6.1 Introducere în VPN
Virtual Private Network sau VPN este literalmente o rețea privată virtuală. Cel mai probabil, ai auzit des cuvântul VPN atunci când ai vrut să schimbi țara în browserul telefonului sau al computerului tău. Lansați VPN, selectați o țară și ați terminat.
Deși VPN-urile, de fapt, nu au nimic de-a face cu țările. Cazul este puțin diferit.
Imaginați-vă că lucrați într-un birou pe computer, iar în acest birou există diverse echipamente informatice cu acces la rețea: calculatoare, servere, imprimante, echipamente de videoconferință.
Situația 1 : biroul tău a crescut, ai decis să te muți la etajul următor. Ți-ai luat computerul, l-ai mutat într-o altă cameră, l-ai conectat la o altă priză de rețea și mai ai acces la toate serverele și computerele companiei.
Cel mai probabil, computerul dumneavoastră vorbește acum cu un alt router, dar toate routerele din compania dumneavoastră știu să comunice între ele și să vă ofere toate beneficiile de a fi în aceeași rețea locală. Nu aveți nicio problemă să accesați orice echipament din rețeaua corporativă.
Situația 2 : O pandemie a început și te decizi să lucrezi de acasă. Ți-ai luat computerul de la serviciu acasă, dar ghinion, nu există acces la serverele de birou acasă. Pare logic, pentru că au rămas la biroul din celălalt capăt al orașului. Pe de altă parte, se pune întrebarea: atunci când ați transferat computerul în primul caz, ați avut în continuare acces la computere de birou. Când ați mutat computerul în al doilea caz, nu există acces. Ce s-a schimbat?
În primul caz, toate computerele din biroul dvs. (chiar și cele situate pe etaje diferite) erau în aceeași rețea locală. Dar în al doilea caz, nu. Computerul dvs. de acasă nu este conectat la rețeaua LAN de birou. În consecință, nu aveți acces la resursele interne ale rețelei de birouri.
Ca o soluție la această problemă, a fost propusă o soluție - o rețea locală virtuală (VPN). În biroul tău, la fiecare etaj, era un router care își trimitea date unul altuia și asigura funcționarea rețelei locale.
Trebuie să creăm două routere virtuale (sub formă de programe), unul în biroul tău, al doilea acasă, care vor trimite, de asemenea, date criptate unul altuia prin Internet. Și există astfel de programe: unul dintre ele se numește server VPN , iar al doilea este client VPN .
Serverul VPN este configurat de administratorul de sistem din birou, iar clientul VPN se află acum în fiecare computer și/sau telefon.
Lansați un client VPN pe computer și îl utilizați pentru a vă conecta la serverul VPN, așa că acum computerul crede că se află în rețeaua locală în care se află serverul VPN.
Dacă acum lansați browserul, toate datele din browser vor ajunge la routerul virtual local (client VPN), de la acesta la routerul virtual al companiei (server VPN) și apoi mai departe în lume prin poarta de internet a dvs. firme de birouri.
Adresa IP externă a computerului dvs. se va potrivi acum cu adresa IP publică a biroului dvs. Și dacă acest birou a fost, de exemplu, în Germania, atunci serverul pe care l-a accesat browserul dvs. va fi sigur că vă aflați într-un birou din Germania.
6.2 Tipuri VPN
Rețelele VPN sunt împărțite în funcție de funcțiile țintă. Există multe diferite, dar iată o listă de soluții VPN tipice:
VPN pentru intranet
Este folosit pentru a combina mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise. Acesta este primul care a început totul.
VPN cu acces la distanță
Este folosit pentru a crea un canal securizat între un segment de rețea corporativă (birou central sau sucursală) și un singur utilizator care, în timp ce lucrează acasă, se conectează la resursele corporative de pe un computer de acasă, laptop corporativ, smartphone sau chioșc de internet. Aceasta este opțiunea pe care o aveți dacă lucrați de acasă și vă conectați la birou printr-un VPN.
VPN extranet
Folosit pentru rețelele la care se conectează utilizatori „externi” (de exemplu, clienți sau clienți). Nivelul de încredere în aceștia este mult mai scăzut decât în angajații companiei, așa că este necesară asigurarea unor „frontiere” speciale de protecție care împiedică sau restricționează accesul acestora din urmă la informații deosebit de valoroase, confidențiale.
