Informasi Teknis tentang VPN di MWN

Informasi Teknis tentang VPN di MWN – Layanan VPN dari Munich Scientific Network (MWN) didasarkan pada standar IPSec, yang menawarkan keamanan tinggi berkat enkripsi data.

Informasi Teknis tentang VPN di MWN

fipe.net – Untuk dapat menggunakan layanan ini, nama pengguna akses yang valid (nama pengguna RADIUS) diperlukan. Program klien khusus harus digunakan; ini tersedia gratis untuk pengguna Pusat Komputer Leibniz.

Baca Juga : 5 Protokol VPN Umum Dijelaskan

Persyaratan

Nama pengguna akses yang valid (nama pengguna RADIUS) diperlukan untuk membuat jaringan pribadi virtual (VPN). Program klien khusus diperlukan untuk implementasi teknis “jaringan pribadi”; untuk sebagian besar sistem operasi, ini tersedia gratis untuk pengguna LRZ.

Deskripsi teknis

Keamanan data

Menggunakan VPN, koneksi kedua (terowongan) dibuat melalui koneksi IP yang ada. Koneksi ini merutekan seluruh lalu lintas data melintasi komputer khusus, server VPN. IPsec dan SSLVPN digunakan dan menjamin keamanan yang diperlukan untuk mencegah akses tidak sah dan perlindungan data melalui enkripsi. Hanya penerima yang dapat mendekripsi data terenkripsi.

SSLVPN

Cluster server SSLVPN diakses melalui alamat asa-cluster.lrz.de. Cluster saat ini terdiri dari empat ASA5540 yang sama yang juga menawarkan layanan IPsec. Koneksi VPN dapat membangun hingga tiga koneksi tunggal, satu saluran kontrol, satu koneksi data SSL-TCP dan, jika mungkin, koneksi data DTLS-UDP-latensi rendah. Keaslian server diperiksa dengan sertifikat.

IPsec

Server VPN ipsec.lrz.de(alamat IP: 129.187.254.28) terdiri dari empat perangkat. Keempat perangkat Cisco ASA5540 bekerja dengan protokol IPsec, yang menjelaskan pembentukan koneksi Internet yang aman. Mereka mengenkripsi data sesuai dengan standar 3DES (168 bit) di perangkat keras. Kata sandi grup, yang disebut kunci yang dibagikan sebelumnya , yang dimiliki semua pengguna, digunakan untuk memeriksa akses ke server VPN. Itu disimpan dalam file konfigurasi dalam bentuk terenkripsi. Masuk kemudian lanjutkan dengan cara biasa dengan memasukkan nama pengguna RADIUS

Alamat IP, nama domain

Secara default, alamat IP global ditetapkan. Ini milik salah satu dari beberapa kumpulan alamat, tergantung pada lembaga tempat pengguna menjadi anggota. Nama pengguna menunjukkan ke lembaga mana pengguna berada. Untuk melindungi dari serangan dari Internet, dimungkinkan juga untuk meminta alamat IP pribadi (RFC 1918), yang hanya dirutekan dalam MWN.

Untuk alamat pribadi, # (hash) harus ditempatkan di depan nama pengguna saat otentikasi. Semua layanan MWN internal beroperasi dengan alamat pribadi; alamat global hanya diperlukan untuk layanan eksternal khusus, seperti ICQ atau perpesanan. Jika Anda terhubung dari luar MWN melalui VPN, hanya jaringan di MWN yang diakses melalui terowongan VPN. Ini dapat dinonaktifkan dengan menempatkan tanda “!” di depan nama pengguna.

Asrama siswa

Komputer, yaitu klien, yang sudah memiliki alamat IP pribadi sebelum membuat koneksi VPN diberikan alamat IP resmi di dalam VPN. Klien di asrama mahasiswa adalah pengecualian untuk ini; klien ini selalu menerima alamat IP pribadi.

alamat IPv6

Topi AnyConnect VPN-Client dibangun dengan kemampuan IPv6. Untuk klien IPsec-lecacy: Jika layanan isatap ditentukan pada klien, komputer juga menerima alamat IPv6. Untuk informasi lebih lanjut, kunjungi http://www.lrz.de/services/netz/ipv6/isatap1/index.html. Setiap alamat juga diberi nama host dalam bentuk xxx.subdomain.vpn.lrz.de.

Perutean (transfer data)

Pengguna VPN di Jaringan Ilmiah Munich : untuk pengguna di dalam MWN, baik yang menggunakan LAN nirkabel atau sambungan data publik, seluruh lalu lintas data selalu dirutekan melalui server VPN.

Dari rumah atau melalui Internet: dalam kasus pengguna masuk dari rumah atau dari tempat lain di Internet menggunakan penyedia pihak ketiga, yang disebut tunneling terpisah digunakan. Ini berarti bahwa data dari dan ke alamat-alamat di Internet lainnya dirutekan secara langsung. Ini mencegah perutean ulang data yang tidak perlu melalui server VPN.

Hanya data dari dan ke tujuan di MWN yang dienkripsi dan dikirim melalui terowongan VPN. Di sisi pengguna/klien, tidak diperlukan konfigurasi khusus, perutean diatur secara otomatis. Jaringan pribadi dengan 10.x.x.x, 172.16.x.xdan 192.168.x.xalamat juga dirutekan secara langsung, kecuali jika opsi Allow Local LAN Accessdiaktifkan di klien. Ini memungkinkan akses ke jaringan lokal dari rumah pengguna menggunakan koneksi VPN.

Aplikasi khusus : dengan aplikasi lain, seperti akses ke database, penggunaan klien server terminal atau aplikasi IP telephony (voice over IP, VoIP), mungkin perlu mematikan split tunneling dan mengirim semua data melalui tunnel. Hal ini dilakukan dengan menempatkan tanda seru “!” di depan nama pengguna saat otentikasi.

Server proxy: harap dicatat bahwa, saat menggunakan server proxy di MWN, semua lalu lintas data WWW selalu ditransfer melalui server VPN.

Pembatasan: batasan yang sama berlaku untuk koneksi VPN sehubungan dengan bandwidth dan lalu lintas yang berlebihan seperti untuk gateway NAT Secomat .