Обзор OpenVPN: VPN для личного и делового использования

Давайте начнем наш обзор OpenVPN Inc., заявив, что они являются компанией, стоящей за OpenVPN. После более чем пяти миллионов загрузок с момента его начала в качестве проекта OpenVPN в 2002 году он стал де-факто стандартным программным обеспечением VPN в сетевом пространстве с открытым исходным кодом. Для тех, кто не знаком с ним, OpenVPN – это быстрое, надежное и сверхзащищенное интернет-коммуникационное решение. Считается, что это лучший протокол для создания защищенных виртуальных частных сетей (VPN). Следовательно, он формирует основную инфраструктуру лучших VPN-сервисов. В дополнение к своему отмеченному наградами сообществу программного обеспечения с открытым исходным кодом, OpenVPN Inc. предоставляет собственный VPN-сервис через Private Tunnel, который реализует их новейшие функции версии OpenVPN. Они также предоставляют полное решение с помощью различных пакетов OpenVPN Access Server..


Обзор OpenVPN

До появления эпохи Интернета большинству компаний, которые хотели соединить свои офисы, приходилось использовать линии T1 и дополнительные магистральные архитектуры. Это позволило локальным сетям, используемым корпоративными офисами, объединиться в глобальные сети. Это было очень дорого, поэтому ограничивалось более крупными предприятиями. Затем появились первые VPN, которые были реализованы с использованием IPSec, который был очень сложным и понятным только специалистам по безопасности. Это ограниченное внедрение для тех, кто мог позволить себе этих экспертов из таких компаний, как Cisco и Microsoft. Чтобы усложнить это еще больше, эти запатентованные решения часто были несовместимы друг с другом.

По мере того как Интернет становился все более популярным, малые предприятия стали использовать VPN, и потребность в более быстрых и дешевых решениях возросла. В то же время популярность SSL / TSL в Интернете возросла благодаря его использованию в финансовой индустрии. Это дало начало коммерческой индустрии VPN, которая предоставляла VPN VPN, которые позволяли удаленным пользователям «безопасно получать доступ» к офисным локальным сетям удаленно через общедоступный Интернет. Вскоре все больше пользователей Интернета стали искать безопасные интернет-решения, которые проще и быстрее разрабатывать. В то же время сети на основе Linux предоставили платформу для тестирования этих новых решений с использованием виртуальных сетевых устройств TUN / TAP..

Contents

OpenVPN: основа бизнеса OpenVPN Inc.

Маленькая история об OpenVPN

Ниже приведены синапсы интервью, данного Джеймсом Йонаном, создателем OpenVPN, о том, как он пришел к его разработке..

Первоначальная идея о необходимости такого инструмента, как OpenVPN, пришла к нему, путешествуя по миру, и в то же время требовала поддерживать достижимое телеприсутствие. Путешествуя по Центральной Азии, России и другим регионам с необычным количеством очень талантливых хакеров, он начал интересоваться инструментами безопасности Linux, используемыми для удаленной работы..

Исследуя эти инструменты, он обнаружил, что в основном существует два подхода к технологиям VPN. Он назвал их лагерями «сначала безопасность» и «прежде всего юзабилити». Сотрудники службы безопасности IPSec и FreeSwan считали, что можно отказаться от надежности и удобства в пользу достижения надлежащей безопасности. Однако это сделало IPSec VPN-приложения сложными и сложными для реализации.

Это привело к созданию лагерей, не относящихся к IPSec (VTun, Cipe и т. Д.), Которые порождались, потому что им сейчас требовался VPN, а время разработки IPSec VPN было очень долгим. Таким образом, они решили, что будет проще сделать их самостоятельно, чем бороться с подводными камнями установки IPSec. Группа юзабилити сосредоточилась на сетевом аспекте безопасной электросвязи. Это привело к инновациям, которые сегодня используются многими провайдерами VPN – виртуальными сетевыми адаптерами TUN или TAP. Адаптеры TAP эмулируют сетевые подключения Ethernet, используемые в локальных сетях, а адаптеры TUN – IP-соединения точка-точка и NAT, используемые маршрутизаторами..

