Πίνακας περιεχομένων:
- Πώς λειτουργεί ένα VPN
- Μπορείτε να ρυθμίσετε ένα VPN με δύο τρόπους: Ο πρώτος τρόπος χρησιμοποιείται συνήθως μεταξύ δικτύων και τείχους προστασίας ή δρομολογητών κρυπτογράφησης για την κρυπτογράφηση και αποκρυπτογράφηση της επισκεψιμότητας. Σε αυτή τη ρύθμιση δεν υπάρχει ανάγκη για ειδικό λογισμικό στον υπολογιστή γραφείου ή υπολογιστή-πελάτη. Η δεύτερη μέθοδος είναι να έχετε ένα τείχος προστασίας, έναν δρομολογητή κρυπτογράφησης ή έναν διακομιστή VPN στο τέλος προορισμού και ένα ειδικό λογισμικό πελάτη VPN στους επιτραπέζιους ή φορητούς υπολογιστές. Όλα εξαρτώνται από το αν το VPN είναι αμφίδρομη λειτουργία ή λειτουργία μονής κατεύθυνσης.
- Πιθανώς ο ευκολότερος τρόπος για να σπάσετε την ασφάλεια ενός VPN είναι να πάρετε ένα φορητό υπολογιστή που χρησιμοποιείται για την κλήση για σύνδεση VPN. Ο κλεμμένος φορητός υπολογιστής θα έχει το λογισμικό πελάτη VPN, το UserID και το μυστικό κλειδί, όλα αποθηκευμένα σε ένα μηχάνημα. Ένας έξυπνος ιδιοκτήτης φορητού υπολογιστή δεν θα έχει αποθηκεύσει τον κωδικό πρόσβασης για τη σήραγγα VPN στον υπολογιστή του. Εάν έχει, ο κλέφτης έχει πάρει τον εαυτό του ένα δωρεάν εισιτήριο για να περιπλανηθεί γύρω στο δίκτυό σας!
Βίντεο: Υπηρεσία eduroam - Δίκτυο Περιαγωγής (roaming) Ασύρματης πρόσβασης στο διαδίκτυο 2024
Τα εικονικά ιδιωτικά δίκτυα (VPN) δημιουργήθηκαν για να αντιμετωπίσουν δύο διαφορετικά προβλήματα: το υψηλό κόστος των αποκλειστικών μισθωμένων γραμμών που χρειάζονται για τις επικοινωνίες των υποκαταστημάτων και την ανάγκη να δοθεί στους εργαζόμενους η δυνατότητα συνδέοντας με ασφάλεια τα δίκτυα της έδρας όταν ήταν εκτός πόλης ή εργάζονταν από το σπίτι.
Πώς λειτουργεί ένα VPN
Ένα VPN χρησιμοποιεί ειδικό πρωτόκολλο για τη δημιουργία ενός καναλιού μεταξύ δύο μηχανών ή δύο δικτύων. Φανταστείτε εάν θα μπορούσατε να φυσήξετε μια σαπουνόφουσκα σε σχήμα σωλήνα και μόνο εσείς και ο φίλος σας θα μπορούσατε να μιλήσετε μέσα από αυτό. Η φούσκα είναι προσωρινή και όταν θέλετε να έχετε μια άλλη συζήτηση, θα πρέπει να δημιουργήσετε μια άλλη φούσκα. Αυτό είναι κάπως σαν το κανάλι του VPN. Αυτό το κανάλι είναι στην πραγματικότητα μια προσωρινή άμεση συνεδρία. Αυτό είναι που συνήθως αναφέρεται ως σήραγγα .
Στη συνέχεια, το VPN ανταλλάσσει επίσης ένα σύνολο κοινών μυστικών για να δημιουργήσει ένα κλειδί κρυπτογράφησης. Η κίνηση που μετακινείται κατά μήκος του καθιερωμένου καναλιού είναι περιτυλιγμένη με ένα κρυπτογραφημένο πακέτο που έχει μια διεύθυνση στο εξωτερικό του πακέτου, αλλά το περιεχόμενο είναι κρυμμένο από την προβολή. Είναι σαν ένα περιτύλιγμα καραμελών. Μπορείτε να δείτε την καραμέλα, αλλά δεν ξέρετε πραγματικά τι μοιάζει με την καραμέλα στο εσωτερικό. Το ίδιο συμβαίνει και με την κρυπτογραφημένη κίνηση. Το αρχικό περιεχόμενο αποκρύπτεται, αλλά έχει αρκετές πληροφορίες για να φτάσει στον προορισμό του. Αφού τα δεδομένα φτάσουν στον προορισμό τους, το περιτύλιγμα αφαιρείται με ασφάλεια.
