VPN

Modul 3
Nivå , Lektion
Tillgängliga

6.1 Introduktion till VPN

Virtual Private Network eller VPN är bokstavligen ett virtuellt privat nätverk. Troligtvis hörde du ofta ordet VPN när du ville ändra land i webbläsaren på din telefon eller dator. Starta VPN, välj ett land och du är klar.

Introduktion till VPN

Även om VPN faktiskt inte har något med länder att göra. Fallet är lite annorlunda.

Föreställ dig att du arbetar på ett kontor på en dator, och på det här kontoret finns olika datorutrustning med nätverksåtkomst: datorer, servrar, skrivare, videokonferensutrustning.

Situation 1 : ditt kontor har växt, du bestämde dig för att flytta till nästa våning. Du tog din dator, flyttade den till ett annat rum, kopplade in den till ett annat nätverksuttag och du har fortfarande tillgång till företagets alla servrar och datorer.

Troligtvis pratar din dator nu med en annan router, men alla routrar i ditt företag vet hur man kommunicerar med varandra och ger dig alla fördelar med att vara på samma lokala nätverk. Du har inga problem med att komma åt någon utrustning på företagets nätverk.

Situation 2 : En pandemi har börjat och du bestämmer dig för att arbeta hemifrån. Du tog med dig din arbetsdator hem, men otur, det finns ingen tillgång till kontorsservrar hemma. Det verkar vara logiskt, eftersom de stannade på kontoret i andra änden av staden. Å andra sidan uppstår frågan: när du överförde datorn i det första fallet hade du fortfarande tillgång till kontorsdatorer. När du flyttade datorn i det andra fallet finns det ingen åtkomst. Vad har förändrats?

I det första fallet var alla datorer på ditt kontor (även de som finns på olika våningar) på samma lokala nätverk. Men i det andra fallet, nej. Din dator hemma är inte ansluten till kontorets LAN. Följaktligen har du inte tillgång till de interna resurserna i kontorsnätverket.

Som en lösning på detta problem föreslogs en lösning - ett virtuellt lokalt nätverk (VPN). På ditt kontor, på varje våning, fanns en router som skickade data till varandra och säkerställde driften av det lokala nätverket.

Vi måste skapa två virtuella routrar (i form av program), en på ditt kontor, den andra hemma, som också skickar krypterad data till varandra över Internet. Och det finns sådana program: ett av dem kallas VPN-server och det andra är VPN-klient .

VPN-servern konfigureras av systemadministratören på kontoret, och VPN-klienten finns nu i varje dator och/eller telefon.

Du startar en VPN-klient på din dator och använder den för att ansluta till VPN-servern, så datorn tror nu att den är inne i det lokala nätverket där VPN-servern finns.

Om du nu startar din webbläsare så kommer all data från din webbläsare att gå till din lokala virtuella router (VPN-klient), från den till företagets virtuella router (VPN-server) och sedan vidare ut i världen genom din Internet-gateway. kontorsföretag.

Den externa IP-adressen för din dator kommer nu att matcha den offentliga IP-adressen för ditt kontor. Och om det här kontoret var till exempel i Tyskland, kommer servern som din webbläsare har tillgång till att vara säker på att du är på ett kontor i Tyskland.

6.2 VPN-typer

VPN-nätverk är uppdelade efter deras målfunktioner. Det finns många olika, men här är en lista över typiska VPN-lösningar:

Intranät VPN

Det används för att kombinera flera distribuerade grenar av en organisation till ett enda säkert nätverk, utbyte av data via öppna kommunikationskanaler. Det här är den första som startade allt.

Fjärråtkomst VPN

Det används för att skapa en säker kanal mellan ett företagsnätverkssegment (centralkontor eller filialkontor) och en enskild användare som, medan han arbetar hemma, ansluter till företagets resurser från en hemdator, företags bärbar dator, smartphone eller internetkiosk. Detta är alternativet du har om du arbetar hemifrån och ansluter till kontoret via en VPN.

Extranät VPN

Används för nätverk som "externa" användare (till exempel kunder eller klienter) ansluter till. Nivån av förtroende för dem är mycket lägre än för företagets anställda, så det är nödvändigt att tillhandahålla särskilda "gränser" för skydd som förhindrar eller begränsar de senares tillgång till särskilt värdefull, konfidentiell information.

