6.1 Introduktion til VPN
Virtuelt privat netværk eller VPN er bogstaveligt talt et virtuelt privat netværk. Mest sandsynligt hørte du ofte ordet VPN, når du ville ændre land i browseren på din telefon eller computer. Start VPN, vælg et land, og du er færdig.
Selvom VPN'er faktisk ikke har noget med lande at gøre. Sagen er lidt anderledes.
Forestil dig, at du arbejder på et kontor på en computer, og på dette kontor er der forskelligt computerudstyr med netværksadgang: computere, servere, printere, videokonferenceudstyr.
Situation 1 : dit kontor er vokset, du besluttede at flytte til næste etage. Du tog din computer, flyttede den til et andet rum, sluttede den til en anden netværksstikkontakt, og du har stadig adgang til alle virksomhedens servere og computere.
Mest sandsynligt taler din computer nu med en anden router, men alle routerne i din virksomhed ved, hvordan de kommunikerer med hinanden og giver dig alle fordelene ved at være på det samme lokale netværk. Du har ingen problemer med at få adgang til noget udstyr på virksomhedens netværk.
Situation 2 : En pandemi er begyndt, og du beslutter dig for at arbejde hjemmefra. Du tog din arbejdscomputer med hjem, men uheld, der er ingen adgang til kontorservere derhjemme. Det ser ud til at være logisk, for de blev på kontoret i den anden ende af byen. På den anden side opstår spørgsmålet: Da du overførte computeren i det første tilfælde, havde du stadig adgang til kontorcomputere. Da du flyttede computeren i det andet tilfælde, er der ingen adgang. Hvad har ændret sig?
I det første tilfælde var alle computere på dit kontor (selv dem placeret på forskellige etager) på det samme lokale netværk. Men i det andet tilfælde, nej. Din computer derhjemme er ikke forbundet til kontorets LAN. Derfor har du ikke adgang til de interne ressourcer i kontornetværket.
Som en løsning på dette problem blev der foreslået en løsning - et virtuelt lokalt netværk (VPN). På dit kontor, på hver etage, var der en router, der sendte data til hinanden og sikrede driften af det lokale netværk.
Vi skal oprette to virtuelle routere (i form af programmer), den ene på dit kontor, den anden derhjemme, som også sender krypterede data til hinanden over internettet. Og der er sådanne programmer: en af dem kaldes VPN-server , og den anden er VPN-klient .
VPN-serveren konfigureres af systemadministratoren på kontoret, og VPN-klienten er nu på hver computer og/eller telefon.
Du starter en VPN-klient på din computer og bruger den til at oprette forbindelse til VPN-serveren, så computeren nu tror, at den er inde i det lokale netværk, hvor VPN-serveren er placeret.
Hvis du nu starter din browser, så vil alle data fra din browser gå til din lokale virtuelle router (VPN-klient), fra den til virksomhedens virtuelle router (VPN-server), og derefter videre ud i verden gennem din internetgateway. kontorvirksomheder.
Den eksterne IP-adresse på din computer vil nu matche den offentlige IP-adresse på dit kontor. Og hvis dette kontor for eksempel var i Tyskland, så vil den server, som din browser har adgang til, være sikker på, at du er på et kontor i Tyskland.
6.2 VPN-typer
VPN-netværk er opdelt efter deres målfunktioner. Der er mange forskellige, men her er en liste over typiske VPN-løsninger:
Intranet VPN
Det bruges til at kombinere flere distribuerede grene af en organisation til et enkelt sikkert netværk, der udveksler data via åbne kommunikationskanaler. Dette er den første, der startede det hele.
Fjernadgang VPN
Det bruges til at skabe en sikker kanal mellem et virksomhedsnetværkssegment (centralkontor eller afdelingskontor) og en enkelt bruger, der, mens han arbejder hjemme, opretter forbindelse til virksomhedens ressourcer fra en hjemmecomputer, virksomhedens bærbare computer, smartphone eller internetkiosk. Dette er den mulighed, du har, hvis du arbejder hjemmefra og opretter forbindelse til kontoret via en VPN.
Ekstranet VPN
Bruges til netværk, som "eksterne" brugere (f.eks. kunder eller klienter) forbinder til. Tilliden til dem er meget lavere end til virksomhedens ansatte, så det er nødvendigt at give særlige "grænser" for beskyttelse, der forhindrer eller begrænser sidstnævntes adgang til særligt værdifulde, fortrolige oplysninger.
