Tämä on konekäännetty teksti, joka saattaa sisältää virheitä!
VPN, tai Virtual Private Network, on ratkaisu, jonka avulla voimme luoda suojatun (salatun) yhteyden toiseen verkkoon ja laitteisiin internetin kautta.
Ensiksi, mikä on yksityinen verkko? (ei VPN)
Yksityinen verkko on verkko, joka on eristetty muista verkoista. Tämä voi olla yritysverkko, kotiverkko tai muu verkko, joka ei ole avoin kaikille. Avoin verkko, kuten esimerkiksi lentokentällä, on myös teknisesti ottaen yksityinen verkko, mutta ne on yleensä konfiguroitu eristämään laitteet toisistaan turvallisuuden lisäämiseksi.
Tenkt scenario
Kuvittele, että sinulla on kotona tulostin, jota haluat käyttää asiakirjan tulostamiseen. Tämä tulostin on yhdistetty kotiverkkoosi, ja sillä on siksi yksityinen IP-osoite, joka on vain kotiverkkoosi yhdistettyjen laitteiden käytettävissä. Voit tulostaa ongelmitta omalta koneeltasi kotona, mutta naapurisi on eri verkossa eikä pääse tulostimeesi suoraan.
Et myöskään voi kommunikoida tulostimesi kanssa esimerkiksi koulusta tai muista verkoista, koska tulostin ei ole julkaistu internetissä (eikä sen pitäisi olla turvallisuussyistä).
Merk: Ingen regler uten unntak…
Jotkin laitteet tarjoavat kuitenkin ratkaisuja, joissa ne käyttävät VPN:ään liittyvää tekniikkaa, jotta voit tulostaa asiakirjoja mistä tahansa maailmassa, kunhan sinulla on internetyhteys. Tämä voi aiheuttaa tietoturvariskin, joten ole varovainen sen suhteen, mitä yhdistät verkkoosi, erityisesti IoT-laitteiden tai valvontakameroiden kanssa.
Oletko huomannut, että aina kun yhdistät uuteen verkkoon, sinulta kysytään, yhdistätkö “yksityiseen” vai “julkiseen” verkkoon?
Tämä johtuu siitä, että Windows (tai muut käyttöjärjestelmät) käyttää näitä tietoja määrittääkseen, mitä palomuurisääntöjä käytetään laitteesi suojaamiseen. Yksityinen verkko on yleensä suojaamaton (kaikki yhdistetyt laitteet luottavat toisiinsa automaattisesti), ja on siksi haavoittuvainen muille samassa verkossa oleville laitteille. Toisaalta voit helpommin jakaa tulostimia, tiedostoja ja muita resursseja, kun koneet ovat samassa verkossa.
Kaupalliset toimijat
Monet kaupalliset toimijat tarjoavat VPN-palveluita, mainostaen suojaavansa yksityisyyttäsi internetissä ja mahdollistavansa anonyymin surffailun. Tämä ei välttämättä ole koko totuus, ja on tärkeää olla tietoinen siitä, mitä VPN todellisuudessa tekee.
Käytännössä verkkoyhteys siirretään toiseen paikkaan (usein toiseen maahan), kun käytämme VPN-palvelimia välittäjänä asiakkaan ja internetin välillä.
Kaupallinen VPN != turvallisuus
Monet toimijat markkinoivat itseään palveluna, joka tarjoaa lisäturvallisuutta, mutta useimmille käyttäjille näin ei ole. Kun vierailemme verkkosivustoilla, jotka käyttävät HTTPS:ää (jopa julkisessa wifi-verkossa), yhteys on jo salattu, eikä VPN välttämättä tarjoa mitään lisäturvallisuutta. Se ei myöskään voi “piilottaa” toimintaasi internet-palveluntarjoajaltasi täysin.
Joissakin maissa tai paikoissa se voi kuitenkin olla hyödyllistä, mutta on tärkeää olla tietoinen siitä, että siirrät luottamuksesi internet-palveluntarjoajaltasi VPN-palveluntarjoajalle.
Julkiset verkot
Kuulemme usein, ettemme saisi yhdistää epäsuojattuihin julkisiin verkkoihin, kuten kahviloissa, lentokentillä, hotelleissa jne. Tämä ei välttämättä ole ongelmallista, kunhan käytämme HTTPS:ää (salattua) verkkosivustojen selaamiseen.
Ongelmallista voi olla, jos joku pystyttää “väärennetyn” verkon esimerkiksi haitallisella Captive Portalilla (verkkosivulla, joka yleensä vaatii sisäänkirjautumisen tai käyttöehtojen hyväksymisen ennen internet-yhteyden saamista).
