Astăzi, întrebările populare despre VPN sunt ce este, care sunt caracteristicile sale și cum să configurați cel mai bine un VPN. Chestia este că nu toată lumea cunoaște esența tehnologiei în sine, când poate fi necesară.

Chiar și din punct de vedere financiar și de profit, Configurare VPN- Aceasta este o afacere profitabilă pentru care poți câștiga bani ușor.
Ar fi bine să explici utilizatorului ce este un VPN și cum să-l configurezi cel mai bine pe Win 7 și 10.

1. Bazele

Acesta este modul în care dispozitivele sunt conectate fizic între ele. Dar practica a arătat că acest lucru nu este necesar.

Un VPN este configurat special pentru a evita utilizarea firelor, cablurilor și a altor dispozitive care interferează.

Dispozitivele locale sunt conectate între ele nu prin cabluri, ci prin Wi-FI, GPS, Bluetooth și alte dispozitive.
Rețelele virtuale sunt cel mai adesea o conexiune standard la Internet. Desigur, nu este ușor să obțineți acces la dispozitive, deoarece peste tot există niveluri de identificare menite să evite hacking-ul și răufăcătorii în rețeaua VPN.

2. Câteva cuvinte despre structura VPN

Un computer sau un dispozitiv conectat la un VPN trebuie să aibă toate datele pentru autorizare și așa-numita autentificare, adică o parolă specială, de obicei unică, sau alte mijloace care ar putea ajuta la finalizarea procedurii.

Acest proces nu este deosebit de important pentru noi. Experții creează metode din ce în ce mai puternice și mai serioase de autorizare pe servere.

Pentru a te regăsi într-o astfel de rețea, trebuie să știi următoarele la intrare:
1. Nume, numele computerului, de exemplu, sau alt login folosit pentru a vă autentifica în rețea;
2. Parola, dacă este setată una, pentru a finaliza autorizarea.
De asemenea, un computer care dorește să se conecteze la o altă rețea VPN „poartă” toate datele de autorizare. Serverul va introduce aceste date în baza sa de date. După înregistrarea PC-ului în baza de date, nu veți mai avea nevoie de datele menționate mai sus.

3. VPN-urile și clasificarea lor

Să încercăm să ne dăm seama mai detaliat.
- GRAD DE PROTECȚIE. Rețele selectate după acest criteriu:
1. Complet protejate – acestea sunt rețele protejate inițial;
2. „Încredere” protejată - rețele mai puțin sigure, utilizate în cazurile în care rețeaua originală sau „părinte” este fiabilă.
- IMPLEMENTARE. Metode de implementare. Rețele selectate după acest criteriu:
1. Metode combinate și program;
2. Metoda hardware– folosind dispozitive reale.
- SCOP. VPN-uri selectate conform acestui criteriu:
1. Intranet – folosit cel mai des în companiile în care mai multe sucursale trebuie unite;
2. Extranet – folosit special pentru organizarea de rețele în care sunt diverși participanți, precum și clienții companiei;
3. Acces (Acces la distanță) este organizarea rețelelor VPN unde există așa-numitele filiale la distanță.
- PRIN PROTOCOL. Implementarea rețelelor VPN este posibilă folosind protocoalele AppleTalk și IPX, dar în realitate folosesc TCP/IP cel mai des și mai eficient. Motivul este popularitatea acestui protocol în rețelele majore.
- NIVEL DE MUNCĂ. Aici se preferă OSI, dar un VPN poate funcționa numai la nivelul conexiunii de date, al rețelei și al transportului.
Desigur, în practică, o rețea poate include mai multe caracteristici în același timp. Să trecem la punctele despre configurarea directă a unei rețele VPN folosind computerul sau laptopul.

4. Cum să configurați o rețea VPN (rețea virtuală)

Dacă conexiunea a fost făcută la o rețea deja funcțională, cel mai bine este să cereți informații administratorului acestei rețele. De obicei, această procedură nu durează mult timp. Introduceți datele în câmpurile furnizate.
8. În aceeași casetă, bifați „ Nu te conecta acum...", iar apoi trecem la " Mai departe».

