În curând vor apărea articole pe site care vorbesc despre anonimatul pe Internet folosind un VPN. Vom configura VPN pe diferite dispozitive. Pentru a nu scrie de fiecare dată în fiecare articol ce este o rețea virtuală privată VPN, am decis să scriu acest articol.

Dacă sunteți interesat de problemele de anonimat pe internet, vă sfătuiesc să citiți articolul „” unde am vorbit despre conexiunile proxy, de ce sunt necesare proxy-uri și ce tipuri există.

În acest articol nu voi săpa adânc. Vă voi spune doar despre cele mai importante lucruri pe care trebuie să le știe o persoană care se gândește la anonimatul pe Internet.

Rețeaua privată virtuală (VPN) este o tehnologie care oferă posibilitatea de a furniza una sau mai multe conexiuni de rețea printr-o altă rețea, cum ar fi Internetul.

Această conexiune ia forma unui tunel criptat care conectează direct computerul utilizatorului și serverul de la distanță, ceea ce permite nu numai, ci și criptarea traficului dvs. Cu alte cuvinte, astfel vei putea descărca orice de oriunde și nimeni nu va ști despre asta.

Tipuri de conexiuni VPN

Puteți configura următoarele tipuri de conexiuni VPN: După cum am spus mai devreme, toate informațiile sunt reduse la minimum necesar. Citiți mai multe în literatura de specialitate.

Rețea privată virtuală PPTP

RRTR- Protocolul de tunel punct la punct este un protocol de tunel punct la punct care va ajuta la stabilirea unui tunel securizat într-o rețea nesecurizată. Este cea mai populară metodă de conectare VPN, dar mulți furnizori de internet blochează astfel de aplicații.

Rețea privată virtuală OpenVPN

OpenVPN- este o implementare gratuită a acestei tehnologii cu furnizarea de cod deschis pentru crearea propriilor canale criptate folosind tipurile „punct-la-punct” sau „server-client”. Acesta din urmă vă permite să utilizați un alt computer ca server VPN. Cu toate acestea, configurarea unui tunel necesită instalarea unui software special, împreună cu cunoștințele necesare pentru a lucra cu acesta.

Rețea privată virtuală L2TP

L2TP(Layer 2 Tunneling Protocol) este cel mai laborios tip de tunel VPN de configurat, dar vă permite să îl creați cu priorități de acces specificate, făcându-l cel mai sigur.

Și, deși VPN-urile nu sunt literalmente anonimizatoare, astăzi majoritatea site-urilor care oferă servicii de proximitate CGI oferă să-și achiziționeze propriul canal VPN. Această tehnologie câștigă amploare, așa că este probabil ca în curând numărul de anonimizatori familiari să fie redus la minimum necesar.

Recent, în lumea telecomunicațiilor a existat un interes crescut pentru rețelele private virtuale (VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative prin conectarea mai ieftină a birourilor de la distanță și a utilizatorilor la distanță prin Internet. Într-adevăr, când comparăm costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele Frame Relay, puteți observa o diferență semnificativă de cost. Cu toate acestea, trebuie menționat că la conectarea rețelelor prin Internet se pune imediat problema securității transmisiei de date, așa că a devenit necesară crearea unor mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN.

În plus, de foarte multe ori o persoană modernă, care își dezvoltă afacerea, trebuie să călătorească mult. Acestea ar putea fi excursii în colțuri îndepărtate ale țării noastre sau în țări străine. Adesea, oamenii au nevoie de acces la informațiile lor stocate pe computerul de acasă sau al companiei. Această problemă poate fi rezolvată prin organizarea accesului de la distanță la ea folosind un modem și o linie. Utilizarea unei linii telefonice are propriile sale caracteristici. Dezavantajele acestei soluții sunt că apelul din altă țară costă foarte mulți bani. Există o altă soluție numită VPN. Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. După părerea mea, tehnologia. VPN-ul are potențialul de a deveni răspândit în întreaga lume.

1. Conceptul și clasificarea rețelelor VPN, construcția acestora

1.1 Ce este un VPN

VPN(eng. Virtual Private Network - rețea privată virtuală) - o rețea logică creată deasupra unei alte rețele, de exemplu Internet. În ciuda faptului că comunicațiile sunt efectuate prin rețele publice folosind protocoale nesigure, criptarea creează canale de schimb de informații care sunt închise pentru cei din afară. VPN vă permite să combinați, de exemplu, mai multe birouri ale unei organizații într-o singură rețea folosind canale necontrolate pentru comunicarea între ele.

În esență, un VPN are multe dintre proprietățile unei linii închiriate, dar este implementat într-o rețea publică, de exemplu. Cu tehnica tunelului, pachetele de date sunt difuzate prin rețeaua publică ca și cum ar fi o conexiune normală punct la punct. Se stabilește un fel de tunel între fiecare pereche emițător-receptor de date - o conexiune logică securizată care permite ca datele dintr-un protocol să fie încapsulate în pachete ale altuia. Principalele componente ale tunelului sunt:

• iniţiator;
• rețea direcționată;
• comutator de tunel;
• unul sau mai multe terminatoare de tunel.

Principiul funcționării VPN în sine nu contrazice tehnologiile și protocoalele de bază ale rețelei. De exemplu, când se stabilește o conexiune de acces la distanță, clientul trimite un flux de pachete standard de protocol PPP către server. În cazul organizării de linii virtuale închiriate între rețelele locale, routerele acestora schimbă și pachete PPP. Cu toate acestea, un aspect fundamental nou este transmiterea pachetelor printr-un tunel securizat organizat într-o rețea publică.

Tunnelarea vă permite să organizați transmiterea pachetelor din acestea protocol într-un mediu logic folosind un alt protocol. Ca urmare, devine posibilă rezolvarea problemelor de interacțiune între mai multe tipuri diferite de rețele, începând cu necesitatea asigurării integrității și confidențialității datelor transmise și terminând cu depășirea neconcordanțelor din protocoalele externe sau schemele de adresare.

Infrastructura de rețea existentă a unei corporații poate fi pregătită pentru utilizarea VPN folosind software sau hardware. Configurarea unei rețele private virtuale poate fi comparată cu așezarea unui cablu într-o rețea globală. De obicei, o conexiune directă între un utilizator de la distanță și un dispozitiv terminal de tunel este stabilită folosind protocolul PPP.

Cea mai comună metodă de creare a tunelurilor VPN este încapsularea protocoalelor de rețea (IP, IPX, AppleTalk etc.) în PPP și apoi încapsularea pachetelor rezultate într-un protocol de tunel. De obicei, acesta din urmă este IP sau (mult mai rar) ATM și Frame Relay. Această abordare se numește tunel de nivel al doilea, deoarece „pasagerul” aici este protocolul de nivel al doilea.

O abordare alternativă de încapsulare a pachetelor de protocol de rețea direct într-un protocol de tunel (cum ar fi VTP) se numește tunelizare Layer 3.

Indiferent ce protocoale sunt folosite sau ce scopuri urmarit la organizarea unui tunel ramane tehnica de bazapractic neschimbat. În mod obișnuit, un protocol este utilizat pentru a stabili o conexiune cu un nod la distanță, iar altul este utilizat pentru a încapsula date și informații de serviciu pentru transmiterea prin tunel.

1.2 Clasificarea rețelelor VPN

Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

1. După tipul de mediu utilizat:

• Rețele VPN securizate. Cea mai comună versiune a rețelelor private private. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, OpenVPN și PPTP.
• Rețele VPN de încredere. Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesară doar rezolvarea problemei creării unei subrețele virtuale în cadrul unei rețele mai mari. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​MPLS și L2TP. Ar fi mai corect să spunem că aceste protocoale transferă sarcina de a asigura securitatea către alții, de exemplu L2TP, de regulă, este utilizat împreună cu IPSec.

2. După metoda de implementare:

• Rețele VPN sub formă de software și hardware special. Implementarea unei rețele VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, un grad ridicat de securitate.
• Rețele VPN ca soluție software. Ei folosesc un computer personal cu software special care oferă funcționalitate VPN.
• Rețele VPN cu o soluție integrată. Funcționalitatea VPN este asigurată de un complex care rezolvă și problemele de filtrare a traficului de rețea, organizarea unui firewall și asigurarea calității serviciului.

3. După scop:

• VPN pentru intranet. Acestea sunt folosite pentru a uni mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise.
• VPN cu acces la distanță. Acestea sunt folosite pentru a crea un canal securizat între un segment de rețea corporativă (birou central sau sucursală) și un singur utilizator care, lucrând acasă, se conectează la resurse corporative de pe un computer de acasă sau, în timpul unei călătorii de afaceri, se conectează la resursele corporative folosind un laptop.
• VPN extranet. Folosit pentru rețelele la care utilizatorii „externi” (de exemplu, clienții sau clienții) se conectează. Nivelul de încredere în aceștia este mult mai scăzut decât în ​​angajații companiei, așa că este necesar să se asigure „linii” speciale de protecție care să împiedice sau să limiteze accesul acestora din urmă la informații deosebit de valoroase, confidențiale.

4. După tipul de protocol:

• Există implementări de rețele private virtuale pentru TCP/IP, IPX și AppleTalk. Dar astăzi există o tendință spre o tranziție generală la protocolul TCP/IP, iar marea majoritate a soluțiilor VPN îl acceptă.

5. După nivelul protocolului de rețea:

• Prin stratul de protocol de rețea bazat pe comparație cu straturile modelului de rețea de referință ISO/OSI.

1.3. Construirea unui VPN

Există diverse opțiuni pentru construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță ai constructorilor VPN. De exemplu, dacă un router funcționează deja la capacitatea sa maximă, atunci adăugarea de tuneluri VPN și aplicarea criptării/decriptării informațiilor poate opri întreaga rețea din cauza faptului că acest router nu va putea face față unui trafic simplu, darămite unui VPN. Experiența arată că cel mai bine este să folosiți echipamente specializate pentru a construi un VPN, dar dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software. Să ne uităm la câteva opțiuni pentru construirea unui VPN.

• VPN bazat pe firewall-uri. Majoritatea furnizorilor de firewall acceptă tunelarea și criptarea datelor. Toate astfel de produse se bazează pe faptul că traficul care trece prin firewall este criptat. Un modul de criptare este adăugat la software-ul firewall în sine. Dezavantajul acestei metode este că performanța depinde de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, trebuie să vă amintiți că o astfel de soluție poate fi utilizată numai pentru rețele mici cu o cantitate mică de informații transferate.
• VPN bazat pe router. O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare acestui router.Un exemplu de echipament pentru construirea VPN pe routere este echipamentul de la Cisco Systems. Începând cu versiunea software IOS 11.3, routerele Cisco acceptă protocoalele L2TP și IPSec. Pe lângă criptarea simplă a traficului, Cisco acceptă alte caracteristici VPN, cum ar fi autentificarea în timpul conexiunii la tunel și schimbul de chei.Pentru a îmbunătăți performanța routerului, poate fi utilizat un modul opțional de criptare ESA. În plus, Cisco System a lansat un dispozitiv specializat pentru VPN, care se numește Cisco 1720 VPN Access Router (router de acces VPN), destinat instalării în companiile mici și mijlocii, precum și în sucursalele organizațiilor mari.
• VPN bazat pe software. Următoarea abordare a construirii unui VPN este doar soluții software. La implementarea unei astfel de soluții se folosește software specializat care rulează pe un computer dedicat și, în cele mai multe cazuri, acționează ca un server proxy. Computerul care rulează acest software poate fi situat în spatele unui firewall.
• VPN bazat pe sistemul de operare al rețelei.Vom analiza soluții bazate pe un sistem de operare de rețea folosind sistemul de operare Windows Microsoft ca exemplu. Pentru a crea un VPN, Microsoft folosește protocolul PPTP, care este integrat în sistemul Windows. Această soluție este foarte atractivă pentru organizațiile care folosesc Windows ca sistem de operare corporativ. Trebuie remarcat faptul că costul unei astfel de soluții este semnificativ mai mic decât costul altor soluții. VPN bazat pe Windows utilizează o bază de utilizatori stocată pe controlerul de domeniu primar (PDC). La conectarea la un server PPTP, utilizatorul este autentificat folosind protocoalele PAP, CHAP sau MS-CHAP. Pachetele transmise sunt încapsulate în pachete GRE/PPTP. Pentru a cripta pachetele, se folosește un protocol non-standard de la Microsoft Point-to-Point Encryption cu o cheie de 40 sau 128 de biți primită în momentul stabilirii conexiunii. Dezavantajele acestui sistem sunt lipsa verificării integrității datelor și incapacitatea de a schimba cheile în timpul conexiunii. Aspectele pozitive sunt ușurința de integrare cu Windows și costul redus.
• VPN bazat pe hardware. Opțiunea de a construi un VPN pe dispozitive speciale poate fi utilizată în rețelele care necesită performanțe ridicate. Un exemplu de astfel de soluție este produsul IPro-VPN de la Radguard. Acest produs folosește criptarea hardware a informațiilor transmise, capabilă să transmită un flux de 100 Mbit/s. IPro-VPN acceptă protocolul IPSec și mecanismul de gestionare a cheilor ISAKMP/Oakley. Printre altele, acest dispozitiv acceptă instrumente de traducere a adreselor de rețea și poate fi completat cu un card special care adaugă funcții de firewall

2. Protocoale VPN

Rețelele VPN sunt construite folosind protocoale pentru tunelarea datelor prin Internetul public, iar protocoalele de tunelizare oferă criptarea datelor și asigură transmisie end-to-end între utilizatori. De regulă, astăzi sunt utilizate următoarele niveluri de protocoale pentru a construi rețele VPN:

• Stratul de legătură de date
• Stratul de rețea
• Stratul de transport.

2.1 Stratul de legătură

La nivelul de legătură de date, pot fi utilizate protocoale de tunel de date L2TP și PPTP, care utilizează autorizarea și autentificarea.

PPTP.

În prezent, cel mai comun protocol VPN este Point-to-Point Tunneling Protocol - PPTP. A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct. În practică, PPP rămâne protocolul de comunicare al sesiunii de conexiune PPTP. PPTP creează un tunel prin rețea către serverul NT al destinatarului și transmite pachete PPP de la utilizatorul de la distanță prin intermediul acestuia. Serverul și stația de lucru folosesc o rețea privată virtuală și nu țin cont de cât de sigur sau accesibil este WAN-ul dintre ele. Terminarea sesiunii inițiate de server, spre deosebire de serverele specializate de acces la distanță, permite administratorilor de rețele locale să mențină utilizatorii de la distanță în limitele de securitate ale Windows Server.

Deși protocolul PPTP se extinde numai la dispozitivele care rulează Windows, acesta oferă companiilor capacitatea de a interacționa cu infrastructurile de rețea existente fără a-și compromite propriile sisteme de securitate. Astfel, un utilizator de la distanță se poate conecta la Internet printr-un ISP local printr-o linie telefonică analogică sau o legătură ISDN și poate stabili o conexiune la serverul NT. În același timp, compania nu trebuie să cheltuiască sume mari pentru organizarea și întreținerea unui pool de modemuri care oferă servicii de acces la distanță.

În cele ce urmează se discută funcționarea RRTR. PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP folosesc portul de destinație pentru a crea o conexiune de control tunel. Acest proces are loc la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii. În plus față de conexiunea de control PPTP care asigură că legătura este operațională, este creată o conexiune pentru a transmite datele prin tunel. Încapsularea datelor înainte de a le trimite printr-un tunel are loc oarecum diferit decât în ​​timpul transmisiei normale. Încapsularea datelor înainte de a le trimite în tunel implică doi pași:

1. În primul rând, este creată partea de informații PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date.
2. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Astfel, în timpul celei de-a doua treceri, datele ajung în stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă a pachetului și preia funcțiile de al doilea strat asociate de obicei cu PPP, adică. adaugă un antet PPP și se termină la un pachet PPTP. Aceasta completează crearea cadrului stratului de legătură.

Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, GRE nu are capacitatea de a stabili sesiuni și de a proteja datele de intruși. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Sistemul de trimitere trimite date prin tunel. Sistemul de recepție elimină toate anteturile de supraîncărcare, lăsând doar datele PPP.

L2TP

În viitorul apropiat, este de așteptat o creștere a numărului de rețele private virtuale, implementate pe baza noului protocol de tunel de nivel al doilea Layer 2 Tunneling Protocol - L2TP.

L2TP a apărut ca urmare a combinării protocoalelor PPTP și L2F (Layer 2 Forwarding). PPTP permite ca pachetele PPP să fie transmise prin tunel, iar pachetele L2F SLIP și PPP. Pentru a evita confuzia și problemele de interoperabilitate pe piața telecomunicațiilor, Internet Engineering Task Force (IETF) a recomandat ca Cisco Systems să combine PPTP și L2F. Din toate punctele de vedere, L2TP combină cele mai bune caracteristici ale PPTP și L2F. Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețele IP, ci și în ATM, X.25 și Frame Relay. Din păcate, implementarea L2TP în Windows 2000 acceptă doar IP.

L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor. L2TP, așa cum este implementat de Microsoft, utilizează pachete UDP care conțin pachete PPP criptate ca mesaje de control. Fiabilitatea livrării este garantată de controlul secvenței pachetelor.

Funcționalitatea PPTP și L2TP este diferită. L2TP poate fi folosit nu numai în rețelele IP; mesajele de serviciu pentru crearea unui tunel și trimiterea de date prin acesta folosesc același format și protocoale. PPTP poate fi utilizat numai pe rețele IP și necesită o conexiune TCP separată pentru a crea și utiliza tunelul. L2TP prin IPSec oferă mai multe straturi de securitate decât PPTP și poate garanta securitatea aproape 100% pentru datele critice ale organizației dumneavoastră. Caracteristicile L2TP îl fac un protocol foarte promițător pentru construirea de rețele virtuale.

Protocoalele L2TP și PPTP diferă de protocoalele de tunel de nivel al treilea printr-o serie de caracteristici:

1. Oferirea corporațiilor posibilitatea de a alege în mod independent metoda de autentificare a utilizatorilor și de verificare a acreditărilor - pe propriul „teritoriu” sau cu un furnizor de servicii de internet. Prin procesarea pachetelor PPP tunelizate, serverele de rețea corporative primesc toate informațiile necesare pentru a identifica utilizatorii.
2. Suport pentru comutarea tunelului - terminarea unui tunel și inițierea altuia la unul dintre multele terminatoare potențiale. Comutarea tunelului vă permite să extindeți conexiunea PPP la punctul final necesar.
3. Permite administratorilor de rețele corporative să implementeze strategii de control al accesului utilizatorilor direct pe firewall și serverele interne. Deoarece terminatorii de tunel primesc pachete PPP care conțin informații despre utilizator, aceștia sunt capabili să aplice politici de securitate definite de administrator pentru traficul utilizatorului individual. (Tunelingul de nivel al treilea nu permite distingerea pachetelor care provin de la furnizor, astfel încât filtrele de politică de securitate trebuie aplicate stațiilor de lucru și dispozitivelor de rețea finale.) În plus, dacă utilizați un comutator de tunel, devine posibilă organizarea unei „continuări” a tunelul al doilea nivel pentru transmiterea directă a traficului individualutilizatorii către serverele interne corespunzătoare. Astfel de servere pot fi însărcinate cu filtrarea suplimentară a pachetelor.

MPLS

De asemenea, la nivelul legăturii de date, tehnologia MPLS poate fi utilizată pentru organizarea tunelurilor ( Din engleza Multiprotocol Label Switching - comutare multiprotocol label - un mecanism de transfer de date care emulează diferite proprietăți ale rețelelor cu comutare de circuite peste rețelele cu comutare de pachete). MPLS operează la un strat care ar putea fi poziționat între stratul de legătură de date și al treilea strat de rețea al modelului OSI și, prin urmare, este denumit în mod obișnuit protocol de nivel de legătură de date. A fost conceput pentru a oferi un serviciu de date universal atât pentru clienții de rețea cu comutare de circuite, cât și pentru cei cu comutare de pachete. MPLS poate transporta o mare varietate de trafic, cum ar fi pachete IP, ATM, SONET și cadre Ethernet.

Soluțiile pentru organizarea VPN la nivel de link au un domeniu de aplicare destul de limitat, de obicei în domeniul furnizorului.

2.2 Stratul de rețea

Stratul de rețea (stratul IP). Este utilizat protocolul IPSec, care implementează criptarea și confidențialitatea datelor, precum și autentificarea abonaților. Utilizarea protocolului IPSec permite un acces complet echivalent cu o conexiune fizică la rețeaua corporativă. Pentru a stabili un VPN, fiecare participant trebuie să configureze anumiți parametri IPSec, de ex. Fiecare client trebuie să aibă software care implementează IPSec.

IPSec

Desigur, nicio companie nu ar dori să se transfere în mod deschis Internet financiar sau alte informații confidențiale. Canalele VPN sunt protejate de algoritmi de criptare puternici bazați pe standardele de protocol de securitate IPsec. IPSec sau Internet Protocol Security - un standard ales de comunitatea internațională, IETF - Internet Engineering Task Force, creează cadrul de securitate pentru Internet Protocol (protocolul IP/IPSec asigură securitate la nivel de rețea și necesită suport pentru standardul IPSec doar de la dispozitivele care comunică între ele de ambele părți ale conexiunii. Toate celelalte dispozitive situate între ele pur și simplu asigură trafic de pachete IP.

Metoda de interacțiune între persoane care utilizează tehnologia IPSec este de obicei definită prin termenul „asociere sigură” - Asociația de securitate (SA). O asociere sigură funcționează pe baza unui acord între părți, care folosesc IPSec pentru a proteja informațiile transmise reciproc. Acest acord reglementează mai mulți parametri: adrese IP ale expeditorului și destinatarului, algoritmul criptografic, ordinea de schimb de chei, dimensiunile cheilor, durata de viață a cheii, algoritmul de autentificare.

IPSec este un set consistent de standarde deschise cu un nucleu care poate fi extins cu ușurință cu noi caracteristici și protocoale. Nucleul IPSec este format din trei protocoale:

· UN sau Authentication Header - antet de autentificare - garantează integritatea și autenticitatea datelor. Scopul principal al protocolului AH este acela că permite părții de recepție să se asigure că:

• pachetul a fost trimis de o parte cu care s-a stabilit o asociere sigură;
• conținutul pachetului nu a fost distorsionat în timpul transmiterii acestuia prin rețea;
• pachetul nu este un duplicat al unui pachet deja primit.

Primele două funcții sunt obligatorii pentru protocolul AH, iar ultima este selectată opțional la stabilirea unei asocieri. Pentru a îndeplini aceste funcții, protocolul AH utilizează un antet special. Structura sa este considerată conform următoarei scheme:

1. Următorul câmp de antet indică codul protocolului de nivel superior, adică protocolul al cărui mesaj se află în câmpul de date al pachetului IP.
2. Câmpul pentru lungimea sarcinii utile conține lungimea antetului AH.
3. Indexul parametrilor de securitate (SPI) este utilizat pentru a asocia un pachet cu asocierea de securitate intenționată.
4. Câmpul Număr de secvență (SN) indică numărul de secvență al pachetului și este utilizat pentru a proteja împotriva falsificării (atunci când o terță parte încearcă să refolosească pachetele securizate interceptate trimise de expeditorul real autentificat).
5. Câmpul de date de autentificare, care conține așa-numita valoare de verificare a integrității (ICV), este utilizat pentru autentificarea și verificarea integrității pachetului. Această valoare, numită și digest, este calculată folosind una dintre cele două funcții ireversibile din punct de vedere computațional MD5 sau SAH-1 care sunt cerute de protocolul AH, dar poate fi utilizată orice altă funcție.

· ESP sau sarcină utilă de securitate încapsulată- încapsularea datelor criptate - criptează datele transmise, asigurând confidențialitatea, poate suporta și autentificarea și integritatea datelor;

Protocolul ESP rezolvă două grupuri de probleme.

1. Prima include sarcini similare cu cele ale protocolului AH - asigurarea autentificării și integrității datelor pe baza rezumatului,
2. Al doilea este datele transmise prin criptarea lor de la vizualizare neautorizată.

Antetul este împărțit în două părți, separate printr-un câmp de date.

1. Prima parte, numită antetul ESP în sine, este formată din două câmpuri (SPI și SN), al căror scop este similar cu câmpurile cu același nume din protocolul AH și este plasat înaintea câmpului de date.
2. Câmpurile de serviciu de protocol ESP rămase, numite trailer ESP, sunt situate la sfârșitul pachetului.

Cele două câmpuri de trailer - antetul următor și datele de autentificare - sunt similare cu câmpurile antetului AH. Câmpul Date de autentificare este absent dacă se ia decizia de a nu folosi capacitățile de integritate ale protocolului ESP la stabilirea unei asocieri sigure. Pe lângă aceste câmpuri, remorca conține două câmpuri suplimentare - umplere și lungime de umplere.

Protocoalele AH și ESP pot proteja datele în două moduri:

1. în transport - transmisia se realizează cu anteturi IP originale;
2. într-un tunel - pachetul original este plasat într-un nou pachet IP și transmisia se realizează cu anteturi noi.

Utilizarea unui mod sau altuia depinde de cerințele pentru protecția datelor, precum și de rolul jucat în rețea de nodul care încheie canalul securizat. Astfel, un nod poate fi o gazdă (nod final) sau o poartă (nod intermediar).

În consecință, există trei scheme pentru utilizarea protocolului IPSec:

1. gazdă-gazdă;
2. gateway-gateway;
3. poarta gazdă.

Capacitățile protocoalelor AH și ESP se suprapun parțial: protocolul AH este responsabil doar pentru asigurarea integrității și autentificarea datelor, protocolul ESP poate cripta datele și, în plus, poate îndeplini funcțiile protocolului AH (într-o formă redusă). ). Un ESP poate suporta funcții de criptare și autentificare/integritate în orice combinație, adică fie întregul grup de funcții, numai autentificare/integritate, fie numai criptare.

· IKE sau Internet Key Exchange - Schimb de chei pe Internet - rezolvă sarcina auxiliară de a furniza automat punctelor terminale ale unui canal securizat cheile secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.

2.3 Stratul de transport

Stratul de transport utilizează protocolul SSL/TLS sau Secure Socket Layer/Transport Layer Security, care implementează criptarea și autentificarea între straturile de transport ale receptorului și ale transmițătorului. SSL/TLS poate fi folosit pentru a securiza traficul TCP, dar nu poate fi folosit pentru a securiza traficul UDP. Pentru a opera un VPN bazat pe SSL/TLS, nu este nevoie să implementați software special, deoarece fiecare browser și client de e-mail este echipat cu aceste protocoale. Datorită faptului că SSL/TLS este implementat la nivelul transportului, se stabilește o conexiune securizată „end-to-end”.

Protocolul TLS se bazează pe protocolul Netscape SSL versiunea 3.0 și constă din două părți - Protocolul de înregistrare TLS și Protocolul TLS Handshake. Diferențele dintre SSL 3.0 și TLS 1.0 sunt minore.

SSL/TLS include trei faze principale:

1. Dialog între părți, al cărui scop este selectarea unui algoritm de criptare;
2. Schimb de chei bazat pe criptosisteme cu chei publice sau autentificare bazată pe certificate;
3. Transfer de date criptate folosind algoritmi de criptare simetrică.

2.4 Implementare VPN: IPSec sau SSL/TLS?

Managerii departamentelor IT se confruntă adesea cu întrebarea: ce protocol să aleagă pentru construirea unei rețele VPN corporative? Răspunsul nu este evident, deoarece fiecare abordare are atât argumente pro, cât și dezavantaje. Vom încerca să conducem și să identificăm când este necesar să folosim IPSec și când SSL/TLS. După cum se poate observa din analiza caracteristicilor acestor protocoale, acestea nu sunt interschimbabile și pot funcționa atât separat, cât și în paralel, definind caracteristicile funcționale ale fiecăruia dintre VPN-urile implementate.

Alegerea protocolului pentru construirea unei rețele VPN corporative se poate face în funcție de următoarele criterii:

· Tipul de acces necesar pentru utilizatorii VPN.

1. Conexiune complet funcțională, permanentă la rețeaua corporativă. Alegerea recomandată este protocolul IPSec.
2. O conexiune temporară, de exemplu, de către un utilizator mobil sau un utilizator care utilizează un computer public, pentru a obține acces la anumite servicii, cum ar fi e-mailul sau o bază de date. Alegerea recomandată este protocolul SSL/TLS, care vă permite să organizați un VPN pentru fiecare serviciu individual.

· Dacă utilizatorul este angajat al companiei.

1. Dacă utilizatorul este angajat al unei companii, dispozitivul pe care îl folosește pentru a accesa rețeaua corporativă prin VPN IPSec poate fi configurat într-un mod specific.
2. Dacă utilizatorul nu este angajat al companiei la care este accesată rețeaua corporativă, se recomandă utilizarea SSL/TLS. Acest lucru va limita accesul oaspeților numai la anumite servicii.

· Care este nivelul de securitate al rețelei corporative.

1. Înalt. Alegerea recomandată este protocolul IPSec. Într-adevăr, nivelul de securitate oferit de IPSec este mult mai mare decât cel oferit de protocolul SSL/TLS datorită utilizării software-ului configurabil pe partea utilizatorului și a unui gateway de securitate pe partea rețelei corporative.
2. In medie. Alegerea recomandată este protocolul SSL/TLS, care permite accesul de pe orice terminal.

· Nivelul de securitate al datelor transmise de utilizator.

1. Înalt, de exemplu, managementul companiei. Alegerea recomandată este protocolul IPSec.
2. Mediu, de exemplu, partener. Alegerea recomandată este protocolul SSL/TLS.

În funcție de serviciu - de la mediu la mare. Alegerea recomandată este o combinație a protocoalelor IPSec (pentru serviciile care necesită un nivel ridicat de securitate) și SSL/TLS (pentru servicii care necesită un nivel mediu de securitate).

· Ce este mai important, implementarea rapidă a VPN sau scalabilitatea viitoare a soluției.

1. Implementați rapid o rețea VPN la costuri minime. Alegerea recomandată este protocolul SSL/TLS. În acest caz, nu este nevoie să implementați software special din partea utilizatorului, ca în cazul IPSec.
2. Scalabilitatea rețelei VPN - adăugarea accesului la diverse servicii. Alegerea recomandată este protocolul IPSec, care permite accesul la toate serviciile și resursele rețelei corporative.
3. Implementare rapidă și scalabilitate. Alegerea recomandată este o combinație de IPSec și SSL/TLS: utilizarea SSL/TLS în prima etapă pentru a accesa serviciile necesare, urmată de implementarea IPSec.

3. Metode de implementare a rețelelor VPN

O rețea privată virtuală se bazează pe trei metode de implementare:

· Tunele;

· Criptare;

· Autentificare.

3.1 Tunele

Tunnelarea asigură transferul de date între două puncte - capetele tunelului - astfel încât întreaga infrastructură de rețea aflată între ele să fie ascunsă de sursa și receptorul datelor.

Mijlocul de transport al tunelului, ca un feribot, preia pachete din protocolul de rețea folosit la intrarea în tunel și le livrează neschimbate la ieșire. Construirea unui tunel este suficientă pentru a conecta două noduri de rețea, astfel încât, din punctul de vedere al software-ului care rulează pe ele, acestea să pară conectate la aceeași rețea (locală). Totuși, nu trebuie să uităm că de fapt „fericul” cu date trece prin multe noduri intermediare (routere) ale unei rețele publice deschise.

Această stare de fapt pune două probleme. Primul este că informațiile transmise prin tunel pot fi interceptate de atacatori. Dacă este confidențial (numere de card bancar, situații financiare, informații personale), atunci amenințarea compromiterii sale este destul de reală, ceea ce în sine este neplăcut. Și mai rău, atacatorii au capacitatea de a modifica datele transmise prin tunel, astfel încât destinatarul să nu poată verifica autenticitatea acestora. Consecințele pot fi cele mai grave. Ținând cont de cele de mai sus, ajungem la concluzia că tunelul în forma sa pură este potrivit doar pentru unele tipuri de jocuri pe computer în rețea și nu poate pretinde că este folosit mai în serios. Ambele probleme sunt rezolvate prin mijloace moderne de protecție a informațiilor criptografice. Pentru a preveni modificarea neautorizată a pachetului de date pe măsură ce acesta traversează tunel, se utilizează metoda semnăturii digitale electronice (). Esența metodei este că fiecare pachet transmis este furnizat cu un bloc suplimentar de informații, care este generat în conformitate cu un algoritm criptografic asimetric și este unic pentru conținutul pachetului și cheia secretă a semnăturii digitale a expeditorului. Acest bloc de informații este semnătura digitală a coletului și permite ca datele să fie autentificate de către destinatar, care cunoaște cheia publică a semnăturii digitale a expeditorului. Protecția datelor transmise prin tunel împotriva vizualizării neautorizate se realizează prin utilizarea unor algoritmi puternici de criptare.

3.2 Autentificare

Securitatea este funcția principală a unui VPN. Toate datele de la computerele client trec prin Internet către serverul VPN. Un astfel de server poate fi situat la o distanță mare de computerul client, iar datele pe drumul către rețeaua organizației trec prin echipamentele multor furnizori. Cum pot să mă asigur că datele nu au fost citite sau modificate? Pentru aceasta, sunt folosite diverse metode de autentificare și criptare.

PPTP poate folosi oricare dintre protocoalele utilizate pentru PPP pentru a autentifica utilizatorii

• EAP sau Extensible Authentication Protocol;
• Protocolul de autentificare MSCHAP sau Microsoft Challenge Handshake (versiunile 1 și 2);
• CHAP sau Protocolul de autentificare prin strângere de mână Challenge;
• Protocolul de autentificare prin parolă SPAP sau Shiva;
• PAP sau Protocolul de autentificare cu parolă.

Cele mai bune protocoale sunt MSCHAP versiunea 2 și Transport Layer Security (EAP-TLS), deoarece oferă autentificare reciprocă, de exemplu. Serverul VPN și clientul se identifică reciproc. În toate celelalte protocoale, doar serverul autentifică clienții.

Deși PPTP oferă un grad suficient de securitate, L2TP prin IPSec este mai fiabil. L2TP prin IPSec oferă autentificare la nivel de utilizator și computer și, de asemenea, realizează autentificare și criptare a datelor.

Autentificarea se realizează fie printr-un test deschis (parolă cu text clar), fie printr-o schemă de provocare/răspuns. Totul este clar cu textul direct. Clientul trimite serverului o parolă. Serverul compară acest lucru cu standardul și fie refuză accesul, fie spune „bun venit”. Autentificarea deschisă nu se vede aproape niciodată.

Schema cerere/răspuns este mult mai avansată. In general arata asa:

• clientul trimite serverului o cerere de autentificare;
• serverul returnează un răspuns aleator (provocare);
• clientul ia un hash din parola sa (un hash este rezultatul unei funcții hash care convertește o matrice de date de intrare de lungime arbitrară într-un șir de biți de ieșire de lungime fixă), criptează răspunsul cu acesta și îl transmite serverului;
• serverul face același lucru, comparând rezultatul primit cu răspunsul clientului;
• dacă răspunsul criptat se potrivește, autentificarea este considerată reușită;

În primul pas de autentificare a clienților și serverelor VPN, L2TP prin IPSec utilizează certificate locale obținute de la o autoritate de certificare. Clientul și serverul schimbă certificate și creează o conexiune securizată ESP SA (asociație de securitate). După ce L2TP (peste IPSec) finalizează procesul de autentificare a computerului, se realizează autentificarea la nivel de utilizator. Pentru autentificare, puteți folosi orice protocol, chiar și PAP, care transmite numele de utilizator și parola în text clar. Acest lucru este destul de sigur, deoarece L2TP prin IPSec criptează întreaga sesiune. Cu toate acestea, efectuarea autentificării utilizatorului folosind MSCHAP, care utilizează diferite chei de criptare pentru a autentifica computerul și utilizatorul, poate îmbunătăți securitatea.

3.3. Criptare

Criptarea PPTP asigură că nimeni nu vă poate accesa datele în timp ce acestea sunt trimise prin Internet. În prezent, există două metode de criptare acceptate:

• MPPE sau Microsoft Point-to-Point Encryption este compatibil doar cu MSCHAP (versiunile 1 și 2);
• EAP-TLS poate selecta automat lungimea cheii de criptare atunci când negociază parametrii între client și server.

MPPE acceptă chei cu lungimi de 40, 56 sau 128 de biți. Sistemele de operare Windows mai vechi acceptă doar criptarea cu lungimea cheii de 40 de biți, așa că într-un mediu Windows mixt ar trebui să alegeți lungimea minimă a cheii.

PPTP modifică valoarea cheii de criptare după fiecare pachet primit. Protocolul MMPE a fost conceput pentru legăturile de comunicație punct la punct în care pachetele sunt transmise secvenţial și există foarte puţine pierderi de date. În această situație, valoarea cheii pentru următorul pachet depinde de rezultatele decriptării pachetului anterior. Atunci când se construiesc rețele virtuale prin rețele publice, aceste condiții nu pot fi îndeplinite, deoarece pachetele de date ajung adesea la destinatar într-o secvență diferită de cea în care au fost trimise. Prin urmare, PPTP utilizează numere de secvență de pachete pentru a schimba cheia de criptare. Acest lucru permite decriptarea să fie efectuată indiferent de pachetele primite anterioare.

Ambele protocoale sunt implementate atât în ​​Microsoft Windows, cât și în afara acestuia (de exemplu, în BSD), algoritmii de operare VPN pot diferi semnificativ.

Astfel, combinația „tunel + autentificare + criptare” vă permite să transferați date între două puncte printr-o rețea publică, simulând funcționarea unei rețele private (locale). Cu alte cuvinte, instrumentele luate în considerare vă permit să construiți o rețea privată virtuală.

Un efect suplimentar plăcut al unei conexiuni VPN este posibilitatea (și chiar necesitatea) utilizării sistemului de adresare adoptat în rețeaua locală.

Implementarea unei rețele private virtuale în practică arată astfel: Un server VPN este instalat în rețeaua locală de calculatoare a biroului companiei. Utilizatorul de la distanță (sau routerul, dacă conectează două birouri) care utilizează software-ul client VPN inițiază procedura de conectare cu serverul. Are loc autentificarea utilizatorului - prima fază a stabilirii unei conexiuni VPN. Dacă autoritatea este confirmată, începe a doua fază - detaliile de asigurare a securității conexiunii sunt convenite între client și server. După aceasta, se organizează o conexiune VPN, asigurând schimbul de informații între client și server în forma în care fiecare pachet de date trece prin proceduri de criptare/decriptare și verificare a integrității - autentificarea datelor.

Principala problemă a rețelelor VPN este lipsa standardelor stabilite pentru autentificare și schimbul de informații criptate. Aceste standarde sunt încă în curs de dezvoltare și, prin urmare, produsele de la diferiți producători nu pot stabili conexiuni VPN și nu pot schimba automat cheile. Această problemă implică o încetinire a răspândirii VPN-urilor, deoarece este dificil să forțați diferite companii să folosească produsele unui producător și, prin urmare, procesul de combinare a rețelelor companiilor partenere în așa-numitele rețele extranet este dificil.

Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. Dezavantajul tehnologiei VPN este că instrumentele de construire VPN nu sunt mijloace cu drepturi depline de detectare și blocare a atacurilor. Ele pot preveni o serie de acțiuni neautorizate, dar nu toate posibilitățile care pot fi folosite pentru a pătrunde într-o rețea corporativă. Dar, în ciuda tuturor acestor lucruri, tehnologia VPN are perspective de dezvoltare ulterioară.

La ce ne putem aștepta în ceea ce privește dezvoltarea tehnologiei VPN în viitor? Fără îndoială, va fi dezvoltat și aprobat un standard unificat pentru construirea unor astfel de rețele. Cel mai probabil, baza acestui standard va fi protocolul IPSec deja dovedit. În continuare, producătorii se vor concentra pe îmbunătățirea performanței produselor lor și pe crearea unor instrumente de management VPN ușor de utilizat. Cel mai probabil, dezvoltarea instrumentelor de construire a VPN va merge în direcția VPN-urilor bazate pe router, deoarece această soluție combină performanțe destul de ridicate, integrarea VPN și rutare într-un singur dispozitiv. Cu toate acestea, se vor dezvolta și soluții low-cost pentru organizațiile mici. În concluzie, trebuie spus că, în ciuda faptului că tehnologia VPN este încă foarte tânără, are un viitor mare în față.

Lasă comentariul tău!

Dacă sunteți în viață, ați accesat internetul în 2017 și nu locuiți pe o insulă pustie, atunci probabil că ați auzit termenul „VPN” de mai multe ori sau de două ori. Dacă încă nu știi ce este, de ce este nevoie și cum îmbunătățește viața (și calitatea muncii pe internet în special), atunci noi, echipa site-ului vpnMentor, vom fi bucuroși să organizăm un program educațional pentru tine. . Începem?

Ce este un VPN?

VPN (din engleză Virtual Private Network - virtual private network) este o tehnologie specială pentru crearea unei conexiuni de rețea sigure pe o rețea publică (același Internet) sau privată. Toată lumea și orice, de la companii mari până la agenții guvernamentale, utilizează această tehnologie pentru a oferi conexiuni sigure la infrastructura lor pentru utilizatori la distanță.

Există literalmente zeci de servicii VPN pe Internet care vă pot ajuta să vă conectați online în siguranță și în siguranță pentru 5-10 USD pe lună. Acest lucru vă va permite să vă criptați în siguranță datele personale și tot ceea ce faceți pe Internet. În plus, majoritatea sistemelor de operare au suportat de mult timp conexiuni VPN și există, de asemenea, versiuni (și/sau gratuite) de VPN-uri plătite.

De ce aveți nevoie de un serviciu VPN?

Rețelele publice au devenit prea periculoase pentru utilizatorul obișnuit - există hackeri, atacuri și sniffer peste tot care încearcă să vă fure datele. Așadar, de ce să mănânci un cactus și să plângi (citiți, continuați să utilizați rețelele publice și să sperați la ce este mai bun) când puteți face lucrul inteligent și utilizați un serviciu VPN?

Inițial, tehnologiile VPN au fost dezvoltate astfel încât angajații corporativi să se poată conecta la rețelele locale ale companiei în timp ce sunt acasă. Acum, conexiunile VPN sunt folosite în principal în cazurile în care oamenii doresc să-și ascundă activitatea de pe internet de privirile indiscrete ale străinilor, asigurându-le astfel confidențialitatea online și ocolind blocarea accesului la conținut (atât local, cât și național). Alte scopuri pentru utilizarea serviciilor VPN includ protejarea împotriva hackerilor atunci când lucrați pe rețele WiFi publice și ocolirea site-urilor de geo-blocare (pentru a accesa conținut disponibil numai în anumite regiuni).

Cum funcționează un VPN?

Un firewall protejează datele de pe computerul dvs., în timp ce un VPN vă protejează datele online. Din punct de vedere tehnic, un VPN este o rețea WAN (Wide Area Network) care oferă același nivel de securitate și funcționalitate ca o rețea privată. Există două tipuri de conexiuni VPN: acces la distanță (calculatorul se conectează la rețea) și de la rețea la rețea.

Când navighezi pe web fără un VPN, te conectezi la serverul ISP-ului tău, care, la rândul său, te conectează la site-ul dorit. Aceasta înseamnă că tot traficul dvs. de Internet trece prin serverele furnizorului, iar furnizorul, în consecință, vă poate monitoriza traficul.

Când vă conectați printr-un server VPN, traficul dvs. trece printr-un „tunel” criptat de acolo. Aceasta înseamnă că doar tu și serverul VPN aveți acces la traficul dvs. Cu toate acestea, merită remarcat faptul că există o anumită diferență între confidențialitate și anonimat. Utilizarea unui serviciu VPN nu te face anonim, deoarece serviciul tău VPN știe exact cine ești și poate vizualiza date despre activitatea ta online. Dar un serviciu VPN vă oferă confidențialitate atunci când lucrați online - cu alte cuvinte, ISP-ul dvs., profesorii, directorul sau chiar guvernul dvs. nu vă vor mai putea spiona. Pentru a vă asigura că un serviciu VPN vă poate proteja cu adevărat, este extrem de important să alegeți. Și acest lucru este logic, deoarece dacă un serviciu VPN păstrează jurnalele acțiunilor utilizatorului, atunci autoritățile pot oricând să ceară ca aceste date să le fie transferate, iar în acest caz, datele tale nu vor mai fi doar ale tale.

Cu toate acestea, chiar dacă serviciul pe care îl alegeți nu păstrează jurnalele, poate încă (dacă este necesar) să vă monitorizeze activitățile online în timp real - de exemplu, pentru a remedia probleme tehnice. Și în timp ce majoritatea VPN-urilor „fără înregistrare” promit, de asemenea, să nu vă urmărească activitatea în timp real, în majoritatea țărilor legea permite autorităților să ordone unui serviciu VPN pentru a începe să înregistreze activitatea unui anumit utilizator fără a-i notifica. Cu toate acestea, nu există niciun motiv să vă faceți griji pentru asta... ei bine, doar dacă nu vă ascundeți de agențiile de aplicare a legii care vă caută.

Atunci când alegeți un serviciu VPN, este la fel de important să alegeți un serviciu care să ofere utilizatorilor săi posibilitatea de a utiliza adrese IP partajate (cu alte cuvinte, având în vedere că mulți utilizatori o folosesc pe aceeași în același timp). În acest caz, va fi infinit mai dificil pentru orice terță parte să stabilească că tu ai fost cel care ai efectuat una sau alta acțiune online, și nu altcineva.

Cum să utilizați VPN pe dispozitivele mobile?

VPN este pe deplin acceptat atât pe iOS, cât și pe Android. Un VPN vă poate proteja și atunci când torrenți. Din păcate, aplicațiile mobile pe care le instalezi pe telefonul tău nu au acces doar la adresa ta IP, prin care pot accesa istoricul tuturor activităților tale online, ci și coordonatele tale GPS, lista de contacte, ID-ul App Store și nu numai. Aceste aplicații trimit datele colectate către serverele companiilor lor, ceea ce reduce la zero beneficiul utilizării unei conexiuni VPN.

Și, prin urmare, pentru a profita pe deplin de toate beneficiile conectării la un VPN de pe un dispozitiv mobil, trebuie să accesați site-uri numai prin browsere open source care acceptă moduri private (de exemplu, prin Firefox), și nu prin intermediul special " aplicații native”.

Dacă doriți să aflați mai multe despre utilizarea unui VPN pe dispozitivul dvs. mobil, consultați listele noastre și.

Avantaje și dezavantaje

Pentru a vă ajuta să înțelegeți avantajele și dezavantajele utilizării unui VPN, am pregătit un tabel în care am enumerat principalele avantaje și dezavantaje ale utilizării acestei tehnologii (*alertă spoiler*: conform autorului, avantajele depășesc contra, dar decizia este a ta).

Aspecte legale

Utilizarea serviciilor VPN este rareori ilegală în sine (dar conținutul pe care încercați să îl accesați folosind un VPN poate fi ilegal). Acest lucru este valabil chiar și în țările care blochează accesul la serviciile VPN (China, Siria, Iran). Cu toate acestea, acest lucru nu împiedică unele site-uri să blocheze serviciile VPN.

Cu toate acestea, în iulie 2016, utilizarea unui serviciu VPN în Emiratele Arabe Unite (UAE) A fost considerat ilegal. Violatorii riscau închisoare și amenzi de la 500.000 la 2.000.000 de dirhami (136.130 USD la 544.521 USD). Cu alte cuvinte, dacă intenționați să vizitați Emiratele Arabe Unite, atunci este logic să exersați bunul simț și să vizitați numai site-urile incluse în lista albă.

În ceea ce privește blocarea accesului prin VPN în loc la școala sau serviciul dvs., iată ce ar trebui să luați în considerare: dacă sunteți prins (în rețelele WiFi private și cu o conexiune de tip LAN există întotdeauna o mică șansă), aceștia pot fi pedepsiți în consecință. Cum anume? De exemplu, cu măsuri disciplinare (amenda, suspendare, concediere). Cazul poate fi trimis chiar și la poliție! În general, merită să ne gândim în avans dacă jocul merită lumânarea.

Începutul lucrării

Vestea bună este că există doar o mulțime de servicii VPN care le-ar plăcea să te aibă ca client.

Vestea proastă: este ușor să fii derutat de toate opțiunile oferite.

Când luați o decizie, trebuie să studiați cu atenție problema.

Vizitează articolul nostru despre , citește recenzii online, citește recomandări, explorează-ți opțiunile și abia apoi ia o decizie.

Atunci pune-ți aceste 10 întrebări:

1. Cât voi plăti pentru asta? Serviciile diferite au prețuri diferite, dar de obicei totul se încadrează în intervalul de la 5 USD la 10 USD pe lună. Există și opțiuni gratuite, care sunt descrise mai detaliat în articolul despre.
2. Ce este acest serviciuPolitica de confidențialitate? Am atins acest punct mai devreme: trebuie să vă asigurați că serviciul VPN vă va proteja pe dvs. și datele dvs.
3. Cât de bune sunt măsurile tehnice și de securitate ale serviciului? Va fi capabil să contracareze eficient hackerii și terții care decid să obțină acces la datele mele?
4. Cât este distanța dintre serverele VPN? și serverul la care vreau să mă autent? Acesta este un punct important, deoarece viteza de lucru în rețea este decisă aici. Alți factori care afectează viteza conexiunii includ puterea serverului în sine, lățimea de bandă a canalului și numărul de persoane care accesează serverul în același timp.
5. Câte servere are serviciul și unde sunt amplasate? Dacă trebuie să vizitați diferite site-uri situate pe servere din diferite țări, trebuie să găsiți un serviciu VPN cu un număr mare de locații de server și servere disponibile - acest lucru vă va crește foarte mult șansele de a avea o conexiune de succes.
6. Câte dispozitive pot folosi în același timp? Serviciile VPN acceptă aproape toate tipurile de computere, inclusiv desktop-uri, laptop-uri, laptop-uri, smartphone-uri și tablete. Unele servicii vă vor permite să conectați un singur dispozitiv la serverele lor odată, în timp ce altele vă vor permite să vă conectați mai multe simultan.
7. Cât de bun este suportul pentru utilizatori pentru acest serviciu? Dupa citit

VPN (VPN) - rețelele private virtuale, sunt astăzi pe buzele tuturor. Mulți utilizatori fără experiență le imaginează ca pe o cheie magică pentru a accesa resursele web blocate: apăsați un buton și site-ul se deschide. Frumuseţe! Da, deblocarea site-urilor este una dintre funcțiile VPN, cea mai populară, dar departe de a fi cea mai importantă. Scopul principal al rețelelor private virtuale este de a proteja datele transmise prin Internet împotriva interceptării de către persoane cărora datele nu sunt destinate.

Să vorbim despre ce sunt rețelele private virtuale, ce funcții îndeplinesc, unde sunt utilizate și care sunt dezavantajele lor. De asemenea, ne vom familiariza cu capacitățile mai multor aplicații VPN populare și extensii de browser care pot fi utilizate atât pe computere, cât și pe dispozitive mobile.

Pentru a înțelege mai bine esența tehnologiei VPN, să ne imaginăm Internetul ca pe o rețea de drumuri de-a lungul pe care circulă dube poștale care transportă scrisori și colete. Ei nu ascund deloc unde merg și ce poartă. Scrisorile și coletele se pierd uneori pe parcurs și cad adesea în mâini greșite. Expeditorul și destinatarul lor nu pot fi 100% siguri că conținutul coletului nu va fi citit, furat sau înlocuit de cineva, deoarece ei nu controlează procesul de livrare. Dar ei știu că din punct de vedere al securității, această metodă de transfer nu este foarte fiabilă.

Și apoi a apărut printre drumuri un tunel închis. Furgonetele care trec de-a lungul ei sunt ascunse de privirile indiscrete. Nimeni nu știe unde merge mașina după ce intră în tunel, ce livrează sau cui. Numai expeditorul și destinatarul corespondenței știu despre acest lucru.

După cum probabil ați ghicit, tunelul nostru imaginar este o rețea privată virtuală construită pe baza unei rețele mai mari - World Wide Web. Traficul care trece prin acest tunel este ascuns persoanelor din afară, inclusiv furnizorului. Furnizorul, dacă cineva nu știe, în condiții normale (fără VPN) vă poate urmări și controla acțiunile pe Internet, deoarece vede ce resurse vizitați. Dar dacă „se scufundă” într-un VPN, acesta nu va putea. În plus, informațiile trimise printr-un astfel de canal devin inutile pentru iubitorii proprietății altora - hackeri, deoarece sunt criptate. Aceasta este esența tehnologiei și principiul simplificat al funcționării VPN.

Unde sunt folosite VPN-urile?

Pentru ce este nevoie de acest VPN este, sper, clar. Acum să vedem unde, cum și la ce se folosește. Deci, nu te poți descurca fără un VPN:

• În rețelele corporative. Aici este necesar pentru schimbul de date confidențiale între angajați sau resursele rețelei ale companiei și clienți. Un exemplu al celui de-al doilea caz este gestionarea conturilor prin aplicații precum client bancar și banca mobilă. VPN-urile sunt, de asemenea, folosite pentru a rezolva probleme tehnice - separarea traficului, backup etc.
• Pe rețelele Wi-Fi publice, de exemplu, în cafenele. Astfel de rețele sunt deschise tuturor, iar traficul care trece prin ele este foarte ușor de interceptat. Proprietarii punctelor de acces deschise nu oferă servicii VPN. Utilizatorul însuși trebuie să aibă grijă de protecția informațiilor.
• Pentru a ascunde resursele web pe care le vizitați, de exemplu, de la șeful sau administratorul de sistem de la serviciu.
• Pentru a face schimb de informații secrete cu alte persoane dacă nu aveți încredere într-o conexiune obișnuită la Internet.
• Pentru a accesa site-uri blocate.
• Pentru a păstra anonimatul pe Internet.

Furnizarea accesului la World Wide Web prin VPN este, de asemenea, utilizată pe scară largă de către furnizorii de internet ruși atunci când conectează abonații.

Tipuri de VPN

După cum probabil știți, funcționarea oricărei rețele de calculatoare este supusă unor reguli care se reflectă în protocoalele de rețea. Un protocol de rețea este un fel de set de standarde și instrucțiuni care descrie condițiile și procedura de schimb de date între participanții la o conexiune (nu vorbim despre oameni, ci despre dispozitive, sisteme de operare și aplicații). Rețelele VPN se disting prin tipul de protocoale pe care operează și prin tehnologiile utilizate pentru a le construi.

PPTP

PPTP (Point-to-Point Tunneling Protocol) este cel mai vechi protocol de transfer de date din rețelele private virtuale, are deja peste 20 de ani. Datorită faptului că a apărut cu mult timp în urmă, este cunoscut și susținut de aproape toate sistemele de operare existente. Nu pune aproape nicio sarcină resursele de calcul ale hardware-ului și poate fi folosit chiar și pe computere foarte vechi. Cu toate acestea, în condițiile actuale, nivelul său de securitate este foarte scăzut, adică datele transmise prin canalul PPTP sunt expuse riscului de hacking. Apropo, unii furnizori de internet blochează aplicațiile care folosesc acest protocol.

L2TP

L2TP (Layer 2 Tunneling Protocol) este, de asemenea, un protocol destul de vechi, creat pe baza tehnologiilor PPTP și L2F (cel din urmă este special conceput pentru tunelarea mesajelor PPTP). Oferă un grad mai mare de protecție a traficului decât doar PPTP, deoarece vă permite să setați priorități de acces.

Protocolul L2TP este încă utilizat pe scară largă astăzi, dar de obicei nu izolat, ci în combinație cu alte tehnologii de securitate, cum ar fi IPSec.

IPSec

IPSec este o tehnologie complexă care utilizează multe protocoale și standarde diferite. Este în mod constant îmbunătățit, așa că atunci când este utilizat corect oferă un nivel destul de ridicat de securitate a comunicațiilor. Poate fi combinat cu alte sisteme de securitate a conexiunii la rețea fără a provoca conflicte. Acestea sunt punctele lui forte.

Dezavantajele IPSec sunt că este nevoie de forță de muncă de configurat și este destinat să fie utilizat numai de specialiști instruiți (dacă este configurat incorect, nu va oferi nicio securitate acceptabilă). În plus, IPSec este destul de solicitant cu resursele hardware ale sistemelor de calcul și poate provoca încetiniri pe dispozitivele slabe.

SSL și TLS

SSL și TLS sunt utilizate în principal pentru a transmite în siguranță informații pe Internet prin intermediul browserelor web. Acestea protejează datele confidențiale ale vizitatorilor site-ului de interceptare - autentificări, parole, corespondență, detalii de plată introduse la comandarea de bunuri și servicii etc. Adresele site-urilor web care acceptă SSL încep cu prefixul HTTPS.

Un caz special de utilizare a tehnologiilor SSL/TLS în afara browserelor web este software-ul OpenVPN multiplatform.

OpenVPN

OpenVPN este o implementare gratuită a tehnologiei VPN concepută pentru a crea canale de comunicații sigure între utilizatorii de internet sau rețele locale, client-server sau punct la punct. În acest caz, unul dintre computerele care participă la conexiune este desemnat ca server, restul sunt conectate ca clienți. Spre deosebire de primele trei tipuri de VPN, necesită instalarea unui software special.

OpenVPN vă permite să creați tuneluri securizate fără a modifica setările conexiunii principale a computerului dvs. la rețea. Este conceput pentru utilizatorii experimentați, deoarece configurarea sa nu poate fi numită simplă.

MPLS

MPLS este o tehnologie pentru transmiterea de date multi-protocol de la un nod la altul folosind etichete speciale. O etichetă face parte din informațiile de serviciu ale pachetului (dacă vă imaginați că datele sunt trimise ca un tren, atunci pachetul este un singur vagon). Etichetele sunt folosite pentru a redirecționa traficul dintr-un canal MPLS de la dispozitiv la dispozitiv, în timp ce restul conținutului antetelor pachetelor (la fel ca adresa de pe scrisoare) este păstrat secret.

Pentru a spori securitatea traficului transmis prin canale MPLS, IPSec este adesea folosit.

Acestea nu sunt toate tipurile de rețele private virtuale care există astăzi. Internetul și tot ceea ce intră în contact cu el este în continuă dezvoltare. În consecință, apar noi tehnologii VPN.

Vulnerabilitățile rețelei private virtuale

Vulnerabilitățile sunt lacune în securitatea canalului VPN prin care datele se pot scurge în exterior în rețeaua publică. Din păcate, nu există o protecție absolut impenetrabilă. Nici măcar un canal foarte bine construit nu vă va oferi o garanție 100% a anonimatului. Și nu este vorba despre hackeri care sparg algoritmii de criptare, ci despre lucruri mult mai banale. De exemplu:

• Dacă conexiunea la serverul VPN este întreruptă brusc (și acest lucru se întâmplă des), dar conexiunea la Internet rămâne, o parte din trafic va merge către rețeaua publică. Pentru a preveni astfel de scurgeri, sunt utilizate tehnologiile VPN Reconnect (reconectare automată) și Killswitch (deconectarea Internetului atunci când conexiunea la VPN este pierdută). Primul este implementat în Windows, începând cu „șapte”, al doilea este furnizat de software terță parte, în special, unele aplicații VPN plătite.
• Când încercați să deschideți un site web, traficul dvs. este mai întâi trimis către un server DNS, care determină adresa IP a acelui site web pe baza adresei pe care ați introdus-o. În caz contrar, browserul nu îl va putea încărca. Solicitările către serverele DNS (necriptate, de altfel) trec adesea dincolo de canalul VPN, care sparge masca anonimatului de la utilizator. Pentru a evita această situație, specificați adresele DNS furnizate de serviciul dumneavoastră VPN în setările conexiunii la internet.

• Browserele web în sine, sau mai precis, componentele lor, de exemplu, WebRTC, pot crea scurgeri de date. Acest modul este utilizat pentru comunicarea vocală și video direct din browser și nu permite utilizatorului să aleagă singur metoda de conectare la rețea. Alte aplicații care se confruntă cu Internet pot utiliza, de asemenea, conexiuni nesecurizate.
• VPN funcționează pe rețele care se bazează pe protocolul IPv4. Pe lângă acesta, există și protocolul IPv6, care este încă în stadiul de implementare, dar este deja folosit în unele locuri. Sistemele de operare moderne, în special Windows, Android și iOS, acceptă și IPv6, chiar mai mult - pe multe dintre ele este activat implicit. Aceasta înseamnă că un utilizator, fără să știe, se poate conecta la o rețea publică IPv6 și traficul său va merge în afara canalului securizat. Pentru a vă proteja de acest lucru, dezactivați suportul IPv6 pe dispozitivele dvs.

Puteți închide ochii la toate aceste defecte dacă utilizați un VPN numai pentru a accesa resursele web blocate. Dar dacă aveți nevoie de anonimat sau de securitatea datelor dvs. în timp ce sunt transmise prin rețea, vă poate cauza probleme serioase dacă nu luați măsuri suplimentare de securitate.

Utilizarea unui VPN pentru a ocoli blocurile și a anonimiza traficul

Publicul de internet vorbitor de rusă folosește cel mai adesea VPN-urile tocmai pentru a vizita liber resursele de internet blocate și pentru a menține anonimatul pe Internet. Prin urmare, cea mai mare parte a aplicațiilor și serviciilor VPN gratuite sunt concepute special pentru acest lucru. Să ne cunoaștem mai bine pe unele dintre ele.

Opera VPN

Dezvoltatorii browserului Opera au fost primii care au implementat modulul VPN direct în produsul în sine, scutind utilizatorii de necazul de a căuta și configura extensii terțe. Opțiunea este activată în setările browserului - în secțiunea „Securitate”.

Odată activată, pictograma VPN apare în bara de adrese a lui Opera. Făcând clic pe el, se deschide o fereastră de setări, care include un glisor de pornire/dezactivare și o alegere a locației virtuale.

Cantitatea de trafic trecută prin Opera VPN nu are restricții, ceea ce este un plus. Dar serviciul are și un dezavantaj - protejează doar datele care sunt transmise prin protocoalele HTTP și HTTPS. Orice altceva trece prin canalul deschis.

În Opera, precum și în browserul Yandex, există o altă funcție cu capabilități similare. Acesta este un mod de compresie a traficului turbo. Nu funcționează împreună cu un VPN, dar deschide destul de bine accesul la resursele blocate.

Extensia de browser Browsec și aplicația mobilă este unul dintre cele mai cunoscute servicii VPN. Acceptă toate browserele web populare - Opera, Google Chrome, Firefox, Yandex, Safari etc., oferă o comunicare rapidă și stabilă, nu necesită configurare și nu are limită. Utilizatorilor versiunii gratuite li se oferă o gamă de 4 servere: în Marea Britanie, Singapore, SUA și Țările de Jos.

Un abonament plătit la Browsec costă aproximativ 300 de ruble pe lună. Utilizatorii acestui tarif beneficiază de viteze de conectare mai mari, asistență tehnică și o selecție largă de servere din întreaga lume, inclusiv Rusia, Ucraina, Letonia, Bulgaria și Germania.

buna

Hola este principalul concurent al Browsec și există sub formă de aplicații și extensii de browser. Versiunile pentru Android, sisteme desktop și browsere funcționează pe baza tehnologiilor peer-to-peer (rețea peer-to-peer), în care utilizatorii înșiși oferă resurse unul pentru celălalt. Pentru uz personal, necomercial, accesul la acestea este oferit gratuit. Alegerea serverelor este destul de mare.

Versiunea iOS a Hola este concepută ca un browser cu un serviciu VPN integrat. Este plătită, costă aproximativ 5 USD pe lună. Perioada de probă este de 7 zile.

Zenmate este al treilea cel mai popular serviciu VPN, lansat ca extensie pentru Opera, Google Chrome, Firefox, Maxthon Cloud Browser (numai pentru Mac OS X) și alte browsere. Și, de asemenea, sub formă de aplicații mobile pentru Android și iOS. Când folosiți gratuit, limita de viteză este vizibilă, iar alegerea serverelor este foarte mică. Cu toate acestea, tot traficul care trece prin canalul VPN Zenmate este criptat în siguranță.

Utilizatorii care achiziționează acces premium au la dispoziție peste 30 de servere din întreaga lume. În plus, accelerarea conexiunii este activată pentru ei. Prețurile abonamentului încep de la 175 la 299 de ruble pe lună.

Ca și alte servicii similare, Zenmate nu trebuie configurat - doar instalați și rulați. Lucrul cu acesta este intuitiv, mai ales că interfața acceptă limba rusă.

Tunnelbear este un alt VPN ușor de utilizat pentru diferite dispozitive - PC-uri care rulează Windows, Linux și OS X, smartphone-uri care rulează Android și iOS. Disponibil sub formă de aplicații (atât mobile, cât și desktop) și extensii de browser. Are o funcție foarte utilă de blocare a traficului atunci când conexiunea VPN este pierdută, ceea ce previne scurgerea datelor în rețeaua deschisă. În mod implicit, selectează canalul optim de comunicare ținând cont de locația utilizatorului.

Caracteristicile versiunilor gratuite ale Tunnelbear nu sunt diferite de versiunile plătite, cu excepția unui singur lucru - limitarea volumului de trafic la 500 Mb pe lună. Pe un telefon, acest lucru poate fi suficient dacă nu vizionați filme online, dar pe un computer este puțin probabil.

Nici versiunile plătite, nici cele gratuite ale Tunnelbear nu colectează date despre utilizator. Pur și simplu apăsați un singur buton și obțineți acces.

Ascunde numele meu

HideMy.name este un serviciu VPN plătit de încredere și relativ ieftin. Oferă viteze constante de conexiune ridicate chiar și atunci când vizionați videoclipuri online la calitate HD și vă jucați jocuri online. Protejează bine traficul de interceptări și oferă anonimat complet în rețea. Serverele NideMy.name sunt situate în 43 de țări și 68 de orașe din întreaga lume.

HideMy.name acceptă orice dispozitiv care se poate conecta la Internet: nu numai telefoane și computere, ci și routere, set-top box-uri, SmartTV etc. Cu un singur abonament, poți folosi serviciul pe toate dispozitivele simultan.

Aplicațiile HideMy.name sunt disponibile pentru Windows, Mac OS X, Linux, iOS și Android. După cum s-a spus, toate costă bani, dar puteți plăti doar pentru zilele în care utilizați VPN-ul. Costul unui abonament zilnic este de 49 de ruble. Licență pentru 1 an - 1690 de ruble. Perioada de probă gratuită este de 1 zi.

este o aplicație VPN de lungă durată, una dintre puținele care a oferit întotdeauna servicii gratuit și fără restricții privind volumul de trafic. Limita de 500 Mb pe zi pentru utilizare „gratuită” a apărut relativ recent. De asemenea, utilizatorii „gratuiti” au acces la un singur server VPN, care se află în SUA, astfel încât viteza de comunicare prin Hotspot Shield nu este foarte mare.

Un abonament VPN Hotspot Shield plătit costă 6-16 USD pe lună.

Numărul de concepte și abrevieri pe care nimeni nu le înțelege, referitoare la apariția noilor tehnologii și la modificarea vechilor tehnologii, crește exponențial. VPN este unul dintre ele. Această publicație își propune să înțeleagă această abreviere de neînțeles și să determine motivul mențiunii sale frecvente în legătură cu conexiunile la rețea.

VPN, ce este?

În principiu, aceasta este o rețea obișnuită („N” în acronim înseamnă „Rețea”). Dar are propriile sale subtilități. În primul rând, este virtual și, în al doilea rând, este privat. Adică „Virtual” și „Privat” (primele două litere ale abrevierei).

abreviere VPN

Se numește virtual pentru că există la un anumit nivel de abstracție din hardware. Aceasta înseamnă că nu îi pasă prin ce canale se realizează comunicarea, ce dispozitive sunt conectate și alte condiții. VPN folosește toate resursele disponibile pentru funcționarea sa.

Dar principala caracteristică a unui VPN este că este privat. Deși folosește canale și protocoale de comunicare obișnuite, cel mai adesea internetul, „unchiul de pe stradă” nu poate intra în el, ci doar un participant de încredere care are dreptul să o facă.

Principiul de funcționare

Pentru a înțelege cum funcționează un VPN, trebuie să luați în considerare cel mai simplu caz de comunicare între două puncte (calculatoare). În partea neprotejată a căii (cel mai adesea Internet), este creat un tunel care le conectează. Dificultatea nu constă în organizarea unei astfel de conexiuni, ci în protejarea datelor care sunt vulnerabile pe o secțiune neprotejată a rețelei. Informațiile care trec printr-un canal public pot fi furate sau distorsionate de atacatori.

Dispozitiv VPN

Pentru a preveni acest lucru, sunt utilizate diferite tipuri de criptare. Prin urmare, sarcina principală a unei conexiuni VPN este de a asigura uniformitatea criptării și decriptării între nodurile sale, precum și interfațarea protocoalelor de rețea atunci când vine vorba de diferite sisteme de server.

De ce ai nevoie de un VPN?

Motivul principal pentru crearea unui VPN a fost dorința, chiar și nevoia urgentă, de a crea rețele securizate care să poată fi accesate indiferent de locația geografică. Accesul de la distanță al angajaților la rețeaua sediului central dintr-o călătorie de afaceri, de exemplu. Mai departe mai mult. Nu există nicio modalitate ca corporațiile multinaționale să conducă cabluri între birourile lor din diferite țări sau continente. Tehnologia VPN vine în ajutor și în acest caz. Un exemplu mai simplu ar fi organizarea unui VPN bazat pe rețeaua locală a unei întreprinderi pentru a limita puterile diferitelor grupuri, departamente, ateliere și altele asemenea.

Cum se creează o rețea VPN

Există o serie de aplicații pentru crearea unei rețele VPN, TeamViewer sau Hamachi, de exemplu. Deși acest lucru se poate face folosind instrumente standard Windows, este mai puțin eficient, sigur și convenabil. Pentru a face acest lucru, trebuie să introduceți „Conexiuni de rețea” a computerului dvs. prin „Panou de control”.

programul Hamachi

În meniul „Fișier”, selectați „Conexiune nouă”, unde indicați că conexiunea creată este o VPN. Apoi, trebuie să adăugați sau să specificați un utilizator căruia i se va permite accesul. Apoi indicați că comunicarea va fi efectuată prin Internet și selectați TCP/IP ca protocol de conectare. În ultima casetă de dialog, trebuie să faceți clic pe „Permiteți accesul” și serverul Windows VPN este gata să funcționeze.