Jump to content
Sign in to follow this  
dimitris

Εικονικά ιδιωτικά δίκτυα (VPN)

Recommended Posts

Το OpenVPN είναι ένα πλήρες πρόγραμμα ανοικτού κώδικα SSL VPN το
οποίο εξυπηρετεί ένα μεγάλο εύρος configurations, συμπεριλαμβάνοτνας
remote access, site-to-site VPNs, Wi-Fi security, και λύσεις
enterprise-scale remote access με load balancing, failover, και
fine-grained access-controls. Έχοντας ως αρχή ότι η πολυπλοκότητα είναι ο
εχθρός της ασφάλειας ,το OpenVPN προσφέρει μια λύση χαμηλού κόστους και
είναι απλοποιημένο σε σχέση με άλλες τεχνολογίες VPN που στοχεύουν
καθαρά σε SME και μεγάλες εμπορικές εταιρείες. Η Guru-host μπορεί να
εγκαταστήσει οποιοδήποτε VPN βασισμένο σε OpenVPN χρησιμοποιώντας είτε
δικό μας, είτε δικό σας server(εφόσον μας δώσετε remote access σε
αυτόν.)


                        
            

Με το OpenVPN, μπορείτε να:


* Κάνετε tunnel IP subnetwork ή τους virtual ethernet adapter πάνω απο UDP ή TCP πόρτα.

* Ρυθμίστε ένα scalable, load-balanced VPN server χρησιμοποιώντας ένα η
περισσότερα μηχανήματα τα οποία θα μπορούν να χειριστούν χιλιάδες
δυναμικές συνδέσεις από εισερχόμενους VPN clients,

*Μπορείτε να χρησιμοποιείστε όλους τις δυνατούς τρόπους κρυπτογράφησης,
authentication, και certification των OpenSSL library για να
προστατεύσετε τα δεδομένα του εικονικού δικτύου σας καθώς γίνεται η
μεταφορά των δεδομένων πάνω από το internet,

* Χρήση οποιουδήποτε cipher, key size, ή HMAC digest (για datagram integrity checking) υποστηριζόμενο από την OpenSSL library,

* Επιλογή ανάμεσα σε static-key based conventional encryption ή certificate-based public key encryption,

* Χρήση static, pre-shared keys ή TLS-based dynamic key exchange,

* Χρήση real-time adaptive link compression και traffic-shaping για τη σωστή διαχείριση και καταμερισμό του bandwidth.

* tunnel networks των οποίων οι τελικοί κόμβοι είναι δυναμικοί όπως DHCP ή dial-in clients,

* tunnel networks με connection-oriented stateful firewalls χωρίς να χρειάζεται να έχετε explicit firewall rules,

* tunnel networks πάνω από NAT,

* Δημιουργήστε ασφαλή συνδέσεις ethernet bridges χρησιμοποιώντας virtual tap devices

* Χειριστήτε το OpenVPN χρησιμοποιώντας γραφικό περιβάλλον(GUI) σε Windows ή Mac OS X.


Τι κάνει διαφορετικό το ΟpenVPN απο άλλες λύσεις VPN ?


* Οι αρχές του OpenVPN είναι, η συμβατότητα ανάμεσα σε διαφορετικές
πλατφόρμες του κόσμου των υπολογιστών , εξαιρετική σταθερότητα,
scalability σε εκατοντάδες ή χιλιάδες clients, σχετικά εύκολη
εγκατάσταση και υποστήριξη δυναμικών IP διευθύνσεων και NAT.

* Το OpenVPN προσφέρει ένα εκτενές VPN framework το οποίο έχει
σχεδιαστεί για την διευκόλυνση site-specific customization, όπως η
δυνατότητα διανομής επιλεγμένων πακέτων για εγκατάσταση στους clients, ή
η υποστήριξη εναλλακτικών μεθόδων μέσω OpenVPN's plugin module
interface (π.χ. το openvpn-auth-pam module σας επιτρέπει στο OpenVPN να
κάνει authenticate τους clients χρησιμοποιόντας οποιαδήποτε PAM
authentication method) και μεθόδους που μπορούν να χρησιμοποιηθούν
αποκλειστικά ή σε συνδυασμό με οποιαδήποτε X509 certificate-based
authentication).

* Το OpenVPN διαθέτει ένα management interface το οποίο μπορεί να
χρησιμοποιηθεί ακόμα και για διαχείριση από απόσταση του OpenVPN daemon.
Το management interface μπορεί επίσης να χρησιμοποιηθεί για την
ανάπτυξη GUI ή web-based front-end εφαρμογών για το OpenVPN.

* Στα Windows, το OpenVPN μπορεί να διαβάσει πιστοποιητικά και private
keys απο smart cards που υποστηρίζουν το Windows Crypto API.