Μπορείτε να ρυθμίσετε ένα VPN με δύο τρόπους: Ο πρώτος τρόπος χρησιμοποιείται συνήθως μεταξύ δικτύων και τείχους προστασίας ή δρομολογητών κρυπτογράφησης για την κρυπτογράφηση και αποκρυπτογράφηση της επισκεψιμότητας. Σε αυτή τη ρύθμιση δεν υπάρχει ανάγκη για ειδικό λογισμικό στον υπολογιστή γραφείου ή υπολογιστή-πελάτη. Η δεύτερη μέθοδος είναι να έχετε ένα τείχος προστασίας, έναν δρομολογητή κρυπτογράφησης ή έναν διακομιστή VPN στο τέλος προορισμού και ένα ειδικό λογισμικό πελάτη VPN στους επιτραπέζιους ή φορητούς υπολογιστές. Όλα εξαρτώνται από το αν το VPN είναι αμφίδρομη λειτουργία ή λειτουργία μονής κατεύθυνσης.
Σε μια αμφίδρομη σχέση, έχετε δύο δίκτυα που θέλουν να συνεργαστούν και το καθένα έχει βασικά την ίδια ρύθμιση VPN με την άλλη. Το αίτημα δημιουργίας σύνδεσης VPN μπορεί να προέλθει από οποιαδήποτε κατεύθυνση. Δεν απαιτείται ειδικό λογισμικό στους επιτραπέζιους υπολογιστές, διότι όλες οι διαδικασίες κρυπτογράφησης και αποκρυπτογράφησης πραγματοποιούνται στα σημεία εισόδου και εξόδου του δικτύου. Και τα δύο δίκτυα διαθέτουν συστήματα διαχείρισης κλειδιών, ώστε να μπορούν να δημιουργήσουν μυστικά κλειδιά για μια σύνοδο VPN.Είναι σημαντικό τα δύο δίκτυα να διαθέτουν συμβατά στοιχεία VPN ή να μην μιλούν μεταξύ τους.
Σε μια σχέση μονής κατεύθυνσης, το δίκτυο προορισμού έχει τη ρύθμιση VPN και δεν υπάρχει συμφωνία με άλλο δίκτυο για κοινή χρήση. Σε αυτή την περίπτωση, ο υπολογιστής που επιθυμεί να κάνει τη σύνδεση με το δίκτυο πρέπει να έχει λογισμικό πελάτη VPN και το αίτημα μπορεί να γίνει μόνο προς μία κατεύθυνση - από τον πελάτη στο δίκτυο. Το λογισμικό πελάτη μπορεί να ζητήσει και να πιστοποιήσει τον εαυτό του, αλλά οι μηχανισμοί δημιουργίας μυστικού κλειδιού είναι μόνο στο δίκτυο. Ο υπολογιστής-πελάτης θα έχει ένα μυστικό κλειδί αποθηκευμένο στον εαυτό του, αλλά δεν μπορεί να δημιουργήσει νέα κλειδιά.
Γενικά, το σύστημα μονής κατεύθυνσης χρησιμοποιείται για απομακρυσμένους χρήστες που καλούν από το σπίτι ή όταν ταξιδεύουν στο δρόμο. Τηλεφωνούν μέσω του ISP και οι μηχανισμοί για την εγκατάσταση και τη συντήρηση των συνδέσεων VPN περιέχονται στο δίκτυο προορισμού. Εάν κάποιος με φορητό υπολογιστή χωρίς το λογισμικό πελάτη VPN προσπάθησε να συνδεθεί στο δίκτυο της εταιρείας, δεν θα πήγαινε πολύ μακριά επειδή δεν θα είχε το λογισμικό πελάτη ή ένα μυστικό κλειδί. Επιπλέον, ο μη εξουσιοδοτημένος χρήστης δεν θα αναφέρεται στη βάση δεδομένων VPN των εξουσιοδοτημένων χρηστών. Ωστόσο, από τη στιγμή που κάποιος πληκτρολογεί και πιστοποιείται, η πρόσβασή τους είναι ίδια όπως και αν καθόταν στο ίδιο κτίριο με το δίκτυο προορισμού.
Μέσα ή έξω;
Μπορείτε να ρυθμίσετε το τελικό σημείο VPN
σε διάφορες τοποθεσίες. Το τελικό σημείο είναι όπου η κυκλοφορία VPN μπαίνει στο δίκτυό σας. Σε ορισμένες περιπτώσεις, το τελικό σημείο είναι επίσης το τείχος προστασίας, καθώς πολλά firewalls έρχονται με δυνατότητες VPN στις μέρες μας. Το τελικό σημείο μπορεί επίσης να βρίσκεται μπροστά από το τείχος προστασίας, σε DMZ από τη μια πλευρά στο τείχος προστασίας ή στο εσωτερικό του τείχους προστασίας. Κάθε μία από αυτές τις διαμορφώσεις έχει τα πλεονεκτήματα και τα μειονεκτήματά της. Εάν επιλέξετε να τοποθετήσετε το VPN σας μπροστά από το τείχος προστασίας, ο μηχανισμός κάνει από μόνο του την κρυπτογράφηση και την αποκρυπτογράφηση. Αυτό σημαίνει ότι δεν χρειάζεται να επιτρέπετε ένα ανοιχτό τούνελ VPN μέσω του τείχους προστασίας. Όλη η κίνηση μέσω του τείχους προστασίας θα έχει προ-φιλτραριστεί και διαμορφωθεί, ώστε το τείχος προστασίας να το διαβάσει. Ωστόσο, εάν το VPN αποτύχει ή αποσυρθεί, θα αντιμετωπίσετε μια κατάσταση όπου όλη η κυκλοφορία θα σβήσει χωρίς κρυπτογράφηση ή δεν θα υπάρξει καθόλου κυκλοφορία. Εξαρτάται από το εάν το VPN θα αποτύχει στην ανοικτή ή κλειστή θέση.
