6.1 ข้อมูลเบื้องต้นเกี่ยวกับ VPN

Virtual Private NetworkหรือVPNเป็นเครือข่ายส่วนตัวเสมือนอย่างแท้จริง เป็นไปได้มากว่าคุณมักจะได้ยินคำว่า VPN เมื่อคุณต้องการเปลี่ยนประเทศในเบราว์เซอร์ของโทรศัพท์หรือคอมพิวเตอร์ของคุณ เปิด VPN เลือกประเทศและทำเสร็จแล้ว

รู้เบื้องต้นเกี่ยวกับ VPN

แม้ว่าที่จริงแล้ว VPN จะไม่มีส่วนเกี่ยวข้องกับประเทศต่างๆ กรณีแตกต่างกันเล็กน้อย

ลองนึกภาพว่าคุณทำงานในสำนักงานโดยใช้คอมพิวเตอร์ และในสำนักงานนี้มีอุปกรณ์คอมพิวเตอร์ต่างๆ ที่สามารถเข้าถึงเครือข่ายได้: คอมพิวเตอร์ เซิร์ฟเวอร์ เครื่องพิมพ์ อุปกรณ์การประชุมผ่านวิดีโอ

สถานการณ์ที่ 1 : สำนักงานของคุณเติบโตขึ้น คุณตัดสินใจย้ายไปยังชั้นถัดไป คุณนำคอมพิวเตอร์ของคุณ ย้ายไปยังห้องอื่น เสียบเข้ากับเต้ารับเครือข่ายอื่น และคุณยังคงสามารถเข้าถึงเซิร์ฟเวอร์และคอมพิวเตอร์ทั้งหมดของบริษัทได้

เป็นไปได้มากว่าตอนนี้คอมพิวเตอร์ของคุณกำลังคุยกับเราเตอร์อีกเครื่องหนึ่ง แต่เราเตอร์ทั้งหมดในบริษัทของคุณรู้วิธีสื่อสารกันและให้ประโยชน์ทั้งหมดแก่คุณจากการอยู่บนเครือข่ายท้องถิ่นเดียวกัน คุณไม่มีปัญหาในการเข้าถึงอุปกรณ์ใด ๆ บนเครือข่ายขององค์กร

สถานการณ์ที่ 2 : การระบาดได้เริ่มขึ้นและคุณตัดสินใจที่จะทำงานจากที่บ้าน คุณนำคอมพิวเตอร์ที่ทำงานกลับบ้าน แต่โชคไม่ดี ไม่มีการเข้าถึงเซิร์ฟเวอร์สำนักงานที่บ้าน ดูเหมือนจะมีเหตุผลเพราะพวกเขาอยู่ที่สำนักงานที่ปลายอีกด้านของเมือง ในทางกลับกัน คำถามเกิดขึ้น: เมื่อคุณโอนคอมพิวเตอร์ในกรณีแรก คุณยังสามารถเข้าถึงคอมพิวเตอร์สำนักงานได้ เมื่อคุณย้ายคอมพิวเตอร์ในกรณีที่สอง จะไม่สามารถเข้าถึงได้ มีอะไรเปลี่ยนแปลงบ้าง?

ในกรณีแรก คอมพิวเตอร์ทุกเครื่องในสำนักงานของคุณ (แม้จะอยู่คนละชั้น) อยู่บนเครือข่ายท้องถิ่นเดียวกัน แต่ในกรณีที่สองไม่ใช่ คอมพิวเตอร์ที่บ้านของคุณไม่ได้เชื่อมต่อกับ LAN ของสำนักงาน ดังนั้น คุณไม่มีสิทธิ์เข้าถึงทรัพยากรภายในของเครือข่ายสำนักงาน

Java university

เพื่อแก้ปัญหานี้ ได้มีการเสนอวิธีแก้ปัญหา - เครือข่ายท้องถิ่นเสมือน (VPN) ในสำนักงานของคุณ ในแต่ละชั้น มีเราเตอร์ที่ส่งข้อมูลถึงกันและรับประกันการทำงานของเครือข่ายท้องถิ่น

เราจำเป็นต้องสร้างเราเตอร์เสมือน สอง ตัว (ในรูปของโปรแกรม) ตัวแรกในที่ทำงานของคุณ ตัวที่สองที่บ้าน ซึ่งจะส่งข้อมูลที่เข้ารหัสให้กันและกันทางอินเทอร์เน็ตด้วย และมีโปรแกรมดังกล่าว: หนึ่งในนั้นเรียกว่าเซิร์ฟเวอร์ VPNและโปรแกรมที่สองคือไคลเอนต์ VPN

เซิร์ฟเวอร์ VPN ได้รับการกำหนดค่าโดยผู้ดูแลระบบในสำนักงาน และตอนนี้ไคลเอนต์ VPN อยู่ในคอมพิวเตอร์และ/หรือโทรศัพท์ทุกเครื่อง

คุณเปิดใช้งานไคลเอนต์ VPN บนคอมพิวเตอร์ของคุณและใช้เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ VPN ดังนั้นคอมพิวเตอร์จึงคิดว่าอยู่ในเครือข่ายท้องถิ่นที่เซิร์ฟเวอร์ VPN ตั้งอยู่

หากคุณเปิดเบราว์เซอร์ของคุณตอนนี้ ข้อมูลทั้งหมดจากเบราว์เซอร์ของคุณจะไปที่เราเตอร์เสมือนในเครื่องของคุณ (ไคลเอ็นต์ VPN) จากนั้นไปยังเราเตอร์เสมือนของบริษัท (เซิร์ฟเวอร์ VPN) จากนั้นจะออกสู่โลกกว้างผ่านอินเทอร์เน็ตเกตเวย์ของคุณ บริษัทสำนักงาน.

ที่อยู่ IP ภายนอกของคอมพิวเตอร์ของคุณจะตรงกับที่อยู่ IP สาธารณะของสำนักงานของคุณ และถ้าสำนักงานนี้เคยอยู่ในเยอรมนี เซิร์ฟเวอร์ที่เบราว์เซอร์ของคุณเข้าถึงจะต้องแน่ใจว่าคุณอยู่ในสำนักงานในเยอรมนี

6.2 ประเภท VPN

เครือข่าย VPN แบ่งตามหน้าที่เป้าหมาย มีหลายวิธี แต่นี่คือรายการโซลูชัน VPN ทั่วไป:

อินทราเน็ต VPN

ใช้เพื่อรวมสาขากระจายหลายแห่งขององค์กรเดียวเป็นเครือข่ายเดียวที่ปลอดภัย แลกเปลี่ยนข้อมูลผ่านช่องทางการสื่อสารแบบเปิด นี่เป็นคนแรกที่เริ่มต้นทั้งหมด

VPN การเข้าถึงระยะไกล

ใช้เพื่อสร้างช่องทางที่ปลอดภัยระหว่างส่วนเครือข่ายขององค์กร (สำนักงานกลางหรือสำนักงานสาขา) และผู้ใช้คนเดียวที่เชื่อมต่อกับทรัพยากรขององค์กรจากคอมพิวเตอร์ที่บ้าน แล็ปท็อปขององค์กร สมาร์ทโฟน หรือตู้อินเทอร์เน็ต ในขณะที่ทำงานที่บ้าน นี่คือตัวเลือกที่คุณมีหากคุณทำงานจากที่บ้านและเชื่อมต่อกับสำนักงานผ่าน VPN

เอ็กซ์ทราเน็ต VPN

ใช้สำหรับเครือข่ายที่ผู้ใช้ "ภายนอก" (เช่น ลูกค้าหรือไคลเอนต์) เชื่อมต่อ ระดับความไว้วางใจในตัวพวกเขานั้นต่ำกว่าพนักงานของ บริษัท มากดังนั้นจึงจำเป็นต้องให้การป้องกัน "ชายแดน" พิเศษที่ป้องกันหรือ จำกัด การเข้าถึงข้อมูลที่มีค่าและเป็นความลับโดยเฉพาะ

