Як безпечно передати інформацію через інтернет? Будуємо vpn мережа на hamachi.

Розглянемо задачу в якій необхідно постійно або періодично передавати конфіденційну інформацію від одного користувача іншому, при цьому єдиним засобом з`єднання у нас буде Інтернет. Варіант, який перший приходить на розум, запакувати потрібні файли в архів з паролем і відправити електронною поштою. Чи не найнадійніший варіант, і не найзручніший. Крім передачі файлу необхідно буде передавати пароль і передавати його, бажано, альтернативним шляхом, наприклад, за допомогою СМС або через ICQ. При цьому кількість маніпуляцій, які необхідно провести, значно зростає. Та й сама інформація хоч і в зашифрованому вигляді, але може бути перехоплена і піддана аналізу, а стійкість будь-якого пароля, це справа часу. Тим більше, що аналіз пароля при наявності файлу може проводитися паралельно на декількох комп`ютерах, тим самим скорочуючи час для підбору пароля. Сьогодні надійним може вважатися пароль вмістом не менш як 15 символів, що не входить ні в один зі словників для аналізу, і що не може бути отриманий шляхом відомих перетворень. Все це наводить на думку що для постійного використання такий варіант не дуже то і підходить, тим більше що завдання може стояти не для одного комп`ютера, а для групи з десятка, розподілених по великій території робочих місць. І при цьому доступ може знадобитися не тільки до окремих файлів, а й до принтерів, терміналів поштових серверів або інших ресурсів знаходяться в загальному користуванні. Для вирішення цього завдання і придуманий механізм побудови VPN - Virtual Private Network (віртуальна приватна мережа).

Поговоримо трохи про загальні принципи побудови побудови VPN. Уявімо собі велику організацію з декількома філіями, кожен з яких має свій вихід в Інтернет. Як правило, з`єднання з Інтернетом здійснюється через маршрутизатор з підтримкою протоколу NAT (Network Adress Translation), для користувача це означає те, що його комп`ютер має не «чесний» інтернетівський адресу, а локальний адресу, що починається зі 192.168.хх.хх або 10.х.х.х в залежності від масштабу підприємства. З такими адресами не можна організувати безпосереднє з`єднання з іншими комп`ютерами знаходяться в своїх просторах локальних адрес, тому що глобальна маршрутизація в таких мережах не працює. Більш того отримати доступ ззовні до комп`ютера знаходиться у внутрішній мережі теж не так просто, без спеціальної настройки маршрутизатора, що відповідає за вихід в Інтернет. Позбутися від усіх цих труднощів і при цьому не пожертвувати безпекою і призначений механізм VPN.

Працює це приблизно так, на локальних комп`ютерах створюється віртуальний мережевий адаптер, який звертається до спеціального серверу, керуючому призначенням адрес для віртуальної мережі та адаптер отримує свою адресу в цій мережі, інший комп`ютер бажаючий обмінюватися з ним інформацією також повинен звернутися до керуючого сервера і отримати свій адреса в той-же мережі. Таким чином всі віртуальні адаптери отримують адреси з однієї підмережі і можуть в ній обмінюватися пакетами як ніби вони знаходяться в одному сегменті. При цьому на кожному комп`ютері підключеному до VPN додатково буде працювати додаток - клієнт віртуальної приватної мережі, який фактично і забезпечує цей обмін пакетами по спеціальному шифрованому протоколу SSL.

Відео: Створення VPN сервера на windows server 2012R2

Для спрощення вирішення цього завдання і створюються публічні сервери VPN, що дозволяють об`єднати у віртуальну мережу від двох до кількох сотень комп`ютерів. При цьому невелика кількість комп`ютерів можна об`єднати безкоштовно, як в разі використання сервера мережі HAMACHI. Все що потрібно зробити, це встановити програму клієнта LogMeInHamachi на комп`ютерах які будемо об`єднувати в віртуальну мережу, придумати ім`я і пароль для своєї мережі. При цьому не доведеться нічого налаштовувати в маршрутизаторах, що забезпечують доступ в Інтернет.

Перейдемо до практичної частини уроку. Нам знадобиться два комп`ютери підключених до мережі Інтернет не пов`язаних між собою безпосередньо. Можливо це буде ваш робочий і домашній комп`ютер, або ваш комп`ютер і комп`ютер одного. клієнта мережі Hamachi можна встановлювати не одночасно. Де взяти клієнта мережі Hamachi? Найкраще тут: https://secure.logmein.com/hamachi.msi. Чи не поспішаємо запускати, для початку зберігаємо установник на своєму комп`ютері і читаємо дуже уважно.

Це пряме посилання на поточну безкоштовну версію клієнта, що має гарантувати Вас від можливих підробок або попутної завантаження непотрібного мотлоху. Безкоштовна версія дозволяє одночасно підключити до захищеної мережі VPN до п`яти комп`ютерів, це не так багато як може здатися на перший погляд, тим більше підключивши один раз комп`ютер до створеної нової мережі ми вже не зможемо його звідти видалити, тому продумайте заздалегідь між якими комп`ютерами вам потрібна безпечна зв`язок. Якщо всі вільні місця в створеній мережі вже зайняті, можна створити ще одну мережу і в неї підключити інші комп`ютери. Відключатися і підключатися можна в будь-який момент. Після установки клієнта перезавантажте комп`ютер, щоб переконатися, що встановлений клієнт не конфліктує з іншими програмами та службами. Таке буває, деякі фаєрволи і програми використовують SSL з`єднання можуть не дати запуститися службі LogMeIn Hamachi Tunneling Engine в автозавантаженні, якщо при перезавантаженні робочий стіл так і не з`явився, то доведеться завантажитися в безпечному режимі і відключити автозапуск цієї служби. Службу можна буде відключити або запустити вручну через програму управління комп`ютером, спричинюється натисканням правою кнопкою на значку комп`ютер і вибрати пункт меню управління. Далі в розділі управління, вибрати Служби і додатки, потім розділ Служби. У правій частині вікна з`явиться список всіх служб які можуть запускатися в процесі роботи ОС. Знайдіть потрібну, в нашому випадку це  LogMeIn Hamachi Tunneling Engine, натискаємо на ній правою кнопкою миші вибираємо пункт Властивості і у вікні, встановлюємо потрібний тип запуску. Якщо після установки клієнта неможливо нормально завантажити ОС то вибираємо відключена. Все це безпосередньо до налаштування клієнта відношення не має і може бути використано для включення або відключення будь-якої служби, головне розуміти що саме ми робимо і навіщо, без потреби лазити в налаштування служб не потрібно щоб не відключити що щось зайве, а потім дивуватися, що вчора ще все працювало, але попередити в можливі неприємності я зобов`язаний, тому що проблема із завантаженням ОС виникла на моєму ноутбуці і мені довелося виключити з автозавантаження цю службу, а потім включати вже вручну. Сподіваюся що у вас установка і перезавантаження пройде гладко, але якщо ви не зрозуміли як виправити ймовірну проблему краще не ризикуйте з установкою Hamachi. Для тих хто зважився, продовжимо.

