6.1 VPN'e Giriş
Sanal Özel Ağ veya VPN, kelimenin tam anlamıyla sanal bir özel ağdır. Büyük olasılıkla, telefonunuzun veya bilgisayarınızın tarayıcısında ülkeyi değiştirmek istediğinizde sık sık VPN kelimesini duymuşsunuzdur. VPN'i başlatın, bir ülke seçin ve bitirdiniz.
Her ne kadar VPN'lerin aslında ülkelerle hiçbir ilgisi olmasa da. Olay biraz farklı.
Bir ofiste bir bilgisayarda çalıştığınızı ve bu ofiste ağ erişimi olan çeşitli bilgisayar ekipmanlarının olduğunu hayal edin: bilgisayarlar, sunucular, yazıcılar, video konferans ekipmanı.
Durum 1 : ofisiniz büyüdü, bir sonraki kata taşınmaya karar verdiniz. Bilgisayarınızı aldınız, başka bir odaya taşıdınız, başka bir ağ prizine taktınız ve yine şirketin tüm sunucularına ve bilgisayarlarına erişiminiz var.
Büyük olasılıkla, bilgisayarınız artık başka bir yönlendiriciyle konuşuyor, ancak şirketinizdeki tüm yönlendiriciler birbirleriyle nasıl iletişim kuracaklarını biliyor ve size aynı yerel ağda olmanın tüm avantajlarını sağlıyor. Kurumsal ağdaki herhangi bir ekipmana erişimde sorun yaşamazsınız.
Durum 2 : Bir pandemi başladı ve siz evden çalışmaya karar verdiniz. İş bilgisayarınızı eve götürdünüz, ama şanssızlık, evde ofis sunucularına erişim yok. Mantıklı görünüyor çünkü şehrin diğer ucundaki ofiste kalıyorlardı. Öte yandan, şu soru ortaya çıkıyor: İlk durumda bilgisayarı devrettiğinizde, hala ofis bilgisayarlarına erişiminiz vardı. İkinci durumda bilgisayarı taşıdığınızda, erişim yoktur. Ne değişti?
İlk durumda, ofisinizdeki tüm bilgisayarlar (farklı katlarda bulunanlar bile) aynı yerel ağdaydı. Ama ikinci durumda, hayır. Evdeki bilgisayarınız ofis LAN'ına bağlı değil. Buna göre, ofis ağının iç kaynaklarına erişiminiz yoktur.
Bu soruna bir çözüm olarak bir çözüm önerildi - sanal bir yerel alan ağı (VPN). Ofisinizde her katta birbirine veri gönderen ve yerel ağın çalışmasını sağlayan bir yönlendirici vardı.
Biri ofisinizde, ikincisi evde olmak üzere iki sanal yönlendirici (program biçiminde) oluşturmamız gerekiyor ve bunlar da İnternet üzerinden şifrelenmiş verileri birbirine gönderecek. Ve bu tür programlar var: bunlardan birinin adı VPN sunucusu , ikincisi ise VPN istemcisi .
VPN sunucusu, ofisteki sistem yöneticisi tarafından yapılandırılır ve VPN istemcisi artık her bilgisayarda ve/veya telefondadır.
Bilgisayarınızda bir VPN istemcisi başlatırsınız ve onu VPN sunucusuna bağlanmak için kullanırsınız, böylece bilgisayar artık VPN sunucusunun bulunduğu yerel ağ içinde olduğunu düşünür.
Şimdi tarayıcınızı başlatırsanız, tarayıcınızdaki tüm veriler yerel sanal yönlendiricinize (VPN istemcisi), buradan şirketin sanal yönlendiricisine (VPN sunucusu) ve ardından İnternet ağ geçidi aracılığıyla dünyanın daha ötesine gidecektir. ofis şirketleri.
Bilgisayarınızın harici IP adresi artık ofisinizin genel IP adresiyle eşleşecektir. Ve bu ofis örneğin Almanya'daysa, tarayıcınızın eriştiği sunucu sizin Almanya'da bir ofiste olduğunuzdan emin olacaktır.
6.2 VPN türleri
VPN ağları, hedef işlevlerine göre ayrılır. Pek çok farklı çözüm var, ancak işte tipik VPN çözümlerinin bir listesi:
intranet vpn
Açık iletişim kanalları aracılığıyla veri alışverişi yaparak, bir kuruluşun birkaç dağıtılmış şubesini tek bir güvenli ağda birleştirmek için kullanılır. Her şeyi başlatan ilk kişi bu.
Uzaktan Erişim VPN'i
Bir kurumsal ağ segmenti (merkez ofis veya şube) ile evde çalışırken ev bilgisayarı, kurumsal dizüstü bilgisayar, akıllı telefon veya İnternet kioskundan kurumsal kaynaklara bağlanan tek bir kullanıcı arasında güvenli bir kanal oluşturmak için kullanılır. Evden çalışıyorsanız ve ofise bir VPN aracılığıyla bağlanıyorsanız, sahip olduğunuz seçenek budur.
Extranet VPN'i
"Harici" kullanıcıların (örneğin müşteriler veya istemciler) bağlandığı ağlar için kullanılır. Onlara olan güven düzeyi, şirket çalışanlarından çok daha düşüktür, bu nedenle, ikincisinin özellikle değerli, gizli bilgilere erişimini engelleyen veya kısıtlayan özel koruma "sınırları" sağlamak gerekir.
