Virtuaalprivaatvõrgud31. Oct '13

Sissejuhatus

Sama firma kahes erinevas hoones asuva võrgu ühendamiseks oleks kõige turvalisem tõmmata kahe hoone vahele valguskaabel. Tihtipeale see on võimatu või liiga kallis, seetõttu kasutatakse internetti, et need võrgud ühendada. Üle Interneti krüpteerimata pakettide saatmine võib ohtlikuks osutuda, seetõttu on võrsunud mitmeid tarkvaraprojekte, et seda turvaliselt teha. Sel moel üle Interneti sillatud kohtvõrke nimetataksegi virtuaalprivaatvõrguks (virtual private network).

Avatud lähtekoodiga VPN tarkvara

Virtuaalprivaatvõrke saab luua erinevate avatud lähtekoodiga tehnoloogiate abil:

  • OpenVPN on kõige laialdasemalt kasutuses olev layer2/3 VPN lahendus.

  • OpenSSH võimaldab tunneldada TCP ühendusi (-L ja -R) ning ka IP-pakette (-w).

  • IPsec on IP-paketi krüpteerimisel tuginev standard mida toetavad mitmed võrguseadmed kuid seda on keerukam üles seada.

  • Point-to-Point Tunneling Protocol on nüüdseks ebaturvaliseks tunnistatud IP-pakettide tunneldamise protokoll.

  • CIPE on ajaloolise väärtusega ning nüüdseks ebaturvaliseks tunnistatud projekt

  • vtun on laialdaselt kasutusel ent mitte väga turvaline

  • OpenConnect.

Peter Gutmann on kirjutanud Linuxi ja VPN-ide kohta pika postituse aastal 2003 mis tasub kindlasti läbi lugeda

P2P VPN tarkvara

Tüüpilise VPN tarkvara seadistamine võib valuliseks muutuda kui masinaid on palju mis on vaja omavahel ühendada ning liikluse lüüsimine läbi ühe keskse masina ei tule kõne alla. Seetõttu on välja töötatud mitmeid VPN lahendusi mis Skype eeskujul püüavad leida selle kõige otsema tee.

Probleemid mida P2P VPN lahendused addresseerivad:

  • Keskse pudelikaela moodustumine

  • Ruuter maskeerib aadressi ehk NAT

  • Ruuter ei võimalda avada avalikku kuulavat porti

  • Mitmetasemeline NAT

P2P lahendused on kõik üldjuhul layer2 VPN-id:

  • tinc

  • PeerVPN kõige lihtsamalt seadistatav P2P VPN lahendus mis kasutab AES-256 sihvrit liikluse krüpteerimiseks osapoolte vahel ja võrgunime ning parooli sessiooni alustamiseks osapoolte vahel.

  • n2n on sisuliselt PeerVPN, ainus erinevus on see et supernode käitatakse eraldi programmina.g

  • Campagnol on prantsuse päritolu hajutatud IP-põhine VPN, kasutab transpordina UDP-d, turvamiseks DTLS-i ning võimaldab NAT-ist mööduda UDP hole punching tehnoloogia abil.

  • badvpn on multiedastus (multicast) toega VPN lahendus.

OpenWrt ning Debian varamutes on reaalselt kasutuskõlblikud OpenVPN ning PeerVPN.

iptables privacy OpenVPN PeerVPN security n2n