Sikre Network Security med en VPN (Virtual Private Network)

April 29  by Eliza

Virtuelle private nettverk (VPN) ble opprettet for å ta opp to forskjellige problemer: de høye kostnadene av dedikerte samband som trengs for avdelingskontor kommunikasjon og behovet for å tillate ansatte en metode for sikkert å koble til hovedkvarteret nett da de var på forretningsreise ut av byen eller jobbe hjemmefra.

Hvordan en VPN-verk

En VPN bruker en spesiell protokoll for å etablere en virtuell kanal mellom to maskiner eller to nettverk. Tenk om du kunne blåse en såpeboble i form av et rør, og bare du og din venn kan snakke gjennom det. Boblen er midlertidig, og når du vil ha en annen samtale, ville du må opprette en ny boble. Det er litt som en VPN-kanal. Denne kanalen er faktisk en midlertidig direkte sesjon. Dette er det som oftest referert til som tunneling.

Da VPN utveksler også et sett med felles hemmeligheter for å skape en krypteringsnøkkel. Den trafikk som beveger seg langs den etablerte kanalen er pakket med en kryptert pakke som har en adresse på utsiden av pakken, men innholdet er skjult. Det er liksom som en candy wrapper. Du kan se godteri, men du vet egentlig ikke hva godteri ser ut på innsiden. Det samme skjer med kryptert trafikk. Det opprinnelige innholdet er skjult fra visningen, men det har nok informasjon til å få det til sin destinasjon. Etter at data kommer frem til mottakeren, er wrapper trygt fjernes.

Sette opp en VPN

Du kan sette opp en VPN to måter: Den første måten blir vanligvis brukt mellom nettverk og brannmurer eller kryptering av rutere for å gjøre kryptering og dekryptering av trafikken. I denne satt opp er det ikke behov for spesiell programvare på skrivebordet eller klientdatamaskiner. Den andre metoden er å ha en brannmur, kryptering router, eller VPN-server på reisemålet slutten og spesiell VPN klient programvare på stasjonære eller bærbare datamaskiner. Det hele avhenger av om VPN er en toveis drift eller en enveis operasjon.

Bestemme forholdet

I en toveis forhold har du to nettverk som ønsker å jobbe sammen og hver har i utgangspunktet den samme VPN oppsett som den andre. Forespørselen for å etablere en VPN-forbindelse kan komme fra begge retninger. Ingen spesiell programvare er nødvendig på stasjonære datamaskiner fordi all kryptering og dekryptering er gjort på inngangs- og utgangspunkter i nettverket. Begge nettverkene har også sentrale styringssystemer, slik at de både kan lage hemmelige nøkler for en VPN-økten. Det er viktig at de to nettverkene har kompatible VPN komponenter eller de vil ikke lykkes i å snakke med hverandre.

I en enveis forhold, har målet nettverk VPN oppsett og det er ingen avtale med et annet nettverk å dele. I så fall datamaskinen som ønsker å gjøre tilkoblingen med nettverket må ha VPN klient programvare og forespørselen kan bare gjøres i én retning - fra klienten til nettverket. Klientprogramvaren kan be om og godkjenne seg selv, men den hemmelige nøkkelen lage mekanismer er bare på nettverket. Klientdatamaskinen vil ha en hemmelig nøkkel som er lagret på seg selv, men det kan ikke lage nye nøkler.

Vanligvis blir enveis system som brukes for eksterne brukere som ringer inn fra hjem eller mens de er på reise på veien. De ringe opp gjennom deres ISP og mekanismer for å etablere og opprettholde VPN-tilkoblinger er alle inneholdt på destinasjonen nettverk. Hvis noen med en laptop uten VPN-klienten programvare prøvde å koble til selskapets nettverk, ville han ikke komme for langt fordi han ikke ville ha klientprogramvaren eller en hemmelig nøkkel. I tillegg vil den uautorisert bruker ikke bli oppført på VPN database over autoriserte brukere. Men når noen ringer inn og er godkjent, er deres tilgang på samme måte som om de sitter i samme bygning som destinasjon nettverk.

Innenfor eller utenfor?

Du kan sette opp VPN endepunkt på forskjellige steder. Endepunktet er der VPN-trafikk kommer inn i nettverket ditt. I noen tilfeller er endepunktet også brannmuren så mange brannmurer komme med VPN evner til dags. Endepunktet kan også være i front av brannmuren, i en DMZ av den ene siden til brannveggen, eller på innsiden av brannmuren. Hver av disse konfigurasjonene har sine plusser og minuser.

Hvis du velger å sette VPN foran brannmuren, gjør mekanismen all kryptering og dekryptering av på egen hånd. Det betyr at det ikke er behov for å tillate en åpen VPN tunnel gjennom brannmuren. All trafikk gjennom brannmuren vil være forhånds filtrert og formatert slik at brannmuren kan lese den. Men hvis VPN svikter eller tas ned, vil du bli møtt med en situasjon der all trafikk går ut ukryptert, eller ingen trafikk i det hele tatt kommer ut. Det avhenger av hvorvidt din VPN vil mislykkes i åpen eller lukket stilling.

En VPN på brannmuren ville virke som en god løsning fordi, igjen, trenger du ikke å forlate en åpen tunnel gjennom brannmuren. Brannmuren vil håndtere all kryptering, dekryptering, og sin vanlige jobb av undersøkelsen av trafikk. Denne type løsning setter en enorm byrde på den stakkars lille brannmur, skjønt. Kryptering og dekryptering er arbeidskrevende for en datamaskin, som er undersøkelsen av trafikk, og som kan resultere i en flaskehals for trafikken.

En annen metode er å sette VPN på innsiden av brannmuren. Dette avlaster brannmur og / eller ruteren for å måtte håndtere kryptering og dekryptering av trafikken, men du må tillate en VPN-tunnel for å passere gjennom brannmuren. En brannmur ikke kan lese kryptert trafikk, og det vil tillate at trafikken kan passere gjennom uimotsagt. Selvfølgelig, vil trafikken fortsatt bli stoppet av VPN mekanisme, men innen den tid, er det allerede i det interne nettverket.

Sikring av klient

Trolig den enkleste måten å bryte en VPN sikkerhet er å få tak i en bærbar PC som brukes til å ringe inn for en VPN-tilkobling. Den stjålne bærbare vil ha VPN klient programvare, den UserID, og ​​den hemmelige nøkkelen alt lagret på en maskin. En smart laptop eieren vil ikke ha lagret passordet for VPN tunnel på datamaskinen hans. Hvis han har, har tyven nettopp fått seg en gratis billett til å vandre rundt i nettverket ditt!

Brukere som bruker bærbare datamaskiner til å etablere VPN-tilkoblinger med nettverket ditt må gis undervisning i å opprettholde god sikkerhet. De bør ha up-to-date anti-virus programvare installert og sørge for at det kjøres hver gang de starter sin datamaskin. I tillegg bør den bærbare ha personlig brannmur satt opp. Noen VPN-klienter allerede inkluderer personlige brannmurer, så du må sjekke med din leverandør om hvorvidt din gjør det eller ikke. Den personlige brannmuren kan sikre at bare VPN-klienten gjør tilkoblingen, og at det er faktisk ikke en trojansk hest program som utgir seg for VPN-klienten. En annen god forholdsregel er å aktivere BIOS passordet. På den måten, hvis datamaskinen blir stjålet, det kan ikke engang startes opp uten passord.