Uit de cursus: VPN leren

Termen en basisbeginselen

- [Instructeur] Voordat we specifiek naar VPN-protocollen kijken, moeten we iets meer begrijpen over de basisconcepten waarop de meeste VPN's vertrouwen. VPN's kunnen op twee verschillende lagen van de netwerkstack werken: laag twee en laag drie. Dus als we het hebben over verschillende protocollen, zul je deze genoemd zien. Ik zal hier niet te ver ingaan op de details. Als u meer wilt weten over de lagen van de netwerkstack, bekijk dan onze netwerkcursussen. In het kort wordt laag twee echter de gegevenskoppelingslaag genoemd en deze verwerkt de overdracht van gegevensframes tussen apparaten. Dit omvat ethernetframes, de informatiecontainers die over ethernetnetwerken reizen om informatie tussen apparaten te vervoeren. Een VPN die op laag twee is gevestigd, wordt een overbrugde VPN genoemd en het zorgt ervoor dat de netwerken fysiek verbonden lijken omdat ze via ethernet kunnen zijn. Wanneer een laag twee-verbinding op een systeem wordt weergegeven, wordt het virtuele apparaat een TAP genoemd. Een stap boven laag twee is laag drie die de netwerklaag wordt genoemd. Dit is waar protocollen zoals IP werken met IP-adressen en IP-routes. Informatie hier wordt verzonden in pakketten. Een VPN die is ingesteld op laag drie wordt een gerouteerde VPN genoemd omdat deze afhankelijk is van IP-routering om pakketten tussen netwerken te verplaatsen. Een laag drie virtueel apparaat wordt een TUN genoemd, een afkorting voor tunnelapparaat. In een VPN is de overdracht van gegevens tussen netwerken gebaseerd op het verkrijgen van gegevens van de ene plaats naar de andere, van het ene punt naar het andere punt, en dit wordt in de kern mogelijk gemaakt door PPP of point-to-point protocol. PPP stelt een verbinding in tussen twee hosts en maakt aan elk uiteinde een virtuele netwerkadapter met IP-adressen die elk eindpunt vertegenwoordigen. Dit virtuele netwerk maakt een verbinding die wordt gebruikt om verkeer heen en weer te leiden tussen hosts. PPP wordt in veel meer toepassingen gebruikt dan alleen VPN. Veel ISP's gebruiken het om een netwerkverbinding te maken via media-achtige telefoonlijnen om ethernetframes tussen IP-netwerken te dragen, maar dat is een onderwerp voor een andere cursus. In veel VPN-protocollen stelt PPP de verbinding tussen hosts in door de adapters en adressen te leveren waarlangs verkeer tussen netwerken wordt gerouteerd. VPN's zijn ook afhankelijk van een veilig kanaal dat wordt opgezet, en dit wordt afgehandeld door sleuteluitwisseling. Verschillende protocollen pakken dit anders aan. Sommigen vertrouwen op een vooraf gedeelde sleutel, vaak afgekort PSK, die in de client aanwezig is en tijdens de verbinding wordt gebruikt, en sommige protocollen zullen sleutels instellen en definiëren wanneer een verbinding tot stand wordt gebracht. Beide hosts die betrokken zijn bij een verbinding onderhandelen heen en weer om te bepalen welk beveiligingsprotocol moet worden gebruikt, en vervolgens komen ze parameters overeen en stellen ze een beveiligd kanaal vast. Voor veel VPN's omvat deze onderhandeling over en weer het genereren van een sessiesleutel die wordt gebruikt om gegevens die tussen de systemen worden verzonden te versleutelen en te decoderen. Voor veel systemen die deze strategie gebruiken, is het resultaat wat forward secrecy of perfect forward secrecy wordt genoemd. Dit betekent dat de huidige en volgende sessies worden gecodeerd met nieuwe sleutels die aan het begin van elke verbinding worden gegenereerd, zodat als de sleutel voor één sessie of bericht is gelekt of de sleutels die worden gebruikt om de identiteit van de client of server vast te stellen, deze kunnen worden gebruikt om eerdere berichten of sessies te decoderen. Dus als iemand de gecodeerde sessie tussen u en de server opnam en vervolgens op de een of andere manier een sleutel van een latere gecodeerde sessie kon vastleggen, zouden ze die latere sleutel niet kunnen gebruiken om de eerder opgenomen sessie te decoderen. Naarmate we verder gaan in de tijd, behouden nieuwe sleutels de geheimhouding van eerdere sessies. Sommige van de algoritmen die sommige protocollen gebruiken om deze sleuteluitwisseling in te stellen, zijn fundamenteel gebroken of gecompromitteerd, maar veel worden nog steeds als veilig beschouwd. Dus wanneer u een VPN-server instelt, moet u ervoor zorgen dat u een van de veilige gebruikt. We zijn bijna klaar om protocollen te verkennen, maar voordat we dat doen, wil ik het punt maken dat als ik in de toekomst poorten bespreek die worden gebruikt, dat de poorten zijn die open moeten zijn aan de serverkant van de verbinding. Wanneer een client verbinding maakt met een server, moet deze verbinding maken met een specifieke poort. De poort waar een verbinding vandaan komt aan de clientzijde is minder belangrijk. Dat wordt afgehandeld door het systeem. De belangrijkste zijn de serverpoorten en deze moeten zowel op een hostsysteem worden geopend als via firewalls tussen dat systeem en internet worden doorgestuurd.

Inhoud