VPN

All lectures for HU purposes
Szint , Lecke
Elérhető

6.1 Bevezetés a VPN-be

A virtuális magánhálózat vagy a VPN szó szerint egy virtuális magánhálózat. Valószínűleg gyakran hallotta a VPN szót, amikor meg akarta változtatni az országot telefonja vagy számítógépe böngészőjében. Indítsa el a VPN-t, válasszon egy országot, és kész.

Bevezetés a VPN-be

Bár a VPN-eknek valójában semmi közük az országokhoz. Az eset egy kicsit más.

Képzelje el, hogy egy irodában dolgozik számítógépen, és ebben az irodában különféle számítógépes berendezések vannak hálózati hozzáféréssel: számítógépek, szerverek, nyomtatók, videokonferencia-berendezések.

1. szituáció : az irodája megnőtt, úgy döntött, hogy a következő emeletre költözik. Elvette a számítógépét, áthelyezte egy másik szobába, bedugta egy másik hálózati aljzatba, és továbbra is hozzáférhet a cég összes szerveréhez és számítógépéhez.

Valószínűleg a számítógépe most egy másik útválasztóval kommunikál, de a vállalat összes útválasztója tudja, hogyan kommunikáljon egymással, és biztosítsa az ugyanazon a helyi hálózaton való tartózkodás minden előnyét. Nem okoz gondot a vállalati hálózat bármely berendezésének elérése.

2. helyzet : Világjárvány kezdődött, és Ön úgy dönt, hogy otthonról dolgozik. Hazavitte a munkahelyi számítógépét, de balszerencse, otthon nincs hozzáférés az irodai szerverekhez. Logikusnak tűnik, mert a város másik végén lévő irodában szálltak meg. Másrészt felmerül a kérdés: amikor az első esetben átvitte a számítógépet, még mindig hozzáfért az irodai számítógépekhez. Amikor a második esetben áthelyezte a számítógépet, nincs hozzáférés. Mi változott?

Az első esetben az irodájában lévő összes számítógép (még a különböző emeleteken lévők is) ugyanazon a helyi hálózaton voltak. De a második esetben nem. Az otthoni számítógép nem csatlakozik az irodai LAN-hoz. Ennek megfelelően nem fér hozzá az irodai hálózat belső erőforrásaihoz.

A probléma megoldásaként egy megoldást javasoltak - egy virtuális helyi hálózatot (VPN). Az Ön irodájában minden emeleten volt egy router, amely adatokat küldött egymásnak és biztosította a helyi hálózat működését.

Létre kell hoznunk két virtuális routert (programok formájában), az egyiket az irodában, a másikat otthon, amelyek szintén titkosított adatokat küldenek egymásnak az interneten keresztül. És vannak ilyen programok: az egyik a VPN-kiszolgáló , a másik pedig a VPN-kliens .

A VPN-kiszolgálót a rendszergazda konfigurálja az irodában, a VPN-kliens pedig mostantól minden számítógépen és/vagy telefonon megtalálható.

Elindít egy VPN-klienst a számítógépén, és ezzel csatlakozik a VPN-kiszolgálóhoz, így a számítógép most azt hiszi, hogy azon a helyi hálózaton belül van, ahol a VPN-kiszolgáló található.

Ha most elindítja a böngészőt, akkor a böngésző minden adata a helyi virtuális útválasztóra (VPN-kliensre) kerül, onnan a vállalat virtuális útválasztójára (VPN-kiszolgálóra), majd az Ön internetes átjáróján keresztül tovább a világba. irodai cégek.

A számítógép külső IP-címe mostantól megegyezik az iroda nyilvános IP-címével. És ha ez az iroda például Németországban volt, akkor a böngészője által elért szerver biztos lehet benne, hogy Ön egy németországi irodában van.

6.2 VPN típusok

A VPN-hálózatok célfunkcióik szerint vannak felosztva. Sokféle létezik, de itt van egy lista a tipikus VPN-megoldásokról:

Intranet VPN

Egy szervezet több elosztott ágának egyetlen biztonságos hálózatba való egyesítésére szolgál, nyílt kommunikációs csatornákon keresztül adatcserére. Ez az első, amitől az egész kezdődött.

Távoli hozzáférés VPN

Biztonságos csatorna létrehozására szolgál egy vállalati hálózati szegmens (központi iroda vagy fiókiroda) és egyetlen felhasználó között, aki otthoni munkavégzés közben egy otthoni számítógépről, vállalati laptopról, okostelefonról vagy internetes kioszkról csatlakozik a vállalati erőforrásokhoz. Ez a lehetőség, ha otthonról dolgozik, és VPN-en keresztül csatlakozik az irodához.

Extranet VPN

Olyan hálózatokhoz használják, amelyekhez "külső" felhasználók (például ügyfelek vagy ügyfelek) csatlakoznak. A velük szembeni bizalom szintje jóval alacsonyabb, mint a cég alkalmazottaiban, ezért olyan speciális védelmi „határokat” kell biztosítani, amelyek megakadályozzák vagy korlátozzák az utóbbiak különösen értékes, bizalmas információkhoz való hozzáférését.