Рассмотрев оба из них и поле VPN с открытым исходным кодом, он решил, что группа юзабилити имела правильное представление о создании сетей и упрощении реализации. В то же время SSH, SSL / TSL и IPSec были правы относительно уровня безопасности, необходимого для частных сетей, работающих через общедоступный Интернет. Так началась его концепция того, что станет OpenVPN.

Несмотря на то, что IPSec был текущим стандартом для технологии VPN в то время, когда он начал разработку своего решения VPN. Он решил против этого из-за его сложности и взаимодействия ядра ядра. Он видел потенциальную проблему, потому что сложность обычно считается врагом безопасности. Кроме того, он рассматривал это взаимодействие как конструктивный недостаток, в котором отказ одного компонента может привести к катастрофическому нарушению безопасности..

Следовательно, он смотрел на SSL, который рос как альтернатива IPSec для безопасности в Интернете и использовался для защиты веб-сайтов. Таким образом, он остановился на SSL / TSL для компонента безопасности для своего нового инструмента VPN. Поскольку он сильно опирался на библиотеку OpenSSL и был с открытым исходным кодом, он решил назвать ее Open VPN.

Посетить OpenVPN

Итак, что делает OpenVPN особенным?

Это программное обеспечение с открытым исходным кодом

Программное обеспечение бесплатное и с открытым исходным кодом. Во-вторых, с момента своего появления в 2002 году он собрал одно из крупнейших сообществ пользователей открытого пространства. Это сообщество состоит из экспертов по криптографии, любителей и ИТ-специалистов со всего мира. Следовательно, он был подвергнут широкому изучению как его юзабилити, так и криптографической безопасности. Кроме того, библиотека OpenSSL, которая формирует ее основную криптобезопасность, также имеет открытый исходный код и имеет более двадцати лет критики со стороны экспертов по безопасности и постоянных пользователей по всему миру. Это делает OpenVPN одной из наиболее изученных криптобиблиотек, что привело к дальнейшим улучшениям в онлайн-безопасности, которую он обеспечивает. Эти новые достижения затем включаются в последующие версии OpenVPN..

Тестирование сообщества и аудит безопасности

Чтобы понять, что делает OpenVPN наиболее широко используемым протоколом VPN в мире, вам необходимо выяснить, как он обеспечивает безопасность ваших сетевых подключений. OpenVPN Inc. использует комбинацию комментариев пользователей и тестирования, чтобы постоянно улучшать производительность и онлайн-безопасность своего программного обеспечения. Кроме того, OpenVPN проходит периодическую проверку безопасности и криптографическую проверку своего кода. Последние два были проведены в начале 2017 года. В следующих разделах показана важность того и другого для повышения простоты использования, работоспособности и безопасности кода OpenVPN..

Внутренние независимые аудиты OSTIF, финансируемые PIA и OpenVPN 2.4

Одной из них выступил Мэтью Д. Грин, доктор философии, уважаемый криптограф и профессор Университета Джона Хопкинса. Это исследование финансировалось Частным доступом в Интернет, и полное резюме можно найти здесь. Еще один отдельный аудит был проведен Фондом усовершенствования технологий с открытым исходным кодом (OSTIF) с использованием инженеров из QuarksLab, парижской фирмы, которая также проводила аудит Veracrypt. Вопросы, поднятые в ходе этих аудитов, были рассмотрены в отчете сообщества OpenVPN Wiki, выпущенном вместе с обновлением версии OpenVPN 2.4.2, в котором исправлены наиболее серьезные из этих проблем..

Участие сообщества и Fuzzing для повышения безопасности кода

После недавних проверок и выпуска OpenVPN 2.4.2 Гвидо Вранкен, член сообщества, решил запустить автоматический Fuzzer против нового кода. Для тех, кто не знает, что такое Fuzzer, это автоматизированное программное обеспечение, которое используется для тестирования нового кода. Процедура тестирования включает предоставление неверного, неожиданного и случайного ввода в код, а затем наблюдает, как он справляется с этим. Нечеткое или нечеткое тестирование, как его обычно называют, отслеживает исключения, обнаруженные в недействительных данных, которые включают инициированные коды ошибок, сбои, сбой условий, принятых в коде, но не должным образом проверенных, и утечки памяти из-за нарушения безопасности. Его цель состояла в том, чтобы продемонстрировать, что ручного аудита может быть недостаточно для полного тестирования нового кода и что эти коды должны быть подвержены алгоритмам Fussing. Он обнаружил некоторые дополнительные уязвимости, не обнаруженные в ходе проверок. OpenVPN Inc. решает эти проблемы в OpenVPN 2.4.3 и 2.3.17 вместе с некоторыми другими не связанными с этим проблемами..

Безопасность OpenVPN?

Ниже приведен краткий обзор технического документа OpenVPN и SSL VPN Revolution Чарли Хоснера..

Чтобы понять, что нужно для безопасного VPN, вам необходимо понять некоторые основы криптографии. Мы знаем, что большинство читателей думают, что это очень техническая и сложная наука. Это и, следовательно, легко ошибиться. Иными словами, как утверждает Хоснер: «Одна вещь хуже плохой безопасности – плохая безопасность, которая создает иллюзию хорошей безопасности». К счастью, такие продукты, как OpenVPN, упрощают правильную реализацию хорошей безопасности. Другим компонентом хорошего VPN является то, что они просты в реализации и обеспечивают высокую производительность.

Цели информационной безопасности

Информационная безопасность в значительной степени зависит от четырех основных целей. Их можно суммировать следующим образом:

  • конфиденциальность – относится к сокрытию ваших данных от посторонних глаз.
  • целостность – включает проверку того, что ваши данные не были изменены каким-либо образом во время транзита.
  • Аутентификация – означает, что вы можете быть уверены, что клиент или сервер, с которым вы общаетесь, – это тот, кем, по вашему мнению, они являются.
  • Неотрекаемость – гарантирует, что субъект, с которым вы общаетесь, не сможет впоследствии отрицать, что он отправил полученные вами данные.

Для правильного решения этих задач эксперты по безопасности используют так называемые криптографические примитивы в отрасли..

Четыре основных криптографических примитива

  • Симметричные шифры – это быстрые блочные алгоритмы, которые используют один и тот же ключ для шифрования и дешифрования данных, которые используются для конфиденциальности данных.
  • Дайджесты сообщений – математические функции, которые кодируют сообщение в зашифрованный текст фиксированной длины, которые используются для проверки целостности сообщения.
  • Асимметричные шифры – это другие методологии, такие как шифрование с открытым ключом (PKI), которые можно использовать для аутентификации объектов, разговаривающих друг с другом.
  • Цифровые подписи – представляют собой комбинацию дайджеста сообщения и PKI, которые при совместном использовании обеспечивают целостность сообщения, а также отсутствие отказа от него.

Теперь, когда мы знаем цели хорошей информационной безопасности и основные инструменты, которые применяются для их достижения. давайте посмотрим, как они применяются, чтобы сформировать основу хорошей сети VPN.

Доверенные центры сертификации

Во-первых, идея индивидуальных закрытых / открытых ключей для каждого хоста, с которым вы хотите связаться, оказалась проблематичной, поскольку вам потребуется отдельный открытый ключ для каждого хоста, к которому вы подключаетесь. Это также может привести к проблемам с сайтами электронной коммерции HTTPS. Представьте, что вам нужен отдельный ключ для каждого защищенного веб-сайта, который вы посещаете. Чтобы преодолеть проблемы масштабируемости, с которыми сталкиваются HTTPS и TSL в отношении PKI, были созданы доверенные центры сертификации (CA). Центры сертификации выпускают цифровые сертификаты, которые представляют собой небольшие файлы данных, содержащие идентификационные данные, подписанные закрытым ключом центра сертификации. Идея заключается в том, что промежуточный центр сертификации (ICA) доверен корневому центру сертификации..

Иерархия центра сертификацииКроме того, и сервер, и клиент доверяют одному и тому же ICA. Таким образом, если открытый ключ ICA может считывать любой цифровой сертификат, то он является проверенным доверенным объектом для другого. Цифровые сертификаты – это то, что обеспечивает подлинность и непризнанность интернет-сайтов, людей и устройств..

Рукопожатие OpenVPN

Мы обсуждали рукопожатие во многих наших обзорах VPN. Давайте посмотрим, как это рукопожатие работает в OpenVPN. Это можно представить как четыре сообщения между клиентом и сервером:

Сообщение 1

Клиент отправляет приветственное сообщение, чтобы инициировать рукопожатие. Это приветствие включает в себя список шифров, которые поддерживает клиент, и случайный бит. Это также включает версии SSL / TSL, это позволит.

Сообщение 2

Сервер возвращает приветственное сообщение. Приветствие сервера отправляет сертификат сервера, который включает его открытый ключ, подписанный закрытым ключом CA. Он также выбирает и отправляет шифр с самой высокой версией SSL / TSL, общей для клиента и сервера. Затем он отправляет параметр, необходимый для генерации серверной половины общего ключа (RSA, DHE, ECDHE и т. Д.).

OpenVPN рукопожатиеСообщение 3

Клиент использует открытый ключ CA для проверки личности сервера, а затем восстанавливает свой открытый ключ. Затем клиент использует открытый ключ сервера в сообщении, чтобы получить параметр сервера для генерации секрета перед мастером. Затем он отправляет свой сертификат на сервер, если требуется. Клиент также использует открытый ключ сервера для шифрования секрета перед мастером в рамках этапа обмена / генерации клиентского ключа. Затем он вычисляет главный ключ и переключается на выбранный шифр. Затем он выполняет хэш-значение всего рукопожатия, шифрует его с помощью выбранного шифра и отправляет его на сервер, чтобы убедиться, что они находятся на одной странице относительно всего, что обсуждалось во время рукопожатия. HMAC обеспечивает проверку подлинности и отсутствие отказа для теста.

Сервер использует открытый ключ CA для аутентификации клиента. Только сервер имеет закрытый ключ, необходимый для разрешения предварительного мастера. После этого он вычисляет общий мастер. Как только оба конца аутентифицированы, генерируются четыре разных ключа: ключ отправки HMAC, ключ приема HMAC, ключ отправки шифрования / дешифрования и ключ приема шифрования / дешифрования во время этапа генерации ключа.

Сообщение 4

Сервер переходит на выбранный шифр, дешифрует сообщение, отправленное клиентом, и проверяет, согласны ли они. Затем он создает собственный тест завершения HMAC и отправляет его клиенту. Как только клиент расшифровывает это, и обе стороны соглашаются, что все было отправлено и получено правильно, рукопожатие завершается.

Последующее симметричное шифрование сообщений

Все последующие сообщения будут зашифрованы с использованием выбранного шифра и будут использовать HMAC для обеспечения целостности данных, аутентификации и отказа от авторства. Ключи будут периодически регенерироваться через отдельный канал управления, чтобы обеспечить идеальную прямую секретность для соединения с периодом перехода между сменами ключей, так что это вызывает минимальные помехи.

Пример шифра

Пример типичного шифра ДНОRSAAES256SHA256. Части шифра следующие:

  • ДНО – означает использовать обмен ключами Диффи-Хеллмана с эфемерными ключами, что обеспечивает идеальную секретность вперед
  • RSA – использует сертификаты для аутентификации объектов (должен использовать не менее 2048 бит).
  • AES256 – это симметричное шифрование, используемое для конфиденциальных сообщений.
  • SHA256 – представляет код аутентификации сообщения (HMAC), используемый для аутентификации и целостности сообщения.