Internet VPN

Används av leverantörer för att ge tillgång till Internet, vanligtvis om flera användare ansluter via en fysisk kanal. PPPoE-protokollet har blivit standarden i ADSL-anslutningar.

L2TP var utbredd i mitten av 2000-talet i hemnätverk: på den tiden betalades inte intranättrafik och extern trafik var dyr. Detta gjorde det möjligt att kontrollera kostnaderna: när VPN-anslutningen är avstängd betalar användaren ingenting.

För närvarande är fast internet billigt eller obegränsat, och på användarens sida finns det ofta en router där det inte är lika bekvämt att slå på och av internet som på en dator. Därför är L2TP-åtkomst ett minne blott.

Klient/server VPN

Också ett populärt alternativ. Det säkerställer skyddet av överförda data mellan två noder (inte nätverk) i ett företagsnätverk. Det speciella med detta alternativ är att VPN är byggt mellan noder som vanligtvis finns i samma nätverkssegment, till exempel mellan en arbetsstation och en server. Detta behov uppstår mycket ofta i de fall det är nödvändigt att skapa flera logiska nätverk i ett fysiskt nätverk.

Till exempel, när det är nödvändigt att dela upp trafiken mellan ekonomiavdelningen och personalavdelningen, åtkomst till servrar som finns i samma fysiska segment. Det här alternativet liknar VLAN-teknik, men istället för att separera trafik krypteras det.

6.3 OpenVPN

Kom ihåg att vi pratade om en virtuell router på kontorssidan, som du kan ansluta till med VPN-klienter? Så det finns en mycket populär lösning som det kommer att vara användbart för dig att känna till. Detta är OpenVPN.

OpenVPN är ett gratis program som implementerar virtuell privat nätverksteknik (VPN). Den stöder två populära driftsätt: klient-server och punkt-till-punkt, när du behöver kombinera två stora nätverk.

Den upprätthåller en bra nivå av trafikkryptering mellan sina deltagare, och låter dig även upprätta anslutningar mellan datorer bakom NAT och en brandvägg utan att behöva ändra deras inställningar.

För att säkra kontrollkanalen och dataflödet använder OpenVPN OpenSSL- biblioteket . Detta gör att du kan använda hela uppsättningen av krypteringsalgoritmer som finns tillgängliga i detta bibliotek.

Den kan också använda HMAC batch-autentisering för mer säkerhet och hårdvaruacceleration för att förbättra krypteringsprestandan. Det här biblioteket använder OpenSSL, närmare bestämt SSLv3/TLSv1.2 -protokollen .

Det finns implementeringar av detta program för alla populära operativsystem: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.

OpenVPN erbjuder användaren flera typer av autentisering :

  • Den förinställda nyckeln är den enklaste metoden.
  • Certifikatautentisering är den mest flexibla metoden i inställningar.
  • Användning av inloggning och lösenord - kan användas utan att skapa ett klientcertifikat (ett servercertifikat behövs fortfarande).

Teknisk information

OpenVPN utför alla nätverksoperationer över TCP- eller UDP-transport. I allmänhet är UDP att föredra eftersom tunneln kommer att bära nätverkslagertrafik och över OSI om en TUN-anslutning används, eller länklagertrafik och högre om TAP används.

Detta innebär att OpenVPN fungerar som en kanal eller till och med ett fysiskt lagerprotokoll för klienten, vilket innebär att tillförlitlighet för dataöverföring kan säkerställas genom högre OSI-nivåer, om det behövs.

Med tanke på att vi har analyserat OSI-modellen väl bör du förstå vad som sägs här.

Det är därför UDP-protokollet, i sitt koncept, ligger närmast OpenVPN, eftersom det, liksom protokollen för datalänken och fysiska lager, inte ger anslutningstillförlitlighet, vilket leder detta initiativ till högre nivåer. Om du konfigurerar tunneln att fungera över TCP, kommer servern vanligtvis att ta emot OpenVPN TCP-segment som innehåller andra TCP-segment från klienten.

Dessutom, vilket inte är oviktigt, OpenVPN kan fungera genom de flesta av proxyservrarna, inklusive HTTP, SOCKS, genom NAT och nätverksfilter. Servern kan konfigureras för att tilldela nätverksinställningar till klienten. Till exempel IP-adress, routinginställningar och anslutningsparametrar. 

3
Опрос
Network device,  8 уровень,  5 лекция
недоступен
Network device
Network device
Kommentarer
TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION