网络分布在广泛的地理区域,有时是一个国家或大陆。它包含专用于运行用户程序(应用程序)的计算机的集合。近年来,网络已成为任何组织的关键因素。网络越来越多地传输重要信息,因此这些网络符合诸如安全性,可靠性,地理覆盖范围和成本效益之类的属性。现已证明,网络可以减少公司在时间和金钱上的支出,这对于组织(尤其是那些在几公里外设有远程办公室的组织)来说是一个巨大的优势,但是,这些远程网络确实引起了一些人的好奇心,他们专门攻击服务器和网络以获得机密信息。因此,网络安全至关重要。这就是为什么我们如此了解著名的防火墙和VPN的原因
什么是VPN?
根据M. NGonzález(2002)的虚拟专用网络,“ VPN是在另一个网络(例如Internet)中创建的虚拟网络 ”。通常,专用网络是在要在其中创建机密和专用环境的公用网络中创建的。VPN使您可以像在本地网络上一样工作,对用户完全透明。建立虚拟专用网络的连接后,数据将以仅发送者和接收者能够读取的方式进行加密传输。为了执行VPN,您需要一台等待传入连接的服务器(或主机)以及一个或多个客户端,这些客户端连接到服务器以形成专用网络。
它是一个虚拟专用网络(VPN),通过封装过程以及在适当的情况下通过使用公共传输基础结构的加密,将数据包扩展到不同的远程点。来自专用网络的数据包通过公用网络中定义的隧道传输。
VPN连接-虚拟专用网
隧道技术:
虚拟专用网络创建了从一个站点到另一个站点的隧道或管道以传输数据,这称为封装,并且对数据包进行了加密,因此陌生人无法读取数据。
Ť
- 远程访问VPN:由使用Internet作为访问链接从远程站点连接到公司的用户组成。一旦通过身份验证,它们将具有与本地网络内相似的访问级别。点对点VPN:此方案用于将远程办公室与中央总部相连。 VPN服务器永久连接到Internet,接受来自站点的传入连接,并建立VPN隧道。远程办公室服务器连接到Internet,并通过Internet连接到中心办公室VPN隧道。它用于消除传统的点对点连接。内部VPN(通过LAN):除了在同一个本地LAN中而不是通过Internet以外,它的工作原理与普通VPN网络类似。它用于隔离同一内部网络的区域和服务。它还可以增强WiFi无线网络的安全性。
C
根据R. NaderCarreón(2007)的VPN(虚拟专用网络),“ VPN由硬件和软件组成,并且还需要另一组组件。这些组件是简单的要求,可确保网络安全,可用且易于维护。无论是由ISP提供VPN,还是您决定自己安装一个VPN,它们都是必需的。
- 可用性:适用于更新和访问时间。控制:提供一些托管服务提供商提供的培训,专业知识,细致的监督和警报功能。一个重要的考虑因素是,无论您的组织多大,您都可能只有一个VPN。它可能具有其他访问点,但仍将是公司VPN。兼容性:要将VPN技术和互联网用作传输手段,公司网络协议的内部体系结构必须与互联网的本机IP兼容。安全:这是VPN中的所有内容,从您实施的加密过程和您选择的身份验证服务到它们使用的数字签名和证书颁发机构。它涵盖了在VPN设备上实现加密算法的软件。可靠性:当一家公司决定安装ISP的VPN产品时,它受ISP的支配。
数据和用户身份验证:
数据:它确认消息已被完全发送,并且它没有以任何方式被更改。
用户-连接到VPN的客户端。
- 流量超载:在各种技术中都需要权衡:速度与性能,安全性与灵活性。当涉及到加密数据包的大小时,VPN属于同一类别,因此过载非常危险,因为如果我们发送多个数据包,则它们的大小会增加,因此会影响带宽利用率。无抵赖性:这是一种以不被拒绝的方式积极识别发行人的过程。
V
主要优点是:
- 廉价的远程访问成本VPN技术是最安全的信息访问方法之一
主要缺点:
- 对连接稳定性的双重依赖缺乏知识和最终用户监督没有管理员控制的客户端计算机
VPN的基本要求:
通常,当您要实施VPN时,必须确保它提供:
- 用户识别地址管理数据加密密钥管理多种协议支持
用户身份:
VPN必须能够验证用户的身份,并将访问VPN限制为未经授权的用户。同样,您必须提供统计记录,以显示访问者,哪些信息以及何时访问。
地址管理:
VPN必须在专用网络上建立客户端地址,并且必须确保以这种方式保留专用地址。
数据编码:
通过公共网络传输的数据必须事先加密,以使未经授权的网络客户端无法读取。
密钥管理:
VPN必须为客户端和服务器生成并更新加密密钥。
小号upport多种协议:
VPN必须能够处理公共网络上使用的通用协议。其中包括互联网协议(IP),互联网数据包交换(IPX)等。
VPN工具:
- VPN网关软件防火墙路由器设备,具有专用软件和硬件,可为VPN软件提供容量。在PC或工作站平台上,该软件执行VPN的所有功能。
P
为了使用VPN,已经实现了各种网络协议。这些协议试图消除VPN固有的所有安全“漏洞”。这些协议继续为获得接受而竞争,因为没有一个协议比其他协议更被广泛接受。
这些协议如下:
P oint到点对点隧道协议(PPTP): PPTP是由不同的公司开发的协议规范。PPTP通常与Microsoft相关联,因为Windows包括对此协议的支持。Windows的PPTP的早期内容包含的安全功能太弱,无法认真使用。因此,Microsoft继续改进PPTP支持。
PPTP的最佳功能在于它支持非IP协议的能力。但是,PPTP的主要缺点是无法选择单一标准的加密和身份验证:仅由于数据加密不同,两个访问PPTP规范的产品可能会变得完全不兼容。
第二层隧道协议(L2TP): PPTP在VPN解决方案中的主要竞争对手是思科开发的L2F。为了改善L2F,将PPTP和L2F的最佳功能结合起来,创建了一个称为L2TP的新标准。L2TP存在于OSI模型的链接级别。与PPTP一样,L2TP也支持非IP客户端,但是在定义标准加密时也会出现问题。
互联网协议安全性(IPsec):
IPsec实际上是多个相关协议的集合。它可以用作完整的VPN协议解决方案,也可以用作L2TP或PPTP的加密方案。IPsec存在于OSI的网络级别,以扩展IP以支持更安全的基于Internet的服务。
VPN服务器:
AceVPN:它在13个国家/地区拥有服务器,并通过邀请提供免费服务。它是跨平台的:Microsoft Windows,Apple Mac,Linux,iPhone,iPod touch,iPad,Android等。
AnchorFree Hotspot VPN:匿名访问Anchor Free公司在美国提供的流量的VPN。适用于Windows和Mac。Hulu等某些网站会检测到Anchor Free的服务器并将其阻止。
˚F [R é éVPN通过WSC:勉强增加了10至50毫秒的延迟。在英国和美国服务器上的流式播放流畅,无缝地进行,并且播放是即时的。与Anchor Free相比,它具有更简单的设计,更多的服务器以及更少的干扰。
GPass:GPass服务提供对VPN的免费访问,以及可直接从浏览器直接使用的非常快速的代理。该服务在中国最为流行,因为互联网审查制度最为普遍。
Hostizzle:这项服务每月为您提供10 mb的免费费用,并且可以与Hulu一起使用,因此这意味着我们拥有美国IP。唯一的问题是每个月都必须为连接续订证书。
热点盾:这可能是世界上最受欢迎的免费VPN客户端。当Hulu上线时,它变得很流行。现在,他们在美国和英国拥有VPN服务,可用于防止WiFi监听器,身份盗用和审查。关于Hotspot Shield的最好的事情是它提供了无限的带宽,并且可以在PC和Mac上使用。
一世
A)安装:
1)从存储库安装软件包:
- apt-get install openvpn
2)我们将证书颁发机构的配置脚本复制到/ etc / openvpn目录中:
- cd / usr / share / doc / openvpn /示例/ easy-rsacp -a 2.0 // etc / openvpn / easy-rsacd / etc / openvpn / easy-rsa
3)在创建CA密钥之前,必须修改一些环境变量:
- 纳米变种
注意: KEY_COUNTRY,KEY_PROVINCE,KEY_CITY,KEY_ORG和KEY_EMAIL参数必须正确配置。
4)配置vars文件后,可以为证书颁发机构(CA)生成证书和密钥:
- 。./vars./clean-all./build-ca
5)然后可以为VPN服务器生成证书和密钥:
- ./build-key-server服务器
注意:为客户端生成证书(客户端和服务器证书由同一CA签名很重要):
- ./build-key client1 ./build-key client2./build-key client3
注意:每次重新启动会话时,«。./var»再次设置环境变量。
