¡Explique brevemente qué significa "VPN"!
Categoría: Computadora/Red>> Internet
Análisis:
Qué es VPN
VPN (Virtual Private Neork): Virtual Private La creación de redes es una nueva tecnología de red que nos proporciona un método de conexión para un acceso remoto seguro a la red privada interna de una empresa a través de una red pública. Sabemos que una conexión de red suele constar de tres partes: cliente, medio de transmisión y servidor. VPN también consta de estas tres partes. La diferencia es que la conexión VPN utiliza un túnel como canal de transmisión. Este túnel está construido en una red pública o privada, como Inter o Intra.
Para lograr una conexión VPN, se debe configurar un servidor VPN basado en Windows NT o Windows2000 Server en la red interna de la empresa. El servidor VPN está conectado a la red privada interna de la empresa por un lado, y a la red privada interna de la empresa. Internet por el otro, dice que el servidor VPN debe tener una dirección IP pública. Cuando un cliente se comunica con una computadora en una red privada a través de una conexión VPN, el ISP (proveedor de servicios intermedios) primero transmite todos los datos al servidor VPN, y luego el servidor VPN es responsable de transmitir todos los datos a la computadora de destino. VPN utiliza tres tecnologías para garantizar la seguridad de la comunicación: protocolo de túnel, autenticación y cifrado de datos. El cliente envía una solicitud al servidor VPN, el servidor VPN responde a la solicitud y emite un desafío de identidad al cliente. El cliente envía la información de respuesta cifrada al servidor VPN. la cuenta es válida, el servidor VPN verifica si el usuario tiene permisos de acceso remoto. Si el usuario tiene permisos de acceso remoto, el servidor VPN acepta la conexión. Las claves públicas del cliente y del servidor generadas durante el proceso de autenticación se utilizan para cifrar los datos.
Configuración básica de VPN:
Principio de funcionamiento:
La subred de red del servidor en un lado es 192.168.1.0/24
El enrutador es 100.10.15.1
El servidor del otro lado es 192.168.10.0/24
El enrutador es 200.20.25.1.
Realice los siguientes pasos:
1. Determine una clave previamente compartida (contraseña secreta) (se supone que la contraseña secreta en el siguiente ejemplo es noIP4u)
2. Configure IKE para el proceso de negociación de SA.
3. Configurar IPSec.
Configurar IKE:
Shelby(config)#crypto isakmp política 1
Nota: la política 1 significa la política 1. Si desea configurar más VPN, puede Escrito como política 2, política3┅
Shelby(config-isakmp)#grupo 1
Nota: A menos que compre un enrutador de alta gama o haya menos comunicación VPN, es Lo mejor es utilizar la longitud del grupo 1. La clave, el comando de grupo tiene dos valores de parámetro: 1 y 2. El valor del parámetro 1 indica que la clave usa una clave de 768 bits y el valor del parámetro 2 indica que la clave usa una clave de 1024 bits. Obviamente, la última clave tiene alta seguridad, pero consume más tiempo de CPU.
Shelby(config-isakmp)#authentication pre-share
Nota: indique al enrutador que use una contraseña previamente compartida.
Shelby(config-isakmp)#lifetime 3600
Nota: Ajuste el ciclo para generar nuevas SA. Este valor está en segundos y el valor predeterminado es 86400, que es un día. Vale la pena señalar que los enrutadores en ambos extremos deben configurar el mismo ciclo SA; de lo contrario, la VPN se interrumpirá en un ciclo SA más corto después de la inicialización normal.
Shelby(config)#crypto clave isakmp no dirección IP4u 200.20.25.1
Nota: regrese al modo de configuración global para determinar la clave precompartida que se utilizará y la dirección VPN de destino. La dirección IP del enrutador en un extremo es la dirección IP del enrutador de destino. En consecuencia, la configuración del enrutador en el otro extremo es similar al comando anterior, excepto que la dirección IP se cambia a 100.10.15.1.
Configurar IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
Nota: aquí El número de lista de acceso utilizado no puede ser el mismo que cualquier lista de acceso de filtrado, y se debe utilizar un número de lista de acceso diferente para identificar la regla VPN.
