OpenVPN-gjennomgang: VPN for personlig og forretningsbruk

La oss begynne vår OpenVPN Inc.-gjennomgang ved å si at de er selskapet bak OpenVPN. Med over fem millioner nedlastinger siden starten som OpenVPN Project i 2002, har det blitt en de-facto standard VPN-programvare på open source nettverksrom. For de som ikke er kjent med det, er OpenVPN en rask, pålitelig og ultrasikker internettkommunikasjonsløsning. Det antas å være den beste tilgjengelige protokollen for å lage sikre virtuelle private nettverk (VPN). Følgelig danner det kjernen infrastuktur av de beste VPN-tjenestene. I tillegg til den prisvinnende open source-programvaren, leverer OpenVPN Inc. sin egen VPN-tjeneste gjennom Private Tunnel som implementerer deres nyeste OpenVPN-versjonsfunksjoner. De gir også en komplett løsning gjennom forskjellige OpenVPN Access Server-pakker.


OpenVPN gjennomgang

Før internettalderens oppgang måtte de fleste selskaper som ønsket å koble sammen kontorene, bruke T1-linjer og ytterligere ryggradearkitekturer. Dette lar LAN-ene som brukes av bedriftskontorer gå sammen om WAN-er. Dette var veldig dyrt og dermed begrenset til større virksomheter. Neste kom de første VPN-ene som ble implementert ved hjelp av IPSec, som var veldig komplisert og bare virkelig forstått av sikkerhetseksperter. Dette begrenset implementeringen til de som hadde råd til disse ekspertene fra selskaper som Cisco og Microsoft. For å komplisere dette enda mer, var disse proprietære løsningene ofte uforenlige med hverandre.

Etter hvert som Internett ble mer og mer populært, begynte mindre virksomheter å bruke VPN-er og behovet for raskere og billigere løsninger vokste. På samme tid økte SSL / TSL Internett-sikkerhet i popularitet på grunn av bruken i finansbransjen. Dette fødte den kommersielle VPN-bransjen som ga SSL VPN-er som tillot eksterne brukere å “sikre tilgang” til kontors LAN-nettverk fjernt over det offentlige Internett. Snart begynte et større antall Internett-brukere å lete etter sikre internettløsninger som var enklere og raskere å utvikle. Samtidig ga Linux-baserte nettverk en plattform for å teste ut disse nye løsningene ved å bruke virtuelle TUN / TAP-nettverksenheter.

OpenVPN: Ryggraden i OpenVPN Inc.-virksomheten

En liten historie om OpenVPN

Nedenfor er en synapser av et intervju gitt av James Yonan, skaper av OpenVPN om hvordan han kom til å utvikle det.

Den opprinnelige ideen om et behov for et verktøy som OpenVPN kom til ham mens han reiste verden rundt og samtidig trengte å opprettholde en tilgjengelig telepresens. Mens han reiste gjennom Sentral-Asia, Russland og andre regioner med et uvanlig antall veldig talentfulle hackere, begynte han å bli interessert i Linux-sikkerhetsverktøyene som brukes til telekommunikasjon.

Da han undersøkte disse verktøyene, oppdaget han at det i utgangspunktet var to tanker om VPN-teknologier. Han kalte disse “sikkerhets-først” og “brukbarhet-først” -leirene. IPSec og FreeSwan sikkerhetsleir mente at det var ok å bortfalle robustheten og anvendeligheten til fordel for å oppnå riktig sikkerhet. Dette gjorde imidlertid IPSec VPN-applikasjoner komplekse og vanskelige å implementere.

Dette førte til de ikke-IPSec-leirene (VTun, Cipe, osv.) Som gyte fordi de trengte en VPN nå og utviklingstiden for IPSec VPN var veldig lang. Dermed bestemte de seg for at det ville være lettere å lage sine egne i stedet for å slite med fallgruvene ved å installere IPSec. Brukbarhetsgruppen konsentrerte seg om nettverksaspektet ved sikker telekommunikasjon. Dette førte til innovasjonen som mange VPN-leverandører bruker i dag, “TUN” eller “TAP” virtuelle nettverkskort. TAP-adaptere emulerer Ethernet-nettverkstilkoblinger som brukes i lokale nettverk og TUN-adaptere simulerer IP-punktet til punktforbindelsene og NAT som brukes av rutere.