Dacă aceasta este prima conexiune la rețea, atunci vor trebui create date noi, după ce le-ați verificat cu serverul, vi se va permite să intrați în rețea și să le utilizați.

Dacă conexiunea nu este primară, atunci serverul nu vă va verifica datele și vă va conecta direct la rețeaua dorită.

10. După ce ați introdus datele necesare, faceți clic pe „ A conecta».

Configurarea unui VPN pe Windows 7 efectuat.

Să trecem la configurarea unui VPN pe Windows 10, algoritmul și acțiunile de acolo sunt aproape aceleași. Singura diferență este în unele elemente de interfață și accesul la acestea.

Deci, de exemplu, pentru a ajunge la „Centrul de rețea și partajare”, trebuie să faceți totul la fel ca pe Windows 7, în plus, există un element special „ Crearea și configurarea unei noi conexiuni sau...».
În plus, configurarea se face în același mod ca pe Windows 7, doar interfața va fi ușor diferită.

5. Configurarea unui VPN pe Android

O fereastră de program care vă va solicita să creați o rețea VPN pe Android.

În acest articol vom arunca o privire mai atentă asupra procesului de configurare a unui server VPN în sistemul de operare. Windows Server, și, de asemenea, răspundeți la întrebările: Ce este un VPN și cum să configurați o conexiune VPN?

Ce este o conexiune VPN?

VPN (Virtual Private Network) este o rețea privată virtuală care este utilizată pentru a oferi o conexiune sigură la rețea. O tehnologie care vă permite să conectați orice număr de dispozitive într-o rețea privată. De regulă, prin internet.

Deși această tehnologie nu este nouă, este În ultima vreme a câștigat relevanță datorită dorinței utilizatorilor de a menține integritatea sau confidențialitatea datelor în timp real.

Această metodă de conectare se numește tunel VPN. Vă puteți conecta la un VPN de pe orice computer, cu orice sistem de operare care acceptă o conexiune VPN. Sau este instalat un client VPN, care este capabil să redirecționeze porturi folosind TCP/IP către o rețea virtuală.

Ce face un VPN?

VPN oferă conexiune la distanță către rețelele private

De asemenea, puteți combina în siguranță mai multe rețele și servere

Calculatoarele cu adrese IP de la 192.168.0.10 la 192.168.0.125 sunt conectate printr-un gateway de rețea care funcționează rolul VPN Server. Regulile pentru conexiunile prin canalul VPN trebuie mai întâi scrise pe server și router.

VPN vă permite să utilizați în siguranță Internetul atunci când sunteți conectat chiar și la Wi-Fi deschis rețele în zone publice (în centre comerciale, hoteluri sau aeroporturi)

Și, de asemenea, ocoliți restricțiile privind afișarea conținutului în anumite țări

VPN previne amenințările cibernetice de la interceptarea informațiilor de către un atacator din mers, neobservat de destinatar.

Cum funcționează VPN

Să vedem cum funcționează în principiu o conexiune VPN.

Să ne imaginăm că transmisia este deplasarea unui pachet de-a lungul unei autostrăzi de la punctul A la punctul B de-a lungul traseului pachetului există puncte de control pentru trecerea pachetului de date. Când utilizați un VPN, această rută este protejată suplimentar de un sistem de criptare și de autentificare a utilizatorului pentru a securiza traficul care conține pachetul de date. Această metodă se numește „tunnel” (tunelare - folosind un tunel)

În acest canal, toate comunicațiile sunt protejate în mod fiabil, iar toate nodurile intermediare de transmisie a datelor se ocupă de un pachet criptat și numai atunci când datele sunt transmise destinatarului, datele din pachet sunt decriptate și devin disponibile destinatarului autorizat.

VPN va asigura confidențialitatea informațiilor dvs. împreună cu un antivirus cuprinzător.

