6.1 Pengenalan kepada VPN
Rangkaian Peribadi Maya atau VPN secara literal ialah rangkaian peribadi maya. Kemungkinan besar, anda sering mendengar perkataan VPN apabila anda ingin menukar negara dalam penyemak imbas telefon atau komputer anda. Lancarkan VPN, pilih negara dan anda sudah selesai.
Walaupun VPN, sebenarnya, tiada kaitan dengan negara. Kesnya sedikit berbeza.
Bayangkan anda bekerja di pejabat pada komputer, dan di pejabat ini terdapat pelbagai peralatan komputer dengan akses rangkaian: komputer, pelayan, pencetak, peralatan persidangan video.
Situasi 1 : pejabat anda telah berkembang, anda memutuskan untuk berpindah ke tingkat seterusnya. Anda mengambil komputer anda, mengalihkannya ke bilik lain, memasangkannya ke saluran keluar rangkaian lain dan anda masih mempunyai akses kepada semua pelayan dan komputer syarikat itu.
Kemungkinan besar, komputer anda kini bercakap dengan penghala lain, tetapi semua penghala dalam syarikat anda tahu cara berkomunikasi antara satu sama lain dan memberikan anda semua faedah berada di rangkaian tempatan yang sama. Anda tiada masalah untuk mengakses sebarang peralatan pada rangkaian korporat.
Situasi 2 : Pandemik telah bermula dan anda memutuskan untuk bekerja dari rumah. Anda membawa pulang komputer kerja anda, tetapi nasib malang, tiada akses kepada pelayan pejabat di rumah. Nampaknya logik, kerana mereka tinggal di pejabat di hujung bandar. Sebaliknya, persoalan timbul: apabila anda memindahkan komputer dalam kes pertama, anda masih mempunyai akses kepada komputer pejabat. Apabila anda mengalihkan komputer dalam kes kedua, tiada akses. Apa yang telah berubah?
Dalam kes pertama, semua komputer di pejabat anda (walaupun yang terletak di tingkat yang berbeza) berada pada rangkaian tempatan yang sama. Tetapi dalam kes kedua, tidak. Komputer anda di rumah tidak disambungkan ke LAN pejabat. Sehubungan itu, anda tidak mempunyai akses kepada sumber dalaman rangkaian pejabat.
Sebagai penyelesaian kepada masalah ini, penyelesaian telah dicadangkan - rangkaian kawasan tempatan maya (VPN). Di pejabat anda, di setiap tingkat, terdapat penghala yang menghantar data antara satu sama lain dan memastikan operasi rangkaian tempatan.
Kami perlu mencipta dua penghala maya (dalam bentuk program), satu di pejabat anda, yang kedua di rumah, yang juga akan menghantar data yang disulitkan kepada satu sama lain melalui Internet. Dan terdapat program sedemikian: salah satu daripadanya dipanggil pelayan VPN , dan yang kedua ialah klien VPN .
Pelayan VPN dikonfigurasikan oleh pentadbir sistem di pejabat, dan klien VPN kini berada dalam setiap komputer dan/atau telefon.
Anda melancarkan klien VPN pada komputer anda dan menggunakannya untuk menyambung ke pelayan VPN, jadi komputer kini berfikir bahawa ia berada di dalam rangkaian tempatan tempat pelayan VPN berada.
Jika anda kini melancarkan penyemak imbas anda, maka semua data daripada penyemak imbas anda akan pergi ke penghala maya tempatan anda (klien VPN), daripadanya ke penghala maya syarikat (pelayan VPN), dan kemudian lebih jauh ke dunia melalui gerbang Internet anda. syarikat pejabat.
Alamat IP luaran komputer anda kini akan sepadan dengan alamat IP awam pejabat anda. Dan jika pejabat ini, sebagai contoh, di Jerman, maka pelayan yang diakses oleh penyemak imbas anda akan memastikan anda berada di pejabat di Jerman.
6.2 Jenis VPN
Rangkaian VPN dibahagikan mengikut fungsi sasarannya. Terdapat banyak yang berbeza, tetapi berikut ialah senarai penyelesaian VPN biasa:
VPN Intranet
Ia digunakan untuk menggabungkan beberapa cawangan teragih satu organisasi ke dalam satu rangkaian selamat, bertukar-tukar data melalui saluran komunikasi terbuka. Ini adalah yang pertama yang memulakan semuanya.
VPN Akses Jauh
Ia digunakan untuk mencipta saluran selamat antara segmen rangkaian korporat (pejabat pusat atau pejabat cawangan) dan pengguna tunggal yang, semasa bekerja di rumah, menyambung kepada sumber korporat daripada komputer rumah, komputer riba korporat, telefon pintar atau kios Internet. Ini ialah pilihan yang anda ada jika anda bekerja dari rumah dan menyambung ke pejabat melalui VPN.
VPN extranet
Digunakan untuk rangkaian yang disambungkan oleh pengguna "luaran" (contohnya, pelanggan atau pelanggan). Tahap kepercayaan terhadap mereka adalah jauh lebih rendah daripada pekerja syarikat, jadi adalah perlu untuk menyediakan "sempadan" khas perlindungan yang menghalang atau menyekat akses mereka kepada maklumat yang sangat berharga dan sulit.