VPN pentru internet
Folosit de furnizori pentru a oferi acces la Internet, de obicei dacă mai mulți utilizatori se conectează printr-un canal fizic. Protocolul PPPoE a devenit standardul în conexiunile ADSL.
L2TP era larg răspândit la mijlocul anilor 2000 în rețelele de acasă: în acele vremuri, traficul intranet nu era plătit, iar traficul extern era scump. Acest lucru a făcut posibilă controlul costurilor: atunci când conexiunea VPN este oprită, utilizatorul nu plătește nimic.
În prezent, internetul prin cablu este ieftin sau nelimitat, iar de partea utilizatorului există adesea un router pe care pornirea și oprirea internetului nu este la fel de convenabilă ca pe un computer. Prin urmare, accesul L2TP este de domeniul trecutului.
VPN client/server
De asemenea, o opțiune populară. Asigură protecția datelor transmise între două noduri (nu rețele) ale unei rețele corporative. Particularitatea acestei opțiuni este că VPN-ul este construit între noduri care sunt de obicei situate în același segment de rețea, de exemplu, între o stație de lucru și un server. Această nevoie apare foarte des în cazurile în care este necesară crearea mai multor rețele logice într-o singură rețea fizică.
De exemplu, atunci când este necesară împărțirea traficului între departamentul financiar și departamentul de resurse umane, accesând servere situate în același segment fizic. Această opțiune este similară cu tehnologia VLAN, dar în loc să separe traficul, este criptată.
6.3 OpenVPN
Amintiți-vă, am vorbit despre un router virtual pe partea de birou, la care vă puteți conecta folosind clienți VPN? Deci, există o soluție foarte populară despre care vă va fi util să știți. Acesta este OpenVPN.
OpenVPN este un program gratuit care implementează tehnologia rețelei private virtuale (VPN). Acceptă două moduri populare de operare: client-server și punct la punct, atunci când trebuie să combinați două rețele mari.
Menține un nivel bun de criptare a traficului între participanții săi și, de asemenea, vă permite să stabiliți conexiuni între computere din spatele NAT și un firewall fără a fi nevoie să le schimbați setările.
Pentru a securiza canalul de control și fluxul de date, OpenVPN utilizează biblioteca OpenSSL . Acest lucru vă permite să utilizați întregul set de algoritmi de criptare disponibili în această bibliotecă.
De asemenea, poate utiliza autentificarea lot HMAC pentru mai multă securitate și accelerare hardware pentru a îmbunătăți performanța de criptare. Această bibliotecă folosește OpenSSL, mai precis, protocoalele SSLv3/TLSv1.2 .
Există implementări ale acestui program pentru toate sistemele de operare populare: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
OpenVPN oferă utilizatorului mai multe tipuri de autentificare :
- Tasta presetată este cea mai ușoară metodă.
- Autentificarea prin certificat este cea mai flexibilă metodă din setări.
- Utilizarea unui login și a unei parole - poate fi folosită fără a crea un certificat de client (un certificat de server este încă necesar).
Informații tehnice
OpenVPN efectuează toate operațiunile de rețea prin transport TCP sau UDP. În general, UDP este preferat deoarece tunelul va transporta trafic la nivelul rețelei și mai sus peste OSI dacă este utilizată o conexiune TUN, sau trafic la nivelul legăturii și mai sus dacă este utilizat TAP.
Aceasta înseamnă că OpenVPN acționează ca un canal sau chiar un protocol de nivel fizic pentru client, ceea ce înseamnă că fiabilitatea transferului de date poate fi asigurată de niveluri OSI mai mari, dacă este necesar.
Având în vedere că am analizat bine modelul OSI, ar trebui să înțelegeți ce se spune aici.
De aceea, protocolul UDP, în conceptul său, este cel mai apropiat de OpenVPN, deoarece, la fel ca protocoalele legăturii de date și ale straturilor fizice, nu asigură fiabilitatea conexiunii, trecând această inițiativă la niveluri superioare. Dacă configurați tunelul să funcționeze peste TCP, serverul va primi de obicei segmente TCP OpenVPN care conțin alte segmente TCP de la client.
De asemenea, ceea ce nu este lipsit de importanță, OpenVPN poate funcționa prin majoritatea serverelor proxy, inclusiv HTTP, SOCKS, prin NAT și filtre de rețea. Serverul poate fi configurat pentru a atribui setări de rețea clientului. De exemplu, adresa IP, setările de rutare și parametrii de conexiune.
GO TO FULL VERSION