VPN acceptă certificate precum OpenVPN, L2TP, IPSec, PPTP, PPOE, iar rezultatul este complet sigur și cale sigura transmiterea datelor.

Tunnelul VPN este utilizat:

1. În interiorul rețelei corporative.
2. Consolidarea birourilor la distanță, precum și a filialelor mici.
3. Acces la resurse IT externe.
4. Pentru construirea de videoconferințe.

Crearea unui VPN, selectarea și configurarea echipamentelor.

Pentru comunicații corporatisteîn marile organizaţii sau asociaţii de birouri îndepărtate unele de altele se foloseşte echipamente hardware capabil să susțină funcţionare neîntreruptăși securitatea rețelei.

Pentru a utiliza serviciul VPN, rolul gateway-ului de rețea poate fi: servere Linux/Windows, un router și un gateway de rețea pe care este instalat VPN-ul.

Routerul trebuie să asigure funcționarea fiabilă a rețelei, fără înghețari. Funcția VPN încorporată vă permite să schimbați configurația pentru lucrul acasă, într-o organizație sau într-o sucursală.

Configurarea unui server VPN.

Dacă doriți să instalați și să utilizați un server VPN bazat pe Familia Windows, atunci trebuie să înțelegeți acel client mașini Windows XP/7/8/10 nu acceptă această funcție, aveți nevoie de un sistem de virtualizare sau server fizic pe platforma Windows 2000/2003/2008/2012/2016, dar ne vom uita la această caracteristică pe Windows Server 2008 R2.

1. Mai întâi, trebuie să instalați rolul de server „Politică de rețea și servicii de acces” Pentru a face acest lucru, deschideți managerul de server și faceți clic pe linkul „Adăugați rol”.

Selectați rolul Network and Access Policy Services și faceți clic pe următorul:

Selectați „Servicii de rutare și acces la distanță” și faceți clic pe Următorul și Instalați.

2. După instalarea rolului, trebuie să-l configurați. Accesați Server Manager, extindeți ramura „Roluri”, selectați rolul „Servicii de politică de rețea și acces”, extindeți-l, faceți clic dreapta pe „Routare și acces la distanță” și selectați „Configurați și activați rutarea și accesul de la distanță”

După pornirea serviciului, considerăm că configurarea rolului este finalizată. Acum trebuie să permiteți utilizatorilor accesul la server și să configurați emiterea de adrese IP către clienți.

Porturi pe care le acceptă VPN. După ce serviciul este ridicat, se deschid în firewall.

Pentru PPTP: 1723 (TCP);

Pentru L2TP: 1701 (TCP)

Pentru SSTP: 443 (TCP).

Protocolul L2TP/IpSec este mai de preferat pentru construirea de rețele VPN, în principal pentru securitate și disponibilitate mai mare, datorită faptului că o singură sesiune UDP este utilizată pentru canalele de date și control. Astăzi ne vom uita la configurarea unui server VPN L2TP/IpSec pe platforma Windows Server 2008 r2.

Puteți încerca să implementați următoarele protocoale: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

Să mergem la Server Manager: Roluri - Rutare și acces la distanță, faceți clic dreapta pe acest rol și selectați „ Proprietăți", în fila „General”, bifați caseta router IPv4, selectați „rețea locală și apel la cerere” și server de acces la distanță IPv4:

Acum trebuie să introducem cheia pre-partajată. Accesați fila Siguranță iar în câmp Permite politici speciale IPSec pentru conexiunile L2TP, bifați casetași introduceți cheia dvs. (Despre cheie. Puteți introduce o combinație arbitrară de litere și numere acolo; principiul principal este că, cu cât combinația este mai complexă, cu atât este mai sigură și amintiți-vă sau notați această combinație; vom avea nevoie de ea mai târziu). În fila Furnizor de autentificare, selectați Autentificare Windows.

