Innholdsfortegnelse:
Video: Hilson Moran Turns to Bluebeam Studio Prime 2024
Virtuelle private nettverk (VPN) ble opprettet for å løse to forskjellige problemer: høye kostnader for dedikerte leide linjer som trengs for kontorkontorkommunikasjon og behovet for å tillate ansatte en metode for sikkert koblet til hovedkvarterets nettverk når de var på forretningsreise utenfor byen eller jobbet hjemmefra.
Slik fungerer en VPN
En VPN bruker en spesiell protokoll for å etablere en virtuell kanal mellom to maskiner eller to nettverk. Tenk deg om du kunne blåse en såpeboble i form av et rør og bare deg og din venn kunne snakke gjennom den. Boblen er midlertidig, og når du vil ha en annen samtale, må du opprette en annen boble. Det er ganske som en VPN-kanal. Denne kanalen er faktisk en midlertidig direkte økt. Dette er det som vanligvis kalles tunneling .
Så bytter VPN også et sett med delte hemmeligheter for å opprette en krypteringsnøkkel. Trafikken som reiser langs den etablerte kanalen er innpakket med en kryptert pakke som har en adresse på utsiden av pakken, men innholdet er skjult for visning. Det er som en candy wrapper. Du kan se candy, men du vet egentlig ikke hva candy ser ut på innsiden. Det samme skjer med kryptert trafikk. Det opprinnelige innholdet er skjult for visning, men det har nok informasjon for å få det til målet. Etter at dataene har nått målet, er pakningen sikkert fjernet.
Sette opp en VPN
Du kan konfigurere en VPN på to måter: Den første måten brukes vanligvis mellom nettverk og brannmurer eller krypteringsrutere for å gjøre kryptering og dekryptering av trafikken. I denne konfigurasjonen er det ikke behov for spesiell programvare på skrivebordet eller klientdatamaskinen. Den andre metoden er å ha en brannmur, krypteringsrouter eller VPN-server ved destinasjonsenden og spesiell VPN-klientprogramvare på skrivebordet eller bærbare datamaskiner. Alt avhenger av om VPN er en toveisoperasjon eller enveisoperasjon.
Bestem forholdet
I et toveisforhold har du to nettverk som vil fungere sammen, og hver har i utgangspunktet det samme VPN-oppsettet som det andre. Forespørselen om å etablere en VPN-tilkobling kan komme fra begge retninger. Ingen spesiell programvare er nødvendig på stasjonære datamaskiner, fordi all kryptering og dekryptering gjøres ved inngangs- og utgangspunkter i nettverket. Begge nettverkene har også sentrale styringssystemer, slik at de begge kan lage hemmelige nøkler for en VPN-økt.Det er viktig at de to nettverkene har kompatible VPN-komponenter, eller de vil ikke lykkes i å snakke med hverandre.
I et enveisforhold har destinationsnettverket VPN-oppsettet, og det er ingen avtale med et annet nettverk for å dele. I så fall må datamaskinen som har tilkobling til nettverket, ha VPN-klientprogramvare, og forespørselen kan bare gjøres i én retning - fra klienten til nettverket. Klientprogramvaren kan be om og autentisere seg selv, men de hemmelige nøkkelfremstillingsmekanismer er bare på nettverket. Klientcomputeren vil ha en hemmelig nøkkel lagret på seg selv, men den kan ikke opprette nye nøkler.
Enkeltveisystemet brukes generelt til eksterne brukere som ringer inn fra hjemmet eller mens de reiser på veien. De ringer opp gjennom deres Internett-leverandør, og mekanismene for å opprette og vedlikeholde VPN-tilkoblinger er alle inneholdt i destinasjonsnettverket. Hvis noen med en bærbar PC uten VPN-klientprogramvaren prøvde å koble seg til selskapets nettverk, ville han ikke komme for langt fordi han ikke ville ha klientprogramvaren eller en hemmelig nøkkel. I tillegg vil den uautoriserte brukeren ikke bli oppført på VPNs database med autoriserte brukere. Men når noen ringer inn og er autentisert, er tilgangen deres den samme som om de satt i samme bygning som destinasjonsnettverket.
Innvendig eller utvendig?
Du kan konfigurere VPN endepunktet på forskjellige steder. Endepunktet er hvor VPN-trafikken kommer inn i nettverket ditt. I noen tilfeller er sluttpunktet også brannmuren, da mange brannmurer kommer med VPN-muligheter i dag. Endepunktet kan også være foran brannmuren, i en DMZ fra den ene siden til brannmuren eller inne i brannmuren. Hver av disse konfigurasjonene har sine plusser og minuser.
Hvis du velger å sette VPN-en foran brannmuren, gjør mekanismen alt kryptering og dekryptering på egenhånd. Det betyr at det ikke er nødvendig å tillate en åpen VPN-tunnel gjennom brannmuren. All trafikken gjennom brannmuren vil være forhåndsfiltrert og formatert slik at brannmuren kan lese den. Men hvis VPN mislykkes eller tas ned, vil du bli utsatt for en situasjon der all trafikk går ut ukryptert, eller ingen trafikk går ut. Det avhenger av om VPN-en din vil mislykkes i åpen eller lukket stilling.
En VPN på brannmuren virker som en god løsning fordi du ikke trenger å forlate en åpen tunnel gjennom brannmuren. Brannmuren vil håndtere all kryptering, dekryptering, og den vanlige jobben med undersøkelse av trafikk. Denne typen løsning setter imidlertid en enorm byrde på den fattige lille brannmuren. Kryptering og dekryptering er arbeidsintensiv for en datamaskin, som er undersøkelsen av trafikk, og det kan føre til en flaskehals for trafikk.
En annen metode er å sette VPN på innsiden av brannmuren. Dette avlaster brannmuren og / eller ruteren av å måtte håndtere kryptering og dekryptering av trafikken, men du må tillate en VPN-tunnel passere gjennom brannmuren.En brannmur kan ikke lese kryptert trafikk, og det vil tillate at trafikken passerer gjennom uansett. Selvfølgelig vil trafikken fortsatt bli stoppet av VPN-mekanismen, men den gangen er den allerede i det interne nettverket.
Sikre klienten
Sannsynligvis den enkleste måten å ødelegge VPNs sikkerhet er å få tak i en bærbar datamaskin som brukes til å ringe inn for en VPN-tilkobling. Den stjålne bærbar PC vil ha VPN-klientprogramvaren, bruker-ID og den hemmelige nøkkelen alle lagret på en maskin. En smart laptop-eier vil ikke ha lagret passordet for VPN-tunnelen på datamaskinen. Hvis han har, har tyven nettopp fått seg en gratis billett til å vandre rundt i nettverket ditt!
Brukere som bruker bærbare datamaskiner til å etablere VPN-tilkoblinger med nettverket ditt, må ha leksjoner for å opprettholde god sikkerhet. De bør ha oppdatert antivirusprogramvare installert og sørge for at den kjører hver gang de starter datamaskinen. I tillegg bør den bærbare datamaskinen ha en personlig brannmur programvare satt opp. Noen VPN-klienter inkluderer allerede personlige brannmurer, så du må sjekke med leverandøren om hvorvidt ditt gjør eller ikke. Den personlige brannmuren kan sikre at bare VPN-klienten gjør tilkoblingen, og at det egentlig ikke er et trojansk hesteprogram som maskerer som VPN-klienten. En annen god forholdsregel er å aktivere BIOS-passordet. På den måten, hvis datamaskinen blir stjålet, kan den ikke engang startes opp uten passordet.
