6.1 Panimula sa VPN
Ang Virtual Private Network o VPN ay literal na isang virtual pribadong network. Malamang, madalas mong marinig ang salitang VPN kapag gusto mong baguhin ang bansa sa browser ng iyong telepono o computer. Ilunsad ang VPN, pumili ng bansa at tapos ka na.
Bagaman ang mga VPN, sa katunayan, ay walang kinalaman sa mga bansa. Ang kaso ay medyo naiiba.
Isipin na nagtatrabaho ka sa isang opisina gamit ang isang computer, at sa opisinang ito mayroong iba't ibang kagamitan sa computer na may access sa network: mga computer, server, printer, kagamitan sa video conferencing.
Sitwasyon 1 : lumaki ang iyong opisina, nagpasya kang lumipat sa susunod na palapag. Kinuha mo ang iyong computer, inilipat ito sa ibang kwarto, sinaksak ito sa isa pang network outlet, at mayroon ka pa ring access sa lahat ng mga server at computer ng kumpanya.
Malamang, ang iyong computer ay nakikipag-usap na ngayon sa isa pang router, ngunit ang lahat ng mga router sa iyong kumpanya ay alam kung paano makipag-usap sa isa't isa at nagbibigay sa iyo ng lahat ng mga benepisyo ng pagiging nasa parehong lokal na network. Wala kang problema sa pag-access ng anumang kagamitan sa corporate network.
Sitwasyon 2 : Nagsimula na ang isang pandemya at nagpasya kang magtrabaho mula sa bahay. Inuwi mo ang iyong computer sa trabaho, ngunit malas, walang access sa mga server ng opisina sa bahay. Mukhang lohikal na, dahil nanatili sila sa opisina sa kabilang dulo ng lungsod. Sa kabilang banda, ang tanong ay lumitaw: noong inilipat mo ang computer sa unang kaso, mayroon ka pa ring access sa mga computer sa opisina. Kapag inilipat mo ang computer sa pangalawang kaso, walang access. Ano ang nagbago?
Sa unang kaso, ang lahat ng computer sa iyong opisina (kahit ang mga nasa magkaibang palapag) ay nasa parehong lokal na network. Ngunit sa pangalawang kaso, hindi. Ang iyong computer sa bahay ay hindi nakakonekta sa LAN ng opisina. Alinsunod dito, wala kang access sa mga panloob na mapagkukunan ng network ng opisina.
Bilang solusyon sa problemang ito, iminungkahi ang isang solusyon - isang virtual local area network (VPN). Sa iyong opisina, sa bawat palapag, mayroong isang router na nagpadala ng data sa isa't isa at tinitiyak ang pagpapatakbo ng lokal na network.
Kailangan nating lumikha ng dalawang virtual na router (sa anyo ng mga programa), isa sa iyong opisina, ang pangalawa sa bahay, na magpapadala rin ng naka-encrypt na data sa isa't isa sa Internet. At may mga ganitong programa: ang isa sa kanila ay tinatawag na VPN server , at ang pangalawa ay VPN client .
Ang VPN server ay na-configure ng system administrator sa opisina, at ang VPN client ay nasa bawat computer at/o telepono na ngayon.
Naglulunsad ka ng isang VPN client sa iyong computer at ginagamit ito upang kumonekta sa VPN server, kaya iniisip ngayon ng computer na ito ay nasa loob ng lokal na network kung saan matatagpuan ang VPN server.
Kung ilulunsad mo ngayon ang iyong browser, ang lahat ng data mula sa iyong browser ay mapupunta sa iyong lokal na virtual router (VPN client), mula dito hanggang sa virtual router ng kumpanya (VPN server), at pagkatapos ay lalabas pa sa mundo sa pamamagitan ng Internet gateway ng iyong mga kumpanya ng opisina.
Ang panlabas na IP address ng iyong computer ay tutugma na ngayon sa pampublikong IP address ng iyong opisina. At kung ang opisinang ito ay, halimbawa, sa Germany, ang server na na-access ng iyong browser ay makatitiyak na ikaw ay nasa isang opisina sa Germany.
6.2 Mga uri ng VPN
Ang mga network ng VPN ay nahahati ayon sa kanilang mga target na function. Mayroong maraming iba't ibang mga, ngunit narito ang isang listahan ng mga tipikal na solusyon sa VPN:
Intranet VPN
Ito ay ginagamit upang pagsamahin ang ilang mga ipinamahagi na sangay ng isang organisasyon sa isang solong secure na network, pagpapalitan ng data sa pamamagitan ng bukas na mga channel ng komunikasyon. Ito ang unang nagsimula ng lahat.
Remote Access VPN
Ito ay ginagamit para gumawa ng secure na channel sa pagitan ng corporate network segment (central office o branch office) at isang user na, habang nagtatrabaho sa bahay, kumokonekta sa corporate resources mula sa isang home computer, corporate laptop, smartphone, o Internet kiosk. Ito ang opsyon na mayroon ka kung nagtatrabaho ka mula sa bahay at kumonekta sa opisina sa pamamagitan ng VPN.
Extranet VPN
Ginagamit para sa mga network kung saan kumokonekta ang mga "external" na user (halimbawa, mga customer o kliyente). Ang antas ng tiwala sa kanila ay mas mababa kaysa sa mga empleyado ng kumpanya, kaya kinakailangan na magbigay ng mga espesyal na "mga hangganan" ng proteksyon na pumipigil o naghihigpit sa pag-access ng huli sa partikular na mahalaga, kumpidensyal na impormasyon.
Internet VPN
Ginagamit ng mga provider upang magbigay ng access sa Internet, kadalasan kung maraming user ang kumonekta sa pamamagitan ng isang pisikal na channel. Ang PPPoE protocol ay naging pamantayan sa mga koneksyon sa ADSL.