Особенности OpenVPN

В предыдущем материале показано, как программное обеспечение OpenVPN использует OpenSSL в качестве основы своей базовой безопасности. Он также имеет параметры конфигурации, которые помогают сделать его более защищенным от неизвестных атак и другого кодирования для повышения вашей безопасности. В частности, он изолирует код безопасности от транспортного кода, что делает его легко переносимым на различные операционные системы. Другие особенности OpenVPN включают в себя:

  • гибкость – работать с использованием адаптеров TAP (ethernet-мост) и TUN (туннельная IP-маршрутизация).
  • Представление – код работает быстро и не имеет жестких ограничений на поддерживаемые туннели.
  • NAT трансверсальный – сделано проще.
  • Множественная аутентификация – методы, которые включают в себя предварительные общие ключи и сертификаты PKI с идеальной поддержкой прямой секретности.
  • Простота настройки – означает, что кто-то, обладающий некоторой технической безопасностью и знаниями в области сетей, может установить его, сохраняя при этом высокий уровень безопасности в отличие от VPN на основе IPSec. Начинающие пользователи, которые хотят использовать новейшую безопасность OpenVPN Inc., должны проверить свою службу VPN Private Tunnel. Вы также можете проверить наш список лучших персональных VPN.

Он также позволяет балансировать нагрузку и выполнять восстановление после отказа, используя простые правила и таблицы IP. Наконец, OpenVPN Access Server обеспечивает централизованное управление, что делает его идеальным решением для предприятий любого размера..

Комплексное VPN-решение для частных лиц, малых и средних предприятий или предприятий

OpenVPN Access Server – это полнофункциональное программное решение VPN для безопасного сетевого туннелирования, которое объединяет возможности сервера OpenVPN, возможности управления предприятием, упрощенный интерфейс OpenVPN Connect и пакеты программного обеспечения клиента OpenVPN. Его можно установить в средах Windows, MAC, Linux, Android и iOS. Он поддерживает широкий спектр конфигураций. Это включает в себя все: от безопасного и детального удаленного доступа к вашей собственной внутренней сети, централизованного управления сетью малого бизнеса до детального управления виртуальными устройствами и сетевыми ресурсами частного облака..

OpenVPN Access Server состоит из трех основных компонентов:

  • OpenVPN сервер – VPN-сервер является базовым компонентом в OpenVPN Access Server, который выполняет всю фоновую работу. Он поставляется с веб-интерфейсом, который помогает управлять базовыми компонентами сервера VPN.
  • Веб-интерфейс администратора / интерфейс администратора – Веб-интерфейс администратора упрощает управление интерфейсом в OpenVPN Access Server. В веб-интерфейсе администратора администратор может управлять параметрами VPN, такими как маршрутизация, пользовательские разрешения, настройки сети сервера, аутентификация и сертификаты..
  • Подключите клиент – Клиентский интерфейс Connect является компонентом OpenVPN Access Server, который позволяет пользователям подключаться к VPN напрямую через веб-браузер. Клиент Connect также предоставляет пользователю возможность загружать свои файлы конфигурации, которые можно использовать на других клиентах OpenVPN..

Бесплатный тестовый сервер

Вы можете скачать OpenVPN Access Server бесплатно. Он поставляется с двумя бесплатными клиентскими лицензиями для тестирования. Это означает, что вы можете создать безопасную персональную сеть VPN, разместив серверное программное обеспечение на своем домашнем ПК, а затем установив клиент на свой ноутбук и мобильное устройство. Это позволит вам получить безопасный и удаленный доступ к вашей домашней сети с обоих устройств.

VPN для малых и средних предприятий

Если после загрузки и тестирования OpenVPN Access Server вы захотите увеличить его, он легко масштабируется под размер вашего бизнеса. Вы можете купить больше клиентских лицензий. Каждая лицензия стоит 15 долларов в год, и они продаются в банках по десять. Это означает, что вы должны купить как минимум 10 лицензий на общую сумму 150 долларов. Они предлагают скидки на дополнительных условиях года.

Стоимость клиентской лицензии OpenVPNСерверное программное обеспечение также можно запускать на физических машинах или в качестве виртуального устройства для VMWare и платформы Microsoft Hyper-V Virtualization. Покупка дополнительных лицензий дает вам право использовать их систему заявок для вопросов поддержки или проблем, связанных конкретно с продуктом OpenVPN Access Server. Затем вы можете получить доступ к их системе поддержки через их веб-сайт и отправить заявку в службу поддержки. На запросы, поданные в систему продажи билетов, отвечают наилучшим образом.

