Зачем нужна VPN
VPN — виртуальная приватная сеть — технология, создающая закрытую сеть поверх открытой. VPN является обязательным компонентом системы корпоративной безопасности. Ни сложные пароли, ни разграничение доступа и уровня привилегий не гарантируют абсолютную защиту. Только VPN не просто защищает внутрикорпоративные ресурсы, а полностью устраняет сам вектор атаки.
VPN создаёт зашифрованные туннели между подключёнными к ней устройствами с использованием для адресации диапазонов адресов локальных сетей (RFC 1918), при этом, несмотря на то, что трафик передаётся через интернет, транзитные узлы, не подключённые к VPN, этот трафик прочитать не могут. Также не имеет значения, какая адресация используется для доступа в интернет подключёнными устройствами: динамические или статические ip-адреса, находятся ли эти устройства за NAT, ограничен ли доступ к отдельным портам и ip-адресам — в любом случае для соединений внутри виртуальной приватной сети будут использованы адреса этой сети и по этим адресам будет осуществляться связь между подключёнными устройствами, где бы они не находились. Каждому устройству может быть присвоен внутренний выделенный адрес, по которому будет осуществляться доступ к расположенным на нём ресурсам. Даже если в приватной сети расположены ресурсы, использующие не вполне надёжные протоколы, такие как SMB (Microsoft network), злоумышленники, не имея доступа в VPN, не смогут их атаковать.
Для построения VPN могут использоваться разные технологии: IPSec, PPtP, OpenVPN и другие. Из всех серверов и протоколов наиболее надёжен и эффективен OpenVPN. Сервер OpenVPN выпускается с открытым исходным кодом под лицензией GNU, соответственно может быть использован как в некоммерческих, так и в коммерческих целях без каких-либо лицензионных оплат. Этот сервер существует и для Linux, и для Windows, а клиенты для подключения к нему есть и для Android, и для IOS. Доступ в сеть OpenVPN осуществляется только по паре публичных/секретных ключей, пароли для доступа в принципе не используются, что делает невозможными атаки с подбором паролей. Единственный способ несанкционированного доступа в такую сеть — завладеть секретным ключом одного из клиентов сети, причём факт компрометации ключа устанавливается достаточно просто, после чего можно выпустить и разместить сертификат, отменяющий скомпрометированный ключ, точно так же отменяются ключи сотрудников, прекративших трудовые отношения. Незаметная компрометация ключа невозможна, в случае компрометации ключа это будет немедленно обнаружено и злоумышленник, скорее всего, не успеет нанести реальный ущерб. Сервер OpenVPN не требует для работы большого количества ресурсов и может быть установлен на любых физических и виртуальных (кроме OpenVZ/Virtuozzo, где по умолчанию эта возможность отключена) серверах. Единственное требование по мощности — ширина канала у сервера должна быть достаточной для пропуска всего трафика VPN (сколько конкретно — зависит от размеров и специфики сети). Внутри приватной сети можно расположить корпоративные CRM, почтовый сервер, мессенджер, АТС и другие ресурсы, доступ к которым не должен быть свободным. Злоумышленники не только не смогут атаковать эти ресурсы, но даже не будут знать об их существовании. Таким образом, использование OpenVPN является единственным надёжным и доступным способом обеспечения безопасности внутренних ресурсов.
Если у вас нет возможности или желания самостоятельно заниматься установкой и настройкой vpn, предлагаем воспользоваться услугой «Защищённый периметр»