Acum trebuie să configuram Securitatea conexiunii. Pentru a face acest lucru, accesați fila Siguranțăși alegeți Metode de autentificare, bifați casetele EAP și autentificare criptată (Microsoft versiunea 2, MS-CHAP v2):

Apoi, să mergem la fila IPv4, acolo vom indica ce interfață va accepta conexiuni VPN și, de asemenea, vom configura grupul de adrese emise clienților VPN L2TP în fila IPv4 (Setați Interfața la „Permite RAS să selecteze un adaptor”):

Acum să mergem la fila care apare Porturi, faceți clic dreapta și Proprietăți, selectați o conexiune L2TPși apăsați Ton, îl vom afișa într-o fereastră nouă Conexiune de acces la distanță (doar pentru intrare)Și Conexiune la cerere (intrare și ieșire)și setați numărul maxim de porturi, numărul de porturi trebuie să corespundă sau să depășească numărul așteptat de clienți. Este mai bine să dezactivați protocoalele neutilizate debifând ambele casete de selectare din proprietățile lor.

Lista porturi pe care ni le-au rămas în cantitatea specificată.

Aceasta completează configurarea serverului. Tot ce rămâne este să permiteți utilizatorilor să se conecteze la server. Mergi la Manager server Director activ – utilizatorii – găsim utilizatorul pe care îl dorim permite accesul presa proprietăți, accesați marcajul apeluri primite

VPN este o funcție disponibilă pe iPhone, iPad și iPod touch care vă permite să înlocuiți adresa IP a dispozitivului atunci când accesați Internetul. Există mai multe moduri de a-l folosi.

De ce ai nevoie de un VPN?

Folosind un VPN duce la faptul că atunci când accesezi Internetul, toate site-urile și alte obiecte care solicită IP-ul tău vor primi nu numărul tău individual, care înregistrează din ce locație accesezi rețeaua, ci altul, legat de o altă locație sau altă țară.

Această funcție poate fi utilă în cazurile în care trebuie să accesați un site care este blocat în țara dvs. sau să vă conectați la orice resursă blocată de setările rețelei Wi-Fi prin care se realizează conexiunea. VPN oferă anonimat, adică nimeni nu va ști că de pe dispozitivul dvs. ați introdus o anumită resursă de internet.

Adică, dacă sunteți, de exemplu, în Rusia, atunci cu folosind VPN puteți seta un IP pentru conexiunea dvs., datorită căruia va fi afișat oriunde vă aflați, de exemplu, în Italia.

Utilizarea VPN este interzisă oficial în Rusia.

Cum să utilizați un VPN

Există două moduri de a utiliza serviciile VPN pe iPhone, iPad și iPod touch: prin setările încorporate ale dispozitivului sau aplicație terță parte.

Utilizarea VPN prin setări încorporate

Pentru a utiliza această metodă, va trebui să găsiți în prealabil un site care oferă servicii VPN și să creați un cont pe acesta.

1. Extindeți setările dispozitivului. Deschideți setările dispozitivului Apple
2. Accesați setările principale. Deschiderea setărilor principale ale Apple
3. Selecteaza reteaua". Accesați secțiunea „Rețea”.
4. Selectați subelementul VPN. Selectați subsecțiunea VPN din fila „Rețea”.
5. Începeți să creați configurație nouă. Faceți clic pe butonul „Adăugați configurație”.
6. Vă rugăm să indicați că doriți să utilizați protocolul PPTP. Completați toate câmpurile: „Server” - site-ul pe care l-ați găsit în prealabil, „Descriere” - poate fi obținută pe site, „Cont” - numele contului dvs., RSA - lăsați valoarea de fabrica, „Parolă” - codul contului, dacă există unul, „Criptare” - absent. După completarea tuturor celulelor, salvați datele introduse. Umplerea celulelor de configurare goale
7. Asigurați-vă că setările pe care le-ați creat sunt selectate implicit. Setarea configurației implicite
8. Reveniți la setările generale și activați utilizarea VPN. Dacă doriți să întrerupeți conexiunea prin VPN, faceți clic din nou pe glisor, astfel încât funcția să devină inactivă. Activați VPN în setările dispozitivului