Etter å ha vurdert både disse og open source VPN-feltet, bestemte han seg for at brukervennlighetsgruppen hadde den rette ideen om nettverk og å gjøre implementeringen enklere. Mens SSH, SSL / TSL og IPSec samtidig hadde rett i forhold til sikkerhetsnivået som trengs for private nettverk som opererte over det offentlige Internett. Dermed begynte hans konsept om hva som skulle bli OpenVPN.

Selv om IPSec var den gjeldende standarden for VPN-teknologi på det tidspunktet, begynte han å utvikle VPN-løsningen sin. Han bestemte seg for det på grunn av dets kompleksitet og kjernen-interaksjon. Han så et potensielt spørsmål fordi kompleksitet generelt er antatt å være fienden til sikkerhet. I tillegg så han på dette samspillet som en designfeil der en svikt i en komponent kan føre til et katastrofalt sikkerhetsbrudd.

Følgelig så han på SSL som vokste som et alternativ til IPSec for Internett-sikkerhet og ble brukt til å sikre nettsteder. Dermed nøyde han seg med SSL / TSL for sikkerhetskomponenten for det nye VPN-verktøyet. Siden det lente seg tungt på OpenSSL-biblioteket og var open source, bestemte han seg for å kalle det Open VPN.

Besøk OpenVPN

Så det som gjør OpenVPN spesiell?

Det er åpen kildekode-programvare

Programvaren er gratis og åpen kildekode. For det andre har den siden introduksjonen i 2002 skaffet et av de største brukerfellesskapene i åpen kildekodeplass. Dette fellesskapet er sammensatt av kryptografieksperter, hobbyister og IT-fagfolk fra hele verden. Følgelig har den blitt underkastet en omfattende undersøkelse av både brukbarhet og kryptografisk sikkerhet. I tillegg er OpenSSL-biblioteket som danner sin kjerne kryptosikkerhet også åpen kildekode og har over tjue års kritikk av sikkerhetseksperter og vanlige brukere over hele verden. Dette gjør OpenVPN til et av de mest granskede kryptobibliotekene som har ført til ytterligere fremskritt innen online sikkerhet som det gir. Disse nye fremskrittene blir deretter inkludert i suksessive OpenVPN-versjoner.

Fellesskapstesting og sikkerhetsrevisjoner

For å forstå hva som gjør OpenVPN til den mest brukte VPN-protokollen i verden, må du undersøke hvordan den takler sikkerheten til nettverkstilkoblingene dine. OpenVPN Inc. bruker en kombinasjon av brukerkommentarer og tester for å kontinuerlig forbedre ytelsen og online sikkerheten til programvaren deres. I tillegg gjennomgår OpenVPN periodisk sikkerhet og kryptografiske revisjoner av koden. De to siste ble gjennomført i begynnelsen av 2017. De følgende seksjoner viser viktigheten av begge disse for å øke brukervennligheten, betjenbarheten og sikkerheten til OpenVPN-koden..

Intern PIA-finansierte og uavhengige OSTIF-revisjoner av OpenVPN 2.4

Den ene ble fremført av Matthew D. Green, PhD, en respektert kryptograf og professor ved Johns Hopkins University. Denne studien ble finansiert av Privat Internett-tilgang, og hele sammendraget finner du her. En annen separat revisjon ble gjort av Open Source Technology Improvement Fund (OSTIF) ved hjelp av ingeniører fra QuarksLab, det Paris-baserte firmaet som også reviderte Veracrypt. Spørsmålene som ble reist av disse tilsynene, ble adressert av OpenVPN Community Wiki-rapporten som ble utgitt med versjonsoppdateringen OpenVPN 2.4.2, som løste det alvorligste av disse problemene.

Fellesskapets involvering og fuzzing for å forbedre kodesikkerheten

Etter de nylige tilsynene og utgivelsen av OpenVPN 2.4.2, Guido Vranken, bestemte et samfunnsmedlem å kjøre en automatisert Fuzzer mot den nye koden. For de som ikke vet hva en Fuzzer er, er det en automatisert programvare som brukes til å teste ny kode. Testprosedyren innebærer å gi ugyldige, uventede og tilfeldige innspill til koden og deretter observere hvordan den takler den. Fuzzing eller fuzz testing som det ofte kalles monitorer for unntak som oppstår fra ugyldige data som inkluderer feilkoder utløst, krasj, svikt i forhold som er antatt av koden, men som ikke er testet på riktig måte, og sikkerhetsbrytende minnelekkasjer. Målet hans var å demonstrere at manuelle revisjoner kanskje ikke er nok til å teste ny kode fullt ut, og at disse kodene skulle bli utsatt for oppstyrende algoritmer. Han oppdaget noen ekstra sårbarheter som ikke ble funnet av tilsynene. OpenVPN Inc. adresserte disse i OpenVPN 2.4.3 og 2.3.17 sammen med noen andre ikke-relaterte problemer.

Sikkerhet for OpenVPN?

Følgende er et raskt sammendrag av whitepaper, OpenVPN og SSL VPN Revolution, av Charlie Hosner.

For å forstå hva en Secure VPN trenger, må du forstå noen grunnleggende om kryptografi. Vi vet at de fleste lesere synes at dette er en veldig teknisk og sammensatt vitenskap. Det er og derfor er det lett å ta feil. På annen måte uttalte, som Hosners Lamented: “Det eneste som er verre enn dårlig sikkerhet er dårlig sikkerhet som skaper illusjonen av god sikkerhet” Heldigvis gjør produkter som OpenVPN god sikkerhet enklere å implementere riktig. Den andre komponenten i en god VPN er at de er enkle å implementere og gir rask ytelse.

Mål for informasjonssikkerhet

Informasjonssikkerhet er avhengig av fire grunnleggende mål. Disse kan oppsummeres som følger:

  • konfidensialitet – refererer til å skjule dine data fra nysgjerrige øyne.
  • Integritet – innebærer å verifisere at dataene dine ikke er endret på noen måte under transporten.
  • Godkjenning – betyr at du kan være sikker på at klienten eller serveren du kommuniserer med er den du tror de er.
  • Ikke-benektelse – sørger for at enheten du kommuniserer med ikke senere kan benekte at han sendte dataene du mottok.

For å rette opp i disse målene bruker sikkerhetseksperter det som ofte kalles kryptografiske primitiver i bransjen.

De fire kjerne kryptografiske primitivene

  • Symmetriske chiffer – er hurtigblokkalgoritmene som bruker den samme nøkkelen for å kryptere og dekryptere data som brukes til datasikkerhet.
  • Melding fordøyes – er matematiske funksjoner som koder en melding til en fast lengde på chiffertekst som brukes til å sjekke meldingens integritet.
  • Asymmetriske chiffer – er andre metodologier som Public Key Encryption (PKI) som kan brukes til å autentisere enhetene som snakker med hverandre.
  • Digitale signaturer – er en kombinasjon av meldingsfordøyelse og PKI som når de brukes sammen gir meldingsintegritet, men også ikke-avvisning.

Nå som vi kjenner målene for god informasjonssikkerhet og de grunnleggende verktøyene som brukes for å oppnå dem. la oss se hvordan de brukes for å danne grunnlaget for et godt VPN-nettverk.

Pålitelige sertifikatmyndigheter

Først har ideen om individuelle private / offentlige nøkler for hver vert som du vil kontakte, vist seg å være problematisk siden du trenger en annen offentlig nøkkel for hver vert du kobler til. Dette vil også føre til problemer med HTTPS e-handelsnettsteder. Se for deg at du trenger en egen nøkkel for hvert sikkert nettsted du besøker. For å få bukt med denne skalerbarhetsproblemene som HTTPS og TSL står overfor PKI, ble det opprettet pålitelige sertifikatmyndigheter (CA). CAer, utstede digitale sertifikater som er små datafiler som inneholder identitetsbevis som er signert av CAs private nøkkel. Ideen er at Intermediate Certificate Authority (ICA) er klarert til roten CA.

Certificate of HierarchyI tillegg stoler både serveren og klienten på den samme ICA. Så hvis ICAs offentlige nøkkel kan lese enten digitalt sertifikat, er det en pålitelig verifisert enhet for den andre. Digitale sertifikater er det som gir autentisitet og avvisning til nettsteder, personer og enheter på nettet.

OpenVPN-håndtrykk

Vi har diskutert håndtrykk i mange av VPN-anmeldelsene våre. La oss se på hvordan dette håndtrykket fungerer i OpenVPN. Det kan tenkes som fire meldinger mellom klienten og serveren:

Melding 1

Klienten sender en Hei-melding for å starte håndtrykk. Denne hilsenen inkluderer en liste over sifre som klienten støtter, og en tilfeldig bit. Det inkluderer også versjonene av SSL / TSL det vil tillate.

Melding 2

Serveren returnerer hei-meldingen. Serverhilsenen sender serversertifikatet som inkluderer den offentlige nøkkelen som er signert av CA-private nøkkelen. Den velger og sender også en chiffer fra den høyeste SSL / TSL-versjonen som er vanlig mellom klienten og serveren. Den sender deretter parameteren som er nødvendig for å generere serverens halvdel av den vanlige nøkkelen (RSA, DHE, ECDHE, etc.).

OpenVPN-håndtrykkMelding 3

Klienten bruker CA-offentlig nøkkel for å bekrefte serveridentiteten og gjenoppretter deretter den offentlige nøkkelen. Klienten bruker deretter serverens offentlige nøkkel på meldingen for å få serverens parameter for å generere pre-master-hemmeligheten. Den sender deretter sertifikatet til serveren hvis det blir forespurt. Klienten bruker også serverens offentlige nøkkel for å kryptere forhåndshemmeligheten som en del av trinnet Client Key Exchange / Generation. Den beregner deretter hovednøkkelen og bytter til valgt chiffer. Deretter utfører den en hashverdi av hele håndtrykket, krypterer det med valgt kryptering, og sender det til serveren for å sikre at de er på samme side angående alt diskutert under håndtrykket. HMAC gir godkjenning og avvisning for testen.

Serveren bruker den offentlige CA-nøkkelen til å autentisere klienten. Bare serveren har den private nøkkelen som er nødvendig for å løse pre-masteren. Når den har gjort dette, beregner den den delte masteren. Når begge ender er autentisert, genereres fire forskjellige nøkler: en HMAC-sendnøkkel, en HMAC-mottaksnøkkel, en krypter / dekrypter sendingsnøkkel og en krypter / dekrypter mottaksnøkkel under nøkkelgenereringstrinnet.

Melding 4

Serveren endres til valgt chiffer, dekrypterer meldingen som er sendt av klienten og sjekker om de er enige. Den oppretter deretter sin egen HMAC-finishtest og sender den til klienten. Når klienten dekrypterer dette og begge sider er enige om at alt ble sendt og mottatt riktig, fullføres håndtrykket.

Påfølgende symmetrisk meldingskryptering

Alle påfølgende meldinger blir kryptert ved å bruke den valgte chifferen og bruke HMAC for dataintegritet, autentisering og ikke-avvisning. Nøkler blir periodisk regenerert gjennom en egen kontrollkanal for å gi perfekt hemmelighold forover for forbindelsen med en overgangsperiode mellom nøkkelendringer, slik at det forårsaker minimal interferens.

Chiffereksempel

Et eksempel på en typisk chiffer er DHERSAAES256SHA256. Delene av chifferen er som følger:

  • DHE – betyr å bruke Diffie-Hellman nøkkelutveksling med flyktige nøkler som gir perfekt hemmelighold forover
  • RSA – bruker sertifikater for autentisering av enheter (skal bruke minst 2048 bit).
  • AES256 – er den symmetriske krypteringen som brukes til konfidensiell melding.
  • SHA256 – representerer HMAC (Message Authentication Code) som brukes for meldingsgodkjenning og integritet.

Funksjoner ved OpenVPN

Det forrige materialet viser hvordan OpenVPN-programvaren bruker OpenSSL som grunnlag for kjernesikkerheten. Den har også konfigurasjonsalternativer som hjelper deg med å gjøre det sikrere mot ukjente angrep og annen koding for å forbedre sikkerheten din. Konkret isolerer den sikkerhetskoden fra transportkoden som gjør den lett bærbar til en rekke operativsystemer. Andre funksjoner i OpenVPN inkluderer:

  • fleksibilitet – kjør med TAP (Ethernet bridge) og TUN (tunnel IP routing) adaptere.
  • Opptreden – koden kjører raskt og har ingen harde grenser for tunneler som støttes.
  • NAT tverrgående – gjøres lettere.
  • Flere godkjenninger – metoder som inkluderer forhåndsdelte nøkler og PKI-sertifikater med perfekt støtte for fremtidig hemmeligholdelse.
  • Enkel konfigurering – betyr at noen med viss teknisk sikkerhet og nettverkskunnskap kan installere den mens de fremdeles opprettholder et høyt sikkerhetsnivå i motsetning til IPSec-baserte VPN-er. Nybegynnere som vil bruke den nyeste OpenVPN Inc. OpenVPN-sikkerheten, bør sjekke VPN-tjenesten sin private tunnel. Du kan også sjekke ut listen vår over de beste personlige VPN-ene.

Det gir også mulighet for lastbalansering og failover ved å bruke enkle regler og IP-tabeller. Endelig åpner OpenVPN Access Server for sentral styring som gjør den til en ideell løsning for bedrifter i alle størrelser.

Komplett VPN-løsning for den enkelte, SME eller Enterprise

OpenVPN Access Server er en fullverdig sikker nettverkstunneling VPN-programvareløsning som integrerer OpenVPN-serverfunksjoner, bedriftsstyringsmuligheter, forenklet OpenVPN Connect UI og OpenVPN Client-programvarepakker. Det kan installeres i Windows, MAC, Linux, Android og iOS-miljøer. Den støtter et bredt spekter av konfigurasjoner. Dette inkluderer alt fra sikker og granulær ekstern tilgang til ditt eget interne nettverk, sentralisert kontroll av et lite forretningsnettverk, til finkornet kontroll av virtuelle apparater og private netværksressurser i skyen..

OpenVPN Access Server består av tre hovedkomponenter:

  • OpenVPN Server – VPN-serveren er den underliggende komponenten i OpenVPN Access Server som gjør alt bakgrunnen. Den leveres med en webgrensesnitt som hjelper deg med å administrere de underliggende komponentene på VPN-serveren.
  • Admin Web Interface / Admin UI – Admin Web Interface gir et enklere administrasjonsgrensesnitt i OpenVPN Access Server. I Admin Web Interface kan en administrator administrere VPN-alternativer som ruting, brukertillatelser, servernettverksinnstillinger, autentisering og sertifikater.
  • Koble til klienten – Connect Client Interface er en komponent av OpenVPN Access Server som lar brukere koble til VPN direkte gjennom nettleseren. Connect Client gir også brukeren alternativer for å laste ned konfigurasjonsfilene som kan brukes på andre OpenVPN klienter.

Gratis testserver

Du kan laste ned OpenVPN Access Server gratis. Den leveres med to gratis klientlisenser for testformål. Dette betyr at du kan opprette et sikkert personlig VPN-nettverk ved å sette serverprogramvaren på hjemme-PCen og deretter installere klienten på din bærbare og mobile enhet. Dette vil gi deg tilgang til hjemmenettverket ditt sikkert og eksternt fra begge enhetene.

VPN for små til mellomstore foretak

Hvis du etter å ha lastet ned og testet OpenVPN Access Server, vil du skalere den opp, skaleres den enkelt etter størrelsen på bedriften. Du kan kjøpe flere klientlisenser. Hver lisens koster $ 15 / år og de selges i banker på ti. Dette betyr at du må kjøpe minst 10 lisenser for totalt $ 150. De tilbyr rabatter på ekstra årsvilkår.

OpenVPN-klientlisensprisingServerprogramvaren kan også kjøres på fysiske maskiner eller som et virtuelt apparat for VMWare og Microsoft Hyper-V Virtualization Platform. Å kjøpe tilleggslisenser gir deg rett til å bruke billettsystemet deres for supportspørsmål eller problemer som er spesielt relatert til OpenVPN Access Server-produktet. Du kan deretter få tilgang til deres supportbillettsystem via hjemmesiden deres for å sende inn en supportbillett. Forespørsler som sendes inn i billettsystemet, blir besvart med beste innsats.

VPN for Enterprise og Cloud

OpenVPN Access Server er en fullverdig sikker nettverkstunneling VPN Cloud-løsning. IT integrerer OpenVPN-serverfunksjonalitet, bedriftsstyringsfunksjoner, forenklet OpenVPN Connect UI og OpenVPN Client-programvarepakker. Den har plass til Windows, Mac og Linux OS-miljøer. OpenVPN Access Server kan samarbeide med Amazon Cloud, Microsoft Azure og Google Cloud. Kostnaden er basert på ta med din egen lisens (BYOL) + påløpne skykostnader.

OpenVPN Connect

Installere OpenVPN Connect

OpenVPN Connect kan lastes ned fra Google Play-butikken. Det er den offisielle VPN-applikasjonen for Android utviklet av OpenVPN, Inc. Det er en universell klient som serverer hele pakken med OpenVPN-produkter:

  • Privat tunnel – er en personlig VPN-tjeneste som tilbys av OpenVPN Inc.
  • Få tilgang til serveren – gir en serverløsning for alt fra SMB til bedrifter.
  • OpenVPN-kompatibel server – er en løsning for servere som er hostet selv eller OpenVPN-kompatible VPN-er.

OpenVPN Connect fungerer sømløst på alle enheter, uansett kompleksitet i organisasjonen eller båndbredden.

OpenVPN Connect

Bruker OpenVPN Connect

Du trenger et eksisterende OpenVPN-kompatibelt server-, tilgangsserver- eller privat tunnel-abonnement, avhengig av tjenesten du vil bruke:

Hvis du vil ha en personlig VPN-tjeneste, klikker du på “Privat tunnel”. Angi legitimasjonsbeskrivelsen hvis du allerede har en konto. Ellers kan du registrere deg for deres 7-dagers gratis prøveperiode. Hvis du trykker på “Access Sever”, åpnes profilskjermen. Angi vertsnavnet, brukernavnet og passordet som leveres av administratoren din for å få tilgang til det forretningsmessige VPN-nettverket. Til slutt kan du oss “OVPN-profilen” for å importere en .ovpn-fil fra den kompatible tjenesten.

Uansett hvilket valg du tar, vil du ha tilgang til noen av de beste OpenVPN-sikkerhetene som er tilgjengelige. All Internett-trafikken din blir kryptert sikkert og tunnelert til destinasjonsserveren.

konklusjoner

OpenVPN Inc. er selskapet bak OpenVPN, de-facto-standarden for open source-programvare for å sikre din internettkommunikasjon. Det ble startet som OpenVPN-prosjektet i 2002 og har fått et av de største brukerfellesskapene i open source-rommet.

Sikkerheten skjer først og fremst ved hjelp av OpenSSL-biblioteket. Imidlertid har den ekstra sikkerhetsfunksjoner gjennom konfigurasjonsinnstillingene. Den kan installeres som en Ethernet-bro ved hjelp av TAP-driveren eller en IP-ruter gjennom TUN-driveren. OpenSSL og OpenVPN er to av de mest undersøkte åpen kildekodene på grunn av deres store brukerbase. OpenVPN gjennomgår også periodiske sikkerhetsrevisjoner for å se etter sårbarheter. Når de blir funnet, blir de adressert i neste versjon.

OpenVPN har også en full VPN-løsning gjennom OpenVPN Access Server. Det er en fullverdig sikker nettverkstunneling VPN-løsning som integrerer OpenVPN-serverfunksjoner, bedriftsstyring, forenklet OpenVPN Connect UI og OpenVPN Client-programvarepakker. Det kan installeres på Windows-, MAC-, Linux-, Android- og iOS-enheter. OpenVPN Access Server støtter et bredt spekter av konfigurasjoner. Den kan brukes til å tilby en VPN-løsning for enkeltpersoner, små til mellomstore bedrifter eller store bedrifter. Det kan også kjøres på fysiske maskiner, virtuelle apparater eller i skymiljøer.

Besøk OpenVPN

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map