site-to-site VPN
Főnév
site-to-site VPN (tsz. site-to-site VPNs)
- (informatika) A Site-to-Site IPsec VPN (helyszínek közötti IPsec-alapú virtuális magánhálózat) egy olyan technológia, amely lehetővé teszi, hogy két vagy több földrajzilag elkülönülő hálózatot biztonságosan összekapcsoljunk az interneten keresztül, mintha azok egy közös belső hálózathoz tartoznának. Ez a módszer különösen elterjedt vállalati környezetben, ahol telephelyek, irodák vagy adatközpontok közötti biztonságos kommunikációra van szükség.
1. Mi az a Site-to-Site VPN?
A Site-to-Site VPN célja, hogy állandó kapcsolatot létesítsen két különálló hálózat között az interneten keresztül. Ilyen esetben a VPN eszközök (pl. routerek, tűzfalak) végzik a titkosítást és visszafejtést, nem a végfelhasználók számítógépei.
Példa: - Központi iroda: 192.168.1.0/24 - Fiókiroda: 192.168.2.0/24 - A két hálózat között IPsec VPN-en keresztül folyik a kommunikáció.
2. Mi az az IPsec?
Az IPsec (Internet Protocol Security) egy protokollcsomag, amely titkosítást, hitelesítést és integritásvédelmet biztosít IP-alapú kommunikációban. Két fő célra használják:
- Transport mód – host-to-host kapcsolatnál, például végpontvédelem.
- Tunnel mód – router/router kapcsolatnál, azaz Site-to-Site VPN-nél.
Tunnel módban a teljes IP-csomag (fejléccel együtt) titkosítva van, és egy új IP-fejlécet kap – így lehet továbbítani az interneten.
3. IPsec komponensek
Az IPsec protokollcsalád több összetevőből áll:
1. IKE (Internet Key Exchange)
- Feladata: biztonságos kapcsolat kiépítése, kulcsok cseréje.
- Két fázisból áll:
- IKE Phase 1 – biztonságos csatorna létrehozása (ISAKMP SA).
- IKE Phase 2 – IPsec paraméterek egyeztetése, adatforgalom titkosítása (IPsec SA).
2. AH (Authentication Header)
- Hitelesítést és integritásvédelmet biztosít.
- Nem titkosítja az adatokat.
3. ESP (Encapsulating Security Payload)
- Titkosítás, hitelesítés és integritás.
- A Site-to-Site VPN-eknél ESP tunnel mód az elterjedt.
4. ISAKMP (Internet Security Association and Key Management Protocol)
- IKE-vel együttműködve kezeli a Security Association-eket (SA-kat), amelyek tartalmazzák az IPsec beállításokat.
4. IKE Phase 1 részletei
Cél: egy biztonságos vezérlőcsatorna létrehozása a kulcscsere lebonyolításához.
Működés lépései:
- Policy egyeztetés – titkosítási algoritmus, hitelesítés, DH-csoport, időkorlát
- DH (Diffie-Hellman) kulcscsere – közös titok számítása
- Hitelesítés – PSK (pre-shared key), tanúsítvány vagy RSA aláírás
Példa IKEv1 Phase 1 policy Cisco IOS-on:
crypto isakmp policy 10
encr aes
hash sha
authentication pre-share
group 2
lifetime 86400
5. IKE Phase 2 (IPsec SA)
Miután a Phase 1 létrejött, a Phase 2 során megtörténik az IPsec Security Association (SA) létrehozása, amely már magát a titkosított adatforgalmat kezeli.
Konfigurációs elemek:
- Transform-set – Titkosítás és hitelesítési algoritmusok
- Crypto ACL – Mely forgalmat kell titkosítani
- Crypto map – Kapcsolja össze az ACL-t, peer IP-t és transform-set-et
Példa Cisco IOS-on:
crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
set peer 203.0.113.1
set transform-set VPN-SET
match address VPN-ACL
6. NAT exemption
A belső hálózatból induló forgalmat ki kell zárni a NAT alól, mert különben az IPsec SA nem fog egyezni:
access-list NAT-EXEMPT extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (inside,outside) 0 access-list NAT-EXEMPT
7. Teljes Cisco példakonfiguráció
Oldal A (központ):
crypto isakmp policy 10
encr aes
hash sha
authentication pre-share
group 2
crypto isakmp key C1sc0VPN address 203.0.113.2
access-list VPN-ACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
set peer 203.0.113.2
set transform-set VPN-SET
match address VPN-ACL
interface GigabitEthernet0/0
crypto map VPN-MAP
Oldal B (fiókiroda) ugyanígy, csak a címek megfordítva.
8. Ellenőrzés és hibakeresés
Alap parancsok:
show crypto isakmp sa– Phase 1 állapotashow crypto ipsec sa– Phase 2 állapotadebug crypto isakmp– IKE részletes naplózásdebug crypto ipsec– IPsec forgalom naplózása
Tipikus hibák:
- Kulcs nem egyezik (PSK mismatch)
- ACL nem tükrözi pontosan a forgalmat
- NAT nem lett kivéve
- Internet kapcsolat hiánya
9. IPsec vs. SSL VPN
| Tulajdonság | IPsec VPN (Site-to-Site) | SSL VPN (Remote Access) |
|---|---|---|
| Használat | Helyszínek között | Egyéni felhasználók |
| Port | UDP/500, UDP/4500 (NAT-T) | TCP/443 |
| Protokoll | IKE, ESP | SSL/TLS |
| Telepítés | Router/Tűzfal konfiguráció | Böngésző vagy VPN kliens |
| Állandóság | Állandó alagút | Bejelentkezés alapú |
| Titkosítás | Erősebb, komplexebb | Könnyebben beállítható |
10. Alternatívák: DMVPN, GETVPN, FlexVPN
- DMVPN (Dynamic Multipoint VPN) – dinamikus kapcsolatok több site között.
- FlexVPN – új, rugalmas Cisco VPN technológia (IKEv2-alapú).
- GETVPN – főleg MPLS-alapú hálózatokhoz, nem igényel alagutakat.
11. VPN menedzsment és karbantartás
- Élettartam (lifetime) értékek rendszeres újratárgyalást indítanak.
- Monitoring: SNMP, syslog, NetFlow
- Központosított kezelés: Cisco Security Manager, Cisco FMC
12. Összegzés
A Site-to-Site IPsec VPN megbízható és biztonságos módszer arra, hogy különböző földrajzi helyszíneket egyetlen logikai hálózatba kapcsoljunk, anélkül hogy dedikált bérelt vonalat használnánk. Az IPsec protokollcsalád révén titkosítás, hitelesítés, integritásvédelem és kulcskezelés egyaránt megvalósul.
A Cisco IOS és ASA eszközök lehetővé teszik a részletes konfigurálást, robusztus védelem mellett. A VPN-ek megfelelő konfigurációja és karbantartása létfontosságú az üzletmenet-folytonosság és az adatok védelme szempontjából.
- site-to-site VPN - Szótár.net (en-hu)
- site-to-site VPN - Sztaki (en-hu)
- site-to-site VPN - Merriam–Webster
- site-to-site VPN - Cambridge
- site-to-site VPN - WordNet
- site-to-site VPN - Яндекс (en-ru)
- site-to-site VPN - Google (en-hu)
- site-to-site VPN - Wikidata
- site-to-site VPN - Wikipédia (angol)