Новости партнеров

Самое свежее

Константин Семин. Не робот враг человека и экономики, а капиталист-компрадор Депутат Поклонская: «Чтобы знал народ, кому кланяться!» Александр Росляков. Оружие самоубоя. Что будет, если раздать всем по стволу? Детский порно-бизнес в Интернете. Ничего личного – просто детский ад! «Американская мечта» – это обжорство ненасытных тварей, убивающее мир На чем держится нынешняя Россия?
Loading...
Loading...
Загрузка...

V -виртуальная P - приватная N – сеть.



  • Технология VPN способ создания защищённых сетей, внутри других сетей. Сеть может состоять даже из двух компьютеров. Предварительно следует ознакомится с предыдущими статьями http://publizist.ru/blogs/107917/17193/route.


    Начнём с описания самой идеи.

    В основе обмена в глобальной сети INTERNET лежит "транспорт", протоколы UDP и TCP/IP. Два транспортных протокола, которые возят пакеты всех остальных протоколов. Мы будем рассматривать протоколы нескольких типов.


    VPN это не протокол, это технология, то есть набор протоколов и программ, для реализации технологии.


    Все современные роутеры поддерживают эту технологию. В процессе объяснения, я буду опираться на программу OpenVPN.

    Начнём с описания самой идеи.

    Поскольку мы создаём частную защищённую (приватную) сеть, то защита обеспечивается шифрованием. Соответственно, нам понадобятся программы, обеспечивающие нас секретными ключами, сертификатами и паролями.

    Весь этот набор будет называться, инфраструктура секретности (PKI).

    Все остальное, инфраструктура обмена.

    Для обмена, нужно создать прямой (виртуальный) канал внутри транспортного канала связи VPNтунель.

    Обычно эту процедуру обеспечивает программа, VPN сервер.

    Поскольку промежуточные узлы, должны обеспечить прямое сообщение между конечными узлами, то они должны понимать, от кого и куда доставить любые пакеты. Здесь не должно быть никакой секретности, вся секретность лежит в пакете - матрёшке, который лежит внутри транспортного пакета. Вот здесь нам и понадобится фиксированный адрес от провайдера и «свой 1000 - 65000» номер порта, чтобы связать секретную информацию в пакете, с программой которая "рассекретит содержимое" из транспортного пакета. Фиксированный адрес от провайдера, необходим узлам, которые находятся за пределами локальной сети. Иначе как связаться с сервером VPN, если адрес будет изменяться провайдером? О службе DDNS, пока не говорим (она платная).

     

    Официальный порт сервера OpenVPN – 1194. Чтобы транспортные пакеты могли попасть туда куда нужно, им нужно пройти через шлюз(ы), шлюз должен знать, кому отдать пакет с номером порта 1194 во внутренней сети. Для этого на роутере, нужно проделать трюк, который называется проброс порта (forwarding). Нужно зайти в настройки роутера и связать порт 1194 с внутренним адресом компьютера, где установлен OpenVPN сервер. Так как весь обмен запускает сервер, он должен быть всегда доступен, всем узлам VPN сети. Собственно для этого мы и делаем "проброс порта". Серверу VPN(компьютеру), также нужно назначить фиксированный адрес во внутренней сети, чтобы все компьютеры внутренней сети его знали. Это обеспечивается записью в файле настроек сервера и компьютеров - клиентов VPN сети.На сервере организуется секретная служба паролей, ключей, сертификатов (PKI) и там же записываются и обрабатываются параметры сетевой структуры, то есть внутренние виртуальные IP адреса VPN сети.

    В принципе службу PKI можно не организовывать, можно обойтись обычными паролями, такая секретность вполне удовлетворительная для персонального использования.

    Процесс запуска сети в работу производится в несколько этапов, на самом деле всё протекает последовательно как единый процесс.

    Первое что нужно сделать, это связаться с сервером и совершить «секретное рукопожатие». Обсудить славянский шкаф используя пароль и отзыв. То есть, единственное что нужно знать участникам обмена предварительно, это пароли(PKI) и явки(IP), их нужно создать и записать в файл конфигурации предварительно, чтобы обеспечить обмен информацией.

    Для рукопожатия, используется свой секретный протокол SSL/SSH/TCL (22порт) или любой другой. Соответственно, весь пакет SSH, кладётся в пакет с номером порта 1194 на место информации. Участники обмена достают эту информацию и понимают что там лежит пакет SSH, программа OpenVPN начинает процесс обмена согласно требованиям SSH протокола. Но все SSHпакеты, катаются туда сюда, внутри пакета с портом 1194. То есть внутри транспортного пакета (UDP, TCP/IP), лежит пакет VPN(1194) а внутри него, на месте информации пакет SSH , своеобразная матрёшка. После того как, абоненты «опознают» друг друга, они начинают обмен данными используя передовые методы шифрования данных, типа AES-128.

    Программа сервер OpenVPN, осуществляет виртуальную маршрутизацию, связывая настоящие IP адреса с виртуальными IP адресами, VPN сети.

    Для осуществления манипуляций с виртуальными адресами, вложениями и прочими необходимыми процедурами. прогрмма OpenVPN требует установки специального драйвера - сокета с условным названием TUN-TAP. Это программа которая взаимодействует с драйвером сетевой карты.

    Вся работа происходит прозрачно, по обычным правилам работы сети. Пакет с портом 1194 получает программа OpenVPN через TUN-TAP драйвер, а внутреннее содержание пакета, включает всю информацию для работы VPN сети. Все адреса берутся из пула адресов для внутренних сетей и не должны пересекаться в пределах внутренней сети. Роутер рассылает пакеты согласно своих правил и если настроен проброс порта, пакет с портом 1194 отсылается на адрес сервера VPN. Сервер "смотрит" в своей таблице соответствие адреса локальной сети и виртуального адреса VPN сети из полученного пакета. Затем переадресует пакет получателю VPN сети, через TUN-TAP по реальному адресу в свою сетевую карту и далее в роутер. Роутер отсылает пакет адресату VPN сети, по реальному адресу транспортной сети. Клиент раздевает пакет, достаёт секретную информацию, распаковывает, используя ключ шифрования (пароль) и получает чистую информацию.

     

    Подведём небольшой итог.

    Итак что нужно для организации «защищённого обмена».

    1 Сетевой транспорт UDP TCP/IP/ - есть, это стандарт.

    2 Виртуальный канал с сервером «секретности». VPN.

    3 Инфраструктура секретности PKI (пароли, ключи, сертификаты,).

    4 Инфраструктура виртуального обмена. ( протоколы секретности).

    Пункты 2,3,4 можно реализовать множеством способов.

     

    Технология VPN весьма широко распространена, но почему то о ней мало «рассказывают» непосредственно пользователям. Всё больше про злобных хаккеров. Видимо считают что это, им знать ни к чему. А может потому что технология VPN может попросту парализовать слежку спецслужб, и «закрыть» тему «воровства хаккеров». Понимаю что ни всё и не всем понятно, учитывая что возможны вариации, поэтому требуются практические примеры. Пока это просто основная идея.

    Практические занятия, мы проведём в следующий раз. Поскольку не очевидных технических тонкостей, довольно много. Особо любознательные, могут посмотреть Википедию.

    See You…....Good Luck!

     

0