<< назад    OpenSource VPN клиент Securepoint SSL VPN

Весь окружающий нас мир основан на разнице людей - мужчины/женщины, бедные/богатые, молодые/старые, чекисты/программисты, рабы/рабовладельцы и тд. Следовательно при любом коммунизме будут замки, бронированные двери и решетки на окнах. Так же и в интернете, который лишь отображает информационную грань существующего вокруг нас мира. Следовательно, основа существования интернета (как отображения материального мира) - защита и разграничение доступа.

Один способ разграничения доступа основан на айпишниках, которые жестко прописываются в фаерволе. Другой вариант разграничения - МАС-адреса оборудования. Третий вариант - VPN-тоннели. Принципиально стандартных VPN-тоннелей существует как минимум три вида IPsec VPN, L2TP VPN, PPTP VPN. Ну а кроме того, отдельные персонажи, типа меня, пишут собственные нестандартные VPN-тоннели, например Remote SQL execute for PostgreSQL on GSM/GPRS channel with extreme compress and cryptography.

Некоторые тоннели настолько распространились, что даже любой браузер их поддерживает. Этот IPsec VPN называется SSL или запросами по протоколу https:// Кроме того, тоннели встроены в любой софт для удаленного входа, начиная от RDP до PUTTY. Принципиально VPN-клиентов существует несметное количество, наиболее известные я перечислил тут. А на этой страничке я хочу похвалить очень удачную реализацию виндузового клиента VPN SSL тоннелей - Securepoint SSL VPN и показать как ею поработал.

На скринах ниже вы видите, как я загрузил в VPN-клиент сертификаты, как VPN-клиент добавил виртуальный сетевой адаптер для VPN-связи, клиент также автоматически изменил роутинг моей машины и пакеты теперь стали уходить не в интернет, а в виртуальный адаптер.

После чего я зашел по этому виртуальному адаптеру внутри VPN в VmWare и стал ставить на виртуалку Виндузню. Обратите внимание, что вход в VmWare по VPN получается как по локалке, по адресу 192.168.1.120, хотя эти сервера стоят на другом конце Земного Шарика. Особый шик здесь в том, что эта машина SQL1 с клиентом VPN - это виртуалка, расположенная на противоположном конце Земного Шарика от сервера VPN. В виртуалку SQL1 с клиентом VPN я тоже зашел по VPN, по другому, из своей машины в Бургасе, правда VPN между Бургасом и машиной SQL1 чуток другой (аппаратный, прошитый в мой фаервол ZyWall-1000 - на этом фото он сразу над моим пузом второй снизу с красной лицевой панелью).

Если PPTP-тоннель требует только логина/пароля, при этом тоннель допускается вообще не шифровать, то есть пакеты идут как бы в скобках, скобки раскрываются VPN-сервером и пакет идет по назначению. Можно даже послушать такой нешифрованный тоннельный PPTP-трафик любым снифером, зато все это быстро работает. А вот в шифрованном тоннеле внутри скобок идет сплошная абракадабра, белый шум листвы и шум волн, в которой закономерностип уловить невозможно совершенно. Пока некто посвященный/свидомый не применит к этому белому шуму закрытый ключ шифрования. Тогда случится чудо - белый шум, шум листвы и волн превращается в осмысленные тексты, музыку, видео.

В отличие от PPTP, SSL-шифрование требует открытого ключа шифрования, который в собственно софте удобно применять даже просто в виде бинарного числа, длиной например 1024 бита, но общепринято открытые ключи распространять в виде сертификатов, где цифровая подпись заверяет кем выдан этот открытый ключ шифрования и кому. Здесь, кстати говоря, можно упомянуть что видов SSL-шифрования существует два различных, по клиентскому и по серверному сертификату. В любом случае IPsec (SSL) шифрование требует полностью развернутой инфраструктуры сертификатов. Для доступа по VPN распростаняется закрытый ключ шифрования, несколько сертификатов (коневого удостоверяющего центра и подписанного открытого ключа шифрования), а также конфиг Securepoint SSL VPN, в котором указан как минимум айпишник VPN Сервера, порт, протокол работы VPN-сервера, имена файлов с сертификатами и секретным ключом (ну а принципиально в этом конфиге много чего может быть указано, например, имя юзера на VPN-сервере, с которого предоставляются привелегии доступа на VPN-сервере).

У меня на сайте написаны наверное сотни страниц о шифровании и сертификатах. Если интересно, начните читать отсюда:

• Основы безопасной почтовой переписки в интернете
• Криптография по ГОСТ
• Установка SSL-сертификата Comodo WILDCARD
• FlexStringObfuscator - Flame-преобразования во Flex.
• SqlClr_IndexCryptoProtector - криптографическая защита индексов SQL-сервера с помощью SQL CLR сборки.

Comments ( )