VPN для предприятия и облака

OpenVPN Access Server – это полнофункциональное решение для безопасного сетевого туннелирования VPN Cloud. ИТ объединяет возможности сервера OpenVPN, возможности управления предприятием, упрощенный интерфейс OpenVPN Connect и пакеты программного обеспечения клиента OpenVPN. Это может приспособиться к средам Windows, Mac и Linux. OpenVPN Access Server может работать с Amazon Cloud, Microsoft Azure и Google Cloud. Стоимость основана на приведении собственной лицензии (BYOL) + стоимость облачных услуг.

OpenVPN Connect

Установка OpenVPN Connect

OpenVPN Connect можно загрузить из магазина Google Play. Это официальное VPN-приложение для Android, разработанное компанией OpenVPN, Inc. Это универсальный клиент, обслуживающий полный набор продуктов OpenVPN:

  • Частный Туннель – это персональный VPN-сервис, предлагаемый OpenVPN Inc.
  • Сервер доступа – предоставляет серверное решение для всего, от малого и среднего бизнеса до предприятий.
  • OpenVPN-совместимый сервер – это решение для автономных серверов или OpenVPN-совместимых VPN.

OpenVPN Connect работает без проблем на всех устройствах, независимо от сложности вашей организации или пропускной способности.

OpenVPN Connect

Использование OpenVPN Connect

Вам потребуется существующая подписка на OpenVPN-совместимый сервер, сервер доступа или частный туннель, в зависимости от службы, которую вы хотите использовать:

Если вы хотите персональную услугу VPN, нажмите «Частный туннель». Введите свои учетные данные, если у вас уже есть учетная запись. Иначе, вы можете подписаться на их 7-дневную бесплатную пробную версию. При нажатии на «Access Sever» откроется экран профиля. Введите имя хоста, имя пользователя и пароль, предоставленные администратором, для доступа к вашей корпоративной сети VPN. Наконец, вы можете использовать «Профиль OVPN» для импорта файла .ovpn из совместимого сервиса..

Независимо от того, какой выбор вы сделаете, у вас будет доступ к лучшим средствам безопасности OpenVPN. Весь ваш интернет-трафик будет надежно зашифрован и направлен на ваш целевой сервер.

Выводы

OpenVPN Inc. – компания, стоящая за OpenVPN, де-факто стандартом программного обеспечения с открытым исходным кодом для защиты ваших интернет-коммуникаций. Он был начат как проект OpenVPN в 2002 году и собрал одно из крупнейших сообществ пользователей в пространстве с открытым исходным кодом..

Безопасность в первую очередь обеспечивается библиотекой OpenSSL. Однако он имеет дополнительные функции безопасности через свои параметры конфигурации. Он может быть установлен как мост Ethernet с помощью драйвера TAP или IP-маршрутизатора через драйвер TUN. OpenSSL и OpenVPN – два наиболее изученных кода с открытым исходным кодом из-за их большой пользовательской базы. OpenVPN также подвергается периодическим проверкам безопасности на наличие уязвимостей. Когда найдены они адресованы в следующей версии.

OpenVPN также имеет полноценное решение VPN через свой сервер доступа OpenVPN. Это полнофункциональное VPN-решение для безопасного сетевого туннелирования, которое объединяет возможности сервера OpenVPN, управление предприятием, упрощенный интерфейс OpenVPN Connect и пакеты программного обеспечения клиента OpenVPN. Его можно установить на устройства Windows, MAC, Linux, Android и iOS. OpenVPN Access Server поддерживает широкий спектр конфигураций. Его можно использовать для предоставления решения VPN для частных лиц, малых и средних предприятий или крупных предприятий. Его также можно запускать на физических машинах, виртуальных устройствах или в облачных средах..

Посетить OpenVPN

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map