Контактная информация

По всем интересующим вас вопросам связывайтесь при помощи контактной информации приведенной на этой странице!

skype: metsof
email: accusser@gmail.com

В социальных сетях...

Форма обратной связи

Авторизация

Статьи об операционной системе Linux

Сайдбар

Настройка vpn linux

07 апр. 2014

Виртуальной частной сетью называется сетевое соединение двух или нескольких компьютеров поверх имеющейся сети. Этот метод наиболее замечателен тем, что сеть VPN является защищенной, тогда как лежащая в ее основе передающая среда, например Интернет или WLAN, остается незащищенной (в данном случае под словом «незащищенная» подразумевается, что злоумышленнику сравнительно просто считать передаваемую информацию и даже манипулировать ею).

«Виртуальный» в данном контексте означает, что частная сеть строится на базе уже имеющейся сети. Этот процесс часто называют термином «туннель»: в имеющейся сети создается защищенный снаружи туннель, через который происходит обмен информацией между компьютерами, образующими частную сеть. Трафик в туннеле отличается от остального сетевого трафика тем, что он использует особый протокол, особое шифрование и т. д. Далее перечислены различные методы создания виртуальных частных сетей.

«Частный» здесь означает, что новая сеть лучше защищена от окружающей среды, а значит, и от возможных вторжений. Иначе говоря, сеть является «частной», в отличие от условно-общедоступного Интернета и недостаточно защищенных сетей WLAN.

Пользователь VPN может видеть обе сети (после того, как выполнит ifconfig). В примерах, которые приводятся в этой книге, используется базовая (общедоступная) сеть с адресным пространством 192.168.0.*. При конфигурации клиентов очень важно то, что незащищенная базовая сеть применяется только как среда для передачи информации защищенной виртуальной частной сети.

Разумеется, шифрование данных, передаваемых по VPN, требует определенной вычислительной работы и соответствующего администрирования. Один VPN-клиент оказывает на сеть незначительную нагрузку, но общая нагрузка на процессор VPN-сервера может быть очень серьезной, если в виртуальной частной сети одновременно устанавливается много соединений.

Технологии VPN



Существует несколько возможностей реализации VPN. В следующем списке перечислены важнейшие из них, а также упомянуты некоторые тематические сайты.

IPsec, Openswan.

IPsec — это протокол для безопасной передачи данных между двумя компьютерами, который может использоваться для создания виртуальной частной сети. IPsec — составная часть нового интернет-протокола IPv6, но в основном пригоден и для работы с действующим в настоящее время IPv4. Недостатком IPsec является его сложность: для решения даже сравнительно простых задач требуется долгая и утомительная конфигурация, поэтому мы не будем рассматривать этот протокол.

IPsec в версии 2.6 и выше интегрирован прямо в ядро. Для управления функциями IPsec требуется, в числе прочих, команда ipsec, входящая в состав пакета openswan. IPsec также поддерживается многими другими операционными

системами (в том числе Windows 2000/XP/Vista и выше).

L2TP.

Протокол туннелирования РРР-соединения уровня 2 — плод совместной работы Microsoft и Cisco. Он объединяет принципы работы РРТР и протокола Cisco L2F (протокол эстафетной передачи на втором уровне). В самом протоколе L2TP не предусмотрено никаких надежных методов аутентификации, поэтому он применяется в комбинации с IPsec (L2TP/IPsec). При этом IPsec отвечает за аутентификацию и шифрование, a L2TP — за управление туннелем.

РРТР.

Туннельный протокол типа точка-точка совмещает черты протокола точка-точка (РРР), который первоначально разрабатывался для интернет-соединений через модем и ISDN, и зашифрованного туннеля. РРТР не только подходит для передачи IP-пакетов, но и совместим с другими протоколами (например, Novell IPX, AppleTalk и т. д.).

Протокол РРТР был разработан компанией Microsoft, документация по нему находится в открытом доступе (RFC 2637), поэтому интегрировать компьютеры с Windows в PPTP-VPN можно без проблем. Обычно не требуется устанавливать и дополнительные драйверы. Драйвер нужно обновить только в Windows 9х/МЕ. РРТР также поддерживается различными внешними устройствами (например, некоторыми КПК, совместимыми с WLAN).