两次回答“ y”以签名并提交证书。最后,必须生成Diffie-Hellman参数:
- ./build-dh
我们已经建立了我们的PKI(公共密钥基础结构),即我们的公共密钥身份验证和加密基础结构,示例配置文件应该复制到/ etc / openvpn目录中:
- cp -a / usr / share / doc / openvpn / examples / sample-config-files // etc / openvpn / B)服务器配置
1)解压缩服务器配置文件:
- cd / etc / openvpn / sample-config-files / gunzip server.conf.gz
2)编辑服务器配置文件:
- 纳米服务器
3)修改以下几行:
原始TCP
;原始udp
ca easy-rsa /密钥/ ca.crt
cert easy-rsa /密钥/server.crt密钥easy-rsa /密钥/server.key dh easy-rsa /密钥/dh1024.pem服务器10.8.0.0 255.255.255.0
这样,服务器将允许访问10.8.0.0/24网络并获取IP地址
10.8.0.1(客户端的IP在10.8.0.2到10.8.0.254之间)。如果有必要将路由规则发送给客户端,则必须添加它(例如,为了能够访问位于VPN后面的内部网络192.168.1.0/24):
- 推送“路由192.168.1.0 255.255.255.0”
4)最后将配置文件复制到/ etc / openvpn目录:
- cp server.conf../
- cd / etc / openvpn
- C)客户端配置:
1)编辑客户端配置文件:
- cd / etc / openvpn / sample-config-filesnano client.conf
2)修改以下几行:
原始TCP
;原始udp
远程192.168.122.169 1194
在此示例中,IP地址192.168.122.169是服务器在端口1194(OpenVPN的默认端口)上侦听连接到VPN 10.8.0.0/24的请求的地址。
3)将配置文件与证书和密钥打包在一起:
- cd / etc / openvpnmkdir client1cp sample-config-files / client.conf client1 / cp easy-rsa / keys / ca.crt client1 / cpeasy-rsa / keys / client1.crt client1 / client.crtcp easy-rsa / keys / client1.key client1 / client.keyzip -Z deflate -r client1.zip client1 / *
对其余的客户端重复该过程。
启动服务器以验证连接性
注意:在启动服务器之前,必须启用IP转发才能使数据包路由正常工作。
启用IP转发:
- 回声1> / proc / sys / net / ipv4 / ip_forward
启动VPN服务器:
- cd / etc / openvpn / openvpn server.conf
Ç Ò nclusion
由于虚拟专用网提供的经济优势,可以得出结论,由于使用VPN是昂贵的传统长途电话拨号方法的必不可少的替代方法,因此它是一种出色的远程访问技术。它也是传统WAN实施方法的良好替代解决方案。
VPN在数据安全性,机密性和完整性方面为公司提供了绝佳的解决方案,并且实际上已成为组织中的主要问题,因为它大大降低了将数据从一个地方传输到另一个地方的成本, VPN可能具有的唯一缺点是,必须首先正确建立安全和访问策略,因为如果定义不正确,可能会导致严重后果。
VPN可以在所有类型的环境中使用,从在国家或世界不同地区设有分支机构的大型公司,到在一个城市中拥有一个或两个分支机构的小型公司;以及需要交换信息的各种政府机构,大学等教育机构,以及通常需要在任何地方以安全方式共享远程文件的地方。
R 书目传出和电子
为了进行这项工作,已经查阅了以下Internet页面,以获得足够的信息:http://www.cisco.com/warp/public/44/solutions/network/vpn.shtml
下载原始文件