อินเทอร์เน็ต VPN

ผู้ให้บริการใช้เพื่อจัดหาการเข้าถึงอินเทอร์เน็ต โดยปกติแล้วจะมีผู้ใช้หลายคนเชื่อมต่อผ่านช่องทางเดียว โปรโตคอล PPPoE ได้กลายเป็นมาตรฐานในการเชื่อมต่อ ADSL

L2TP แพร่หลายในช่วงกลางปี ​​2000 ในเครือข่ายในบ้าน: ในสมัยนั้น ทราฟฟิกอินทราเน็ตไม่ได้รับการชำระเงิน และทราฟฟิกภายนอกมีราคาแพง สิ่งนี้ทำให้สามารถควบคุมค่าใช้จ่ายได้: เมื่อปิดการเชื่อมต่อ VPN ผู้ใช้ไม่ต้องเสียค่าใช้จ่ายใดๆ

ปัจจุบัน อินเทอร์เน็ตแบบใช้สายมีราคาถูกหรือไม่จำกัด และในด้านของผู้ใช้มักจะมีเราเตอร์ซึ่งการเปิดและปิดอินเทอร์เน็ตนั้นไม่สะดวกเท่ากับบนคอมพิวเตอร์ ดังนั้นการเข้าถึง L2TP จึงเป็นอดีตไปแล้ว

ไคลเอ็นต์/เซิร์ฟเวอร์ VPN

ยังเป็นตัวเลือกยอดนิยม ช่วยให้มั่นใจในการป้องกันข้อมูลที่ส่งระหว่างสองโหนด (ไม่ใช่เครือข่าย) ของเครือข่ายองค์กร ลักษณะเฉพาะของตัวเลือกนี้คือ VPN สร้างขึ้นระหว่างโหนดที่มักจะอยู่ในส่วนเครือข่ายเดียวกัน เช่น ระหว่างเวิร์กสเตชันและเซิร์ฟเวอร์ ความต้องการนี้มักเกิดขึ้นในกรณีที่จำเป็นต้องสร้างเครือข่ายโลจิคัลหลายเครือข่ายในเครือข่ายทางกายภาพเดียว

ตัวอย่างเช่น เมื่อจำเป็นต้องแบ่งการรับส่งข้อมูลระหว่างแผนกการเงินและแผนกทรัพยากรบุคคล การเข้าถึงเซิร์ฟเวอร์ที่อยู่ในเซกเมนต์ทางกายภาพเดียวกัน ตัวเลือกนี้คล้ายกับเทคโนโลยี VLAN แต่แทนที่จะแยกทราฟฟิก จะถูกเข้ารหัส

6.3 OpenVPN

โปรดจำไว้ว่าเราได้พูดคุยเกี่ยวกับเราเตอร์เสมือนในฝั่งสำนักงาน ซึ่งคุณสามารถเชื่อมต่อโดยใช้ไคลเอนต์ VPN? ดังนั้นจึงมีวิธีแก้ปัญหายอดนิยมอย่างหนึ่งที่จะเป็นประโยชน์สำหรับคุณที่จะทราบ นี่คือ OpenVPN

OpenVPNเป็นโปรแกรมฟรีที่ใช้เทคโนโลยีเครือข่ายส่วนตัวเสมือน (VPN) รองรับสองโหมดการทำงานยอดนิยม: ไคลเอ็นต์-เซิร์ฟเวอร์ และแบบจุดต่อจุด เมื่อคุณต้องการรวมสองเครือข่ายขนาดใหญ่

มันรักษาระดับการเข้ารหัสทราฟฟิกที่ดีระหว่างผู้เข้าร่วมและยังช่วยให้คุณสร้างการเชื่อมต่อระหว่างคอมพิวเตอร์ที่อยู่เบื้องหลัง NAT และไฟร์วอลล์โดยไม่ต้องเปลี่ยนการตั้งค่า