İnternet VPN'i
Genellikle birkaç kullanıcı tek bir fiziksel kanal üzerinden bağlanırsa, sağlayıcılar tarafından İnternet'e erişim sağlamak için kullanılır. PPPoE protokolü ADSL bağlantılarında standart hale geldi.
L2TP, 2000'lerin ortalarında ev ağlarında yaygındı: o günlerde intranet trafiği ödenmiyordu ve harici trafik pahalıydı. Bu, maliyetleri kontrol etmeyi mümkün kıldı: VPN bağlantısı kapatıldığında, kullanıcı hiçbir ödeme yapmaz.
Şu anda, kablolu İnternet ucuz veya sınırsızdır ve kullanıcı tarafında genellikle İnterneti açıp kapatmanın bilgisayardaki kadar uygun olmadığı bir yönlendirici vardır. Bu nedenle, L2TP erişimi geçmişte kaldı.
İstemci/sunucu VPN'i
Ayrıca popüler bir seçenek. Bir kurumsal ağın iki düğümü (ağ değil) arasında iletilen verilerin korunmasını sağlar. Bu seçeneğin özelliği, VPN'nin genellikle aynı ağ kesiminde bulunan düğümler arasında, örneğin bir iş istasyonu ile bir sunucu arasında oluşturulmuş olmasıdır. Bu ihtiyaç, genellikle tek bir fiziksel ağda birkaç mantıksal ağ oluşturmanın gerekli olduğu durumlarda ortaya çıkar.
Örneğin, aynı fiziksel segmentte bulunan sunuculara erişerek, trafiği finans departmanı ile insan kaynakları departmanı arasında bölmek gerektiğinde. Bu seçenek VLAN teknolojisine benzer, ancak trafiği ayırmak yerine şifrelenir.
6.3 OpenVPN
Hatırlarsanız, ofis tarafında VPN istemcileri kullanarak bağlanabileceğiniz sanal bir yönlendiriciden bahsetmiştik. Bu nedenle, bilmenizin yararlı olacağı çok popüler bir çözüm var. Bu OpenVPN'dir.
OpenVPN, sanal özel ağ (VPN) teknolojisini uygulayan ücretsiz bir programdır. İki popüler çalışma modunu destekler: iki büyük ağı birleştirmeniz gerektiğinde istemci-sunucu ve noktadan noktaya.
Katılımcıları arasında iyi düzeyde bir trafik şifrelemesi sağlar ve ayrıca NAT ve bir güvenlik duvarının arkasındaki bilgisayarlar arasında ayarlarını değiştirmek zorunda kalmadan bağlantılar kurmanıza olanak tanır.
Kontrol kanalını ve veri akışını güvence altına almak için OpenVPN, OpenSSL kitaplığını kullanır . Bu, bu kitaplıkta bulunan tüm şifreleme algoritmalarını kullanmanıza izin verir.
Daha fazla güvenlik için HMAC toplu kimlik doğrulamasını ve şifreleme performansını iyileştirmek için donanım hızlandırmasını da kullanabilir. Bu kitaplık, OpenSSL'yi, daha spesifik olarak SSLv3/TLSv1.2 protokollerini kullanır .
Bu programın tüm popüler işletim sistemleri için uygulamaları vardır: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
OpenVPN, kullanıcıya çeşitli kimlik doğrulama türleri sunar :
- Ön ayar tuşu en kolay yöntemdir.
- Sertifika kimlik doğrulaması , ayarlarda en esnek yöntemdir.
- Oturum açma ve parola kullanma - bir istemci sertifikası oluşturmadan kullanılabilir (yine de bir sunucu sertifikası gereklidir).
Teknik Bilgiler
OpenVPN, tüm ağ işlemlerini TCP veya UDP aktarımı üzerinden yürütür. Genel olarak UDP tercih edilir çünkü tünel, TUN bağlantısı kullanılıyorsa OSI üzerinden ağ katmanı trafiğini ve üzerini, TAP kullanılıyorsa bağlantı katmanı trafiğini ve üzerini taşıyacaktır.
Bu, OpenVPN'in müşteri için bir kanal veya hatta fiziksel katman protokolü olarak hareket ettiği anlamına gelir; bu, gerekirse daha yüksek OSI seviyeleri ile veri aktarım güvenilirliğinin sağlanabileceği anlamına gelir.
OSI modelini iyi analiz ettiğimize göre, burada ne söylendiğini anlamalısınız.
Bu nedenle, UDP protokolü konseptinde OpenVPN'e en yakın olanıdır, çünkü veri bağlantısı ve fiziksel katmanların protokolleri gibi bağlantı güvenilirliği sağlamaz ve bu girişimi daha yüksek seviyelere taşır. Tüneli TCP üzerinden çalışacak şekilde yapılandırırsanız, sunucu genellikle istemciden diğer TCP segmentlerini içeren OpenVPN TCP segmentlerini alır.
Ayrıca OpenVPN, NAT ve ağ filtreleri aracılığıyla HTTP, SOCKS dahil proxy sunucularının çoğunda çalışabilir. Sunucu, istemciye ağ ayarları atamak üzere yapılandırılabilir. Örneğin, IP adresi, yönlendirme ayarları ve bağlantı parametreleri.
GO TO FULL VERSION