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
Nota: Los únicos parámetros diferentes entre los enrutadores en ambos extremos aquí está vpn1, que es el nombre definido para esta combinación de opciones. Este nombre puede ser igual o diferente en los enrutadores de ambos extremos. El comando anterior es para definir los parámetros IPSec utilizados. Para mejorar la seguridad, habilite los encabezados de autenticación. Dado que ambas redes utilizan espacios de direcciones privados y necesitan canalizar datos, también se utiliza un protocolo de encapsulación seguro. Finalmente, DES se define como el algoritmo de cifrado de clave secreta.
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
Nota: El comando anterior define el período para generar nuevas claves secretas. Si un atacante descifra la clave secreta, puede descifrar todas las comunicaciones utilizando la misma clave. Por este motivo, queremos establecer un período de actualización de claves más corto. Por ejemplo, se genera una nueva clave cada minuto. Este comando debe coincidir en los enrutadores en ambos extremos de la VPN. El parámetro shortsec es el nombre que definimos para esta configuración, que luego se puede asociar a la interfaz externa del enrutador.
Shelby(config-crypto-map)#set peer 200.20.25.1
Nota: Esta es la dirección IP legal que identifica el enrutador de la otra parte. Se debe ingresar un comando similar en el enrutador remoto, excepto que la dirección del enrutador de la otra parte debe ser 100.10.15.1.
Shelby(config-crypto-map)#set transform-set vpn1
Shelby(config-crypto-map)#match dirección 130
Nota: Esto Los dos comandos identifican la configuración de transporte y las listas de acceso utilizadas para esta conexión respectivamente.
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
Nota: aplique el mapa criptográfico recién definido al enrutador externo interfaz.
Ahora lo que queda es probar la conexión VPN y asegurarse de que la comunicación va como se esperaba.
El último paso es no olvidar guardar la configuración en ejecución, de lo contrario todos tus esfuerzos serán en vano.
Adjunto: En referencia al alcance de la seguridad de la red, el equipo de hardware VPN debe colocarse en las siguientes cuatro ubicaciones:
● Fuera del firewall DMZ
● Conectado a el firewall La tercera tarjeta de red (red de servicio)
● Dentro del alcance de la protección del firewall
● Integrado con firewalls
Cómo funciona VPN
Cómo se conectan los usuarios a una VPN:
La diferencia entre una conexión de acceso telefónico directo normal y una conexión de red privada virtual es que en el primer caso, el flujo de paquetes PPP (Protocolo punto a punto) se transmite a través de una línea dedicada. En una VPN, el flujo de paquetes PPP lo envía un enrutador en una LAN, se transmite a través de un túnel en la red IP compartida y luego llega a un enrutador en otra LAN.
La diferencia clave entre los dos es que los túneles reemplazan las líneas dedicadas reales. El túnel es como sacar un cable de comunicación en serie de la nube WAN. Entonces, ¿cómo formar un túnel VPN?
Hay dos formas principales de establecer un túnel: Iniciado por el cliente o Transparente por el cliente. El inicio del cliente requiere que tanto el cliente como el servidor de túnel (o puerta de enlace) tengan instalado el software de túnel. Estos últimos suelen instalarse en la estación central de la empresa. El software del cliente inicializa el túnel y el servidor del túnel lo finaliza. El ISP no necesita admitir el túnel. El cliente y el servidor del túnel solo necesitan establecer el túnel y autenticarse utilizando un ID de usuario y una contraseña o una licencia digital. Una vez establecido el túnel, la comunicación puede ocurrir como si el ISP no estuviera involucrado en la conexión.
Por otro lado, si se quiere que el túnel sea transparente para los clientes, los POP del ISP deben tener servidores de acceso y posiblemente enrutadores que permitan el uso del túnel. El cliente primero marca al servidor. El servidor debe poder reconocer que la conexión se va a canalizar a un punto remoto específico. Luego, el servidor establece un túnel con el servidor del túnel, generalmente utilizando una identificación de usuario y una contraseña para la autenticación. De esta forma, el cliente establece una conversación directa con el servidor del túnel a través del túnel. Aunque esta política no requiere que los clientes tengan software especializado, los clientes solo pueden conectarse a un servidor de acceso configurado correctamente.