Как безопасно передать информацию через Интернет? Строим VPN сеть на Hamachi.Предположим, вам вот прямо сейчас, срочно потребовалось передать очень секретную и важную информацию своему другу, который находится в другом городе или другой стране, например данные кредитной карты, или информацию о новом изобретении, которое вы не успели еще запатентовать. При этом информация настолько важная, и конфиденциальная, что передавать ее посредством электронной почты или другим каким либо способом просто нельзя. Как можно безопасно передать информацию через Интернет, подскажет вам эта статья. Предупреждаем сразу — статья далеко не для новичков. Однако информации на эту тему не так и много, потому надеемся, что статья найдет своего читателя.
Рассмотрим задачу в которой необходимо постоянно или периодически передавать конфиденциальную информацию от одного пользователя другому, при этом единственным средством соединения у нас будет Интернет. Вариант, который первый приходит на ум, запаковать нужные файлы в архив с паролем и отправить электронной почтой. Не самый надежный вариант, и не самый удобный. Кроме передачи файла необходимо будет передавать пароль и передавать его, желательно, альтернативным путем, например, с помощью СМС или через ICQ. При этом количество манипуляций, которые необходимо провести, значительно вырастает. Да и сама информация хоть и в зашифрованном виде, но может быть перехвачена и подвергнута анализу, а стойкость любого пароля, это дело времени. Тем более, что анализ пароля при наличии файла может проводиться параллельно на нескольких компьютерах, тем самым сокращая время для подбора пароля. Сегодня надежным может считаться пароль содержащий не менее 15 символов, не входящий ни в один из словарей для анализа, и не могущий быть получен путем известных преобразований. Все это приводит к мысли что для постоянного использования такой вариант не очень то и подходит, тем более что задача может стоять не для одного компьютера, а для группы из десятка, распределенных по большой территории рабочих мест. И при этом доступ может потребоваться не только к отдельным файлам, но и к принтерам, терминалам почтовым серверам или другим ресурсам находящимся в общем пользовании. Для решения этой задачи и придуман механизм построения VPN — Virtual Private Network ( виртуальная частная сеть).
Поговорим немного об общих принципах построения построения VPN. Представим себе большую организацию с несколькими филиалами, каждый из которых имеет свой выход в Интернет. Как правило, соединение с Интернетом осуществляется через маршрутизатор с поддержкой протокола NAT (Network Adress Translation), для пользователя это обозначает то, что его компьютер имеет не «честный» интернетовский адрес, а локальный адрес, начинающийся со 192.168.хх.хх или 10.х.х.х в зависимости от масштаба предприятия. С такими адресами нельзя организовать непосредственное соединение с другими компьютерами находящимися в своих пространствах локальных адресов, т.к. глобальная маршрутизация в таких сетях не работает. Более того получить доступ извне к компьютеру находящемуся во внутренней сети тоже не так просто, без специальной настройки маршрутизатора, отвечающего за выход в Интернет. Избавиться от всех этих трудностей и при этом не пожертвовать безопасностью и предназначен механизм VPN. Работает это примерно так, на локальных компьютерах создается виртуальный сетевой адаптер, который обращается к специальному серверу, управляющему назначением адресов для виртуальной сети и адаптер получает свой адрес в этой сети, другой компьютер желающий обмениваться с ним информацией также должен обратиться к управляющему серверу и получить свой адрес в той-же сети. Таким образом все виртуальные адаптеры получают адреса из одной подсети и могут в ней обмениваться пакетами как будто они находятся в одном сегменте. При этом на каждом компьютере подключенном к VPN дополнительно будет работать приложение — клиент виртуальной частной сети, который фактически и обеспечивает этот обмен пакетами по специальному шифрованному протоколу SSL. Для упрощения решения этой задачи и создаются публичные серверы VPN, позволяющие объединить в виртуальную сеть от двух до нескольких сотен компьютеров. При этом небольшое количество компьютеров можно объединить бесплатно, как в случае использования сервера сети HAMACHI. Все что нужно сделать, это установить программу клиента LogMeInHamachi на компьютерах которые будем объединять в виртуальную сеть, придумать имя и пароль для своей сети. При этом не придется ничего настраивать в маршрутизаторах, обеспечивающих доступ в Интернет. Перейдем к практической части урока. Нам понадобится два компьютера подключенных к сети Интернет не связанных между собой напрямую. Возможно это будет ваш рабочий и домашний компьютер, или ваш компьютер и компьютер друга. Клиента сети Hamachi можно устанавливать не одновременно. Где взять клиента сети Hamachi? Лучше всего здесь: https://secure.logmein.com/hamachi.msi. Не спешим запускать, для начала сохраняем установщик на своем компьютере и читаем очень внимательно. Это прямая ссылка на текущую бесплатную версию клиента, что должно гарантировать Вас от возможных подделок или попутной загрузки ненужного хлама. Бесплатная версия позволяет одновременно подключить к защищенной сети VPN до пяти компьютеров, это не так много как может показаться на первый взгляд, тем более подключив однажды компьютер к созданной новой сети мы уже не сможем его оттуда удалить, поэтому продумайте заранее между какими компьютерами вам нужна безопасная связь. Если все свободные места в созданной сети уже заняты, можно создать еще одну сеть и в нее подключить другие компьютеры. Отключаться и подключаться можно в любой момент. После установки клиента перезагрузите компьютер, чтобы убедиться, что установленный клиент не конфликтует с другими программами и службами. Такое бывает, некоторые файерволы и программы использующие SSL соединения могут не дать запуститься службе LogMeIn Hamachi Tunneling Engine в автозагрузке, если при перезагрузке рабочий стол так и не появился, то придется загрузиться в безопасном режиме и отключить автозапуск этой службы. Службу можно будет отключить или запустить вручную через программу Управление компьютером, вызываемую нажатием правой кнопкой на значке Компьютер и выбрать пункт меню Управление. Дальше в разделе управления, выбрать Службы и приложения, потом раздел Службы. В правой части окна появится список всех служб которые могут запускаться в процессе работы ОС. Найдите нужную, в нашем случае это LogMeIn Hamachi Tunneling Engine, нажимаем на ней правой кнопкой мыши выбираем пункт Свойства и в открывшемся окне устанавливаем нужный тип запуска. Если после установки клиента невозможно нормально загрузить ОС то выбираем Отключена. Все это непосредственно к настройке клиента отношения не имеет и может быть использовано для включения или отключения любой службы, главное понимать что именно мы делаем и зачем, без нужды лазить в настройку служб не нужно дабы не отключить что нибудь лишнее, а потом удивляться, что вчера еще все работало, но предупредить в возможных неприятностях я обязан, т.к. проблема с загрузкой ОС возникла на моем ноутбуке и мне пришлось исключить из автозагрузки эту службу, а потом включать уже вручную. Надеюсь что у вас установка и перезагрузка пройдет гладко, но если вы не поняли как исправить вероятную проблему лучше не рискуйте с установкой Hamachi. Для тех кто решился, продолжим.
