6.1 Въведение в VPN
Виртуалната частна мрежа or VPN е буквално виртуална частна мрежа. Най-вероятно често сте чували думата VPN, когато искате да промените държавата в браузъра на вашия телефон or компютър. Стартирайте VPN, изберете държава и сте готови.
Въпреки че VPN всъщност нямат нищо общо с държавите. Случаят е малко по-различен.
Представете си, че работите в офис на компютър и в този офис има различно компютърно оборудване с мрежов достъп: компютри, сървъри, принтери, оборудване за видеоконференции.
Ситуация 1 : офисът ви се разрасна, решихте да се преместите на следващия етаж. Взехте компютъра си, преместихте го в друга стая, включихте го в друг мрежов контакт и все още имате достъп до всички сървъри и компютри на компанията.
Най-вероятно вашият компютър сега говори с друг рутер, но всички рутери във вашата компания знаят How да комуникират помежду си и ви предоставят всички предимства от това да сте в една и съща локална мрежа. Нямате проблем с достъпа до всяко оборудване в корпоративната мрежа.
Ситуация 2 : Започнала е пандемия и вие решавате да работите от вкъщи. Взехте служебния си компютър вкъщи, но лош късмет, нямате достъп до офис сървъри у дома. Изглежда логично, защото те останаха в офиса на другия край на града. От друга страна, възниква въпросът: когато сте прехвърлor компютъра в първия случай, все още сте имали достъп до офис компютри. Когато сте преместor компютъра във втория случай, няма достъп. Какво се промени?
В първия случай всички компютри във вашия офис (дори тези, разположени на различни етажи) са бor в една и съща локална мрежа. Но във втория случай не. Вашият компютър у дома не е свързан към офис LAN. Съответно нямате достъп до вътрешните ресурси на офис мрежата.
Като решение на този проблем беше предложено решение - виртуална локална мрежа (VPN). Във вашия офис на всеки етаж имаше рутер, който изпращаше данни един към друг и осигуряваше работата на локалната мрежа.
Трябва да създадем два виртуални рутера (под формата на програми), единият във вашия офис, вторият у дома, които също ще изпращат криптирани данни един към друг през интернет. И има такива програми: една от тях се нарича VPN сървър , а втората е VPN клиент .
VPN сървърът се конфигурира от системния администратор в офиса, а VPN клиентът вече е във всеки компютър и/or телефон.
Стартирате VPN клиент на вашия компютър и го използвате, за да се свържете с VPN сървъра, така че компютърът вече смята, че е в локалната мрежа, където се намира VPN сървърът.
Ако сега стартирате браузъра си, тогава всички данни от браузъра ви ще отидат до вашия локален виртуален рутер (VPN клиент), от него до виртуалния рутер на компанията (VPN сървър) и след това по-нататък в света през интернет шлюза на вашия офис компании.
Външният IP address на вашия компютър вече ще съответства на публичния IP address на вашия офис. И ако този офис е бил например в Германия, тогава сървърът, до който е влязъл вашият браузър, ще бъде сигурен, че сте в офис в Германия.
6.2 Типове VPN
VPN мрежите се разделят според техните целеви функции. Има много различни, но ето списък с типични VPN решения:
Интранет VPN
Използва се за комбиниране на няколко разпределени клона на една организация в една защитена мрежа, обменяща данни чрез отворени комуникационни канали. Това е първият, който започна всичко.
VPN за отдалечен достъп
Използва се за създаване на защитен канал между корпоративния мрежов сегмент (централен офис or клон) и отделен потребител, който, докато работи у дома, се свързва с корпоративни ресурси от домашен компютър, корпоративен лаптоп, смартфон or интернет павorон. Това е опцията, която имате, ако работите от вкъщи и се свързвате с офиса чрез VPN.
Екстранет VPN
Използва се за мрежи, към които се свързват „външни“ потребители (например клиенти or клиенти). Нивото на доверие в тях е много по-ниско, отколкото в служителите на компанията, така че е необходимо да се осигурят специални „граници“ на защита, които предотвратяват or ограничават достъпа на последните до особено ценна, поверителна информация.