Internet VPN

A szolgáltatók az internet-hozzáférés biztosítására használják, általában akkor, ha több felhasználó csatlakozik egy fizikai csatornán keresztül. A PPPoE protokoll az ADSL-kapcsolatok szabványává vált.

Az L2TP a 2000-es évek közepén terjedt el az otthoni hálózatokban: akkoriban az intranetes forgalom nem volt fizetős, a külső forgalom pedig drága volt. Ez lehetővé tette a költségek ellenőrzését: a VPN-kapcsolat kikapcsolásakor a felhasználó nem fizet semmit.

Jelenleg a vezetékes internet olcsó vagy korlátlan, és a felhasználó oldalán gyakran van olyan router, amelyen az internet be- és kikapcsolása nem olyan kényelmes, mint a számítógépen. Ezért az L2TP hozzáférés a múlté.

Kliens/szerver VPN

Szintén népszerű lehetőség. Biztosítja a továbbított adatok védelmét a vállalati hálózat két csomópontja (nem hálózat) között. Ennek az opciónak az a sajátossága, hogy a VPN olyan csomópontok közé épül, amelyek általában ugyanabban a hálózati szegmensben találhatók, például egy munkaállomás és egy szerver között. Ez az igény nagyon gyakran felmerül olyan esetekben, amikor egy fizikai hálózatban több logikai hálózatot kell létrehozni.

Például, amikor meg kell osztani a forgalmat a pénzügyi osztály és a humánerőforrás osztály között, elérve az azonos fizikai szegmensben található szervereket. Ez az opció hasonló a VLAN technológiához, de a forgalom szétválasztása helyett titkosítva van.

6.3 OpenVPN

Emlékszel, beszéltünk egy virtuális útválasztóról az irodai oldalon, amelyhez VPN-kliensekkel csatlakozhatsz? Tehát van egy nagyon népszerű megoldás, amelyről hasznos lesz tudni. Ez az OpenVPN.

Az OpenVPN egy ingyenes program, amely virtuális magánhálózati (VPN) technológiát valósít meg. Két népszerű működési módot támogat: kliens-szerver és pont-pont, amikor két nagy hálózatot kell egyesíteni.

Jó szintű forgalom titkosítást tart fenn résztvevői között, és lehetővé teszi a NAT mögötti számítógépek és a tűzfal közötti kapcsolatok létrehozását anélkül, hogy módosítani kellene a beállításokat.

A vezérlőcsatorna és az adatáramlás biztonsága érdekében az OpenVPN az OpenSSL könyvtárat használja . Ez lehetővé teszi az ebben a könyvtárban elérhető titkosítási algoritmusok teljes készletének használatát.

HMAC kötegelt hitelesítést is használhat a nagyobb biztonság és hardveres gyorsítás érdekében a titkosítási teljesítmény javítása érdekében. Ez a könyvtár OpenSSL-t használ, pontosabban az SSLv3/TLSv1.2 protokollokat .

A program minden népszerű operációs rendszerhez létezik: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.

Az OpenVPN többféle hitelesítést kínál a felhasználónak :

  • Az előre beállított gomb a legegyszerűbb módszer.
  • A tanúsítvány hitelesítés a legrugalmasabb módszer a beállításokban.
  • Bejelentkezés és jelszó használata - kliens tanúsítvány létrehozása nélkül is használható (szerver tanúsítványra továbbra is szükség van).

Technikai információ

Az OpenVPN minden hálózati műveletet TCP vagy UDP átvitelen keresztül végez. Általában az UDP-t részesítik előnyben, mivel az alagút a hálózati réteg és a feletti forgalmat továbbítja az OSI-n keresztül, ha TUN-kapcsolatot használunk, vagy a kapcsolati réteg és a feletti forgalmat, ha TAP-t használunk.

Ez azt jelenti, hogy az OpenVPN csatornaként vagy akár fizikai rétegbeli protokollként működik a kliens számára, ami azt jelenti, hogy az adatátviteli megbízhatóság szükség esetén magasabb OSI szintekkel biztosítható.

Tekintettel arra, hogy jól elemeztük az OSI modellt, meg kell értenie, miről van szó.

Éppen ezért koncepciójában az UDP protokoll áll a legközelebb az OpenVPN-hez, mivel az adatkapcsolati és a fizikai rétegek protokolljaihoz hasonlóan nem biztosítja a kapcsolat megbízhatóságát, átadva ezt a kezdeményezést magasabb szintekre. Ha az alagutat TCP-n keresztüli működésre állítja be, a szerver általában olyan OpenVPN TCP-szegmenseket kap az ügyféltől, amelyek más TCP-szegmenseket is tartalmaznak.

Ezenkívül, ami nem lényegtelen, az OpenVPN a legtöbb proxyszerveren keresztül működik, beleértve a HTTP-t, a SOCKS-t, a NAT-on és a hálózati szűrőkön keresztül. A szerver konfigurálható úgy, hogy hálózati beállításokat rendeljen a klienshez. Például IP-cím, útválasztási beállítások és csatlakozási paraméterek. 

Hozzászólások
TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION