WEBVTT 00:00.240 --> 00:01.110 Instruktor: W tej lekcji 00:01.110 --> 00:02.670 omówimy wszystkie rzeczy, które 00:02.670 --> 00:04.920 musisz wiedzieć o VPN podczas egzaminu. 00:04.920 --> 00:07.200 Po pierwsze, czym jest VPN? 00:07.200 --> 00:09.540 Cóż, VPN to wirtualna sieć prywatna, która będzie używana 00:09.540 --> 00:11.790 do rozszerzenia sieci prywatnej na sieć publiczną 00:11.790 --> 00:13.408 i umożliwienia użytkownikom wysyłania 00:13.408 --> 00:17.160 i odbierania danych za pośrednictwem tej współdzielonej sieci publicznej, tak jakby 00:17.160 --> 00:19.710 ich urządzenia komputerowe były bezpośrednio podłączone 00:19.710 --> 00:21.180 do sieci prywatnej. 00:21.180 --> 00:24.600 Teraz, dzięki VPN, użytkownicy mogą pracować w zdalnym biurze 00:24.600 --> 00:26.610 lub w domu i mogą zdalnie pracować, po 00:26.610 --> 00:28.530 prostu logując się do swojego laptopa 00:28.530 --> 00:30.690 i ustanawiając bezpieczny tunel VPN do 00:30.690 --> 00:32.400 sieci organizacji, niezależnie 00:32.400 --> 00:34.830 od tego, gdzie się znajduje. 00:34.830 --> 00:37.530 Aby to zrobić, będą łączyć się z urządzeniem VPN znajdującym 00:37.530 --> 00:39.030 się w centrum danych centrali. 00:39.030 --> 00:41.310 A następnie ustanowią bezpieczny tunel za pomocą 00:41.310 --> 00:44.550 protokołu VPN, aby umożliwić bezpieczne połączenie dla tego użytkownika 00:44.550 --> 00:48.060 korporacyjnego przez niezaufaną lub publiczną sieć, coś w rodzaju 00:48.060 --> 00:49.680 Internetu. 00:49.680 --> 00:51.240 Pozwala im to na dostęp do 00:51.240 --> 00:54.090 sieci korporacyjnej i połączenie z Internetem 00:54.090 --> 00:57.420 tak, jakby siedzieli przy swoim biurku w biurze. 00:57.420 --> 01:00.120 Sieci VPN mogą być skonfigurowane jako VPN typu site-to-site, 01:00.120 --> 01:03.030 client-to-site lub clientless VPN. 01:03.030 --> 01:04.470 Dzięki sieci VPN typu site-to-site 01:04.470 --> 01:06.420 możemy połączyć ze sobą dwa biura. 01:06.420 --> 01:07.980 W przypadku sieci VPN typu klient-lokacja 01:07.980 --> 01:10.440 bardziej zależy nam na połączeniu pojedynczego użytkownika zdalnego 01:10.440 --> 01:11.880 z powrotem do sieci firmowej, jak opisałem 01:11.880 --> 01:13.380 wcześniej w przypadku użytkownika, który 01:13.380 --> 01:14.670 musiał pracować zdalnie. 01:14.670 --> 01:16.440 Kiedy mówimy o VPN bez klienta, są one zwykle 01:16.440 --> 01:19.020 używane do przeglądania stron internetowych. 01:19.020 --> 01:21.180 W porządku, zanurzmy się nieco głębiej i porozmawiajmy 01:21.180 --> 01:23.130 o VPN typu site-to-site. 01:23.130 --> 01:26.280 Obecnie sieć VPN typu site-to-site jest używana do łączenia dwóch lokalizacji 01:26.280 --> 01:27.960 i stanowi niedrogą alternatywę dla dedykowanych 01:27.960 --> 01:29.700 łączy dzierżawionych. 01:29.700 --> 01:31.110 Załóżmy na przykład, że mam 01:31.110 --> 01:32.790 oddział w Kalifornii, a moja 01:32.790 --> 01:35.310 siedziba znajduje się w Waszyngtonie. 01:35.310 --> 01:37.470 Teraz, gdybym chciał połączyć moje zdalne biuro 01:37.470 --> 01:40.680 regionalne w Kalifornii z biurem głównym w Waszyngtonie, mógłbym kupić 01:40.680 --> 01:42.420 dedykowaną linię dzierżawy od dostawcy 01:42.420 --> 01:44.100 usług telekomunikacyjnych, który zapewniłby 01:44.100 --> 01:46.170 mi bezpośrednie połączenie obejmujące ponad 01:46.170 --> 01:49.800 3000 mil odległości między tymi dwiema lokalizacjami. 01:49.800 --> 01:52.140 Nawet gdybym miał połączenie T1 o niskiej prędkości, 01:52.140 --> 01:54.180 byłoby to bardzo kosztowne. 01:54.180 --> 01:57.150 Z drugiej strony, mógłbym skorzystać z VPN typu site-to-site 01:57.150 --> 01:58.830 i zaoszczędzić sporo pieniędzy. 01:58.830 --> 02:00.720 Zamiast korzystać z dedykowanego łącza dzierżawionego, 02:00.720 --> 02:03.960 mógłbym po prostu utworzyć tunel VPN z biura regionalnego z powrotem do centrali 02:03.960 --> 02:06.390 za pośrednictwem publicznego Internetu, korzystając 02:06.390 --> 02:07.920 z łącza internetowego, które jest już 02:07.920 --> 02:09.690 w tym biurze. 02:09.690 --> 02:12.600 To rozwiązanie może kosztować mnie 50 lub 100 USD miesięcznie za standardowy 02:12.600 --> 02:13.800 modem kablowy lub usługę modemu 02:13.800 --> 02:16.710 światłowodowego od lokalnego dostawcy usług internetowych. 02:16.710 --> 02:18.540 Po ustanowieniu tunelu VPN będzie on 02:18.540 --> 02:20.550 pobierał cały ruch z biura regionalnego 02:20.550 --> 02:22.830 w Kalifornii i przesyłał go z powrotem do centrali 02:22.830 --> 02:25.020 w Waszyngtonie przez Internet w ramach tego 02:25.020 --> 02:26.550 bezpiecznego tunelu. 02:26.550 --> 02:28.980 A gdy dotrze do Waszyngtonu, zostanie 02:28.980 --> 02:30.150 odszyfrowany i umieszczony 02:30.150 --> 02:33.060 z powrotem w mojej sieci firmowej. 02:33.060 --> 02:34.500 Teraz, gdy użytkownik z Kalifornii 02:34.500 --> 02:36.480 chce przejść do Google. com, na przykład. 02:36.480 --> 02:39.930 Dane te będą przesyłane z Kalifornii do Waszyngtonu przez połączenie internetowe 02:39.930 --> 02:42.510 biura w Waszyngtonie, aby odwiedzić tę stronę internetową, 02:42.510 --> 02:43.920 uzyskać informacje, wysłać je 02:43.920 --> 02:45.060 z powrotem do połączenia 02:45.060 --> 02:48.180 internetowego biura w Waszyngtonie, a następnie z powrotem przez 02:48.180 --> 02:51.300 VPN do użytkownika w Kalifornii, gdzie będzie mógł wyświetlić żądaną 02:51.300 --> 02:53.850 stronę internetową. 02:53.850 --> 02:55.395 Korzystając z tej sieci VPN 02:55.395 --> 02:57.510 typu site-to-site, cały ruch między 02:57.510 --> 02:59.280 Kalifornią a Waszyngtonem będzie 02:59.280 --> 03:01.230 szyfrowany i bezpieczny. 03:01.230 --> 03:03.510 Tak więc nikt nie może zobaczyć wewnętrznego ruchu sieciowego, 03:03.510 --> 03:04.500 który przechodzi przez 03:04.500 --> 03:07.080 to zewnętrzne publiczne połączenie internetowe. 03:07.080 --> 03:09.210 Z drugiej strony, gdy mamy do czynienia z siecią 03:09.210 --> 03:10.140 VPN typu klient-lokacja, 03:10.140 --> 03:12.240 będziemy przesyłać dane z jednego hosta, takiego 03:12.240 --> 03:14.940 jak laptop, telefon komórkowy, smartfon lub tablet, i łączyć 03:14.940 --> 03:17.430 je z powrotem do naszego biura głównego. 03:17.430 --> 03:18.930 Zamiast przechodzić od 03:18.930 --> 03:20.520 routera do routera, przechodzimy 03:20.520 --> 03:22.560 od klienta do routera. 03:22.560 --> 03:24.750 Umożliwia to zdalnemu użytkownikowi połączenie 03:24.750 --> 03:25.710 się z centralą. 03:25.710 --> 03:28.080 Właśnie dlatego nazywamy to klientem-stroną. 03:28.080 --> 03:31.140 Teraz, oprócz sieci VPN typu site-to-site i client-to-site, musimy 03:31.140 --> 03:33.000 również zdecydować, czy będziemy używać 03:33.000 --> 03:36.300 konfiguracji VPN z pełnym tunelem, czy z podzielonym tunelem. 03:36.300 --> 03:38.610 Zarówno VPN z pełnym tunelem, jak i VPN z dzielonym 03:38.610 --> 03:40.290 tunelem mogą być używane w modelu site-to-site 03:40.290 --> 03:42.000 lub client-to-site. 03:42.000 --> 03:44.040 Teraz pełny tunel VPN jest zwykle używany domyślnie 03:44.040 --> 03:45.900 w większości organizacji. 03:45.900 --> 03:47.490 I to jest to, co opisałem wcześniej. 03:47.490 --> 03:49.860 W przypadku pełnego tunelu VPN będziemy kierować 03:49.860 --> 03:52.590 i szyfrować wszystkie żądania ruchu przez połączenie VPN 03:52.590 --> 03:53.850 z powrotem do centrali, niezależnie 03:53.850 --> 03:55.410 od tego, gdzie znajduje się miejsce 03:55.410 --> 03:57.090 docelowe tej usługi. 03:57.090 --> 03:58.860 Jest to uważane za bezpieczniejsze, 03:58.860 --> 04:01.350 ale gdy łączymy się za pomocą pełnego tunelu, 04:01.350 --> 04:03.270 klienci są uważani za w pełni część 04:03.270 --> 04:05.550 sieci głównej, gdy są połączeni. 04:05.550 --> 04:08.520 Oznacza to, że jeśli próbujesz uzyskać dostęp do zasobu lokalnego, 04:08.520 --> 04:10.440 takiego jak drukarka bezprzewodowa w biurze 04:10.440 --> 04:11.790 domowym, nie będziesz w stanie 04:11.790 --> 04:13.890 tego zrobić, ponieważ ta drukarka bezprzewodowa 04:13.890 --> 04:16.050 w biurze domowym nie jest podłączona do sieci głównej, 04:16.050 --> 04:19.410 tak jak twój laptop przez VPN klient-lokacja. 04:19.410 --> 04:21.780 I odwrotnie, nadal możesz drukować na drukarkach 04:21.780 --> 04:23.160 w biurze głównym, nawet jeśli 04:23.160 --> 04:25.860 jesteś połączony za pomocą pełnego tunelu VPN, ponieważ 04:25.860 --> 04:27.780 możesz siedzieć w pokoju hotelowym w połowie 04:27.780 --> 04:30.450 świata, ale logicznie rzecz biorąc, nadal siedzisz w 04:30.450 --> 04:33.210 swoim biurze w siedzibie głównej firmy. 04:33.210 --> 04:35.310 Z drugiej strony, podzielony tunel VPN 04:35.310 --> 04:37.650 dzieli ruch i żądania sieciowe, a następnie 04:37.650 --> 04:38.580 kieruje je do odpowiedniego 04:38.580 --> 04:40.680 połączenia lub sieci. 04:40.680 --> 04:42.120 W przypadku dzielonego tunelu 04:42.120 --> 04:43.943 VPN będziemy kierować i szyfrować ruch 04:43.943 --> 04:46.230 związany z siedzibą główną przez VPN, a cały pozostały 04:46.230 --> 04:47.730 ruch będziemy wysyłać przez zwykły 04:47.730 --> 04:49.260 Internet. 04:49.260 --> 04:51.750 Załóżmy więc, że korzystam z sieci VPN typu klient-lokacja 04:51.750 --> 04:54.240 na moim laptopie z konfiguracją podzielonego tunelu z 04:54.240 --> 04:55.650 mojego domowego biura. 04:55.650 --> 04:57.750 VPN zdecyduje tutaj, który ruch wraca 04:57.750 --> 04:59.370 z powrotem przez VPN i jest wysyłany 04:59.370 --> 05:01.320 do centrali, a jaki ruch przechodzi 05:01.320 --> 05:03.270 przez Internet. 05:03.270 --> 05:05.610 Jeśli więc próbuję uzyskać dostęp do serwera plików 05:05.610 --> 05:07.530 lub serwera pocztowego Microsoft Exchange, 05:07.530 --> 05:09.360 który znajduje się w sieci głównej, pakiety 05:09.360 --> 05:10.860 te zostaną zaszyfrowane i przekierowane 05:10.860 --> 05:13.170 przez VPN do centrali. 05:13.170 --> 05:15.600 Jeśli jednak muszę wziąć udział w konferencji 05:15.600 --> 05:19.560 Zoom lub uzyskać dostęp do Office 365 lub ruchu wychodzącego do Internetu, 05:19.560 --> 05:22.950 po prostu ominę to szyfrowane połączenie VPN i przejdę bezpośrednio 05:22.950 --> 05:24.960 przez moje połączenie internetowe do 05:24.960 --> 05:26.850 tych publicznych witryn. 05:26.850 --> 05:29.040 Właśnie dlatego nazywamy to podzielonym tunelem, 05:29.040 --> 05:31.140 ponieważ mamy zaszyfrowany tunel VPN dla ruchu, 05:31.140 --> 05:32.520 który musi przejść do centrali, 05:32.520 --> 05:35.610 oraz inny niezaszyfrowany tunel, który przyjmuje bezpośrednią ścieżkę 05:35.610 --> 05:38.280 do Internetu od dostawcy usług internetowych. 05:38.280 --> 05:39.990 Wyzwanie związane z korzystaniem z dzielonego 05:39.990 --> 05:41.700 tunelu polega na tym, że mogą one być mniej 05:41.700 --> 05:43.560 bezpieczne, ponieważ istnieje możliwość, 05:43.560 --> 05:45.120 że osoba atakująca może połączyć się 05:45.120 --> 05:46.770 z urządzeniem za pośrednictwem tego niezaszyfrowanego 05:46.770 --> 05:49.200 tunelu internetowego, a następnie może przejść przez laptop 05:49.200 --> 05:50.880 i wysłać dane przez VPN z powrotem do sieci 05:50.880 --> 05:52.830 głównej. 05:52.830 --> 05:55.260 Z tego powodu, jeśli łączysz się z VPN przez niezaufaną 05:55.260 --> 05:58.050 sieć, taką jak Wi-Fi w hotelu lub kawiarni, nigdy nie 05:58.050 --> 06:01.110 powinieneś używać dzielonego tunelu. 06:01.110 --> 06:03.930 Zamiast tego powinieneś używać pełnego tunelu. 06:03.930 --> 06:06.420 Podzielony tunel zapewnia lepszą wydajność, 06:06.420 --> 06:08.670 ponieważ kieruje cały ruch internetowy 06:08.670 --> 06:09.960 bezpośrednio do tych serwerów 06:09.960 --> 06:12.750 i omija całą sieć główną firmy. 06:12.750 --> 06:14.010 Jak więc widać, staje się 06:14.010 --> 06:17.220 to kompromisem między bezpieczeństwem a wydajnością. 06:17.220 --> 06:20.130 Jeśli chcesz większego bezpieczeństwa, użyj pełnego tunelu VPN. 06:20.130 --> 06:23.220 Jeśli chcesz uzyskać lepszą wydajność, użyj podzielonego tunelu VPN. 06:23.220 --> 06:26.640 W tym momencie rozmawialiśmy o dwóch głównych typach VPN, VPN 06:26.640 --> 06:29.460 typu site-to-site i VPN typu client-to-site. 06:29.460 --> 06:32.520 Jest jednak jeszcze jeden typ VPN, który musimy omówić. 06:32.520 --> 06:34.800 I jest znany jako VPN bez klienta. 06:34.800 --> 06:36.989 Obecnie bezklientowa sieć VPN jest używana do tworzenia 06:36.989 --> 06:40.170 bezpiecznego tunelu VPN zdalnego dostępu za pomocą przeglądarki internetowej 06:40.170 --> 06:42.540 bez konieczności korzystania z oprogramowania lub klientów 06:42.540 --> 06:43.470 sprzętowych. 06:43.470 --> 06:45.420 W rzeczywistości korzystanie z tego typu 06:45.420 --> 06:48.450 VPN jest czymś, co robisz codziennie, nawet o tym nie wiedząc. 06:48.450 --> 06:50.910 Bezklientowa sieć VPN jest używana przez przeglądarkę internetową 06:50.910 --> 06:53.250 podczas nawiązywania bezpiecznego połączenia z eCommerce 06:53.250 --> 06:56.280 lub inną bezpieczną witryną korzystającą z protokołu HTTPS. 06:56.280 --> 06:59.340 Można to zrobić za pomocą tunelu SSL lub TLS przy 06:59.340 --> 07:00.960 użyciu tych protokołów. 07:00.960 --> 07:03.450 Obecnie SSL, czyli Secure Socket Layer, stał się 07:03.450 --> 07:05.580 nieco przestarzały i mniej bezpieczny. 07:05.580 --> 07:08.850 Dlatego większość bezklientowych sieci VPN korzysta obecnie z TLS, czyli 07:08.850 --> 07:10.620 Transport Layer Security, aby zapewnić 07:10.620 --> 07:13.740 bezpieczne przeglądanie stron internetowych przez HTTPS. 07:13.740 --> 07:16.890 Kiedy więc zalogowałeś się na tej stronie, aby obejrzeć ten film, musiałeś 07:16.890 --> 07:18.810 wprowadzić swoją nazwę użytkownika i hasło, 07:18.810 --> 07:20.490 i zobaczyłeś tę małą zieloną kłódkę w 07:20.490 --> 07:22.500 lewym górnym rogu paska adresu. 07:22.500 --> 07:26.130 W ten sposób wiadomo, że nawiązano bezpieczne połączenie przy użyciu protokołu HTTPS. 07:26.130 --> 07:28.260 Oznacza to, że używasz protokołu SSL lub 07:28.260 --> 07:31.830 TLS do utworzenia bezpiecznego, bezklientowego tunelu VPN z przeglądarki 07:31.830 --> 07:33.930 internetowej i komputera do moich serwerów, 07:33.930 --> 07:36.900 aby móc pobierać te filmy. 07:36.900 --> 07:40.020 Na koniec należy pamiętać, że istnieją trzy główne typy sieci 07:40.020 --> 07:42.840 VPN: site-to-site, client-to-site i clientless. 07:42.840 --> 07:45.270 Należy również pamiętać, że istnieją dwie metody komunikacji 07:45.270 --> 07:46.410 przy użyciu VPN. 07:46.410 --> 07:48.543 Można użyć pełnego lub podzielonego tunelu.