Первые версии РРТР были весьма несовершенны с точки зрения безопасности. Но сегодня некоторые такие недостатки уже исправлены. Если вы используете достаточно длинный пароль (минимум 12 символов!) и применяете систему аутентификации MS-CHAP версии 2, то в большинстве случаев РРТР оказывается достаточно надежным.

OpenVPN.

Это достаточно простой VPN-демон, не требующий специальных модулей ядра, в отличие от IPsec и CIPE (http://openvpn.sourceforge.net/). Обмен данными происходит с помощью зашифрованных UDP-пакетов. Для доступа к трафику VPN в Linux используются специальные устройства tun и tap. Значительным достоинством OpenVPN является его сравнительно несложная конфигурация. OpenVPN работает в Linux, Windows (2000 и выше) и в различных UNIX-производных системах (Solaris, *BSD, Mac OS X). О PPPD и SSH. Туннели можно создавать и с помощью SSH. Такой туннель применяется для зашифрованного обмена информацией между двумя компьютерами. Обычно SSH-туннель имеет «ширину» всего один IP-порт. Только при комбинации SSH с РРР-демоном можно направить через SSH-туннель весь IP-трафик. Создаваемая таким образом сеть VPN концептуально похожа на

решение с РРТР, но, в отличие от последнего, более надежна.

Перечисленные выше VPN-технологии отличаются друг от друга в первую очередь тем, на каком уровне происходит шифрование сетевого трафика. При использовании IPsec шифрование и построение туннеля осуществляется уже на уровне IP, то есть является низкоуровневым. В остальных вариантах для передачи зашифрованных данных, напротив, используются стандартные TCP- и UDP-пакеты. Такой подход к решению проблемы не требует вмешательства в ядро, но может вызывать проблемы, связанные с маскарадингом и некоторыми IP-протоколами (например, FTP).

VPN-технологий много, и выбрать из них не так-то просто. В этой книге мы работаем в основном с конфигурацией РРТР, так как она сравнительно проста.

Топологии сетей VPN



Очевидно, что если существуют различные варианты реализации VPN-соединений, то есть и много возможностей соединения компьютеров по VPN. В следующем списке перечислены некоторые варианты.

Соединение точка-точка между двумя компьютерами. В этом простейшем случае мы просто создаем безопасное соединение между двумя компьютерами поверх незащищенной сети (WLAN, Интернет). Часто можно обойтись и без конфигурации VPN, применив обычный SSH.

Сценарий клиент/сервер. В данном случае многочисленные клиенты должны обращаться за информацией к центральному серверу. Такой метод часто именуется «странствующий воин» (road warrior scenario) и предназначен для сотрудников, которые работают удаленно и часто бывают в пути, а при этом им требуется безопасное соединение с сервером фирмы через ноутбук.

Сценарий сервер/сервер. Для обмена конфиденциальными данными VPN можно устанавливать между двумя серверами, которые географически находятся друг от друга достаточно далеко. Клиенты обеих сетей обмениваются информацией только с теми серверами, с которыми они соотнесены. Такой вариант топологии обычно применяется в тех случаях, когда следует связать два удаленных друг от друга офиса фирмы (например, один находится в Европе, а другой — в США) через обычное интернет-соединение с помощью VPN.

Независимо от применяемого варианта может отличаться еще кое-что, а именно то, какая часть IP-трафика будет направлена через VPN: при работе с WLAN обычно бывает целесообразно пустить весь IP-трафик через VPN. При применении сценария сервер/сервер, напротив, лучше передавать через VPN только те данные, которые важны для обеспечения безопасности (например, для синхронизации баз данных или файловых систем). Все остальные интернет-службы сервер предоставляет своим клиентам напрямую. Поскольку от данных факторов также зависят функции брандмауэра и роутера, мы имеем практически бесконечное количество конфигурационных возможностей, которые не являются предметом этой книги. По многим VPN-решениям уже есть отдельные книги, в которых те или иные методы рассмотрены детально.
Читайте так же:
Реализация VPN с помощью РРТР






Подпишитесь на рассылку! Никакого спама, только обновления!!!

Комментарии (0)


    Услуги по MODX Revolution

    Посмотреть все услуги

    Техническая оптимизация сайта

    Подробнее & Заказать

    Создание сайта на MODX Revolution

    Подробнее & Заказать

    Перенос сайта на MODX Revolution

    Подробнее & Заказать

    Продвижение сайта на MODX

    Подробнее & Заказать