После запуска установки клиента нам предложат выбрать язык установки, выбираем и нажимаем Next, далее ознакомимся с лицензионным соглашением, оно достаточно длинное, но прочитать его стоит, вам расскажут чего не стоит делать с помощью клиента и что же вам гарантируют, подтверждаем согласие и продолжаем установку или не соглашаемся и на этом конец сказки. После установки запуск клиента должен произойти автоматически. В открывшемся окне нас будет интересовать кнопка включения и пункт меню Сеть, нажимаем кнопку включения у нас справа от нее должен появиться IP адрес типа 25.Х.Х.Х и через косую непонятные цифры и буквы через : — это адрес сети IPV6, у меня такое ощущение, что в нем вообще никто не разбирается, но скоро он может стать основным для работы в Интернете и тогда придется изучать что же он означает. Переходим к меню Сеть и выбираем пункт Создать новую сеть… Имя сети может быть произвольным, главное чтобы оно было уникальным. Пароль придумываем не короче 6-7 символов, если вас хоть как-то заботит безопасность. Если все прошло гладко, созданная сеть появится в окне с зеленой точкой слева от ее названия, что означает — сеть готова подключать компьютеры. Как создатель сети вы в нее уже подключены. Теперь когда сеть создана, можно к ней подключить другие компьютеры из меню Сеть. Подключиться к существующей сети. При подключении вас попросят указать идентификатор сети и ввести пароль назначенный при ее создании. Если в сети есть уже подключенные компьютеры вы увидите их состояние. Если слева от имени зеленая точка, значит компьютер активен и к нему можно подключаться. Подключение происходит через сервер Hamachi, а передача данных непосредственно от одного компьютера к другому, убедиться в этом можно наведя указатель мыши на имя другого компьютера находящегося в вашей сети, должна появиться надпись — Прямой туннель. Иначе обмен данными будет вестись через сервер посредник из сети Hamachi, что не всегда абсолютно безопасно. Нужно помнить, что в бесплатной версии Hamachi в одну сеть можно объединить не более 5 компьютеров, но для нашей задачи, установить безопасное соединение между двумя компьютерами, этого вполне достаточно. Если вы решили построить что-то более глобальное с возможность удаленного управления и контроля для большого количества устройств, то можете ознакомиться с коммерческими версиями и условиями подписки на сервисы Hamachi. Как теперь этим соединением воспользоваться? Все зависит от задачи которую мы поставили. Один из простейших вариантов, это создать общий дисковый ресурс или говоря о народному «расшарить папку», т.е включить общий доступ и прописать права для доступа на нее тем кто должен получить доступ. Можно включить в свойствах системы удаленный доступ к экрану вашего компьютера, но только в том случае, если у вас установлена версия Windows 7 Professional или старше. В общем любой сервис, который вы сможете настроить на любом из подключенных с созданной виртуальной сети компьютеров, может выть доступен для всех участников сети, точно так-же, как если бы они находились в одном месте и были подключены к одному коммутатору. О безопасности в данном случае можно не беспокоиться т.к. весь трафик между участниками шифруется на выходе и расшифровывается на входе с помощью асимметричных алгоритмов (RSA), т.е. таких где пароль для расшифровки вообще не передается по сети никогда, и не может быть перехвачен. Подходит данный вариант объединения в виртуальную сеть и для онлайн игр друг с другом, таких как Unreal, Quake и пр. Если подключение по какой либо причине не происходит, возможно виноват ваш антивирус, вернее его часть которая называется файерволл, она отвечает за безопасность внешних соединений и может блокировать эти подключения. Не забывайте внести нужные изменения в настройку файервола при организации общих ресурсов или сетевого сервиса на вашем компьютере. Вот вкратце и все, что я хотел рассказать в этом уроке. Напоследок сделаю пару замечаний про VPN. Hamachi не единственный сервис которым можно воспользоваться, а лишь один из многих как платных так и бесплатных. Кроме того VPN можно организовать и без посредников, например, с помощью пакета OpenVPN, хотя повозиться с настройками в этом случае придется куда больше. Источник http://luxhard.com/?p=3255 |