Innehållsförteckning:
Video: SE:17949 - Presentation av robotgräsklipparen 2024
Virtuella privata nätverk (VPN) skapades för att ta itu med två olika problem: den höga kostnaden för dedikerade hyrda förbindelser som behövs för kontorskommunikation och behovet av att ge anställda en metod för Ansluts säkert till huvudkontorets nätverk när de var ute och ut på jobbet eller arbetar hemifrån.
Hur en VPN fungerar
En VPN använder ett speciellt protokoll för att skapa en virtuell kanal mellan två maskiner eller två nätverk. Tänk om du kunde blåsa en tvålbubbla i form av ett rör och bara du och din vän kunde prata igenom den. Bubblan är tillfällig och när du vill ha en annan konversation, måste du skapa en annan bubbla. Det är ungefär som en VPN-kanal. Denna kanal är faktiskt en tillfällig direkt session. Det här brukar kallas tunneling .
Sedan byter VPN också en uppsättning gemensamma hemligheter för att skapa en krypteringsnyckel. Trafiken som reser längs den etablerade kanalen är förpackad med ett krypterat paket som har en adress på utsidan av paketet, men innehållet är dolt för visning. Det är som om ett godisomslag. Du kan se godisen, men du vet inte riktigt vad candy ser ut på insidan. Samma sak händer med krypterad trafik. Det ursprungliga innehållet är dolt för visning, men det har tillräckligt med information för att få det till dess destination. Efter att uppgifterna når sin destination, är omslaget säkert avlägsnat.
Konfigurera en VPN
Du kan ställa in ett VPN-sätt på två sätt: Den första vägen används normalt mellan nätverk och brandväggar eller krypteringsrutrar för att kryptera och dekryptera trafiken. I denna konfiguration behöver du inte specialprogramvara på skrivbordet eller klientdatorerna. Den andra metoden är att ha en brandvägg, krypteringsrouter eller VPN-server vid destinationsänden och speciell VPN-klientprogramvara på skrivbordet eller bärbara datorer. Det beror helt på om VPN är en tvåvägsoperation eller en enkelriktad operation.
Bestäm förhållandet
I tvåvägsförhållande har du två nätverk som vill arbeta tillsammans och var och en har i princip samma VPN-inställning som den andra. Begäran om att upprätta en VPN-anslutning kan komma från båda hållen. Ingen särskild programvara behövs på stationära datorer, eftersom alla krypteringar och dekrypteringar görs på nätets ingångs- och utgångspunkter. Båda nätverket har också nyckelhanteringssystem så att de båda kan skapa hemliga nycklar för en VPN-session.Det är viktigt att de två nätverket har kompatibla VPN-komponenter eller att de inte lyckas tala med varandra.
I ett enkelriktat förhållande har destinationsnätet VPN-inställningen och det finns inget avtal med ett annat nätverk att dela. I det fallet måste den dator som vill ansluta till nätverket ha VPN-klientprogramvara och begäran kan endast göras i en riktning - från klienten till nätverket. Klientprogramvaran kan begära och autentisera sig själv, men de hemliga nyckelmakningsmekanismerna är bara på nätverket. Klientdatorn kommer att ha en hemlig nyckel lagrad på sig själv, men den kan inte skapa nya nycklar.
I allmänhet används enkelriktningssystemet för fjärranslutna användare som ringer in hemifrån eller medan de reser på vägen. De ringer upp via sin Internetleverantör och mekanismerna för att upprätta och behålla VPN-anslutningar finns alla i destinationsnätverket. Om någon med en bärbar dator utan VPN-klientprogramvaran försökte ansluta sig till företagets nätverk skulle han inte bli för långt eftersom han inte skulle ha klientprogramvaran eller en hemlig nyckel. Dessutom skulle den obehöriga användaren inte vara listad i VPN: s databas med behöriga användare. Men när någon ringer in och är autentiserad är deras tillgång samma som om de satt i samma byggnad som destinationsnätet.
Inifrån eller ute?
Du kan ställa in VPN slutpunkten på olika platser. Slutpunkten är där VPN-trafiken kommer in i ditt nätverk. I vissa fall är endpoint också brandväggen eftersom många brandväggar har VPN-kapacitet nuförtiden. Slutpunkten kan också ligga framför brandväggen, i en DMZ från en sida till brandväggen eller inuti brandväggen. Var och en av dessa konfigurationer har sina plusser och minuser.
Om du väljer att placera din VPN framför brandväggen, gör alla mekanismer allt kryptering och dekryptering på egen hand. Det betyder att det inte finns något behov av att tillåta en öppen VPN-tunnel genom din brandvägg. All trafik genom brandväggen har förfiltrerats och formaterats så att brandväggen kan läsa den. Men om VPN misslyckas eller tas ned, kommer du att bli utsatt för en situation där all trafik går okrypterad, eller att ingen trafik alls kommer ut. Det beror på om din VPN kommer att misslyckas i öppet eller stängt läge.
En VPN på brandväggen verkar som en bra lösning eftersom du inte behöver lämna en öppen tunnel genom brandväggen. Brandväggen hanterar all kryptering, dekryptering och dess regelbundna jobb vid granskning av trafik. Denna typ av lösning sätter emellertid en enorm börda på den stackars lilla brandväggen. Kryptering och dekryptering är arbetsintensiv för en dator, liksom granskning av trafik, vilket kan leda till en flaskhals för trafik.
En annan metod är att sätta VPN på insidan av brandväggen. Detta lindrar brandväggen och / eller routern att hantera kryptering och dekryptering av trafiken, men du måste tillåta en VPN-tunnel att passera genom brandväggen.En brandvägg kan inte läsa krypterad trafik och det kommer att tillåta att trafiken passerar genom obestridda. Naturligtvis kommer trafiken fortfarande att stoppas av VPN-mekanismen, men vid den tiden är den redan i det interna nätverket.
Säkra klienten
Förmodligen är det enklaste sättet att bryta en VPNs säkerhet att få tag på en bärbar dator som används för att ringa in för en VPN-anslutning. Den stulna bärbara datorn har VPN-klientprogramvaran, användar-ID och den hemliga nyckeln som alla lagras på en maskin. En smart laptop-ägare har inte sparat lösenordet för VPN-tunneln på sin dator. Om han har, har tjuven just fått sig en gratis biljett att vandra runt i ditt nätverk!
Användare som använder bärbara datorer för att upprätta VPN-anslutningar med ditt nätverk måste ges lektioner för att upprätthålla god säkerhet. De bör ha uppdaterad antivirusprogram installerad och se till att den körs varje gång de startar datorn. Dessutom bör den bärbara datorn ha en personlig brandväggsprogramvara. Vissa VPN-klienter innehåller redan personliga brandväggar, så du måste kolla med din leverantör om du gör eller inte. Den personliga brandväggen kan se till att endast VPN-klienten gör anslutningen och att det inte är ett trojansk hästprogram som maskerar som VPN-klienten. En annan bra försiktighet är att aktivera BIOS-lösenordet. På det sättet, om datorn stulits, kan den inte ens startas utan lösenordet.