Numărul de concepte și abrevieri pe care nimeni nu le înțelege, referitoare la apariția noilor tehnologii și la modificarea vechilor tehnologii, crește exponențial. VPN este unul dintre ele. Această publicație își propune să înțeleagă această abreviere de neînțeles și să determine motivul mențiunii sale frecvente în legătură cu conexiunile la rețea.

VPN, ce este?

În principiu, aceasta este o rețea obișnuită („N” în acronim înseamnă „Rețea”). Dar are propriile sale subtilități. În primul rând, este virtual și, în al doilea rând, este privat. Adică „Virtual” și „Privat” (primele două litere ale abrevierei).

Abreviere VPN

Se numește virtual pentru că există la un anumit nivel de abstracție din hardware. Aceasta înseamnă că nu îi pasă prin ce canale se realizează comunicarea, ce dispozitive sunt conectate și alte condiții. VPN folosește toate resursele disponibile pentru funcționarea sa.

Dar principala caracteristică a unui VPN este că este privat. Deși folosește canale și protocoale comune de comunicare, cel mai adesea internetul, „unchiul de pe stradă” nu poate intra în el, ci doar un participant de încredere care are dreptul să o facă.

Principiul de funcționare

Pentru a înțelege cum funcționează un VPN, trebuie să luați în considerare cel mai simplu caz de comunicare între două puncte (calculatoare). În partea neprotejată a căii (cel mai adesea Internet), este creat un tunel care le conectează. Dificultatea nu constă în organizarea unei astfel de conexiuni, ci în protejarea datelor care sunt vulnerabile pe o secțiune neprotejată a rețelei. Informațiile care trec printr-un canal public pot fi furate sau distorsionate de atacatori.

dispozitiv VPN

Pentru a preveni acest lucru, sunt utilizate diferite tipuri de criptare. Prin urmare, sarcina principală a unei conexiuni VPN este de a asigura uniformitatea criptării și decriptării între nodurile sale, precum și interfațarea protocoalelor de rețea atunci când vine vorba de diferite sisteme de server.

De ce ai nevoie de un VPN?

Motivul principal pentru crearea unui VPN a fost dorința, chiar și nevoia urgentă, de a crea rețele securizate care să poată fi accesate indiferent de locația geografică. Accesul de la distanță al angajaților la rețeaua sediului central dintr-o călătorie de afaceri, de exemplu. Mai departe mai mult. Nu există nicio modalitate ca corporațiile multinaționale să conducă cabluri între birourile lor din diferite țări sau continente. Tehnologia VPN vine în ajutor și în acest caz. Un exemplu mai simplu ar fi organizarea unui VPN bazat pe rețeaua locală a unei întreprinderi pentru a limita puterile diferitelor grupuri, departamente, ateliere și altele asemenea.

Cum se creează o rețea VPN

Există o serie de aplicații pentru crearea unei rețele VPN, TeamViewer sau Hamachi, de exemplu. Deși acest lucru se poate face folosind instrumente standard Windows, este mai puțin eficient, sigur și convenabil. Pentru a face acest lucru, trebuie să introduceți „Conexiuni de rețea” a computerului dvs. prin „Panou de control”.

programul Hamachi

În meniul „Fișier”, selectați „Conexiune nouă”, unde indicați că conexiunea creată este o VPN. Apoi, trebuie să adăugați sau să specificați un utilizator căruia i se va permite accesul. Apoi indicați că comunicarea va fi efectuată prin Internet și selectați TCP/IP ca protocol de conectare. În ultima casetă de dialog, trebuie să faceți clic pe „Permiteți accesul” și serverul Windows VPN este gata să funcționeze.

VPN (Virtual Private Network) este o rețea privată virtuală.

În limbajul obișnuit, un VPN este un canal complet securizat care conectează dispozitivul dvs. compatibil cu internet la orice alt dispozitiv de pe World Wide Web. Pentru a spune și mai simplu, ne putem imagina mai figurat: fără a vă conecta la un serviciu VPN, computerul dvs. (laptop, telefon, televizor sau orice alt dispozitiv) atunci când accesați rețeaua este ca o casă privată neîmprejmuită. În orice moment, oricine poate sparge intenționat sau accidental copaci sau călca în picioare paturile din grădina ta. Folosind un VPN, casa ta se transformă într-o fortăreață inexpugnabilă, a cărei protecție va fi pur și simplu imposibil de încălcat.

Cum functioneaza?

Principiul funcționării VPN este simplu și „transparent” pentru utilizatorul final. În momentul în care intri online, se creează un „tunel” virtual între dispozitivul tău și restul internetului, blocând orice încercare din exterior de a pătrunde în interior. Pentru tine, munca VPN-ului rămâne absolut „transparentă” și invizibilă. Corespondența dvs. personală, de afaceri, conversațiile pe Skype sau prin telefon nu pot fi în niciun fel interceptate sau auzite. Toate datele dvs. sunt criptate folosind un algoritm de criptare special, care este aproape imposibil de spart.

Pe lângă protecția împotriva intruziunilor externe, VPN oferă posibilitatea de a vizita virtual orice țară din lume pentru o perioadă și de a utiliza resursele de rețea ale acestor țări, de a viziona canale de televiziune care anterior nu erau disponibile. VPN vă va înlocui adresa IP cu oricare alta. Pentru a face acest lucru, va trebui doar să selectați o țară din lista propusă, de exemplu Țările de Jos, iar toate site-urile și serviciile pe care le vizitați vor „crede” automat că vă aflați în această țară.

De ce nu un anonimizator sau un proxy?

Se pune întrebarea: de ce să nu folosiți pur și simplu un fel de anonimizat sau server proxy în rețea, pentru că acestea înlocuiesc și adresa IP? Da, totul este foarte simplu - niciunul dintre serviciile menționate mai sus nu oferă protecție, rămâneți în continuare „vizibil” pentru atacatori și, prin urmare, toate datele pe care le schimbați pe Internet. Și, în plus, lucrul cu servere proxy necesită să aveți o anumită capacitate de a seta setări precise. VPN funcționează pe următorul principiu: „Conectați-vă și jucați”; nu necesită setări suplimentare. Întregul proces de conectare durează câteva minute și este foarte simplu.

Despre VPN-urile gratuite

Când alegeți, ar trebui să vă amintiți că VPN-urile gratuite au aproape întotdeauna restricții privind cantitatea de trafic și viteza de transfer de date. Aceasta înseamnă că poate apărea o situație în care pur și simplu nu puteți continua să utilizați un VPN gratuit. Nu uitați că VPN-urile gratuite nu sunt întotdeauna stabile și sunt adesea supraîncărcate. Chiar dacă limita dvs. nu a fost depășită, transferul de date poate dura o perioadă lungă de timp din cauza încărcării mari a serverului VPN. Serviciile VPN plătite se remarcă prin lățime de bandă mare, absența restricțiilor atât asupra traficului, cât și asupra vitezei, iar nivelul de securitate este mai ridicat decât cel al celor gratuite.

Unde sa încep?