เพื่อรักษาความปลอดภัยช่องควบคุมและการไหลของข้อมูล OpenVPN ใช้ไลบรารีOpenSSL สิ่งนี้ทำให้คุณสามารถใช้อัลกอริทึมการเข้ารหัสทั้งชุดที่มีอยู่ในไลบรารีนี้ได้

นอกจากนี้ยังสามารถใช้ การพิสูจน์ตัวตนแบบแบทช์ของ HMACเพื่อเพิ่มความปลอดภัยและการเร่งด้วยฮาร์ดแวร์เพื่อปรับปรุงประสิทธิภาพการเข้ารหัส ไลบรารีนี้ใช้ OpenSSL โดยเฉพาะ โปรโตคอล SSLv3/TLSv1.2

มีการใช้งานโปรแกรมนี้สำหรับระบบปฏิบัติการยอดนิยมทั้งหมด: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS

OpenVPN ให้การรับรองความถูกต้องแก่ผู้ใช้หลายประเภท :

  • ปุ่มที่ตั้งไว้เป็นวิธีที่ง่ายที่สุด
  • การตรวจสอบใบรับรองเป็นวิธีที่ยืดหยุ่นที่สุดในการตั้งค่า
  • การใช้การเข้าสู่ระบบและรหัสผ่าน - สามารถใช้งานได้โดยไม่ต้องสร้างใบรับรองไคลเอนต์ (ยังต้องการใบรับรองเซิร์ฟเวอร์)

ข้อมูลทางเทคนิค

OpenVPN ดำเนินการเครือข่ายทั้งหมดผ่านการขนส่ง TCP หรือ UDP โดยทั่วไป แนะนำให้ใช้ UDP เนื่องจากทันเนลจะนำทราฟฟิกเลเยอร์เครือข่ายและสูงกว่า OSI หากใช้การเชื่อมต่อ TUN หรือทราฟฟิกเลเยอร์ลิงก์และสูงกว่าหากใช้ TAP

ซึ่งหมายความว่า OpenVPN ทำหน้าที่เป็นช่องทางหรือแม้แต่โปรโตคอลเลเยอร์จริงสำหรับไคลเอ็นต์ ซึ่งหมายความว่าสามารถรับรองความน่าเชื่อถือในการถ่ายโอนข้อมูลได้ด้วยระดับ OSI ที่สูงขึ้น หากจำเป็น

เนื่องจากเราได้วิเคราะห์แบบจำลอง OSI เป็นอย่างดี คุณจึงควรเข้าใจสิ่งที่กำลังกล่าวถึงในที่นี้

นั่นเป็นเหตุผลว่าทำไมในแนวคิดของโปรโตคอล UDP จึงใกล้เคียงกับ OpenVPN มากที่สุด เนื่องจากโปรโตคอลของการเชื่อมโยงข้อมูลและเลเยอร์กายภาพไม่ได้ให้ความน่าเชื่อถือในการเชื่อมต่อ ส่งผ่านความคิดริเริ่มนี้ไปยังระดับที่สูงขึ้น หากคุณกำหนดค่าอุโมงค์ให้ทำงานผ่าน TCP เซิร์ฟเวอร์จะได้รับส่วน OpenVPN TCP ที่ประกอบด้วยส่วน TCP อื่นๆ จากไคลเอ็นต์

นอกจากนี้ ซึ่งไม่สำคัญ OpenVPN สามารถทำงานผ่านพร็อกซีเซิร์ฟเวอร์ส่วนใหญ่ รวมถึง HTTP, SOCKS ผ่าน NAT และตัวกรองเครือข่าย สามารถกำหนดค่าเซิร์ฟเวอร์เพื่อกำหนดการตั้งค่าเครือข่ายให้กับไคลเอ็นต์ ตัวอย่างเช่น ที่อยู่ IP การตั้งค่าการกำหนดเส้นทาง และการตั้งค่าการเชื่อมต่อ 

undefined
3
Опрос
Network device,  8 уровень,  5 лекция
недоступен
Network device
Network device
Открыть