ĐảM bảo an ninh mạng với VPN (mạng riêng ảo) - núm vú

Mạng riêng ảo (VPN) đã được tạo ra để giải quyết hai vấn đề khác nhau: chi phí thuê đường dây chuyên dụng cao cho các văn phòng chi nhánh và nhu cầu cho phép nhân viên an toàn kết nối với mạng lưới các trụ sở chính khi họ đang kinh doanh ra khỏi thành phố hoặc làm việc ở nhà.

VPN hoạt động như thế nào

VPN sử dụng một giao thức đặc biệt để thiết lập một kênh ảo giữa hai máy hoặc hai mạng. Hãy tưởng tượng nếu bạn có thể thổi bong bóng xà phòng theo hình ống và chỉ bạn và bạn của bạn mới có thể nói chuyện qua nó. Bong bóng là tạm thời và khi bạn muốn có một cuộc trò chuyện khác, bạn sẽ phải tạo ra một bong bóng khác. Đó giống như một kênh của VPN. Kênh này thực sự là một phiên trực tiếp tạm thời. Đây là những gì thường được gọi là đường hầm .

Sau đó, VPN cũng trao đổi một tập hợp các bí mật dùng chung để tạo ra một khoá mã hóa. Lưu lượng truy cập dọc theo kênh đã được thiết lập là

được bao gói với gói mã hoá có địa chỉ bên ngoài gói, nhưng nội dung bị ẩn khỏi tầm nhìn. Nó giống như bánh bao bánh kẹo. Bạn có thể xem kẹo, nhưng bạn không thực sự biết những gì kẹo trông giống như ở bên trong. Điều tương tự xảy ra với lưu lượng truy cập được mã hóa. Nội dung ban đầu được ẩn khỏi chế độ xem, nhưng nó có đủ thông tin để đưa nó đến đích. Sau khi dữ liệu đến đích, wrapper sẽ được gỡ bỏ một cách an toàn.

Trong mối quan hệ hai chiều bạn có hai mạng muốn làm việc cùng nhau và mỗi cơ bản có cùng một thiết lập VPN giống như nhau. Yêu cầu thiết lập kết nối VPN có thể đến từ một trong hai hướng. Không cần phần mềm đặc biệt nào trên máy tính để bàn vì tất cả việc mã hoá và giải mã được thực hiện tại các điểm vào và ra của mạng. Cả hai mạng đều có các hệ thống quản lý then chốt để chúng có thể tạo các khóa bí mật cho một phiên VPN.Điều quan trọng là hai mạng có thành phần VPN tương thích hoặc họ sẽ không thành công khi nói chuyện với nhau.

Trong mối quan hệ một chiều, mạng đích có thiết lập VPN và không có thỏa thuận với mạng khác để chia sẻ. Trong trường hợp đó, máy tính muốn tạo kết nối với mạng phải có phần mềm máy khách VPN và yêu cầu chỉ có thể thực hiện theo một hướng - từ máy khách đến mạng. Phần mềm máy khách có thể yêu cầu và xác thực chính nó, nhưng các cơ chế tạo khoá bí mật chỉ có trên mạng. Máy tính khách hàng sẽ có một khóa bí mật được lưu trữ trên chính nó, nhưng nó không thể tạo ra các phím mới.

Nói chung, hệ thống một chiều được sử dụng cho người dùng ở xa đang quay số từ nhà hoặc khi họ đang di chuyển trên đường. Họ quay số qua ISP của họ và các cơ chế để thiết lập và duy trì các kết nối VPN là tất cả được chứa trong mạng đích. Nếu ai đó có máy tính xách tay không có phần mềm VPN client cố gắng kết nối với mạng của công ty, anh ta sẽ không bị quá xa bởi vì anh ta không có phần mềm máy khách hoặc khóa bí mật. Ngoài ra, người dùng trái phép sẽ không được liệt kê trên cơ sở dữ liệu của người dùng có thẩm quyền của VPN. Tuy nhiên, khi ai đó quay số và được xác thực, quyền truy cập của họ giống như khi họ đang ngồi trong cùng tòa nhà với mạng đích.

Bên trong hay bên ngoài?