Internet VPN
Bruges af udbydere til at give adgang til internettet, normalt hvis flere brugere forbinder via én fysisk kanal. PPPoE-protokollen er blevet standarden i ADSL-forbindelser.
L2TP var udbredt i midten af 2000'erne i hjemmenetværk: I de dage blev intranettrafik ikke betalt, og ekstern trafik var dyr. Dette gjorde det muligt at kontrollere omkostningerne: Når VPN-forbindelsen er slået fra, betaler brugeren ikke noget.
I øjeblikket er kablet internet billigt eller ubegrænset, og på brugerens side er der ofte en router, hvor det ikke er så praktisk at tænde og slukke for internettet som på en computer. Derfor er L2TP-adgang fortid.
Klient/server VPN
Også en populær mulighed. Det sikrer beskyttelsen af transmitterede data mellem to noder (ikke netværk) i et virksomhedsnetværk. Det særlige ved denne mulighed er, at VPN er bygget mellem noder, der normalt er placeret i det samme netværkssegment, for eksempel mellem en arbejdsstation og en server. Dette behov opstår meget ofte i tilfælde, hvor det er nødvendigt at oprette flere logiske netværk i ét fysisk netværk.
For eksempel, når det er nødvendigt at dele trafikken mellem økonomiafdelingen og personaleafdelingen, adgang til servere placeret i samme fysiske segment. Denne mulighed ligner VLAN-teknologi, men i stedet for at adskille trafik, er den krypteret.
6.3 OpenVPN
Husk, vi talte om en virtuel router på kontorsiden, som du kan oprette forbindelse til ved hjælp af VPN-klienter? Så der er en meget populær løsning, som det vil være nyttigt for dig at kende til. Dette er OpenVPN.
OpenVPN er et gratis program, der implementerer Virtual Private Network (VPN) teknologi. Den understøtter to populære driftsformer: klient-server og punkt-til-punkt, når du skal kombinere to store netværk.
Det opretholder et godt niveau af trafikkryptering mellem sine deltagere, og giver dig også mulighed for at etablere forbindelser mellem computere bag NAT og en firewall uden at skulle ændre deres indstillinger.
For at sikre kontrolkanalen og dataflowet bruger OpenVPN OpenSSL- biblioteket . Dette giver dig mulighed for at bruge hele det sæt af krypteringsalgoritmer, der er tilgængelige i dette bibliotek.
Det kan også bruge HMAC batch-godkendelse til mere sikkerhed og hardwareacceleration for at forbedre krypteringsydelsen. Dette bibliotek bruger OpenSSL, mere specifikt SSLv3/TLSv1.2 -protokollerne .
Der er implementeringer af dette program til alle populære operativsystemer: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
OpenVPN tilbyder brugeren flere typer godkendelse :
- Den forudindstillede nøgle er den nemmeste metode.
- Certifikatgodkendelse er den mest fleksible metode i indstillinger.
- Brug af login og adgangskode - kan bruges uden at oprette et klientcertifikat (et servercertifikat er stadig nødvendigt).
Teknisk information
OpenVPN udfører alle netværksoperationer over TCP- eller UDP-transport. Generelt foretrækkes UDP, fordi tunnelen vil føre netværkslagstrafik og derover over OSI, hvis der bruges en TUN-forbindelse, eller linklagstrafik og derover, hvis TAP bruges.
Dette betyder, at OpenVPN fungerer som en kanal eller endda fysisk lagprotokol for klienten, hvilket betyder, at dataoverførselspålidelighed kan sikres ved højere OSI-niveauer, hvis det er nødvendigt.
I betragtning af at vi har analyseret OSI-modellen godt, bør du forstå, hvad der bliver sagt her.
Det er grunden til, at UDP-protokollen i sit koncept er tættest på OpenVPN, da den, ligesom protokollerne for datalinket og de fysiske lag, ikke giver forbindelsespålidelighed og overfører dette initiativ til højere niveauer. Hvis du konfigurerer tunnelen til at arbejde over TCP, vil serveren typisk modtage OpenVPN TCP-segmenter, der indeholder andre TCP-segmenter fra klienten.
Også, hvilket ikke er ligegyldigt, kan OpenVPN arbejde gennem de fleste proxy-servere, inklusive HTTP, SOCKS, gennem NAT og netværksfiltre. Serveren kan konfigureres til at tildele netværksindstillinger til klienten. For eksempel IP-adresse, routingindstillinger og forbindelsesparametre.
GO TO FULL VERSION