Laganap ang L2TP noong kalagitnaan ng 2000s sa mga home network: noong mga panahong iyon, hindi binabayaran ang trapiko sa intranet, at mahal ang panlabas na trapiko. Ginawa nitong posible na kontrolin ang mga gastos: kapag naka-off ang koneksyon ng VPN, walang babayaran ang user.
Sa kasalukuyan, ang wired na Internet ay mura o walang limitasyon, at sa panig ng gumagamit ay madalas na mayroong isang router kung saan ang pag-on at pag-off ng Internet ay hindi kasing kumportable tulad ng sa isang computer. Samakatuwid, ang L2TP access ay isang bagay ng nakaraan.
VPN ng kliyente/server
Isa ring sikat na opsyon. Tinitiyak nito ang proteksyon ng ipinadalang data sa pagitan ng dalawang node (hindi mga network) ng isang corporate network. Ang kakaiba ng pagpipiliang ito ay ang VPN ay binuo sa pagitan ng mga node na karaniwang matatagpuan sa parehong segment ng network, halimbawa, sa pagitan ng isang workstation at isang server. Ang pangangailangang ito ay madalas na lumitaw sa mga kaso kung saan kinakailangan na lumikha ng ilang mga lohikal na network sa isang pisikal na network.
Halimbawa, kapag kinakailangan na hatiin ang trapiko sa pagitan ng departamento ng pananalapi at ng departamento ng human resources, ang pag-access sa mga server na matatagpuan sa parehong pisikal na segment. Ang pagpipiliang ito ay katulad ng teknolohiya ng VLAN, ngunit sa halip na paghiwalayin ang trapiko, ito ay naka-encrypt.
6.3 OpenVPN
Tandaan, napag-usapan namin ang tungkol sa isang virtual na router sa gilid ng opisina, kung saan maaari kang kumonekta gamit ang mga kliyente ng VPN? Kaya, mayroong isang napaka-tanyag na solusyon na magiging kapaki-pakinabang para sa iyo na malaman ang tungkol sa. Ito ay OpenVPN.
Ang OpenVPN ay isang libreng programa na nagpapatupad ng virtual private network (VPN) na teknolohiya. Sinusuportahan nito ang dalawang sikat na mode ng operasyon: client-server at point-to-point, kapag kailangan mong pagsamahin ang dalawang malalaking network.
Pinapanatili nito ang isang mahusay na antas ng pag-encrypt ng trapiko sa pagitan ng mga kalahok nito, at nagbibigay-daan din sa iyong magtatag ng mga koneksyon sa pagitan ng mga computer sa likod ng NAT at isang firewall nang hindi kinakailangang baguhin ang kanilang mga setting.
Upang ma-secure ang control channel at daloy ng data, ginagamit ng OpenVPN ang OpenSSL library . Nagbibigay-daan ito sa iyong gamitin ang buong hanay ng mga algorithm ng pag-encrypt na available sa library na ito.
Maaari din itong gumamit ng HMAC batch authentication para sa higit pang seguridad at pagpapabilis ng hardware upang mapabuti ang pagganap ng pag-encrypt. Gumagamit ang library na ito ng OpenSSL, mas partikular, ang SSLv3/TLSv1.2 protocols .
May mga pagpapatupad ng program na ito para sa lahat ng sikat na operating system: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
Nag-aalok ang OpenVPN sa user ng ilang uri ng pagpapatunay :
- Ang preset key ay ang pinakamadaling paraan.
- Ang pagpapatunay ng sertipiko ay ang pinaka-flexible na paraan sa mga setting.
- Paggamit ng login at password - maaaring gamitin nang hindi gumagawa ng certificate ng kliyente (kailangan pa rin ng certificate ng server).
Impormasyong teknikal
Ang OpenVPN ay nagsasagawa ng lahat ng operasyon ng network sa TCP o UDP na transportasyon. Sa pangkalahatan, mas gusto ang UDP dahil dadalhin ng tunnel ang trapiko ng layer ng network at higit sa OSI kung gumamit ng koneksyon sa TUN, o mag-link ng trapiko sa layer at mas mataas kung ginamit ang TAP.
Nangangahulugan ito na ang OpenVPN ay gumaganap bilang isang channel o kahit na pisikal na layer protocol para sa kliyente, na nangangahulugan na ang pagiging maaasahan ng paglipat ng data ay maaaring matiyak ng mas mataas na antas ng OSI, kung kinakailangan.
Dahil nasuri namin nang mabuti ang modelo ng OSI, dapat mong maunawaan kung ano ang sinasabi dito.
Iyon ang dahilan kung bakit ang UDP protocol, sa konsepto nito, ay pinakamalapit sa OpenVPN, dahil ito, tulad ng mga protocol ng link ng data at mga pisikal na layer, ay hindi nagbibigay ng pagiging maaasahan ng koneksyon, na ipinapasa ang inisyatiba na ito sa mas mataas na antas. Kung iko-configure mo ang tunnel upang gumana sa TCP, karaniwang tatanggap ang server ng mga segment ng OpenVPN TCP na naglalaman ng iba pang mga segment ng TCP mula sa kliyente.
Gayundin, na hindi mahalaga, ang OpenVPN ay maaaring gumana sa karamihan ng mga proxy server, kabilang ang HTTP, SOCKS, sa pamamagitan ng NAT at mga filter ng network. Maaaring i-configure ang server upang magtalaga ng mga setting ng network sa kliyente. Halimbawa, ang IP address, mga setting ng pagruruta, at mga setting ng koneksyon.
GO TO FULL VERSION