Ένα VPN στο τείχος προστασίας θα φαινόταν σαν μια καλή λύση επειδή, πάλι, δεν χρειάζεται να αφήσετε ανοιχτό τούνελ μέσω του τείχους προστασίας. Το τείχος προστασίας θα χειρίζεται όλη την κρυπτογράφηση, την αποκρυπτογράφηση και την κανονική εργασία του για την εξέταση της κυκλοφορίας. Αυτός ο τύπος λύσης βάζει τεράστιο βάρος στο φτωχό τείχος προστασίας. Η κρυπτογράφηση και η αποκρυπτογράφηση είναι έντασης εργασίας για έναν υπολογιστή, όπως και η εξέταση της κυκλοφορίας, και αυτό θα μπορούσε να οδηγήσει σε συμφόρηση της κυκλοφορίας.
Μια άλλη μέθοδος είναι να τοποθετήσετε το VPN στο εσωτερικό του τείχους προστασίας. Αυτό ανακουφίζει το τείχος προστασίας και / ή τον δρομολογητή από το να χειρίζεται την κρυπτογράφηση και την αποκρυπτογράφηση της κυκλοφορίας, αλλά πρέπει να επιτρέψετε σε μια σήραγγα VPN να περάσει από το τείχος προστασίας.Ένα τείχος προστασίας δεν μπορεί να διαβάσει την κρυπτογραφημένη κίνηση και θα επιτρέψει σε αυτή την κυκλοφορία να περάσει από μη αμφισβητούμενες. Φυσικά, η κίνηση θα σταματήσει ακόμα από τον μηχανισμό VPN, αλλά μέχρι εκείνη τη στιγμή, βρίσκεται ήδη στο εσωτερικό δίκτυο.
Ασφάλεια του πελάτη
Πιθανώς ο ευκολότερος τρόπος για να σπάσετε την ασφάλεια ενός VPN είναι να πάρετε ένα φορητό υπολογιστή που χρησιμοποιείται για την κλήση για σύνδεση VPN. Ο κλεμμένος φορητός υπολογιστής θα έχει το λογισμικό πελάτη VPN, το UserID και το μυστικό κλειδί, όλα αποθηκευμένα σε ένα μηχάνημα. Ένας έξυπνος ιδιοκτήτης φορητού υπολογιστή δεν θα έχει αποθηκεύσει τον κωδικό πρόσβασης για τη σήραγγα VPN στον υπολογιστή του. Εάν έχει, ο κλέφτης έχει πάρει τον εαυτό του ένα δωρεάν εισιτήριο για να περιπλανηθεί γύρω στο δίκτυό σας!
Οι χρήστες που χρησιμοποιούν φορητούς υπολογιστές για να δημιουργήσουν συνδέσεις VPN με το δίκτυό σας πρέπει να λάβουν μαθήματα για τη διατήρηση της καλής ασφάλειας. Πρέπει να έχουν εγκατεστημένο ενημερωμένο λογισμικό προστασίας από ιούς και να διασφαλίζουν ότι εκτελείται κάθε φορά που εκκινούν τον υπολογιστή τους. Επιπλέον, ο φορητός υπολογιστής θα πρέπει να διαθέτει προσωπικό λογισμικό τείχους προστασίας. Ορισμένοι πελάτες VPN περιλαμβάνουν ήδη προσωπικά τείχη προστασίας, οπότε θα πρέπει να επικοινωνήσετε με τον προμηθευτή σας για το αν το δικό σας κάνει ή όχι. Το προσωπικό τείχος προστασίας μπορεί να διασφαλίσει ότι μόνο ο πελάτης VPN πραγματοποιεί τη σύνδεση και ότι δεν πρόκειται στην πραγματικότητα για πρόγραμμα Trojan horse που αποκαλύπτεται ως πελάτης VPN. Μια άλλη καλή προφύλαξη είναι να ενεργοποιήσετε τον κωδικό BIOS. Με αυτόν τον τρόπο, αν ο υπολογιστής κλαπεί, δεν μπορεί καν να ξεκινήσει χωρίς τον κωδικό πρόσβασης.