Участник:Педобир/VPN

Материал из Lurkmore

Перейти к: навигация, поиск
Recycle.pngЭта статья находится на доработке.
Эта статья всё ещё не взлетела и не соответствует нынешним реалиям /lm/. Но добрый Педобир приютил её в своём личном пространстве, и теперь она может тихо гнить неспешно дописываться здесь вечно.Дата последней правки страницы: 10.08.2014

VPN (пинд. Virtual Private Network, рус. Виртуальная Частная Сеть) — общее название всех способов построить свою защищённую сеть поверх чужой и недоверенной.

Содержание

Зачем это вообще надо?

«

Верить в наше время нельзя никому

»
Семнадцать мгновений весны

Очевидно, что вообще сеть нужна для обмена проном, котиками и двачевания. Ещё её иногда используют для обмена информацией, которая не должна стать достоянием Большого Брата и 95% населения. Помимо ЦП, к ней относят любую ценную информацию, доступ к которой должен быть ограничен и передача которой возможна по сети. Чтобы подобная информация не была доступна кому попало, она передаётся с помощью защищённого соединения.

Как обеспечивается защита?

С помощью матана, такой-то матери и криптографии. Проще говоря — всё, что проходит по защищённому соединению — шифруется и, теоретически, расшифровать его нельзя. Или можно, но это это долго и проблематично. Практически — от терморектального криптоанализатора защищённое соединение не спасает. От Большого Брата в лице PRISM и Великого китайского фаервола — как повезет, в зависимости от используемого оборудования и софта.

Наглядным примером защищённого соединения может быть SSL (это когда в адресной строке написано не http://, а https://), который обеспечивает относительно безопасный просмотр уютненького в браузере. Но этот случай вряд ли можно классифицировать как VPN.

При чём тут, собственно, VPN?

В большинстве случаев городить отдельное шифрованное соединение поверх ненадёжной сети для каждого приложения — несколько нецесообразно. В этот момент появляется очевидное желание запилить свою, безопасную сеть, с блекджеком и шлюхами. И тут на помощь приходит VPN.

Из чего они состоят

Классификация VPN

Из очень большого количества технологий, которые можно очень условно разделить на 2 группы:

  1. обеспечивающие работу виртуальной сети поверх существующей (туннелирование)
  2. защищающие соединение (протоколы шифрования, авторизации, аутентификации и т. д.).

Из-за того, что видов VPN существует >9000, а в конкретном представителе класса каждым может использоваться десяток протоколов и стандартов, подробно останавливаться на них рамках этой статьи бесмысленно. Самые любознательные аноны могут посмотреть на картинку справа и пойти читать соответствующие спецификации.

Просто любопытным стоит запомнить: термином «VPN» часто называют любую технологию туннелирования или создания защищенного соедиенения. Что не есть правильно.

  1. Сама по себе, технология поддержки виртуальной сети/туннелирования  не обеспечивает защиты.
    Протоколы туннелирования (EOIP, IPIP, MGRE, etc) и драйверы tun/tap — это ещё не VPN.
  2. MPLS /Frame Relay VPN — несмотря на то, что так называются, сами по себе защиты передаваемых данных не обеспечивают.
  3. Технологии и протоколы, которое обеспечивают создание защищенного — сами по себе тоже не являются VPN.
    В частности, SSL и SSL-VPN — это далеко не синонимы.

Примеры использования

Примеры использования VPN
  • Remote access/Extranet — для доступа из дома в корпоративную сеть. Или на твой сервер с ЦП.
  • Site-to-site — для соединения нескольких корпоративных сетей поверх интернетов
  • Internet — для раздачи интернетов от провайдеров к пользователям.

Варианты реализации

Как это может выглядеть у тебя дома

Предположим, у тебя дома реализована типичная для этой страны схема:

Как минимум, хочется смотреть ЦП на десктопе, как максимум — на всех устройствах, включая 50-дюймовую плазму, небо и Аллаха.

Тебе в этом поможет:

  • Покупка выделенного VPN-шлюза, которым нужно или заменить твой роутер, или включить его в цепочку «старый роутер <> провайдер <> сервер с ЦП».
    В любом случае, шифрование будет обеспечено незаметно (прозрачно) для всех твоих гаджетов. О устройствах этого типа можно почитать тут.
  • Перепрошивка старого роутера на [1], openWRT или любую другую прошивку, в которой есть VPN-клиент.
  • Установка программного VPN-клиента (софтины) на каждое устройство.

Как это может выглядеть в серьёзном бизнесе

  • В виде специального программно-аппаратного обеспечения
  • В виде программного решения
  • Интегрированное решение

Педивикия

А если серьезно, то чаще всего можно встретить:

  • решения, которое обеспечивают только VPN (узкоспециализированный VPN-шлюз/VPN-хаб) — для доступа сотрудников из дома, соединений между филиалами и т. д.
  • маршрутизаторы с поддержкой VPN-функций (ISR, Integrated Services Router). От SOHO-маршрутизаторов они очень сильно отличаются ценой, производительностью и надежностью.
  • гибридные решения (AKA security gateway), совмещающие в себе функционал VPN-маршрутизатора/сервера доступа/w:IDS/[[:w:IPS]/антивирусного сканера и вообще — чего угодно.

В зависимости от гнусности фантазии вендора и количества денег у сириус бизнеса — в любом классе можно найти варианты решений вида «железка», «железка + софт», «только софт».

Иногда, такие варианты возможны даже в отношении одного решения.

Например, ту же циску можно использовать в виде виртуальной машины на обычном сервере.

Популярные VPN

VPN-сервисы

Решение для ленивых, экономных или плохо разбирающихся в системном администрировании анонимусов.

Позволяют сэкономить время и деньги на поддержку собственного VPN-сервера.

В общем случае, их использование выглядит так:

  1. находим провайдера с хорошими отзывами
  2. платим деньги
  3. получаем данные для доступа (сертификат, логин/пароль, etc)
  4. скачиваем VPN-клиент, устанавливаем и вбиваем инфо.
  5.  ???
  6. PROFIT!

Что в них плохого

  1. Низкая скорость у многих VPN-сервисов. Как правило, объясняется удаленностью или перенагруженностью access-серверов. Возникает при экономии на серверном оборудовании или кривых руках у админов VPN-провайдера.
  2. Непонятный уровень доверия к VPN-провайдеру и вообще — много вопросов к уровню безопасности сервисов. Никто не поручится, что VPN-провайдер, через которого ты качаешь ЦП, не сливает твой трафик в расшифрованом виде на сервера СОРМ или PRISM.
  3. Гугл банит

Что делать?

  1. Не экономить на VPN, использовать только сервисы с хоршими отзывами по надежности, скорости и отказоустойчивости.
  2. При наличии минимальной прямоты рук — открыть для себя облачный хостинг и поднять собственный VPN-сервер — пример шаблонного решения, развертывание которого занимает несколько минут в полуавтоматическом режиме.

Ссылки