Интернет VPN
Използва се от доставчиците за осигуряване на достъп до интернет, обикновено ако няколко потребителя се свързват през един физически канал. Протоколът PPPoE се превърна в стандарт в ADSL връзките.
L2TP беше широко разпространен в средата на 2000-те в домашните мрежи: в онези дни интранет трафикът не беше платен, а външният трафик беше скъп. Това направи възможно контролирането на разходите: когато VPN връзката е изключена, потребителят не плаща нищо.
В момента кабелният интернет е евтин or неограничен, а от страна на потребителя често има рутер, на който включването и изключването на интернет не е толкова удобно, колкото на компютър. Следователно L2TP достъпът е нещо от миналото.
Клиент/сървър VPN
Също популярен вариант. Той гарантира защитата на предаваните данни между два възела (не мрежи) на корпоративна мрежа. Особеността на тази опция е, че VPN се изгражда между възли, които обикновено се намират в един и същ мрежов сегмент, например между работна станция и сървър. Тази необходимост много често възниква в случаите, когато е необходимо да се създадат няколко логически мрежи в една физическа мрежа.
Например, когато е необходимо да се раздели трафика между финансовия отдел и отдела за човешки ресурси, достъп до сървъри, разположени в същия физически сегмент. Тази опция е подобна на VLAN технологията, но instead of да разделя трафика, тя е криптирана.
6.3 OpenVPN
Помните ли, говорихме за виртуален рутер от страна на офиса, към който можете да се свържете с помощта на VPN клиенти? И така, има едно много популярно решение, за което ще бъде полезно да знаете. Това е OpenVPN.
OpenVPN е безплатна програма, която внедрява технологията за виртуална частна мрежа (VPN). Той поддържа два популярни режима на работа: клиент-сървър и от точка до точка, когато трябва да комбинирате две големи мрежи.
Той поддържа добро ниво на криптиране на трафика между своите участници и също така ви позволява да установявате връзки между компютри зад NAT и защитна стена, без да се налага да променяте настройките им.
За да защити контролния канал и потока от данни, OpenVPN използва OpenSSL библиотеката . Това ви позволява да използвате целия набор от алгоритми за криптиране, налични в тази библиотека.
Може също така да използва пакетно удостоверяване на HMAC за повече сигурност и хардуерно ускорение за подобряване на ефективността на криптиране. Тази библиотека използва OpenSSL, по-специално протоколите SSLv3/TLSv1.2 .
Има реализации на тази програма за всички популярни операционни системи: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
OpenVPN предлага на потребителя няколко вида удостоверяване :
- Предварително зададеният ключ е най-лесният метод.
- Удостоверяването на сертификат е най-гъвкавият метод в настройките.
- Използване на потребителско име и парола - може да се използва без създаване на клиентски сертификат (все още е необходим сървърен сертификат).
Техническа информация
OpenVPN извършва всички мрежови операции през TCP or UDP транспорт. Като цяло UDP се предпочита, тъй като тунелът ще пренася трафик на мрежовия слой и нагоре през OSI, ако се използва TUN връзка, or трафик на ниво връзка и нагоре, ако се използва TAP.
Това означава, че OpenVPN действа като канал or дори протокол на физически слой за клиента, което означава, че надеждността на трансфера на данни може да бъде осигурена от по-високи OSI нива, ако е необходимо.
Като се има предвид, че добре анализирахме OSI модела, трябва да разберете Howво се казва тук.
Ето защо UDP протоколът по своята концепция е най-близък до OpenVPN, тъй като той, подобно на протоколите на връзката за данни и физическите слоеве, не осигурява надеждност на връзката, предавайки тази инициатива на по-високи нива. Ако конфигурирате тунела да работи през TCP, сървърът обикновено ще получава OpenVPN TCP сегменти, които съдържат други TCP сегменти от клиента.
Освен това, което не е маловажно, OpenVPN може да работи през повечето прокси сървъри, включително HTTP, SOCKS, през NAT и мрежови филтри. Сървърът може да бъде конфигуриран да задава мрежови настройки на клиента. Например IP address, настройки за маршрутизиране и параметри на връзката.
GO TO FULL VERSION