Oletko tarkistanut, onko sinulla “automaattinen yhdistäminen” avoimiin verkkoihin mobiililaitteessasi tai kannettavassasi tietokoneessasi? Tämä voi saada laitteesi yhdistämään haitalliseen verkkoon huomaamattasi.
Mihin me voimme käyttää VPN:ää?
VPN:ää voidaan käyttää laitteiden yhdistämiseen verkkojen välillä, ikään kuin ne olisivat samassa (yksityisessä) verkossa, turvallisemmin kuin laitteiden suora altistaminen internetille (porttien avaaminen palomuurissa). Huomaa, että meillä on silti oltava VPN-palvelin, johon voimme yhdistää, voimme joko asettaa sen itse (vaatii palomuurin aukkoja) tai käyttää toimijaa, joka tarjoaa releen (välittäjän) meille. Suosittuja vaihtoehtoja ovat OpenVPN, WireGuard ja IPsec.
Eksempel
Sinulla on pelitietokone, jonka haluat yhdistää kannettavaan tietokoneeseesi koulussa Remote Desktop -ohjelmiston (RDP) avulla. Voit sitten asettaa VPN-ratkaisun, jonka avulla voit yhdistää kotiverkkoosi ja käyttää sitten RDP:tä yhdistääksesi pelitietokoneeseesi aivan kuin olisit kotona.
Meidän tapauksessamme käytämme sitä pääsemään käsiksi koulun resursseihin muista paikoista maailmassa, ja tarkastelemme myöhemmin pilvilaskentaa, jossa haluamme yhdistää virtuaalipalvelimiin pilvessä turvallisesti. Yleensä avaamme portin palvelimellemme tämän asettamiseksi, ja lukitsemme palvelimen sen jälkeen (yleensä Site-to-site VPN).
Ainoa käytännön ero on, että saamme eri IP-osoitteen VPN-verkkomme kautta (esim. 100.64.x.x/10 käytetään usein VPN:ään), mutta toiminnallisuus on sama kuin olisimme samassa verkossa. Tämä tarkoittaa, että voimme käyttää esim. RDP:tä, SSH:ta, FTP:tä (File Transfer Protocol) jne. ilman, että meidän tarvitsee avata palveluitamme palomuurissa.
Tehtävä 1 – TailScale VPN:n asennus
Onneksi meille VPN:n asennus on helppoa, erityisesti jos käytät palvelua kuten TailScale. Tämä on kaupallinen palvelu, joka tarjoaa helpon tavan asentaa WireGuard VPN, joka tarjoaa meille enemmän kuin tarpeeksi toiminnallisuutta sen ilmaisella tasolla (100 laitetta).
Seuraa asennusprosessia dokumentaation mukaisesti: https://tailscale.com/download
Merk
Tarvitset VPN:n kaikilla laitteilla, jotka haluat yhdistää verkkoon. Tämä sisältää sekä palvelimet, tietokoneet, matkapuhelimet jne.
Tehtävä 2 – Määritä Exit Node
Exit Node TailScalessa on laitteesi verkossa, joka toimii yhdyskäytävänä kaikelle liikenteelle muista TailScale-verkon laitteista. Tämä ohjaa kaiken liikenteen tämän laitteen kautta, mikä voi olla hyödyllistä päästäkseen käsiksi resursseihin tietyssä verkossa tai saadakseen uuden IP-osoitteen maantieteellisten rajoitusten ohittamiseksi.
Käytämme Nginx Proxy Manageria rajoittaaksemme pääsyä tiettyihin resursseihin IP-osoitteen perusteella (esim. Proxmox-palvelimesi), ja Exit Nodella koulussa voit saada IP-osoitteen, joka on “koulussa” missä tahansa maailmassa.
Seuraa dokumentaatiota Exit Noden määrittämiseksi: https://tailscale.com/kb/1103/exit-nodes#configure-an-exit-node
Obs! “Edit Routes” -valikko
Älä unohda “Use as Exit Node” -asetuksen kytkemistä päälle TailScale-valikossa laitteessa, jonka olet määrittänyt Exit-Nodeksi. Tämä on yleinen vaihe unohtaa.
Exit-Node VPS:ssä pilvessä!
Jos pystytät virtuaalikoneen toiseen maahan esimerkiksi Azuren kautta (josta saat ilmaista krediittiä opiskelijana), voit helposti pystyttää Exit-Noden saadaksesi IP-osoitteen kyseisestä maasta – samalla tavalla kuin kaupallinen VPN-palvelu, mutta vähemmillä rajoituksilla ja enemmän oppimista!