VPN Internet
Digunakan oleh pembekal untuk menyediakan akses kepada Internet, biasanya jika beberapa pengguna menyambung melalui satu saluran fizikal. Protokol PPPoE telah menjadi standard dalam sambungan ADSL.
L2TP tersebar luas pada pertengahan tahun 2000-an dalam rangkaian rumah: pada masa itu, trafik intranet tidak dibayar, dan trafik luaran adalah mahal. Ini memungkinkan untuk mengawal kos: apabila sambungan VPN dimatikan, pengguna tidak membayar apa-apa.
Pada masa ini, Internet berwayar adalah murah atau tidak terhad, dan di sisi pengguna selalunya terdapat penghala yang menghidupkan dan mematikan Internet tidak semudah pada komputer. Oleh itu, akses L2TP adalah perkara yang telah berlalu.
VPN pelanggan/pelayan
Juga pilihan yang popular. Ia memastikan perlindungan data yang dihantar antara dua nod (bukan rangkaian) rangkaian korporat. Keistimewaan pilihan ini ialah VPN dibina antara nod yang biasanya terletak dalam segmen rangkaian yang sama, contohnya, antara stesen kerja dan pelayan. Keperluan ini selalunya timbul dalam kes-kes di mana perlu untuk mencipta beberapa rangkaian logik dalam satu rangkaian fizikal.
Sebagai contoh, apabila perlu untuk membahagikan trafik antara jabatan kewangan dan jabatan sumber manusia, mengakses pelayan yang terletak dalam segmen fizikal yang sama. Pilihan ini serupa dengan teknologi VLAN, tetapi bukannya memisahkan lalu lintas, ia disulitkan.
6.3 OpenVPN
Ingat, kami bercakap tentang penghala maya di bahagian pejabat, yang boleh anda sambungkan menggunakan klien VPN? Jadi, terdapat satu penyelesaian yang sangat popular yang berguna untuk anda ketahui. Ini adalah OpenVPN.
OpenVPN ialah program percuma yang melaksanakan teknologi rangkaian persendirian maya (VPN). Ia menyokong dua mod operasi popular: pelayan-pelanggan dan titik-ke-titik, apabila anda perlu menggabungkan dua rangkaian besar.
Ia mengekalkan tahap penyulitan trafik yang baik antara pesertanya, dan juga membolehkan anda mewujudkan sambungan antara komputer di belakang NAT dan tembok api tanpa perlu menukar tetapannya.
Untuk menjamin saluran kawalan dan aliran data, OpenVPN menggunakan perpustakaan OpenSSL . Ini membolehkan anda menggunakan keseluruhan set algoritma penyulitan yang tersedia dalam pustaka ini.
Ia juga boleh menggunakan pengesahan kelompok HMAC untuk lebih keselamatan dan pecutan perkakasan untuk meningkatkan prestasi penyulitan. Pustaka ini menggunakan OpenSSL, lebih khusus lagi, protokol SSLv3/TLSv1.2 .
Terdapat pelaksanaan program ini untuk semua sistem pengendalian popular: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
OpenVPN menawarkan pengguna beberapa jenis pengesahan :
- Kekunci pratetap adalah kaedah yang paling mudah.
- Pengesahan sijil ialah kaedah paling fleksibel dalam tetapan.
- Menggunakan log masuk dan kata laluan - boleh digunakan tanpa membuat sijil klien (sijil pelayan masih diperlukan).
Informasi teknikal
OpenVPN menjalankan semua operasi rangkaian melalui pengangkutan TCP atau UDP. Secara umum, UDP lebih diutamakan kerana terowong akan membawa trafik lapisan rangkaian dan ke atas melalui OSI jika sambungan TUN digunakan, atau lalu lintas lapisan pautan dan ke atas jika TAP digunakan.
Ini bermakna OpenVPN bertindak sebagai saluran atau protokol lapisan fizikal untuk pelanggan, yang bermaksud bahawa kebolehpercayaan pemindahan data boleh dipastikan oleh tahap OSI yang lebih tinggi, jika perlu.
Memandangkan kami telah menganalisis model OSI dengan baik, anda harus memahami apa yang diperkatakan di sini.
Itulah sebabnya protokol UDP, dalam konsepnya, paling hampir dengan OpenVPN, kerana ia, seperti protokol pautan data dan lapisan fizikal, tidak memberikan kebolehpercayaan sambungan, meneruskan inisiatif ini ke peringkat yang lebih tinggi. Jika anda mengkonfigurasi terowong untuk berfungsi melalui TCP, pelayan biasanya akan menerima segmen TCP OpenVPN yang mengandungi segmen TCP lain daripada klien.
Selain itu, yang tidak penting, OpenVPN boleh berfungsi melalui kebanyakan pelayan proksi, termasuk HTTP, SOCKS, melalui penapis NAT dan rangkaian. Pelayan boleh dikonfigurasikan untuk menetapkan tetapan rangkaian kepada klien. Contohnya, alamat IP, tetapan penghalaan dan parameter sambungan.
GO TO FULL VERSION