Majoritatea serviciilor VPN oferă posibilitatea de a testa calitatea gratuit pentru o perioadă scurtă. Perioada de testare poate fi de la câteva ore la câteva zile. În timpul testării, de obicei obțineți acces complet la toate funcționalitățile serviciului VPN. Serviciul nostru face posibilă găsirea unor astfel de servicii VPN folosind link-ul:

În fiecare an, comunicațiile electronice se îmbunătățesc și se impun cerințe din ce în ce mai mari la schimbul de informații pentru viteza, securitatea și calitatea prelucrării datelor.

Și aici ne vom uita la o conexiune VPN în detaliu: ce este, de ce este necesar un tunel VPN și cum să utilizați o conexiune VPN.

Acest material este un fel de cuvânt introductiv la o serie de articole în care vă vom spune cum să creați un vpn pe diverse sisteme de operare.

Conexiune VPN ce este?

Deci, o rețea virtuală privată vpn este o tehnologie care oferă o conexiune sigură (închisă de la accesul extern) a unei rețele logice peste una privată sau publică în prezența internetului de mare viteză.

O astfel de conexiune la rețea a computerelor (distante geografic unul de celălalt la o distanță considerabilă) folosește o conexiune „punct la punct” (cu alte cuvinte, „computer-to-computer”).

Din punct de vedere științific, această metodă de conectare se numește tunel VPN (sau protocol de tunel). Vă puteți conecta la un astfel de tunel dacă aveți un computer cu orice sistem de operare care are un client VPN integrat care poate „redirecționa” porturi virtuale folosind protocolul TCP/IP către o altă rețea.

De ce ai nevoie de un VPN?

Principalul beneficiu al unui VPN este că negociatorii au nevoie de o platformă de conectivitate care nu numai că se scalează rapid, dar și (în primul rând) asigură confidențialitatea datelor, integritatea datelor și autentificarea.

Diagrama arată clar utilizarea rețelelor VPN.

Regulile pentru conexiunile pe un canal securizat trebuie mai întâi scrise pe server și pe router.

Cum funcționează VPN

Când are loc o conexiune prin VPN, antetul mesajului conține informații despre adresa IP a serverului VPN și ruta de la distanță.

Datele încapsulate care trec printr-o rețea partajată sau publică nu pot fi interceptate deoarece toate informațiile sunt criptate.

Etapa de criptare VPN este implementată de partea expeditorului, iar datele destinatarului sunt decriptate folosind antetul mesajului (dacă există o cheie de criptare partajată).

După ce mesajul este decriptat corect, se stabilește o conexiune VPN între cele două rețele, care vă permite și să lucrați într-o rețea publică (de exemplu, să faceți schimb de date cu un client 93.88.190.5).

În ceea ce privește securitatea informațiilor, Internetul este o rețea extrem de nesecurizată, iar o rețea VPN cu protocoale OpenVPN, L2TP/IPSec, PPTP, PPPoE este o modalitate complet sigură și sigură de a transfera date.

De ce ai nevoie de un canal VPN?

Tunnelul VPN este utilizat:

În interiorul rețelei corporative;

Pentru a uni birouri îndepărtate, precum și sucursale mici;

Pentru servicii de telefonie digitală cu o gamă largă de servicii de telecomunicații;

Pentru a accesa resurse IT externe;

Pentru construirea și implementarea videoconferințelor.

De ce ai nevoie de un VPN?

Conexiunea VPN este necesară pentru:

Lucrări anonime pe Internet;

Descărcarea aplicațiilor atunci când adresa IP se află într-o altă zonă regională a țării;

Lucru în siguranță într-un mediu corporativ folosind comunicații;

Simplitatea și comoditatea configurației conexiunii;

Asigurarea vitezei mari de conectare fără întreruperi;

Crearea unui canal securizat fără atacuri de hacker.

Cum se utilizează VPN?

Exemple despre cum funcționează VPN-ul pot fi oferite la nesfârșit. Așadar, pe orice computer din rețeaua corporativă, atunci când stabiliți o conexiune VPN securizată, puteți utiliza e-mailul pentru a verifica mesajele, a publica materiale de oriunde în țară sau a descărca fișiere din rețelele torrent.

VPN: ce este pe telefonul tău?

Accesul prin VPN pe un telefon (iPhone sau orice alt dispozitiv Android) vă permite să păstrați anonimatul atunci când utilizați Internetul în locuri publice, precum și să preveniți interceptarea traficului și piratarea dispozitivului.

Un client VPN instalat pe orice sistem de operare vă permite să ocoliți multe dintre setările și regulile furnizorului (dacă furnizorul a stabilit vreo restricție).

Ce VPN să alegi pentru telefonul tău?

Telefoanele mobile și smartphone-urile care rulează sistemul de operare Android pot folosi aplicații de la Google Playmarket:

• - vpnRoot, droidVPN,
• - browser tor pentru navigarea în rețea, cunoscut și sub numele de orbot
• - InBrowser, orfox (firefox+tor),
• - Client VPN gratuit SuperVPN
• - OpenVPN Connect
• - TunnelBear VPN
• - Hideman VPN

Cele mai multe dintre aceste programe sunt utilizate pentru comoditatea instalării sistemului „fierbinte”, plasarea comenzilor rapide de lansare, navigarea anonimă pe Internet și selectarea tipului de criptare a conexiunii.

Dar principalele sarcini ale utilizării unui VPN pe un telefon sunt verificarea e-mailului corporativ, crearea de conferințe video cu mai mulți participanți și organizarea de întâlniri în afara organizației (de exemplu, atunci când un angajat se află într-o călătorie de afaceri).

Ce este VPN pe iPhone?

Să ne uităm la ce VPN să alegeți și cum să o conectați la un iPhone mai detaliat.

În funcție de tipul de rețea acceptată, atunci când porniți pentru prima dată configurația VPN pe iPhone, puteți selecta următoarele protocoale: L2TP, PPTP și Cisco IPSec (în plus, puteți „face” o conexiune VPN folosind aplicații terțe) .

Toate protocoalele enumerate acceptă chei de criptare, se realizează identificarea utilizatorului folosind o parolă și certificarea.

Caracteristicile suplimentare atunci când configurați un profil VPN pe un iPhone includ: securitatea RSA, nivelul de criptare și regulile de autorizare pentru conectarea la server.

Pentru un telefon iPhone din magazinul de aplicații, ar trebui să alegeți:

• - o aplicație gratuită Tunnelbear cu care vă puteți conecta la serverele VPN din orice țară.
• - OpenVPN connect este unul dintre cei mai buni clienți VPN. Aici, pentru a lansa aplicația, trebuie mai întâi să importați cheile RSA prin iTunes în telefon.
• - Cloak este o aplicație shareware, deoarece de ceva timp produsul poate fi „utilizat” gratuit, dar pentru a utiliza programul după ce perioada demo a expirat, va trebui să-l cumpărați.

Crearea VPN: selectarea și configurarea echipamentelor

Pentru comunicațiile corporative în organizații mari sau care combină birouri aflate la distanță unul de celălalt, aceștia folosesc echipamente hardware care pot sprijini lucrul continuu și sigur în rețea.

Pentru implementarea tehnologiilor VPN, rolul unui gateway de rețea poate fi: servere Unix, servere Windows, un router de rețea și un gateway de rețea pe care este instalat VPN.

Un server sau un dispozitiv folosit pentru a crea o rețea VPN de întreprindere sau un canal VPN între birouri la distanță trebuie să îndeplinească sarcini tehnice complexe și să ofere utilizatorilor o gamă completă de servicii atât pe stațiile de lucru, cât și pe dispozitivele mobile.

