6.1 Introduksjon til VPN
Virtuelt privat nettverk eller VPN er bokstavelig talt et virtuelt privat nettverk. Mest sannsynlig hørte du ofte ordet VPN når du ønsket å endre land i nettleseren på telefonen eller datamaskinen. Start VPN, velg et land og du er ferdig.
Selv om VPN-er faktisk ikke har noe med land å gjøre. Saken er litt annerledes.
Tenk deg at du jobber på et kontor på en datamaskin, og på dette kontoret er det diverse datautstyr med nettverkstilgang: datamaskiner, servere, skrivere, videokonferanseutstyr.
Situasjon 1 : kontoret ditt har vokst, du bestemte deg for å flytte til neste etasje. Du tok datamaskinen din, flyttet den til et annet rom, koblet den til et annet nettverksuttak, og du har fortsatt tilgang til alle serverne og datamaskinene til selskapet.
Mest sannsynlig snakker datamaskinen din nå med en annen ruter, men alle ruterne i bedriften din vet hvordan de skal kommunisere med hverandre og gir deg alle fordelene ved å være på samme lokale nettverk. Du har ingen problemer med å få tilgang til utstyr på bedriftsnettverket.
Situasjon 2 : En pandemi har begynt og du bestemmer deg for å jobbe hjemmefra. Du tok med deg jobbdatamaskinen din hjem, men uflaks, det er ingen tilgang til kontorservere hjemme. Det ser ut til å være logisk, for de bodde på kontoret i den andre enden av byen. På den annen side oppstår spørsmålet: da du overførte datamaskinen i det første tilfellet, hadde du fortsatt tilgang til kontormaskiner. Når du flyttet datamaskinen i det andre tilfellet, er det ingen tilgang. Hva har forandret seg?
I det første tilfellet var alle datamaskiner på kontoret ditt (selv de som er plassert i forskjellige etasjer) på det samme lokale nettverket. Men i det andre tilfellet, nei. Datamaskinen hjemme er ikke koblet til kontorets LAN. Følgelig har du ikke tilgang til de interne ressursene til kontornettverket.
Som en løsning på dette problemet ble det foreslått en løsning - et virtuelt lokalnettverk (VPN). På kontoret ditt, i hver etasje, var det en ruter som sendte data til hverandre og sørget for driften av det lokale nettverket.
Vi må lage to virtuelle rutere (i form av programmer), en på kontoret, den andre hjemme, som også vil sende krypterte data til hverandre over Internett. Og det er slike programmer: en av dem kalles VPN-server , og den andre er VPN-klient .
VPN-serveren konfigureres av systemadministratoren på kontoret, og VPN-klienten er nå på hver datamaskin og/eller telefon.
Du starter en VPN-klient på datamaskinen din og bruker den til å koble til VPN-serveren, slik at datamaskinen nå tror at den er inne i det lokale nettverket hvor VPN-serveren befinner seg.
Hvis du nå starter nettleseren din, vil all data fra nettleseren din gå til din lokale virtuelle ruter (VPN-klient), fra den til selskapets virtuelle ruter (VPN-server), og deretter videre ut i verden gjennom Internett-gatewayen til din kontorselskaper.
Den eksterne IP-adressen til datamaskinen din vil nå samsvare med den offentlige IP-adressen til kontoret ditt. Og hvis dette kontoret for eksempel var i Tyskland, vil serveren som nettleseren din har tilgang til, være sikker på at du er på et kontor i Tyskland.
6.2 VPN-typer
VPN-nettverk er delt inn i henhold til målfunksjonene deres. Det er mange forskjellige, men her er en liste over typiske VPN-løsninger:
Intranett VPN
Den brukes til å kombinere flere distribuerte grener av en organisasjon til et enkelt sikkert nettverk, og utveksle data via åpne kommunikasjonskanaler. Dette er den første som startet det hele.
Fjerntilgang VPN
Den brukes til å lage en sikker kanal mellom et bedriftsnettverkssegment (sentralkontor eller avdelingskontor) og en enkelt bruker som, mens han jobber hjemme, kobler seg til bedriftsressurser fra en hjemmedatamaskin, bedriftens bærbare datamaskin, smarttelefon eller Internett-kiosk. Dette er alternativet du har hvis du jobber hjemmefra og kobler til kontoret via en VPN.
Ekstranett VPN
Brukes for nettverk som "eksterne" brukere (for eksempel kunder eller klienter) kobler seg til. Nivået av tillit til dem er mye lavere enn til selskapets ansatte, så det er nødvendig å gi spesielle "grenser" for beskyttelse som hindrer eller begrenser sistnevntes tilgang til spesielt verdifull, konfidensiell informasjon.
