OpenVPN

Кратко описание

OpenVPN е комерсиален софтуер с отворен код, който реализира техники за създаване на виртуална частна мрежа (VPN) и провизиране на сигурни връзки от точка до точка или между сайтове и локации на дадена организация (site to site VPN) Използва SSL / TLS за обмен на ключове. Работи добре и преминава пре NAT. 

OpenVPN позволява на участниците в комуникацията (независимо дали  клиент/сървър или сървър/сървър топология) да се удостоверяват взаимно, като използват предварително споделени секретни ключове, сертификати или потребителско име / парола. 

OpenVPN работи като самостоятелен сървър под дадена операционна система или като елемент от мрежови аплайънс (обикновено файъруол) като PfSense. В тези случаи има и добра интеграция със системи за генериране на ключове и сертификати, потребители, както и механизъми за разпространението на сертификати и ключове.

Разработен е и активно се поддържа за платформи като: 

• Windows
• Linux
• Solaris
• OpenBSD
• FreeBSD
• NetBSD
• QNX
• MacOS
• Android
• IOS

Подходящ за:

• Целият спектър възможни приложения за играждане на VPN
  • От изграждане на персонално VPN решение 
  • До изграждане на хетерогенна виртуална инфраструктура на организация с много локации и/или използване на ресурси в публични и частни клауд инфраструктури

Неподходящ за:

• Практически няма сценарий, който не може да изпълни, макар да липсват някои улеснения, които се предлагат от комерсиалните решения

За повече информация:

• OpenVPN – Website
• OpenVPN – WIkipedia

Защо OpenVPN:

• Зрял проект с дългогодишно развитие и широка база от разработчици 
• Предлага пълна функционалност в основна безплатна версия
• Има комерсиална поддръжка, както и достатъчно подробна и надеждна поддръжка от общността на потребителите
• Предлагат се завършени решения – интеграция на OpenVPN с firewall решения като PfSense 
• Скалируемо решение – клъстер за постигане на висока производителност и отказоустойчивост
• Много добра документация

Недостатъци:

• Многото възможности на OpeVPN, го правят комплексен и сложен за конфигурация и поддръжка продукт
  • В тази връзка и ако използването на комерсиалните OpenVPN сървъри не е вариант, то подходящо решение е PfSense

Оценка на необходимите ресурси при внедряване:

• Инсталацията на OpenVPN и базовата функционалност като VPN сървър е лесна, не изисква особена експертиза и има множество добре написани инструкции и видео материали по темата
• За разширена функционалност и комплексна инфраструктура е необходима експертиза за мрежова сигурност и системна администрация
• Поддържа се всякакъв хардуер – т.е. в зависимост от нуждите може да се използва наличен или специализиран хардуер за постигане на висока производителност
  
  • Следва да се има предвид необходимостта от използване на по-модерни процесори (поддържащи AES-NI  набор от инструкции) при необходимост от поддръжка на криптирани потоци с висока скорост
  • При необходимост от поддържане на голям брой едновременно работещи потребители – по-добър вариант е провизиране на повече VPN сървъри работещи върху един физически сървър, отколкото инсталация върху много отделни сървъри

Степен на завършеност на решението:

• Напълно завършено решение

Съвети към IT мениджъра:

• Тъй като експлоатацията на OpenVPN предполага по-високо ниво на познания в областта на мрежовата защита, наличието на минимално необходимата квалификация в екипа е задължителна

• Постигането на желаната производителност е следствие от добро проектиране, изпълнение и правилна експлоатация
• Добре се виртуализира и може да се използва за изграждане на хетерогенна виртуална инфраструктура на организация с много локации и/или използване на ресурси в публични и частни клауд инфраструктури
• Никога не считайте, че използването на каквато и да е технология за защита, е достатъчна за сигурността на организацията. Сигурността е процес, а не само технология.