zpoždění a ztrát:

• VPN lze využívat na celém území České republiky.
• Přístup do firemní VPN i do internetu může být na jediné přípojce.
• Podpora kvality služeb (QoS).
• Nonstop helpdesk.

Domácím (home office) i terénním pracovníkům poskytne bezpečné šifrované připojení i přes veřejný internet. Službu lze využít nezávisle na poskytovateli internetu a přenosová rychlost je limitována pouze možnostmi daného internetového připojení.

Ostatně přesvědčte se sami. 

[1] přesnější překlad by byl přeposílání, ale překlad termínu switching jako přepínání pochází ještě dob rozvoje telekomunikačních sítí.