Виртуальные частные сети

Остановимся на технологии OpenVPN, чтобы познакомиться с ней поближе.

Созданный в 2002 году, OpenVPN - это инструмент с открытым исходным кодом, используемый для построения site-to-site VPN сетей с использованием SSL/TLS протокола или с разделяемыми ключами. Он исполняет роль безопасного туннеля для передачи данных через один TCP/UDP порт в небезопасной сети как Интернет.

Преимущество OpenVPN заключается в легкости инсталляции и настройки, что является редким случаем для таких инструментов.

OpenVPN может быть установлен практически на любую платформу включая: Linux, Windows 2000/XP/Vista, OpenBSD, FreeBSD, NetBSD, Mac OS X и Solaris.

Linux системы должны работать на ядре 2.4 или выше. Принципы конфигурирования одинаковы для всех платформ.

OpenVPN использует клиент/сервер архитектуру. Он должен быть установлен на все узлы VPN сети, где один узел должен быть сервером, а остальные клиентами.

OpenVPN создает TCP или UDP туннель, при этом данные проходящие через этот туннель шифруются. Стандартный порт для OpenVPN - UDP 1194, но можно использовать любой другой TCP или UDP порт. С версии 2.0 один и тот же порт можно использовать для нескольких туннелей на OpenVPN сервере.

Можно создать Ethernet (Мост) или IP (Маршрутизация) VPN сеть используя соответствующие сетевые драйвера TAP или TUN. TAP/TUN доступны на всех платформах и включены в ядро Linux начиная с версии 2.4.

Опции подробно описаны в страницах справочного руководства (man pages).

При использовании статических ключей, VPN шлюзы используют один и тот же ключ для шифрования и дешифрования данных. В этом случае настройка будет довольно простой, но при этом возникает проблема передачи и безопасности ключа. Если кто-то завладеет этим ключом, то он может дешифровать данные.

Для того чтобы избежать этой проблемы, необходимо использовать Инфраструктуру Открытых Ключей (PKI). При этом каждый узел владеет двумя ключами: открытый ключ, известный всем и закрытый ключ, доступный только его владельцу. Такую структуру использует OpenSSL, интегрированный в OpenVPN, для аутентификации VPN узлов перед тем как начать передавать зашифрованные данные. Этот режим считается более предпочтительным.

Обратим внимание на структуру сети и концепцию безопасных ключей для лучшего понимания OpenVPN.

В течение многих лет IPSec был единственным протоколом, который мог обеспечить шифрование данных в site-to-site и клиент/сервер VPN сетях. К счастью ситуация изменилась с появлением SSL протокола. Предназначенный для обеспечения безопасности таких протоколов как HTTP, SSL позволяет сейчас обеспечить безопасность для любого приложения и шифровать TCP или UDP туннели в site-to-site и клиент/сервер VPN сетях.

SSL (Secure Sockets Layers) был создан Netscape в 90-х. Было выпущено две версии v2 (1994) и v3 (1995). В 2001 IETF купила и обновила патент. В это же время SSL был переименован в TLS (Transport Layer Security).выполняет две основные задачи:

Аутентификация сервера и клиента по средством Инфраструктуры Открытых Ключей (PKI).

Создает шифрованное соединение между клиентом и сервером для обмена сообщениями.

Стандартная модель OSI состоит из семи уровней, в то время как четырех уровневая модель наиболее подходит для TCP/IP (уровень приложений, транспортный, сетевой, канальный, физический), который используется огромным количеством приложений.разположен между транспортным уровнем и уровнем приложения и будет шифровать уровень приложения.

Работа SSL проходит в 4 этапа:

1. SSL Handshake: Определяется метод шифрования для передачи данных;

2. SSL Change Cipher Spec: Создание и передача ключа между клиентом и сервером на эту сессию;

. SSL Alert: Доставка сообщений SSL об ошибках между клиентом и сервером;

. SSL Record: Передача данных.

Для шифрования и аутентификации OpenVPN использует OpenSSL, который является бесплатным и распространяется с открытым исходным кодом.

Перейти на страницу: 1 2 3 4 5

Читайте также

Проектирование дискретного устройства
На современном этапе развития транспорта наблюдается бурный рост темпов и объемов перевозок, особенно на железнодорожном транспорте в силу высокой скорости и невысокой стоимости грузопер ...

Разработка локальной сети предприятия (на материалах ОАОТ Дабрабыт)
Локальная вычислительная сеть(Local Area Network), именуемая в дальнейшем LAN, - это совокупность компьютеров и других средств вычислительной техники (активного сетевого оборудования, пр ...

Проектирование междугородной магистрали между г. Кемерово – г. Лениск-Кузнецкий с использованием симметричного кабеля
Наше время, в особенности последние десять лет, характеризуется бурным развитием телекоммуникационных технологий. Наряду с появлением новых форм передачи информации, совершенствуются тра ...

Основные разделы

Все права защищены! (с)2024 - www.generallytech.ru