* Το OpenVPN χρησιμοποιεί ένα industrial-strength security μοντέλο,
σχεδιασμένο για προστασία ενάντια σε passive και active attacks. Η
ασφάλεια του OpenVPN μοντέλου είναι βασισμένη πάνω σε SSL/TLS για το
session authentication και στο IPSec ESP πρωτόκολλο για ασφαλές tunnel
transport πάνω απο UDP. Το OpenVPN υποστηρίζει το X509 PKI (public key
infrastructure) για session authentication, το TLS πρωτόκολλο για key
exchange, το OpenSSL cipher-independent EVP interface για κρυπτογράφηση
tunnel data και τον HMAC-SHA1 αλγόριθμο για authentication των
δεδομένων του tunnel.

* Το OpenVPN έχει δημιουργηθεί για φορητότητα. Τη στιγμή που γράφεται
αυτό το άρθρο το OpenVPN τρέχει σε Linux, Solaris, OpenBSD, FreeBSD,
NetBSD, Mac OS X, και Windows 2000/XP. Επειδή το OpenVPN είναι φτιαγμένο
σαν ένας user-space daemon και όχι σαν module του πυρήνα(kernel
module), ούτε είναι κάποια σύνθετη τροποποίηση στο IP layer, το porting
είναι απίστευτα απλοποιημένο.

* Το OpenVPN είναι εύκολο στη χρήση του. Γενικά, ένα tunnel μπορεί να
δημιουργηθεί και ρυθμιστεί με μια απλή εντολή και χωρίς να χρειάζεται
κάποιο configuration αρχείο. Το documentation του OpenVPN είναι πλήρες
με πολλές εικόνες που εξηγούν βήμα βήμα τη χρήση του.

* Το OpenVPN έχει δοκιμαστεί αυστηρά για να λειτουργήσει σωστά ακόμα και
στα αναξιόπιστα δίκτυα. Ένας κυρίως σχεδιαστικό στόχος ήταν οτι θα
πρέπει να είναι αποτελεσματικό και σε νορμάλ λειτουργίες αλλά και στη
περίπτωση του error recovery, καθώς το IP layer κάνει το tunneling
over. Αυτό σημαίνει οτι στη περίπτωση που το IP layer πέσει (offline)
για 5 λεπτά , στην επαναφορά , το tunnel traffic θα επανέλθει αμέσως,

* Το OpenVPN έχει κατασκευαστεί αυστηρά σαν ένα module. Όλες οι
κρυπτογραφήσεις χειρίζονται απο την OpenSSL library, και όλη η IP
tunneling λειτουργιά προσφέρεται πάνω από τον TUN/TAP virtual network
driver. Το όφελος του να είναι ένα module είναι εμφανές, π.χ. Στον τρόπο
που το OpenVPN μπορεί να συνδεθεί δυναμικά με οποιαδήποτε έκδοση της
OpenSSL library και να έχει πρόσβαση σε οποιαδήποτε νέα λειτουργία της
νέας έκδοσης. Για παράδειγμα το OpenVPN που έχει την τελευταία έκδοση
του OpenSSL (0.9.7), έχει αυτόματα πρόσβαση σε νέα ciphers όπως AES-256
(Advanced Encryption Standard με 256 bit key) και ο μηχανισμός
κρυπτογράφησης του OpenSSL έχει πρόσβαση σε ειδικού σκοπού hardware
accelerators για την επιτάχυνση της κρυπτογράφησης , αποκρυπτογράφησις
και του authentication . Με τον ίδιο τρόπο, το user-space design του
OpenVPN επιτρέπει straightforward porting σε οποιοδήποτε λειτουργικό
σύστημα που μπορεί να έχει TUN/TAP virtual network driver.


* Το OpenVPN είναι γρήγορο. Ενδεικτικά, σε Redhat 7.2 και σε μηχάνημα
Pentium II 266mhz, χρησιμοποιώντας TLS-based session authentication,τον
Blowfish cipher, SHA1 authentication για το tunnel data, και κάνοντας
tunneling ένα FTP session με μεγάλα συμπιεσμένα αρχεία το ΟpenVPN
πετυχαίνει ρυθμούς αποστολής και λήψης 1.445 MB ανα δευτερόλεπτο της CPU
(συνδυασμός kernel και user time).

* Το OpenVPN προσφέρει πολλές επιλογές ελέγχου των διαφόρων παραμέτρων
ασφαλείας του VPN tunnel, επίσης έχει επιλογές για την ασφάλεια του
ίδιου server , όπως --chroot για περιορισμό του filesystem όπου μπορεί ο
OpenVPN daemon να έχει πρόσβαση, --user και --group για μειώσετε τα
δικαιώματα του daemon μετά την εγκατάσταση, και --mlock για να
διασφαλίσετε ότι τα σημαντικά δεδομένα δεν θα γίνουν paged στο δίσκο και
από όπου μπορούν αργότερα να ανακτηθούν.




Γιατί να επιλέξετε το TLS πρωτόκολλο για το authentication και το key negotiation του OpenVPN.