Після запуску установки клієнта нам запропонують вибрати мову установки, вибираємо і натискаємо Next, далі ознайомимося з ліцензійною угодою, воно досить довге, але прочитати його варто, вам розкажуть чого не варто робити за допомогою клієнта і що ж вам гарантують, підтверджуємо згоду і продовжуємо установку або не погоджуємося і на цьому кінець казки. Після установки запуск клієнта повинен відбутися автоматично. У вікні, нас буде цікавити кнопка включення і пункт меню Мережа, натискаємо кнопку включення у нас праворуч від неї повинен з`явитися IP адреса типу 25.Х.Х.Х і через косу незрозумілі цифри і букви через: - це адреса мережі IPV6, у мене таке відчуття, що в ньому взагалі ніхто не розбирається, але скоро він може стати основним для роботи в Інтернеті і тоді доведеться вивчати що ж він означає. Переходимо до меню Мережа і вибираємо пункт Створити нову мережу... Ім`я мережі може бути довільним, головне щоб воно було унікальним. Пароль придумуємо не коротші 6-7 символів, якщо вас хоч якось турбує безпека. Якщо все пройшло гладко, створена мережа з`явиться у вікні з зеленою крапкою зліва від її назви, що означає - мережа готова підключати комп`ютери. Як творець мережі ви в неї вже підключені. Тепер коли мережа створена, можна до неї підключити інші комп`ютери з меню Мережа. Підключитися до існуючої мережі. При підключенні вас попросять вказати ідентифікатор мережі та ввести пароль призначений при її створенні. Якщо в мережі є вже підключені комп`ютери ви побачите їх стан. Якщо зліва від імені зелена точка, значить комп`ютер активний і до нього можна підключатися. Підключення відбувається через сервер Hamachi, а передача даних безпосередньо від одного комп`ютера до іншого, переконатися в цьому можна навівши курсор миші на ім`я іншого комп`ютера знаходиться у вашій мережі, повинна з`явитися напис - прямий тунель. Інакше обмін даними буде вестися через сервер посередник з мережі Hamachi, що не завжди абсолютно безпечно.

Відео: Налаштування "VPN-сервера" Windows 2008 R2

Потрібно пам`ятати, що в безкоштовній версії Hamachi в одну мережу можна об`єднати не більше 5 комп`ютерів, але для нашої задачі, встановити безпечне з`єднання між двома комп`ютерами, цього цілком достатньо. Якщо ви вирішили побудувати щось більш глобальне з можливість віддаленого управління і контролю для великої кількості пристроїв, то можете ознайомитися з комерційними версіями і умовами передплати на сервіси Hamachi.

Як тепер цим з`єднанням скористатися? Все залежить від завдання яку ми поставили. Один з найпростіших варіантів, це створити загальний дисковий ресурс або кажучи про народному «розшарити папку», тобто включити загальний доступ і прописати права для доступу на неї тим хто повинен отримати доступ. Можна включити в властивості системи віддалений доступ до екрану вашого комп`ютера, але тільки в тому випадку, якщо у вас встановлена версія Windows 7 Professional або старше. Загалом будь-який сервіс, який ви зможете налаштувати на будь-якому з підключених з створеної віртуальної мережі комп`ютерів, може вити доступний для всіх учасників мережі, точно так-же, як якщо б вони перебували в одному місці і були підключені до одного комутатора. Про безпеку в даному випадку можна не турбуватися тому весь трафік між учасниками шифрується на виході і розшифровується на вході за допомогою асиметричних алгоритмів (RSA), тобто таких де пароль для розшифровки взагалі не передається по мережі ніколи, і не може бути перехоплений. Підходить даний варіант об`єднання в віртуальну мережу і для онлайн ігор один з одним, таких як Unreal, Quake та ін. Якщо підключення по якійсь причині не відбувається, можливо винен ваш антивірус, вірніше його частина яка називається фаєрвол, вона відповідає за безпеку зовнішніх з`єднань і може блокувати ці підключення. Не забувайте внести потрібні зміни в налаштування брандмауера при організації спільних ресурсів або мережевого сервісу на вашому комп`ютері.

Ось коротко і все, що я хотів розповісти в цьому уроці. Наостанок зроблю пару зауважень про VPN.  Hamachi не єдиний сервіс яким можна скористатися, а лише один з багатьох як платних так і безкоштовних. Крім того VPN можна організувати і без посередників, наприклад, за допомогою пакета OpenVPN, хоча повозитися з настройками в цьому випадку доведеться куди більше.