Orice router sau router VPN trebuie să ofere o funcționare fiabilă în rețea, fără înghețari. Și funcția VPN încorporată vă permite să schimbați configurația rețelei pentru a lucra acasă, într-o organizație sau într-un birou la distanță.

Configurarea VPN pe un router

În general, configurarea unui VPN pe un router se face folosind interfața web a routerului. Pe dispozitivele „clasice”, pentru a organiza un VPN, trebuie să mergeți la secțiunea „setări” sau „setări de rețea”, unde selectați secțiunea VPN, specificați tipul de protocol, introduceți setările pentru adresa de subrețea, mascați și specificați intervalul de adrese IP pentru utilizatori.

În plus, pentru a securiza conexiunea, va trebui să specificați algoritmi de codare, metode de autentificare, să generați chei de negociere și să specificați serverele DNS WINS. În parametrii „Gateway”, trebuie să specificați adresa IP a gateway-ului (propriul IP) și să completați datele de pe toate adaptoarele de rețea.

Dacă există mai multe routere în rețea, trebuie să completați tabelul de rutare VPN pentru toate dispozitivele din tunelul VPN.

Iată o listă de echipamente hardware utilizate pentru a construi rețele VPN:

Routere Dlink: DIR-320, DIR-620, DSR-1000 cu firmware nou sau router D-Link DI808HV.

Routere Cisco PIX 501, Cisco 871-SEC-K9

Router Linksys Rv082 cu suport pentru aproximativ 50 de tuneluri VPN

Router Netgear DG834G și modele de routere FVS318G, FVS318N, FVS336G, SRX5308

Router Mikrotik cu funcție OpenVPN. Exemplu RouterBoard RB/2011L-IN Mikrotik

Echipament VPN RVPN S-Terra sau VPN Gate

Routere ASUS modele RT-N66U, RT-N16 și RT N-10

Routere ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Recent, în lumea telecomunicațiilor a existat un interes crescut pentru rețelele private virtuale (VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative prin conectarea mai ieftină a birourilor de la distanță și a utilizatorilor la distanță prin Internet. Într-adevăr, când comparăm costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele Frame Relay, puteți observa o diferență semnificativă de cost. Cu toate acestea, trebuie menționat că la conectarea rețelelor prin Internet se pune imediat problema securității transmisiei de date, așa că a devenit necesară crearea unor mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN.

În plus, de foarte multe ori o persoană modernă, care își dezvoltă afacerea, trebuie să călătorească mult. Acestea ar putea fi excursii în colțuri îndepărtate ale țării noastre sau în țări străine. Adesea, oamenii au nevoie de acces la informațiile lor stocate pe computerul de acasă sau al companiei. Această problemă poate fi rezolvată prin organizarea accesului de la distanță la ea folosind un modem și o linie. Utilizarea unei linii telefonice are propriile sale caracteristici. Dezavantajele acestei soluții sunt că apelul din altă țară costă foarte mulți bani. Există o altă soluție numită VPN. Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. După părerea mea, tehnologia. VPN-ul are potențialul de a deveni răspândit în întreaga lume.

1. Conceptul și clasificarea rețelelor VPN, construcția acestora

1.1 Ce este un VPN

VPN(eng. Virtual Private Network - rețea privată virtuală) - o rețea logică creată deasupra unei alte rețele, de exemplu Internet. În ciuda faptului că comunicațiile sunt efectuate prin rețele publice folosind protocoale nesigure, criptarea creează canale de schimb de informații care sunt închise pentru cei din afară. VPN vă permite să combinați, de exemplu, mai multe birouri ale unei organizații într-o singură rețea folosind canale necontrolate pentru comunicarea între ele.

În esență, un VPN are multe dintre proprietățile unei linii închiriate, dar este implementat într-o rețea publică, de exemplu. Cu tehnica tunelului, pachetele de date sunt difuzate prin rețeaua publică ca și cum ar fi o conexiune normală punct la punct. Se stabilește un fel de tunel între fiecare pereche emițător-receptor de date - o conexiune logică securizată care permite ca datele dintr-un protocol să fie încapsulate în pachete ale altuia. Principalele componente ale tunelului sunt:

• iniţiator;
• rețea direcționată;
• comutator de tunel;
• unul sau mai multe terminatoare de tunel.

Principiul funcționării VPN în sine nu contrazice tehnologiile și protocoalele de bază ale rețelei. De exemplu, când se stabilește o conexiune de acces la distanță, clientul trimite un flux de pachete standard de protocol PPP către server. În cazul organizării de linii virtuale închiriate între rețelele locale, routerele acestora schimbă și pachete PPP. Cu toate acestea, un aspect fundamental nou este transmiterea pachetelor printr-un tunel securizat organizat într-o rețea publică.

Tunnelarea vă permite să organizați transmiterea pachetelor din acestea protocol într-un mediu logic folosind un alt protocol. Ca urmare, devine posibilă rezolvarea problemelor de interacțiune între mai multe tipuri diferite de rețele, începând cu necesitatea asigurării integrității și confidențialității datelor transmise și terminând cu depășirea neconcordanțelor din protocoalele externe sau schemele de adresare.

Infrastructura de rețea existentă a unei corporații poate fi pregătită pentru utilizarea VPN folosind software sau hardware. Configurarea unei rețele private virtuale poate fi comparată cu așezarea unui cablu într-o rețea globală. De obicei, o conexiune directă între un utilizator de la distanță și un dispozitiv terminal de tunel este stabilită folosind protocolul PPP.

Cea mai comună metodă de creare a tunelurilor VPN este încapsularea protocoalelor de rețea (IP, IPX, AppleTalk etc.) în PPP și apoi încapsularea pachetelor rezultate într-un protocol de tunel. De obicei, acesta din urmă este IP sau (mult mai rar) ATM și Frame Relay. Această abordare se numește tunel de nivel al doilea, deoarece „pasagerul” aici este protocolul de nivel al doilea.

O abordare alternativă de încapsulare a pachetelor de protocol de rețea direct într-un protocol de tunel (cum ar fi VTP) se numește tunelizare Layer 3.

Indiferent ce protocoale sunt folosite sau ce scopuri urmarit la organizarea unui tunel ramane tehnica de bazapractic neschimbat. În mod obișnuit, un protocol este utilizat pentru a stabili o conexiune cu un nod la distanță, iar altul este utilizat pentru a încapsula date și informații de serviciu pentru transmiterea prin tunel.

1.2 Clasificarea rețelelor VPN

Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

1. După tipul de mediu utilizat:

• Rețele VPN securizate. Cea mai comună versiune a rețelelor private private. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, OpenVPN și PPTP.
• Rețele VPN de încredere. Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesară doar rezolvarea problemei creării unei subrețele virtuale în cadrul unei rețele mai mari. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​MPLS și L2TP. Ar fi mai corect să spunem că aceste protocoale transferă sarcina de a asigura securitatea către alții, de exemplu L2TP, de regulă, este utilizat împreună cu IPSec.

