Jak działa VPN

- [Instruktor] Sieć IP umożliwia przepływ informacji między sieciami, przechodząc z sieci lokalnej do sieci pośrednich do publicznie dostępnych zasobów w sieci docelowej. Tak działa regularna aktywność online, taka jak przeglądanie sieci Web czy sprawdzanie poczty e-mail, ale jeśli potrzebujemy dostępu do zasobów w chronionej sieci, gdzie hosty nie są narażone bezpośrednio na działanie Internetu, potrzebujemy innego podejścia. Sieć chroniona, podobnie jak sieć domowa lub biurowa, z definicji nie zezwala na ruch z urządzeń dostępu do Internetu w sieci bez połączenia wychodzącego z tym samym hostem. Wynika to częściowo z reguł zapory ogniowej, ale głównie z faktu, że urządzenia w chronionej sieci zwykle działają w lokalnej przestrzeni adresów IP, która nie jest rutowalna w Internecie, a przez większość czasu jest to dość zły pomysł, aby chronione zasoby były bezpośrednio dostępne w Internecie, aby uzyskać dostęp do tych hostów, nasz ruch musi pochodzić z tej samej chronionej sieci. Aby to zrobić, musimy trochę oszukać i skonfigurować połączenie, które może podróżować przez Internet, przez które możemy wysyłać ruch lokalny z naszego systemu do zdalnego systemu. Odbywa się to poprzez skonfigurowanie połączenia między urządzeniem lokalnym a urządzeniem podłączonym do chronionej sieci, przy użyciu oprogramowania, które pozwala ruchowi przechodzić przez ten tunel i zachowywać się tak, jakby pochodził z chronionej sieci. To połączenie jest połączeniem sieciowym i jak wkrótce zobaczymy, jest to prywatna sieć między wirtualnymi interfejsami sieciowymi, więc jest to sieć, która jest wirtualna i prywatna dla tych dwóch punktów końcowych, wirtualna sieć prywatna: to VPN. Powinienem tutaj zauważyć, że prywatna część wirtualnej sieci prywatnej odnosi się do charakteru sieci. Jest to sieć prywatna między dwoma hostami, a nie sieć publiczna, do której mogą dołączyć inni klienci. Prywatne tutaj nie odnosi się do prywatności danych ani bezpieczeństwa, tylko do topologii sieci wirtualnej. Inny rodzaj prywatności, rodzaj bezpieczeństwa danych, jest zapewniany na różne sposoby przez różne protokoły VPN, jak zobaczymy za chwilę. W rzeczywistości możesz stworzyć VPN, który nie oferuje rzeczywistego bezpieczeństwa danych, a nie, że kiedykolwiek naprawdę chciałbyś to zrobić. Na razie skupimy się na sieciowej części VPN. Sieci VPN działają na zasadach routingu lub mostkowania i hermetyzacji. Kiedy musimy wysłać pakiety sieciowe z naszego komputera do zdalnego systemu, poza naszą własną siecią, nasz system używa trasy do określenia, gdzie wysłać te pakiety. Zwykle mamy tylko jedną trasę, skonfigurowaną do wysyłania wszelkich pakietów nieprzeznaczonych dla klientów w naszej sieci, do routera w sieci, który obsługuje wysyłanie pakietów do miejsca docelowego w innych sieciach za pośrednictwem innych routerów. Chociaż w praktyce działa to nieco inaczej, możesz myśleć o VPN jako podłączaniu sieciowego z karty sieciowej na komputerze do serwera VPN, z którym się łączysz, ale przez Internet. Na szczęście nie potrzebujemy tak długich. Gdy klienci łączą się z serwerem sieci VPN, na kliencie jest konfigurowany nowy interfejs sieci wirtualnej, który otrzymuje adres IP od serwera sieci VPN. W przypadku sieci VPN warstwy 3 do systemu dodawana jest również nowa trasa, która używa tej karty wirtualnej do kierowania danych do karty wirtualnej na serwerze sieci VPN. Inny typ VPN korzysta z warstwy 2 i zamiast routingu danych między urządzeniami sieciowymi, zachowuje się tak, jakby urządzenia były fizycznie podłączone do tej samej sieci, tak jak sieci lokalne i zdalne są mostkowane. Zobaczymy więcej o tym, jak te warstwy działają za chwilę. Innym ważnym komponentem VPN jest hermetyzacja, która opisuje ideę, że informacje są zawarte w innych informacjach. Jeśli chodzi o VPN, zwykle oznacza to, że ruch sieciowy, który normalnie nie byłby w stanie podróżować między dwiema sieciami, jest pakowany w pakiety, które mogą być wysyłane między sieciami, więc w systemie klienckim ruch wysyłany do lokalnego punktu końcowego tunelu VPN jest pakowany w protokół, który może być kierowany do innej sieci, a pakiety te są następnie wysyłane przez tunel. Z drugiej strony, oprogramowanie VPN działające na serwerze rozpakowuje te pakiety i uwalnia je w sieci lokalnej strony zdalnej, a wszelki ruch wracający do klienta jest pakowany przez serwer, wysyłany przez tunel i rozpakowywany na kliencie. W tym kursie użyję dwóch maszyn wirtualnych, które współużytkują chronioną sieć, taką jak sieć firmowa lub akademicka. Jedna z tych maszyn wirtualnych ma publiczny adres IP i będzie działać jako serwer VPN, z którym połączymy się z mojego klienta tutaj. Druga sieć VPN hostuje stronę internetową, która jest widoczna tylko dla klientów tej chronionej sieci, więc nie jest dostępna bezpośrednio z Internetu. Będziemy musieli użyć VPN, aby uzyskać do niego dostęp.