Video: configurarea unui VPN folosind sistemul

Utilizarea unui VPN printr-o aplicație terță parte

Există multe programe care oferă o conexiune VPN. Unul dintre cele mai bune este Betternet, care poate fi instalat gratuit din App Store. Pentru a conecta și deconectare VPN Trebuie să apăsați doar un buton, iar timpul în care puteți utiliza VPN-ul nu este limitat. Adică, nu trebuie să introduceți manual setări, să creați conturi sau să utilizați altele servicii aditionale. Doar instalați aplicația, intrați în ea și apăsați butonul Conectare pentru a vă conecta și Deconectare pentru a vă deconecta.

De asemenea, puteți alege la ce țară vă va conecta VPN-ul.

Video: Configurarea unui VPN cu Betternet

Ce trebuie să faceți dacă pictograma VPN dispare

Dacă dispozitivul este conectat la rețea prin VPN, atunci o pictogramă va indica acest lucru. panoul de sus notificări. Dispariția acestei pictograme înseamnă că sunteți încă conectat la Internet, dar redirecționarea prin VPN s-a încheiat. Adică, conexiunea VPN este întreruptă, poate fi dezactivată de la sine din cauza unei conexiuni la Internet instabile sau a problemelor cu serverul care furnizează servicii VPN. În acest caz, trebuie să vă reconectați manual la VPN folosind una dintre metodele descrise mai sus. Este posibil să fie necesar să reporniți mai întâi dispozitivul și abia apoi să efectuați reconectare.

Ce trebuie să faceți dacă VPN-ul nu funcționează

Este posibil ca o conexiune VPN să nu funcționeze din două motive: o conexiune la internet instabilă sau o problemă cu serverul care furnizează servicii VPN. În primul rând, verificați dacă conexiunea dvs. la internet mobilă este stabilă sau Rețele Wi-Fi. În al doilea rând, verificați corectitudinea setărilor introduse dacă ați folosit prima metodă descrisă mai sus, sau instalați orice altă aplicație decât cea descrisă mai sus în a doua metodă, dacă ați folosit-o.

Cel mai bun mod de a scăpa de problema conexiunii VPN este să alegeți un alt serviciu sau aplicație. Principalul lucru este să alegeți un VPN care să funcționeze în zona dvs.

Un VPN vă permite să utilizați servicii care sunt blocate în zona dvs. Îl poți folosi prin setările dispozitivului tău Apple sau a unei aplicații terță parte.

VPN (Virtual Private Network), sau tradus în rusă, o rețea privată virtuală, este o tehnologie care vă permite să vă conectați dispozitive informaticeîn rețele securizate pentru a oferi utilizatorilor lor un canal criptat și acces anonim la resursele de pe Internet.

În companii, VPN este folosit în principal pentru a uni mai multe sucursale situate în diferite orașe sau chiar părți ale lumii într-o singură rețea locală. Angajații unor astfel de companii, folosind un VPN, pot folosi toate resursele care se află în fiecare sucursală ca și cum ar fi propriile resurse locale, aflate în apropiere. De exemplu, imprimați un document pe o imprimantă situată într-o altă ramură cu un singur clic.

Pentru utilizatorii obișnuiți VPN pentru internet util atunci când:

• site-ul a fost blocat de furnizor, dar trebuie să vă autentificați;
• deseori trebuie să utilizați sisteme bancare și de plată online și doriți să vă protejați datele de eventuale furturi;
• serviciul funcționează doar pentru Europa, dar ești în Rusia și nu te deranjează să asculți muzică pe LastFm;
• doriți ca site-urile pe care le vizitați să nu vă urmărească datele;
• Nu există router, dar este posibil să conectați două computere la o rețea locală pentru a le oferi ambelor acces la Internet.

Cum funcționează VPN

Rețelele private virtuale funcționează printr-un tunel pe care îl stabilesc între computerul dvs. și server la distanta. Toate datele transmise prin acest tunel sunt criptate.

Poate fi imaginat ca un tunel obișnuit, care se găsește pe autostrăzi, așezat doar prin Internet între două puncte - un computer și un server. Prin acest tunel, datele, la fel ca mașinile, se îndreaptă între puncte cu cea mai mare viteză posibilă. La intrare (pe computerul utilizatorului), aceste date sunt criptate și merg în această formă la destinatar (la server), în acest moment sunt decriptate și interpretate: se descarcă un fișier, se trimite o solicitare către site, etc. După care datele primite sunt din nou criptate pe server și sunt trimise prin tunel înapoi la computerul utilizatorului.

Pentru acces anonim Pentru a accesa site-uri și servicii este suficientă o rețea formată dintr-un computer (tabletă, smartphone) și un server.

ÎN vedere generala schimbul de date prin VPN arată astfel:

1. Se creează un tunel între computerul utilizatorului și serverul cu software-ul instalat pentru Crearea VPN. De exemplu, OpenVPN.
2. În aceste programe, o cheie (parolă) este generată pe server și pe computer pentru a cripta/decripta datele.
3. O solicitare este creată pe computer și criptată folosind cheia creată anterior.
4. Datele criptate sunt transmise prin tunel către server.
5. Datele care vin din tunel către server sunt decriptate și solicitarea este executată - trimiterea unui fișier, autentificarea pe site, pornirea serviciului.
6. Serverul pregătește răspunsul, îl criptează înainte de a-l trimite și îl trimite înapoi utilizatorului.
7. Computerul utilizatorului primește datele și le decriptează cu cheia care a fost generată anterior.

Dispozitivele incluse într-o rețea privată virtuală nu sunt legate geografic și pot fi localizate la orice distanță unele de altele.

Pentru utilizatorul mediu de servicii virtuale rețea privată Este suficient să înțelegeți că autentificarea pe Internet prin intermediul unui VPN înseamnă anonimat complet și acces nelimitat la orice resurse, inclusiv la cele care sunt blocate de furnizorul dvs. sau nu sunt disponibile în țara dvs.

Cine are nevoie de un VPN și de ce?

Experții recomandă utilizarea unui VPN pentru a transfera orice date care nu ar trebui să ajungă în mâinile unor terțe părți - autentificări, parole, corespondență privată și de serviciu, lucru cu online banking. Acest lucru este valabil mai ales când se utilizează puncte deschise acces -- WiFi în aeroporturi, cafenele, parcuri etc.

Tehnologia va fi utilă și celor care doresc să acceseze liber orice site și servicii, inclusiv cele blocate de furnizor sau deschise doar unui anumit cerc de persoane. De exemplu, Last.fm este disponibil gratuit numai pentru rezidenții din SUA, Anglia și o serie de alte țări europene. Utilizare serviciul muzical din Rusia va permite conectarea prin VPN.

Diferențele dintre VPN și TOR, proxy și anonimizatori

VPN funcționează la nivel global pe computer și redirecționează activitatea tuturor software-ului instalat pe computer prin tunel. Orice solicitare - prin chat, browser, client Stocare in cloud(dropbox), etc., înainte de a ajunge la destinatar, acesta trece printr-un tunel și este criptat. Dispozitivele intermediare „amestecă piesele” prin solicitări de criptare și le decriptează numai înainte de a le trimite la destinația finală. Destinatarul final al solicitării, de exemplu, un site web, înregistrează nu datele utilizatorului - locația geografică etc., dar Date VPN Server. Adică, teoretic este imposibil de urmărit ce site-uri a vizitat utilizatorul și ce solicitări a transmis printr-o conexiune sigură.

Într-o oarecare măsură, anonimizatorii, proxy-urile și TOR pot fi considerate analogi ale VPN-urilor, dar toate pierd într-un fel în fața rețelelor private virtuale.

Care este diferența dintre un VPN și TOR?

La fel ca VPN, tehnologia TOR presupune criptarea cererilor și transmiterea acestora de la utilizator la server și invers. Doar TOR nu creează tuneluri permanente căile de primire/transmitere a datelor se modifică la fiecare acces, ceea ce reduce șansele de interceptare a pachetelor de date, dar nu; în cel mai bun mod posibil afectează viteza. TOR tehnologie gratuităși este susținut de entuziaști, așa că nu vă puteți aștepta la performanțe stabile. Mai simplu spus, veți putea accesa un site blocat de furnizorul dvs., dar va dura câteva ore sau chiar zile pentru ca videoclipul HD să se încarce de pe acesta.

Care este diferența dintre un VPN și un proxy?

Proxy, similar VPN, redirecționează cererea către site, trecând-o prin servere intermediare. Nu este dificil să interceptați astfel de solicitări, deoarece schimbul de informații are loc fără nicio criptare.

Care este diferența dintre un VPN și un anonimizator?

Anonymizer este o versiune simplificată a unui proxy care poate funcționa numai într-o filă deschisă de browser. Îl puteți folosi pentru a accesa pagina, dar nu veți putea folosi majoritatea funcțiilor și nu este furnizată nicio criptare.

În ceea ce privește viteza, proxy-ul va câștiga printre metodele de schimb indirect de date, deoarece nu prevede criptarea canalului de comunicație. Pe locul doi se află VPN, care oferă nu numai anonimat, ci și protecție. Locul al treilea pentru anonimizator, limitat la muncăîntr-o fereastră deschisă de browser. TOR este potrivit atunci când nu există timp și oportunitatea de a vă conecta la un VPN, dar pentru procesare de mare viteză interogări de volum Nu merită să contam. Această gradare este valabilă pentru cazul în care serverele non-grid sunt amplasate pe aceeasi distanta de la testatorul.

Cum să vă conectați la Internet prin VPN

În RuNet, zeci de servicii oferă servicii de acces VPN. Ei bine, probabil că sunt sute în toată lumea. Practic, toate serviciile sunt plătite. Costul variază de la câțiva dolari la câteva zeci de dolari pe lună. Specialiștii care au o bună înțelegere a IT își creează un server VPN pentru ei înșiși, folosind servere furnizate de diverși furnizori de găzduire în aceste scopuri. Costul unui astfel de server este de obicei de aproximativ 5 USD pe lună.

Prefer plătit sau soluție gratuită depinde de cerințe și așteptări. Ambele opțiuni vor funcționa - ascunde locația, înlocuiește IP-ul, criptează datele în timpul transmisiei etc. - dar problemele cu viteza și accesul în serviciile plătite apar mult mai rar și se rezolvă mult mai rapid.

Tweet

La care se adauga

Recent, în lumea telecomunicațiilor a existat un interes crescut pentru rețelele private virtuale (VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative prin conectarea mai ieftină a birourilor de la distanță și a utilizatorilor la distanță prin Internet. Într-adevăr, când comparăm costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele Frame Relay, puteți observa o diferență semnificativă de cost. Cu toate acestea, trebuie menționat că la conectarea rețelelor prin Internet se pune imediat problema securității transmisiei de date, așa că a devenit necesară crearea unor mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN.

Mai mult, foarte des la omul modern, în timp ce îți dezvolți afacerea, trebuie să călătorești mult. Acestea ar putea fi excursii în colțuri îndepărtate ale țării noastre sau în țări străine. Adesea, oamenii au nevoie de acces la informațiile lor stocate pe computerul de acasă sau al companiei. Această problemă poate fi rezolvată prin organizarea accesului de la distanță la acesta folosind un modem și o linie. Utilizarea unei linii telefonice are propriile sale caracteristici. Dezavantajele acestei soluții sunt că apelul din altă țară costă foarte mulți bani. Există o altă soluție numită VPN. Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. După părerea mea, tehnologia. VPN-ul are potențialul de a deveni răspândit în întreaga lume.