2. După metoda de implementare:

• Rețele VPN sub formă de software și hardware special. Implementarea unei rețele VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, un grad ridicat de securitate.
• Rețele VPN ca soluție software. Ei folosesc un computer personal cu software special care oferă funcționalitate VPN.
• Rețele VPN cu o soluție integrată. Funcționalitatea VPN este asigurată de un complex care rezolvă și problemele de filtrare a traficului de rețea, organizarea unui firewall și asigurarea calității serviciului.

3. După scop:

• VPN pentru intranet. Acestea sunt folosite pentru a uni mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise.
• VPN cu acces la distanță. Acestea sunt folosite pentru a crea un canal securizat între un segment de rețea corporativă (birou central sau sucursală) și un singur utilizator care, lucrând acasă, se conectează la resurse corporative de pe un computer de acasă sau, în timpul unei călătorii de afaceri, se conectează la resurse corporative folosind un laptop.
• VPN extranet. Folosit pentru rețelele la care utilizatorii „externi” (de exemplu, clienții sau clienții) se conectează. Nivelul de încredere în aceștia este mult mai scăzut decât în ​​angajații companiei, așa că este necesar să se asigure „linii” speciale de protecție care să împiedice sau să limiteze accesul acestora din urmă la informații deosebit de valoroase, confidențiale.

4. După tipul de protocol:

• Există implementări de rețele private virtuale pentru TCP/IP, IPX și AppleTalk. Dar astăzi există o tendință spre o tranziție generală la protocolul TCP/IP, iar marea majoritate a soluțiilor VPN îl acceptă.

5. După nivelul protocolului de rețea:

• Prin stratul de protocol de rețea bazat pe comparație cu straturile modelului de rețea de referință ISO/OSI.

1.3. Construirea unui VPN

Există diverse opțiuni pentru construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță ai constructorilor VPN. De exemplu, dacă un router funcționează deja la limita de capacitate, atunci adăugarea de tuneluri VPN și aplicarea criptării/decriptării informațiilor poate opri întreaga rețea din cauza faptului că acest router nu va putea face față unui trafic simplu, darămite unui VPN. Experiența arată că cel mai bine este să folosiți echipamente specializate pentru a construi un VPN, dar dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software. Să ne uităm la câteva opțiuni pentru construirea unui VPN.

• VPN bazat pe firewall-uri. Majoritatea furnizorilor de firewall acceptă tunelarea și criptarea datelor. Toate astfel de produse se bazează pe faptul că traficul care trece prin firewall este criptat. Un modul de criptare este adăugat la software-ul firewall în sine. Dezavantajul acestei metode este că performanța depinde de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, trebuie să vă amintiți că o astfel de soluție poate fi utilizată numai pentru rețele mici cu o cantitate mică de informații transferate.
• VPN bazat pe router. O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare acestui router.Un exemplu de echipament pentru construirea VPN pe routere este echipamentul de la Cisco Systems. Începând cu versiunea software IOS 11.3, routerele Cisco acceptă protocoalele L2TP și IPSec. Pe lângă criptarea simplă a traficului, Cisco acceptă alte caracteristici VPN, cum ar fi autentificarea în timpul conexiunii la tunel și schimbul de chei.Pentru a îmbunătăți performanța routerului, poate fi utilizat un modul opțional de criptare ESA. În plus, Cisco System a lansat un dispozitiv specializat pentru VPN, care se numește Cisco 1720 VPN Access Router (router de acces VPN), destinat instalării în companiile mici și mijlocii, precum și în sucursalele organizațiilor mari.
• VPN bazat pe software. Următoarea abordare a construirii unui VPN este doar soluții software. La implementarea unei astfel de soluții se folosește software specializat care rulează pe un computer dedicat și, în cele mai multe cazuri, acționează ca un server proxy. Computerul care rulează acest software poate fi situat în spatele unui firewall.
• VPN bazat pe sistemul de operare al rețelei.Vom analiza soluții bazate pe un sistem de operare de rețea folosind sistemul de operare Windows Microsoft ca exemplu. Pentru a crea un VPN, Microsoft folosește protocolul PPTP, care este integrat în sistemul Windows. Această soluție este foarte atractivă pentru organizațiile care folosesc Windows ca sistem de operare corporativ. Trebuie remarcat faptul că costul unei astfel de soluții este semnificativ mai mic decât costul altor soluții. VPN bazat pe Windows utilizează o bază de utilizatori stocată pe controlerul de domeniu primar (PDC). La conectarea la un server PPTP, utilizatorul este autentificat folosind protocoalele PAP, CHAP sau MS-CHAP. Pachetele transmise sunt încapsulate în pachete GRE/PPTP. Pentru a cripta pachetele, se folosește un protocol non-standard de la Microsoft Point-to-Point Encryption cu o cheie de 40 sau 128 de biți primită în momentul stabilirii conexiunii. Dezavantajele acestui sistem sunt lipsa verificării integrității datelor și incapacitatea de a schimba cheile în timpul conexiunii. Aspectele pozitive sunt ușurința de integrare cu Windows și costul redus.
• VPN bazat pe hardware. Opțiunea de a construi un VPN pe dispozitive speciale poate fi utilizată în rețelele care necesită performanțe ridicate. Un exemplu de astfel de soluție este produsul IPro-VPN de la Radguard. Acest produs folosește criptarea hardware a informațiilor transmise, capabilă să transmită un flux de 100 Mbit/s. IPro-VPN acceptă protocolul IPSec și mecanismul de gestionare a cheilor ISAKMP/Oakley. Printre altele, acest dispozitiv acceptă instrumente de traducere a adreselor de rețea și poate fi completat cu un card special care adaugă funcții de firewall

2. Protocoale VPN

Rețelele VPN sunt construite folosind protocoale pentru tunelarea datelor prin Internetul public, iar protocoalele de tunelizare oferă criptarea datelor și asigură transmisie end-to-end între utilizatori. De regulă, astăzi sunt utilizate următoarele niveluri de protocoale pentru a construi rețele VPN:

• Stratul de legătură de date
• Stratul de rețea
• Stratul de transport.

2.1 Stratul de legătură

La nivelul de legătură de date, pot fi utilizate protocoale de tunel de date L2TP și PPTP, care utilizează autorizarea și autentificarea.

PPTP.

În prezent, cel mai comun protocol VPN este Point-to-Point Tunneling Protocol - PPTP. A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct. În practică, PPP rămâne protocolul de comunicare al sesiunii de conexiune PPTP. PPTP creează un tunel prin rețea către serverul NT al destinatarului și transmite pachete PPP de la utilizatorul de la distanță prin intermediul acestuia. Serverul și stația de lucru folosesc o rețea privată virtuală și nu țin cont de cât de sigur sau accesibil este WAN-ul dintre ele. Terminarea sesiunii inițiate de server, spre deosebire de serverele specializate de acces la distanță, permite administratorilor de rețele locale să mențină utilizatorii de la distanță în limitele de securitate ale Windows Server.

Deși protocolul PPTP se extinde numai la dispozitivele care rulează Windows, acesta oferă companiilor capacitatea de a interacționa cu infrastructurile de rețea existente fără a-și compromite propriile sisteme de securitate. Astfel, un utilizator de la distanță se poate conecta la Internet printr-un ISP local printr-o linie telefonică analogică sau o legătură ISDN și poate stabili o conexiune la serverul NT. În același timp, compania nu trebuie să cheltuiască sume mari pentru organizarea și întreținerea unui pool de modemuri care oferă servicii de acces la distanță.

În cele ce urmează se discută funcționarea RRTR. PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP folosesc portul de destinație pentru a crea o conexiune de control tunel. Acest proces are loc la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii. Pe lângă conexiunea de control PPTP care menține legătura în funcțiune, este creată o conexiune pentru a transmite datele prin tunel. Încapsularea datelor înainte de a le trimite printr-un tunel are loc oarecum diferit decât în ​​timpul transmisiei normale. Încapsularea datelor înainte de a le trimite în tunel implică doi pași:

1. În primul rând, este creată partea de informații PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date.
2. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Astfel, în timpul celei de-a doua treceri, datele ajung în stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă a pachetului și preia funcțiile de al doilea strat asociate de obicei cu PPP, adică. adaugă un antet PPP și se termină la un pachet PPTP. Aceasta completează crearea cadrului stratului de legătură.

Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, GRE nu are capacitatea de a stabili sesiuni și de a proteja datele de intruși. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Sistemul de trimitere trimite date prin tunel. Sistemul de recepție elimină toate anteturile de supraîncărcare, lăsând doar datele PPP.

L2TP

În viitorul apropiat, este de așteptat o creștere a numărului de rețele private virtuale, implementate pe baza noului protocol de tunel de nivel al doilea Layer 2 Tunneling Protocol - L2TP.

L2TP a apărut ca urmare a combinării protocoalelor PPTP și L2F (Layer 2 Forwarding). PPTP permite ca pachetele PPP să fie transmise prin tunel, iar pachetele L2F SLIP și PPP. Pentru a evita confuzia și problemele de interoperabilitate pe piața telecomunicațiilor, Internet Engineering Task Force (IETF) a recomandat ca Cisco Systems să combine PPTP și L2F. Din toate punctele de vedere, L2TP combină cele mai bune caracteristici ale PPTP și L2F. Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețelele IP, ci și în ATM, X.25 și Frame Relay. Din păcate, implementarea L2TP în Windows 2000 acceptă doar IP.

L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor. L2TP, așa cum este implementat de Microsoft, utilizează pachete UDP care conțin pachete PPP criptate ca mesaje de control. Fiabilitatea livrării este garantată de controlul secvenței pachetelor.

Funcționalitatea PPTP și L2TP este diferită. L2TP poate fi folosit nu numai în rețelele IP; mesajele de serviciu pentru crearea unui tunel și trimiterea de date prin acesta folosesc același format și protocoale. PPTP poate fi utilizat numai pe rețele IP și necesită o conexiune TCP separată pentru a crea și utiliza tunelul. L2TP prin IPSec oferă mai multe straturi de securitate decât PPTP și poate garanta securitatea aproape 100% pentru datele critice ale organizației dumneavoastră. Caracteristicile L2TP îl fac un protocol foarte promițător pentru construirea de rețele virtuale.

Protocoalele L2TP și PPTP diferă de protocoalele de tunel de nivel al treilea printr-o serie de caracteristici:

1. Oferirea corporațiilor posibilitatea de a alege în mod independent metoda de autentificare a utilizatorilor și de verificare a acreditărilor - pe propriul „teritoriu” sau cu un furnizor de servicii de internet. Prin procesarea pachetelor PPP tunelizate, serverele de rețea corporative primesc toate informațiile necesare pentru a identifica utilizatorii.
2. Suport pentru comutarea tunelului - terminarea unui tunel și inițierea altuia la unul dintre multele terminatoare potențiale. Comutarea tunelului vă permite să extindeți conexiunea PPP la punctul final necesar.
3. Permite administratorilor de rețele corporative să implementeze strategii de control al accesului utilizatorilor direct pe firewall și serverele interne. Deoarece terminatorii de tunel primesc pachete PPP care conțin informații despre utilizator, aceștia sunt capabili să aplice politici de securitate definite de administrator pentru traficul utilizatorului individual. (Tunelingul de nivel al treilea nu permite distingerea pachetelor care provin de la furnizor, astfel încât filtrele de politică de securitate trebuie aplicate stațiilor de lucru și dispozitivelor de rețea finale.) În plus, dacă utilizați un comutator de tunel, devine posibilă organizarea unei „continuări” a tunelul al doilea nivel pentru transmiterea directă a traficului individualutilizatorii către serverele interne corespunzătoare. Astfel de servere pot fi însărcinate cu filtrarea suplimentară a pachetelor.

MPLS

De asemenea, la nivelul legăturii de date, tehnologia MPLS poate fi utilizată pentru organizarea tunelurilor ( Din engleza Multiprotocol Label Switching - comutare multiprotocol label - un mecanism de transfer de date care emulează diferite proprietăți ale rețelelor cu comutare de circuite peste rețelele cu comutare de pachete). MPLS operează la un strat care ar putea fi poziționat între stratul de legătură de date și al treilea strat de rețea al modelului OSI și, prin urmare, este denumit în mod obișnuit protocol de nivel de legătură de date. A fost conceput pentru a oferi un serviciu de date universal atât pentru clienții de rețea cu comutare de circuite, cât și pentru cei cu comutare de pachete. MPLS poate transporta o mare varietate de trafic, cum ar fi pachete IP, ATM, SONET și cadre Ethernet.

Soluțiile pentru organizarea VPN la nivel de link au un domeniu de aplicare destul de limitat, de obicei în domeniul furnizorului.

2.2 Stratul de rețea

Stratul de rețea (stratul IP). Este utilizat protocolul IPSec, care implementează criptarea și confidențialitatea datelor, precum și autentificarea abonaților. Utilizarea protocolului IPSec permite un acces complet echivalent cu o conexiune fizică la rețeaua corporativă. Pentru a stabili un VPN, fiecare participant trebuie să configureze anumiți parametri IPSec, de ex. Fiecare client trebuie să aibă software care implementează IPSec.

IPSec

Desigur, nicio companie nu ar dori să se transfere în mod deschis Internet financiar sau alte informații confidențiale. Canalele VPN sunt protejate de algoritmi de criptare puternici bazați pe standardele de protocol de securitate IPsec. IPSec sau Internet Protocol Security - un standard ales de comunitatea internațională, IETF - Internet Engineering Task Force, creează cadrul de securitate pentru Internet Protocol (protocolul IP/IPSec asigură securitate la nivel de rețea și necesită suport pentru standardul IPSec doar de la dispozitivele care comunică între ele de ambele părți ale conexiunii. Toate celelalte dispozitive situate între ele pur și simplu asigură trafic de pachete IP.

Metoda de interacțiune între persoane care utilizează tehnologia IPSec este de obicei definită prin termenul „asociere sigură” - Asociația de securitate (SA). O asociere sigură funcționează pe baza unui acord între părți, care folosesc IPSec pentru a proteja informațiile transmise reciproc. Acest acord reglementează mai mulți parametri: adrese IP ale expeditorului și destinatarului, algoritmul criptografic, ordinea de schimb de chei, dimensiunile cheilor, durata de viață a cheii, algoritmul de autentificare.

IPSec este un set consistent de standarde deschise cu un nucleu care poate fi extins cu ușurință cu noi caracteristici și protocoale. Nucleul IPSec este format din trei protocoale:

· UN sau Authentication Header - antet de autentificare - garantează integritatea și autenticitatea datelor. Scopul principal al protocolului AH este acela că permite părții de recepție să se asigure că:

• pachetul a fost trimis de o parte cu care s-a stabilit o asociere sigură;
• conținutul pachetului nu a fost distorsionat în timpul transmiterii acestuia prin rețea;
• pachetul nu este un duplicat al unui pachet deja primit.

Primele două funcții sunt obligatorii pentru protocolul AH, iar ultima este selectată opțional la stabilirea unei asocieri. Pentru a îndeplini aceste funcții, protocolul AH utilizează un antet special. Structura sa este considerată conform următoarei scheme:

1. Următorul câmp de antet indică codul protocolului de nivel superior, adică protocolul al cărui mesaj se află în câmpul de date al pachetului IP.
2. Câmpul pentru lungimea sarcinii utile conține lungimea antetului AH.
3. Indexul parametrilor de securitate (SPI) este utilizat pentru a asocia un pachet cu asocierea de securitate intenționată.
4. Câmpul Număr de secvență (SN) indică numărul de secvență al pachetului și este utilizat pentru a proteja împotriva falsificării (atunci când o terță parte încearcă să refolosească pachetele securizate interceptate trimise de expeditorul real autentificat).
5. Câmpul de date de autentificare, care conține așa-numita valoare de verificare a integrității (ICV), este utilizat pentru autentificarea și verificarea integrității pachetului. Această valoare, numită și digest, este calculată folosind una dintre cele două funcții ireversibile din punct de vedere computațional MD5 sau SAH-1 care sunt cerute de protocolul AH, dar poate fi utilizată orice altă funcție.

· ESP sau Încapsulating Security Payload- încapsularea datelor criptate - criptează datele transmise, asigurând confidențialitatea, poate menține și autentificarea și integritatea datelor;

Protocolul ESP rezolvă două grupuri de probleme.

1. Prima include sarcini similare cu cele ale protocolului AH - asigurarea autentificării și integrității datelor pe baza rezumatului,
2. Al doilea este datele transmise prin criptarea lor de la vizualizare neautorizată.

Antetul este împărțit în două părți, separate printr-un câmp de date.

1. Prima parte, numită antetul ESP în sine, este formată din două câmpuri (SPI și SN), al căror scop este similar cu câmpurile cu același nume din protocolul AH și este plasat înaintea câmpului de date.
2. Câmpurile de serviciu de protocol ESP rămase, numite trailer ESP, sunt situate la sfârșitul pachetului.

Cele două câmpuri de trailer - antetul următor și datele de autentificare - sunt similare cu câmpurile antetului AH. Câmpul Date de autentificare este absent dacă se ia decizia de a nu folosi capacitățile de integritate ale protocolului ESP la stabilirea unei asocieri sigure. Pe lângă aceste câmpuri, remorca conține două câmpuri suplimentare - umplere și lungime de umplere.

Protocoalele AH și ESP pot proteja datele în două moduri:

1. în transport - transmisia se realizează cu anteturi IP originale;
2. într-un tunel - pachetul original este plasat într-un nou pachet IP și transmisia se realizează cu anteturi noi.

Utilizarea unui mod sau altuia depinde de cerințele pentru protecția datelor, precum și de rolul jucat în rețea de nodul care încheie canalul securizat. Astfel, un nod poate fi o gazdă (nod final) sau o poartă (nod intermediar).

În consecință, există trei scheme pentru utilizarea protocolului IPSec:

1. gazdă-gazdă;
2. gateway-gateway;
3. poarta gazdă.

Capacitățile protocoalelor AH și ESP se suprapun parțial: protocolul AH este responsabil doar pentru asigurarea integrității și autentificarea datelor, protocolul ESP poate cripta datele și, în plus, poate îndeplini funcțiile protocolului AH (într-o formă redusă). ). Un ESP poate suporta funcții de criptare și autentificare/integritate în orice combinație, adică fie întregul grup de funcții, numai autentificare/integritate, fie numai criptare.

· IKE sau Internet Key Exchange - Schimb de chei pe Internet - rezolvă sarcina auxiliară de a furniza automat punctelor terminale ale unui canal securizat cheile secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.

2.3 Stratul de transport

Stratul de transport utilizează protocolul SSL/TLS sau Secure Socket Layer/Transport Layer Security, care implementează criptarea și autentificarea între straturile de transport ale receptorului și ale transmițătorului. SSL/TLS poate fi folosit pentru a securiza traficul TCP, dar nu poate fi folosit pentru a securiza traficul UDP. Pentru a opera un VPN bazat pe SSL/TLS, nu este nevoie să implementați software special, deoarece fiecare browser și client de e-mail este echipat cu aceste protocoale. Datorită faptului că SSL/TLS este implementat la nivelul transportului, se stabilește o conexiune securizată „end-to-end”.

Protocolul TLS se bazează pe protocolul Netscape SSL versiunea 3.0 și constă din două părți - Protocolul de înregistrare TLS și Protocolul TLS Handshake. Diferențele dintre SSL 3.0 și TLS 1.0 sunt minore.

SSL/TLS include trei faze principale:

1. Dialog între părți, al cărui scop este selectarea unui algoritm de criptare;
2. Schimb de chei bazat pe criptosisteme cu chei publice sau autentificare bazată pe certificate;
3. Transfer de date criptate folosind algoritmi de criptare simetrică.

2.4 Implementare VPN: IPSec sau SSL/TLS?

Managerii departamentelor IT se confruntă adesea cu întrebarea: ce protocol să aleagă pentru construirea unei rețele VPN corporative? Răspunsul nu este evident, deoarece fiecare abordare are atât argumente pro, cât și dezavantaje. Vom încerca să conducem și să identificăm când este necesar să folosim IPSec și când SSL/TLS. După cum se poate observa din analiza caracteristicilor acestor protocoale, acestea nu sunt interschimbabile și pot funcționa atât separat, cât și în paralel, definind caracteristicile funcționale ale fiecăruia dintre VPN-urile implementate.

Alegerea protocolului pentru construirea unei rețele VPN corporative se poate face în funcție de următoarele criterii:

· Tipul de acces necesar pentru utilizatorii VPN.

1. Conexiune complet funcțională, permanentă la rețeaua corporativă. Alegerea recomandată este protocolul IPSec.
2. O conexiune temporară, de exemplu, de către un utilizator mobil sau un utilizator care utilizează un computer public, pentru a obține acces la anumite servicii, cum ar fi e-mailul sau o bază de date. Alegerea recomandată este protocolul SSL/TLS, care vă permite să organizați un VPN pentru fiecare serviciu individual.

· Dacă utilizatorul este angajat al companiei.

1. Dacă utilizatorul este angajat al unei companii, dispozitivul pe care îl folosește pentru a accesa rețeaua corporativă prin VPN IPSec poate fi configurat într-un mod specific.
2. Dacă utilizatorul nu este angajat al companiei la care este accesată rețeaua corporativă, se recomandă utilizarea SSL/TLS. Acest lucru va limita accesul oaspeților numai la anumite servicii.

· Care este nivelul de securitate al rețelei corporative.

1. Înalt. Alegerea recomandată este protocolul IPSec. Într-adevăr, nivelul de securitate oferit de IPSec este mult mai mare decât cel oferit de protocolul SSL/TLS datorită utilizării software-ului configurabil pe partea utilizatorului și a unui gateway de securitate pe partea rețelei corporative.
2. In medie. Alegerea recomandată este protocolul SSL/TLS, care permite accesul de pe orice terminal.

· Nivelul de securitate al datelor transmise de utilizator.

1. Înalt, de exemplu, managementul companiei. Alegerea recomandată este protocolul IPSec.
2. Mediu, de exemplu, partener. Alegerea recomandată este protocolul SSL/TLS.

În funcție de serviciu - de la mediu la mare. Alegerea recomandată este o combinație a protocoalelor IPSec (pentru serviciile care necesită un nivel ridicat de securitate) și SSL/TLS (pentru servicii care necesită un nivel mediu de securitate).

· Ce este mai important, implementarea VPN rapidă sau scalabilitatea viitoare a soluției.

1. Implementați rapid o rețea VPN la costuri minime. Alegerea recomandată este protocolul SSL/TLS. În acest caz, nu este nevoie să implementați software special din partea utilizatorului, ca în cazul IPSec.
2. Scalabilitatea rețelei VPN - adăugarea accesului la diverse servicii. Alegerea recomandată este protocolul IPSec, care permite accesul la toate serviciile și resursele rețelei corporative.
3. Implementare rapidă și scalabilitate. Alegerea recomandată este o combinație de IPSec și SSL/TLS: utilizarea SSL/TLS în prima etapă pentru a accesa serviciile necesare, urmată de implementarea IPSec.

3. Metode de implementare a rețelelor VPN

O rețea privată virtuală se bazează pe trei metode de implementare:

· Tunele;

· Criptare;

· Autentificare.

3.1 Tunele

Tunnelarea asigură transferul de date între două puncte - capetele tunelului - în așa fel încât întreaga infrastructură de rețea aflată între ele să fie ascunsă de sursa și receptorul datelor.

Mijlocul de transport al tunelului, ca un feribot, preia pachete din protocolul de rețea folosit la intrarea în tunel și le livrează neschimbate la ieșire. Construirea unui tunel este suficientă pentru a conecta două noduri de rețea, astfel încât, din punctul de vedere al software-ului care rulează pe ele, acestea să pară conectate la aceeași rețea (locală). Cu toate acestea, nu trebuie să uităm că de fapt „fericul” cu date trece prin multe noduri intermediare (routere) ale unei rețele publice deschise.

Această stare de fapt pune două probleme. Prima este că informațiile transmise prin tunel pot fi interceptate de atacatori. Dacă este confidențial (numere de card bancar, situații financiare, informații personale), atunci amenințarea compromiterii sale este destul de reală, ceea ce în sine este neplăcut. Și mai rău, atacatorii au capacitatea de a modifica datele transmise prin tunel, astfel încât destinatarul să nu poată verifica autenticitatea acestora. Consecințele pot fi cele mai grave. Ținând cont de cele de mai sus, ajungem la concluzia că tunelul în forma sa pură este potrivit doar pentru unele tipuri de jocuri pe computer în rețea și nu poate pretinde că este folosit mai în serios. Ambele probleme sunt rezolvate prin mijloace moderne de protecție a informațiilor criptografice. Pentru a preveni modificarea neautorizată a pachetului de date pe măsură ce acesta traversează tunelul, se utilizează metoda semnăturii digitale electronice (). Esența metodei este că fiecare pachet transmis este furnizat cu un bloc suplimentar de informații, care este generat în conformitate cu un algoritm criptografic asimetric și este unic pentru conținutul pachetului și cheia secretă a semnăturii digitale a expeditorului. Acest bloc de informații este semnătura digitală a coletului și permite ca datele să fie autentificate de către destinatar, care cunoaște cheia publică a semnăturii digitale a expeditorului. Protecția datelor transmise prin tunel împotriva vizualizării neautorizate se realizează prin utilizarea unor algoritmi puternici de criptare.

3.2 Autentificare

Securitatea este funcția principală a unui VPN. Toate datele de la computerele client trec prin Internet către serverul VPN. Un astfel de server poate fi situat la o distanță mare de computerul client, iar datele pe drumul către rețeaua organizației trec prin echipamentele multor furnizori. Cum pot să mă asigur că datele nu au fost citite sau modificate? Pentru aceasta, sunt folosite diverse metode de autentificare și criptare.

PPTP poate folosi oricare dintre protocoalele utilizate pentru PPP pentru a autentifica utilizatorii

• EAP sau Extensible Authentication Protocol;
• Protocolul de autentificare MSCHAP sau Microsoft Challenge Handshake (versiunile 1 și 2);
• CHAP sau Protocolul de autentificare prin strângere de mână Challenge;
• Protocolul de autentificare prin parolă SPAP sau Shiva;
• PAP sau Protocolul de autentificare cu parolă.

Cele mai bune protocoale sunt MSCHAP versiunea 2 și Transport Layer Security (EAP-TLS), deoarece oferă autentificare reciprocă, de exemplu. Serverul VPN și clientul se identifică reciproc. În toate celelalte protocoale, doar serverul autentifică clienții.

Deși PPTP oferă un grad suficient de securitate, L2TP prin IPSec este mai fiabil. L2TP prin IPSec oferă autentificare la nivel de utilizator și computer și, de asemenea, realizează autentificare și criptare a datelor.

Autentificarea se realizează fie printr-un test deschis (parolă cu text clar), fie printr-o schemă de provocare/răspuns. Totul este clar cu textul direct. Clientul trimite serverului o parolă. Serverul compară acest lucru cu standardul și fie refuză accesul, fie spune „bun venit”. Autentificarea deschisă nu se vede aproape niciodată.

Schema cerere/răspuns este mult mai avansată. In general arata asa:

• clientul trimite serverului o cerere de autentificare;
• serverul returnează un răspuns aleator (provocare);
• clientul ia un hash din parola sa (un hash este rezultatul unei funcții hash care convertește o matrice de date de intrare de lungime arbitrară într-un șir de biți de ieșire de o lungime fixă), criptează răspunsul cu acesta și îl transmite serverului;
• serverul face același lucru, comparând rezultatul primit cu răspunsul clientului;
• dacă răspunsul criptat se potrivește, autentificarea este considerată reușită;

În primul pas de autentificare a clienților și serverelor VPN, L2TP prin IPSec utilizează certificate locale obținute de la o autoritate de certificare. Clientul și serverul schimbă certificate și creează o conexiune securizată ESP SA (asociație de securitate). După ce L2TP (peste IPSec) finalizează procesul de autentificare a computerului, se realizează autentificarea la nivel de utilizator. Pentru autentificare, puteți folosi orice protocol, chiar și PAP, care transmite numele de utilizator și parola în text clar. Acest lucru este destul de sigur, deoarece L2TP prin IPSec criptează întreaga sesiune. Cu toate acestea, efectuarea autentificării utilizatorului folosind MSCHAP, care utilizează diferite chei de criptare pentru a autentifica computerul și utilizatorul, poate îmbunătăți securitatea.