Internett VPN
Brukes av leverandører for å gi tilgang til Internett, vanligvis hvis flere brukere kobler seg til via én fysisk kanal. PPPoE-protokollen har blitt standarden i ADSL-tilkoblinger.
L2TP var utbredt på midten av 2000-tallet i hjemmenettverk: på den tiden ble intranetttrafikk ikke betalt, og ekstern trafikk var dyr. Dette gjorde det mulig å kontrollere kostnadene: Når VPN-tilkoblingen er slått av, betaler ikke brukeren noe.
Foreløpig er kablet Internett billig eller ubegrenset, og på brukerens side er det ofte en ruter der det ikke er like praktisk å slå Internett av og på som på en datamaskin. Derfor er L2TP-tilgang en saga blott.
Klient/server VPN
Også et populært alternativ. Den sikrer beskyttelse av overførte data mellom to noder (ikke nettverk) i et bedriftsnettverk. Det særegne med dette alternativet er at VPN er bygget mellom noder som vanligvis er plassert i samme nettverkssegment, for eksempel mellom en arbeidsstasjon og en server. Dette behovet oppstår svært ofte i tilfeller hvor det er nødvendig å opprette flere logiske nettverk i ett fysisk nettverk.
For eksempel når det er nødvendig å dele trafikken mellom finansavdelingen og personalavdelingen, tilgang til servere som ligger i samme fysiske segment. Dette alternativet ligner på VLAN-teknologi, men i stedet for å separere trafikk, er det kryptert.
6.3 OpenVPN
Husk at vi snakket om en virtuell ruter på kontorsiden, som du kan koble til ved hjelp av VPN-klienter? Så det er en veldig populær løsning som det vil være nyttig for deg å vite om. Dette er OpenVPN.
OpenVPN er et gratis program som implementerer Virtual Private Network (VPN) teknologi. Den støtter to populære driftsmoduser: klient-server og punkt-til-punkt, når du trenger å kombinere to store nettverk.
Den opprettholder et godt nivå av trafikkkryptering mellom deltakerne, og lar deg også etablere forbindelser mellom datamaskiner bak NAT og en brannmur uten å måtte endre innstillingene.
For å sikre kontrollkanalen og dataflyten bruker OpenVPN OpenSSL- biblioteket . Dette lar deg bruke hele settet med krypteringsalgoritmer som er tilgjengelige i dette biblioteket.
Den kan også bruke HMAC batch-autentisering for mer sikkerhet og maskinvareakselerasjon for å forbedre krypteringsytelsen. Dette biblioteket bruker OpenSSL, nærmere bestemt SSLv3/TLSv1.2 -protokollene .
Det finnes implementeringer av dette programmet for alle populære operativsystemer: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
OpenVPN tilbyr brukeren flere typer autentisering :
- Den forhåndsinnstilte tasten er den enkleste metoden.
- Sertifikatautentisering er den mest fleksible metoden i innstillinger.
- Ved hjelp av pålogging og passord - kan brukes uten å opprette et klientsertifikat (et serversertifikat er fortsatt nødvendig).
Teknisk informasjon
OpenVPN utfører alle nettverksoperasjoner over TCP- eller UDP-transport. Generelt foretrekkes UDP fordi tunnelen vil føre nettverkslagstrafikk og over OSI hvis en TUN-forbindelse brukes, eller linklagstrafikk og over hvis TAP brukes.
Dette betyr at OpenVPN fungerer som en kanal eller til og med fysisk lagprotokoll for klienten, noe som betyr at dataoverføringspålitelighet kan sikres ved høyere OSI-nivåer, om nødvendig.
Gitt at vi har analysert OSI-modellen godt, bør du forstå hva som blir sagt her.
Det er grunnen til at UDP-protokollen, i sitt konsept, er nærmest OpenVPN, siden den, i likhet med protokollene til datalinken og fysiske lag, ikke gir tilkoblingspålitelighet, og overfører dette initiativet til høyere nivåer. Hvis du konfigurerer tunnelen til å fungere over TCP, vil serveren vanligvis motta OpenVPN TCP-segmenter som inneholder andre TCP-segmenter fra klienten.
Dessuten, som ikke er uviktig, kan OpenVPN fungere gjennom de fleste proxy-servere, inkludert HTTP, SOCKS, gjennom NAT og nettverksfiltre. Serveren kan konfigureres til å tildele nettverksinnstillinger til klienten. For eksempel IP-adresse, rutinginnstillinger og tilkoblingsparametere.
GO TO FULL VERSION