Το TLS είναι η τελευταία εξέλιξη στην οικογένεια πρωτοκόλλων SSL ,
το οποίο είχε αναπτυχθεί αρχικά απο την Netscape για τον πρώτο browser
που προσέφερε ασφαλείς συνδέσεις. Το TLS μαζί με τους τα προηγούμενα SSL
είναι ευρέως διαδεδομένα στο διαδίκτυο και για πολλά χρόνια έχουν
μελετηθεί και αναλυθεί εκτενώς για την βελτιστοποίηση της ασφάλειας τους
με αποτέλεσμα να είναι το πιο αποτελεσματικό και ασφαλές πρωτόκολλο
στο κόσμο, αυτή τη στιγμή. Για αυτό το λόγο πιστεύουμε ότι το TLS είναι η
πιο καλή επιλογή σε μηχανισμό authentication και key exchange για ένα
προϊόν VPN .




Το OpenVPN υποστηρίζει IPSec ή PPTP?


Τρις είναι οι κυρίως υλοποιήσεις σε VPN που είναι πιο διαδεδομένες.
SSL, IPSec, και το PPTP. Το OpenVPN είναι ένα SSL VPN και γι' αυτό το
λόγο δεν είναι συμβατό με IPSec, L2TP, or PPTP.


Το πρωτόκολλο IPSec έχει σχεδιαστεί για να χρησιμοποιείται σαν μια
τροποποίηση στο IP stack μέσα στο kernel space, και γι' αυτό κάθε
λειτουργικό σύστημα απαιτεί τη δικιά του ανεξάρτητη εφαρμογή του IPSec.


Σε αντίθεση οι υλοποιήσεις του OpenVPN επιτρέπουν φορητότητα ανάμεσα
σε διαφορετικά λειτουργικά συστήματα, διαφορετικές αρχιτεκτονικές
υπολογιστικών συστημάτων, firewall και NAT-friendly operation, dynamic
address support, και multiple protocol support συμπεριλαμβανομένου του
πρωτοκόλλου για bridging.


Υπάρχουν υπέρ και κατά και στις δυο προσεγγίσεις. Τα κυρίως
προτερήματα της OpenVPN λύσης είναι η φορητότηα , ευκολία στο
configuration, και συμβατότητα με NAT και dynamic addresses. The
learning curve for installing and using OpenVPN is on par with that of
other security-related daemon software such as ssh.


Παλαιότερα θεωρείτο σημαντικό το IPSec γιατί έχει multi-vendor
support, αλλά αυτό αρχίζει να αλλάζει καθώς το ΟpenVPN έχει αρχίσει και
χρησιμοποιείται και σε dedicated hardware.


Στο PPTP πρωτόκολλο υπάρχει το πλεονέκτημα της προεγκατάστασης στους
client που είναι Windows-based, αλλά αναλύσεις από ειδικούς σε θέματα
κρυπτογράφησης έδειξαν σημαντικά vulnerabilities.




Is OpenVPN standards-compliant?


Όντας ένας user-space VPN daemon, το OpenVPN είναι συμβατό με
SSL/TLS, RSA Certificates και X509 PKI, NAT, DHCP, και TUN/TAP virtual
devices.


Το OpenVPN δεν είναι συμβατό με IPSec, IKE, PPTP, ή L2TP.




Μπορεί να υπάρχει ΟpenVPN tunnel πάνω απο μια TCP σύνδεση?


Ναι, απο την έκδοση 1.5. και μετά




Μπορώ να χρησιμοποιήσω έναν web browser ως OpenVPN client?


Όχι. Καθώς το OpenVPN χρησιμοποιεί το πρωτόκολλο SSL/TLS για ασφάλεια
, το OpenVPN δεν μπορεί να είναι ένας web application proxy. Είναι μια
πλήρης εφαρμογή στο επίπεδο 2 ή 3 του OSI και απαιτεί να είναι
εγκατεστημένο και στον client και στον server




Φτιάχνοντας το OpenVPN


Το OpenVPN μπορεί εύκολα να στηθεί απο source σε διανομές Linux και
BSD . Η εγκατάσταση του OpenVPN σε Windows είναι πιο περίπλοκη αλλά
υπάρχει installer διαθέσιμος στο site του OpenVPN.


To OpenVPN μπορεί να στηθεί ως εξή;:


* και με τις δύο OpenSSL Crypto και SSL libraries (version 0.9.6 και
πανω), προσφέροντας certificate-based authentication, public key
encryption, και TLS-based dynamic key exchange,

* μόνο με την OpenSSL Crypto library, προσφέροντας μόνο static-key based conventional encry ption και authentication, ή

* standalone, που έχει μη κρυπτογραφημένα UDP tunnels.


Το OpenVPN μπορεί να συνδεθεί με την LZO real-time compression
library. Το OpenVPN υποστηρίζει adaptive compression, που σημαίνει ότι
ενεργοποιείται το link compression μόνο όταν τα δεδομένα που περνάνε από
το tunnel μπορούν να συμπιεστούν.


Το OpenVPN τρέχει σαν εφαρμογή στο περιβάλλον του χρήστη και δεν
χρειάζεται ειδικά kernel components όπως ο TUN/TAP virtual network
driver για Windows, Linux, και BSD διανομές.

 

Πηγή

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

This page uses cookies to confirm that you will have the best user experience. More Privacy Policy