Bạn có thể thiết lập điểm cuối VPN

tại các địa điểm khác nhau. Điểm cuối là nơi mà lưu lượng VPN đi vào mạng của bạn. Trong một số trường hợp, điểm cuối cũng là tường lửa vì nhiều tường lửa có tính năng VPN hiện nay. Điểm cuối cũng có thể ở phía trước tường lửa, trong DMZ ở một bên tường lửa, hoặc bên trong tường lửa. Mỗi cấu hình đều có điểm cộng và điểm yếu.

Nếu bạn chọn đặt VPN ở phía trước tường lửa, cơ chế này sẽ tự thực hiện tất cả việc mã hóa và giải mã. Điều đó có nghĩa là không cần phải cho phép một đường hầm VPN mở thông qua tường lửa của bạn. Tất cả lưu lượng truy cập qua tường lửa sẽ được lọc và định dạng trước để tường lửa có thể đọc được. Tuy nhiên, nếu VPN không thành công hoặc bị gỡ xuống, bạn sẽ phải đối mặt với tình huống mà tất cả lưu lượng truy cập không hoạt động, hoặc không có lưu lượng truy cập nào hết. Nó phụ thuộc vào việc VPN của bạn sẽ thất bại ở vị trí mở hay đóng.

Một VPN trên tường lửa có vẻ như là một giải pháp tốt vì, một lần nữa, bạn không cần để lại một đường hầm mở qua tường lửa. Các bức tường lửa sẽ xử lý tất cả các mã hóa, giải mã, và công việc thường xuyên của nó trong việc kiểm tra lưu lượng truy cập. Loại giải pháp này đặt một gánh nặng rất lớn lên tường lửa ít người nghèo, mặc dù. Mã hóa và giải mã đòi hỏi nhiều sức lao động cho máy tính, cũng như việc kiểm tra lưu lượng và có thể dẫn đến nút cổ chai cho lưu lượng truy cập. Một cách khác là đặt VPN bên trong tường lửa. Điều này làm giảm bức tường lửa và / hoặc router phải xử lý việc mã hóa và giải mã lưu lượng, nhưng bạn phải cho phép một đường hầm VPN đi qua tường lửa.Một bức tường lửa không thể đọc lưu lượng được mã hóa và nó sẽ cho phép lưu lượng truy cập thông qua không bị cản trở. Tất nhiên, lưu lượng truy cập vẫn sẽ bị dừng lại bởi cơ chế VPN, nhưng do thời gian đó, nó đã có trong mạng nội bộ. Bảo vệ máy khách

Có lẽ cách dễ nhất để phá vỡ an ninh của VPN là giữ một máy tính xách tay được sử dụng để quay số cho một kết nối VPN. Máy tính xách tay bị đánh cắp sẽ có phần mềm máy khách VPN, UserID, và khóa bí mật được lưu trữ trên một máy. Chủ sở hữu máy tính xách tay thông minh sẽ không lưu mật khẩu cho đường hầm VPN trên máy tính của mình. Nếu có, kẻ trộm đã nhận được một vé miễn phí để đi lang thang trong mạng của bạn!

Người dùng sử dụng máy tính xách tay để thiết lập các kết nối VPN với mạng của bạn cần được cung cấp các bài học để duy trì an ninh tốt. Họ cần phải có được cập nhật phần mềm chống virus cài đặt và đảm bảo rằng nó chạy mỗi khi họ bắt đầu máy tính của họ. Ngoài ra, máy tính xách tay nên có phần mềm tường lửa cá nhân được thiết lập. Một số khách hàng VPN đã có tường lửa cá nhân, do đó bạn sẽ phải kiểm tra với nhà cung cấp của mình về việc liệu bạn có làm hay không. Tường lửa cá nhân có thể đảm bảo rằng chỉ có máy khách VPN mới tạo ra kết nối và nó không thực sự là một chương trình Trojan horse giả mạo là VPN client. Một biện pháp phòng ngừa tốt là để cho phép mật khẩu BIOS. Bằng cách đó, nếu máy tính bị mất cắp, nó thậm chí không thể được bắt đầu mà không có mật khẩu.