3.3. Criptare

Criptarea PPTP asigură că nimeni nu vă poate accesa datele în timp ce acestea sunt trimise prin Internet. În prezent, există două metode de criptare acceptate:

• MPPE sau Microsoft Point-to-Point Encryption este compatibil doar cu MSCHAP (versiunile 1 și 2);
• EAP-TLS poate selecta automat lungimea cheii de criptare atunci când negociază parametrii între client și server.

MPPE acceptă chei cu lungimi de 40, 56 sau 128 de biți. Sistemele de operare Windows mai vechi acceptă doar criptarea cu lungimea cheii de 40 de biți, așa că într-un mediu Windows mixt ar trebui să alegeți lungimea minimă a cheii.

PPTP modifică valoarea cheii de criptare după fiecare pachet primit. Protocolul MMPE a fost conceput pentru legăturile de comunicație punct la punct în care pachetele sunt transmise secvenţial și există foarte puţine pierderi de date. În această situație, valoarea cheii pentru următorul pachet depinde de rezultatele decriptării pachetului anterior. Atunci când se construiesc rețele virtuale prin rețele publice, aceste condiții nu pot fi îndeplinite, deoarece pachetele de date ajung adesea la destinatar într-o secvență diferită de cea în care au fost trimise. Prin urmare, PPTP utilizează numere de secvență de pachete pentru a schimba cheia de criptare. Acest lucru permite decriptarea să fie efectuată indiferent de pachetele primite anterioare.

Ambele protocoale sunt implementate atât în ​​Microsoft Windows, cât și în afara acestuia (de exemplu, în BSD), algoritmii de operare VPN pot diferi semnificativ.

Astfel, combinația „tunel + autentificare + criptare” vă permite să transferați date între două puncte printr-o rețea publică, simulând funcționarea unei rețele private (locale). Cu alte cuvinte, instrumentele luate în considerare vă permit să construiți o rețea privată virtuală.

Un efect suplimentar plăcut al unei conexiuni VPN este posibilitatea (și chiar necesitatea) utilizării sistemului de adresare adoptat în rețeaua locală.

Implementarea unei rețele private virtuale în practică arată astfel: Un server VPN este instalat în rețeaua locală de calculatoare a biroului companiei. Utilizatorul de la distanță (sau routerul, dacă conectează două birouri) care utilizează software-ul client VPN inițiază procedura de conectare cu serverul. Are loc autentificarea utilizatorului - prima fază a stabilirii unei conexiuni VPN. Dacă autoritatea este confirmată, începe a doua fază - detaliile de asigurare a securității conexiunii sunt convenite între client și server. După aceasta, se organizează o conexiune VPN, asigurând schimbul de informații între client și server în forma în care fiecare pachet de date trece prin proceduri de criptare/decriptare și verificare a integrității - autentificarea datelor.

Principala problemă a rețelelor VPN este lipsa standardelor stabilite pentru autentificare și schimbul de informații criptate. Aceste standarde sunt încă în curs de dezvoltare și, prin urmare, produsele de la diferiți producători nu pot stabili conexiuni VPN și nu pot schimba automat cheile. Această problemă implică o încetinire a răspândirii VPN-urilor, deoarece este dificil să forțați diferite companii să folosească produsele unui producător și, prin urmare, procesul de combinare a rețelelor companiilor partenere în așa-numitele rețele extranet este dificil.

Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. Dezavantajul tehnologiei VPN este că instrumentele de construire VPN nu sunt mijloace cu drepturi depline de detectare și blocare a atacurilor. Ele pot preveni o serie de acțiuni neautorizate, dar nu toate posibilitățile care pot fi folosite pentru a pătrunde într-o rețea corporativă. Dar, în ciuda tuturor acestor lucruri, tehnologia VPN are perspective de dezvoltare ulterioară.

La ce ne putem aștepta în ceea ce privește dezvoltarea tehnologiei VPN în viitor? Fără îndoială, va fi dezvoltat și aprobat un standard unificat pentru construirea unor astfel de rețele. Cel mai probabil, baza acestui standard va fi protocolul IPSec deja dovedit. În continuare, producătorii se vor concentra pe îmbunătățirea performanței produselor lor și pe crearea unor instrumente de management VPN ușor de utilizat. Cel mai probabil, dezvoltarea instrumentelor de construire a VPN va merge în direcția VPN-urilor bazate pe router, deoarece această soluție combină performanțe destul de ridicate, integrarea VPN și rutare într-un singur dispozitiv. Cu toate acestea, se vor dezvolta și soluții low-cost pentru organizațiile mici. În concluzie, trebuie spus că, în ciuda faptului că tehnologia VPN este încă foarte tânără, are un viitor mare în față.

Lasă comentariul tău!

În curând vor apărea articole pe site care vorbesc despre anonimatul pe Internet folosind un VPN. Vom configura VPN pe diferite dispozitive. Pentru a nu scrie de fiecare dată în fiecare articol ce este o rețea virtuală privată VPN, am decis să scriu acest articol.

Dacă sunteți interesat de problemele de anonimat pe internet, vă sfătuiesc să citiți articolul „” unde am vorbit despre conexiunile proxy, de ce sunt necesare proxy-uri și ce tipuri există.

În acest articol nu voi săpa adânc. Vă voi spune doar despre cele mai importante lucruri pe care trebuie să le știe o persoană care se gândește la anonimatul pe Internet.

Rețeaua privată virtuală (VPN) este o tehnologie care oferă posibilitatea de a furniza una sau mai multe conexiuni de rețea printr-o altă rețea, cum ar fi Internetul.

Această conexiune ia forma unui tunel criptat care conectează direct computerul utilizatorului și serverul de la distanță, ceea ce permite nu numai, ci și criptarea traficului dvs. Cu alte cuvinte, astfel vei putea descărca orice de oriunde și nimeni nu va ști despre asta.

Tipuri de conexiuni VPN

Puteți configura următoarele tipuri de conexiuni VPN: După cum am spus mai devreme, toate informațiile sunt reduse la minimum necesar. Citiți mai multe în literatura de specialitate.

Rețea privată virtuală PPTP

RRTR- Protocolul de tunel punct la punct este un protocol de tunel punct la punct care va ajuta la stabilirea unui tunel securizat într-o rețea nesecurizată. Este cea mai populară metodă de conectare VPN, dar mulți furnizori de internet blochează astfel de aplicații.

Rețea privată virtuală OpenVPN

OpenVPN- este o implementare gratuită a acestei tehnologii cu furnizarea de cod deschis pentru crearea propriilor canale criptate folosind tipurile „punct-la-punct” sau „server-client”. Acesta din urmă vă permite să utilizați un alt computer ca server VPN. Cu toate acestea, configurarea unui tunel necesită instalarea unui software special, împreună cu cunoștințele necesare pentru a lucra cu acesta.

Rețea privată virtuală L2TP

L2TP(Layer 2 Tunneling Protocol) este cel mai laborios tip de tunel VPN de configurat, dar vă permite să îl creați cu priorități de acces specificate, făcându-l cel mai sigur.

Și, deși VPN-urile nu sunt literalmente anonimizatoare, astăzi majoritatea site-urilor care oferă servicii de proximitate CGI oferă să-și achiziționeze propriul canal VPN. Această tehnologie câștigă amploare, așa că este probabil ca în curând numărul de anonimizatori familiari să fie redus la minimum necesar.