Indholdsfortegnelse:
Video: Sikring af byggepladser | SITE-SECURITY 2024
Virtuelle private netværk (VPN'er) blev oprettet for at løse to forskellige problemer: Den høje pris for dedikerede lejede kredsløb, der er nødvendige for branchekommunikation og behovet for at give medarbejderne en metode til sikkert forbinder til hovedkvarterets netværk, når de var ude af byen eller arbejder hjemmefra.
Sådan virker en VPN
En VPN bruger en speciel protokol til at etablere en virtuel kanal mellem to maskiner eller to netværk. Forestil dig, om du kunne blæse en sæbeboble i form af et rør, og kun dig og din ven kunne snakke igennem det. Boblen er midlertidig, og når du vil have en anden samtale, skal du oprette en anden boble. Det er lidt som en VPN-kanal. Denne kanal er faktisk en midlertidig direkte session. Dette kaldes almindeligvis tunneling .
Så udveksler VPN også et sæt af fælles hemmeligheder for at oprette en krypteringsnøgle. Trafikken, der bevæger sig langs den etablerede kanal, er indpakket med en krypteret pakke, der har en adresse udenfor pakken, men indholdet er skjult for visning. Det er ligesom en slikpakke. Du kan se sliket, men du ved ikke rigtigt, hvad sliket ser ud på indersiden. Det samme sker med krypteret trafik. Det oprindelige indhold er skjult for visning, men det har nok information til at få det til sin destination. Når dataene har nået deres destination, fjernes emballagen sikkert.
Konfiguration af VPN
Du kan konfigurere en VPN to måder: Den første måde bruges normalt mellem netværk og firewalls eller krypterings routere til at gøre kryptering og dekryptering af trafikken. I denne opsætning er der ikke behov for særlig software på skrivebordet eller klientcomputere. Den anden metode er at have en firewall, en krypteringsrouter eller en VPN-server ved destinationsenden og specielle VPN-klientprogrammer på skrivebordet eller i bærbare computere. Det hele afhænger af, om VPN'en er en tovejskørsel eller en envejsoperation.
Bestem forholdet
I et tovejsforhold har du to netværk, der ønsker at arbejde sammen, og hver har stort set samme VPN-opsætning som det andet. Anmodningen om at etablere en VPN-forbindelse kan komme fra begge retninger. Der kræves ingen speciel software på stationære computere, fordi al kryptering og dekryptering sker ved indtastnings- og udgangspunkterne i netværket. Begge netværk har også nøgleadministrationssystemer, så de begge kan oprette hemmelige nøgler til en VPN-session.Det er vigtigt, at de to netværk har kompatible VPN-komponenter, eller de vil ikke lykkes i at tale med hinanden.
I et envejsforhold har destinationsnetværket VPN-opsætningen, og der er ingen aftale med et andet netværk, der skal deles. I så fald skal den computer, der ønsker at oprette forbindelse til netværket, have VPN-klient software, og anmodningen kan kun foretages i én retning - fra klienten til netværket. Klientprogrammet kan anmode om og autentificere sig selv, men de hemmelige nøglefremstillingsmekanismer er kun på netværket. Klientcomputeren har en hemmelig nøgle gemt på sig selv, men den kan ikke oprette nye nøgler.
I almindelighed anvendes envejssystemet til fjernbrugere, der ringer ind fra hjemmet eller mens de rejser på vejen. De ringer op via deres internetudbyder, og mekanismerne til oprettelse og vedligeholdelse af VPN-forbindelser er alle indeholdt i destinationsnetværket. Hvis en person med en bærbar computer uden VPN-klientsoftwaren forsøgte at oprette forbindelse til virksomhedens netværk, ville han ikke komme for langt, fordi han ikke havde klientsoftwaren eller en hemmelig nøgle. Desuden vil den uautoriserede bruger ikke blive noteret på VPN's database med autoriserede brugere. Men når en person ringer ind og er autentificeret, er deres adgang den samme som om de sad i samme bygning som destinationsnetværket.
Indenfor eller udenfor?
Du kan konfigurere VPN endpoint på forskellige steder. Slutpunktet er, hvor VPN-trafikken kommer ind i dit netværk. I nogle tilfælde er endpointet også firewallen, da mange firewalls kommer med VPN-funktioner i dag. Endpointet kan også være foran brandvejen, i en DMZ fra den ene side til firewallen eller inden i firewallen. Hver af disse konfigurationer har sine plus og minusser.
Hvis du vælger at sætte din VPN foran firewallen, gør mekanismen alle kryptering og dekryptering på egen hånd. Det betyder, at der ikke er behov for at tillade en åben VPN-tunnel via din firewall. Al trafik gennem firewallen er blevet forfiltreret og formateret, så firewallen kan læse den. Men hvis VPN'en fejler eller er taget ned, vil du blive udsat for en situation, hvor hele trafikken går ud ukrypteret, eller der bliver slet ingen trafik. Det afhænger af om din VPN vil mislykkes i åben eller lukket stilling.
En VPN på firewallen ser ud som en god løsning, fordi du igen ikke behøver at forlade en åben tunnel gennem firewallen. Firewall'en vil håndtere al kryptering, dekryptering og dens regelmæssige job med undersøgelse af trafik. Denne type løsning sætter imidlertid en enorm byrde på den fattige lille firewall. Kryptering og dekryptering er arbejdskrævende for en computer, ligesom undersøgelsen af trafikken, og det kan medføre en flaskehals for trafik.
En anden metode er at sætte VPN'en på indersiden af firewallen. Dette lindrer firewall og / eller routeren om at skulle håndtere kryptering og dekryptering af trafikken, men du skal tillade en VPN-tunnel at passere gennem firewallen.En firewall kan ikke læse krypteret trafik, og det vil tillade, at trafikken passerer gennem uoverensstemmelse. Selvfølgelig bliver trafikken stadig stoppet af VPN-mekanismen, men dengang er den allerede i det interne netværk.
Sikring af klienten
Sandsynligvis den nemmeste måde at bryde VPNs sikkerhed på er at få fat i en bærbar computer, der bruges til at ringe til en VPN-forbindelse. Den stjålne laptop har VPN-klientsoftwaren, bruger-ID'et og den hemmelige nøgle alle gemt på en maskine. En smart laptop ejer vil ikke have gemt adgangskoden til VPN tunnelen på sin computer. Hvis han har, har tyven lige fået en gratis billet til at vandre rundt i dit netværk!
Brugere, der bruger bærbare computere til at etablere VPN-forbindelser med dit netværk, skal undervises i at opretholde god sikkerhed. De bør have opdateret anti-virus software installeret og sikre, at den kører hver gang de starter deres computer. Derudover skal den bærbare computer have en personlig firewall software oprettet. Nogle VPN-klienter indeholder allerede personlige firewalls, så du skal tjekke hos din leverandør om, hvorvidt din gør eller ikke. Den personlige firewall kan sikre, at kun VPN-klienten laver forbindelsen, og at det egentlig ikke er et trojansk hesteprogram, der masquerader som VPN-klienten. En anden god forholdsregel er at aktivere BIOS-adgangskoden. På den måde, hvis computeren bliver stjålet, kan den ikke engang startes uden adgangskoden.