1. Conceptul și clasificarea rețelelor VPN, construcția acestora

1.1 Ce este un VPN

VPN(eng. Virtual Private Network - rețea privată virtuală) - o rețea logică creată deasupra unei alte rețele, de exemplu Internet. În ciuda faptului că comunicațiile sunt efectuate prin rețele publice folosind protocoale nesigure, criptarea creează canale de schimb de informații care sunt închise pentru cei din afară. VPN vă permite să combinați, de exemplu, mai multe birouri ale unei organizații într-o singură rețea folosind canale necontrolate pentru comunicarea între ele.

În felul său esența VPN are multe dintre proprietățile unei linii închiriate, dar este implementată într-o rețea publică, de exemplu. Cu tehnica tunelului, pachetele de date sunt difuzate prin rețeaua publică ca și cum ar fi o conexiune normală punct la punct. Se stabilește un fel de tunel între fiecare pereche emițător-receptor de date - o conexiune logică securizată care permite ca datele dintr-un protocol să fie încapsulate în pachete ale altuia. Principalele componente ale tunelului sunt:

• iniţiator;
• rețea direcționată;
• comutator de tunel;
• unul sau mai multe terminatoare de tunel.

Principiul în sine Funcționează VPN nu intră în conflict cu tehnologiile și protocoalele de bază ale rețelei. De exemplu, când se stabilește o conexiune de acces la distanță, clientul trimite un flux de pachete standard de protocol PPP către server. În cazul organizării de linii virtuale închiriate între rețelele locale, routerele acestora schimbă și pachete PPP. Cu toate acestea, un aspect fundamental nou este transmiterea pachetelor printr-un tunel securizat organizat într-o rețea publică.

Tunnelarea vă permite să organizați transmiterea pachetelor din acestea protocol într-un mediu logic folosind un alt protocol. Ca urmare, devine posibilă rezolvarea problemelor de interacțiune între mai multe tipuri diferite de rețele, începând cu necesitatea asigurării integrității și confidențialității datelor transmise și terminând cu depășirea neconcordanțelor din protocoalele externe sau schemele de adresare.

Infrastructura de rețea existentă a unei corporații poate fi pregătită pentru utilizarea VPN, fie pe bază de software, fie hardware. Configurarea unei rețele private virtuale poate fi comparată cu așezarea unui cablu într-o rețea globală. De obicei, o conexiune directă între un utilizator de la distanță și un dispozitiv terminal de tunel este stabilită folosind protocolul PPP.

Cea mai comună metodă de creare a tunelurilor VPN este încapsularea protocoalelor de rețea (IP, IPX, AppleTalk etc.) în PPP și apoi încapsularea pachetelor rezultate într-un protocol de tunel. De obicei, acesta din urmă este IP sau (mult mai rar) ATM și Frame Relay. Această abordare se numește tunel de nivel al doilea, deoarece „pasagerul” aici este protocolul de nivel al doilea.

O abordare alternativă de încapsulare a pachetelor de protocol de rețea direct într-un protocol de tunelare (cum ar fi VTP) se numește tunelizare Layer 3.

Indiferent ce protocoale sunt folosite sau ce scopuri urmarit la organizarea unui tunel ramane tehnica de bazapractic neschimbat. În mod obișnuit, un protocol este utilizat pentru a stabili o conexiune cu un nod la distanță, iar altul este utilizat pentru a încapsula date și informații de serviciu pentru transmiterea prin tunel.

1.2 Clasificarea rețelelor VPN

Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

1. După tipul de mediu utilizat:

• Rețele VPN securizate. Cea mai comună versiune a rețelelor private private. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, OpenVPN și PPTP.
• Rețele VPN de încredere. Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesar doar să se rezolve problema creării unei subrețele virtuale în cadrul rețea mai mare. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​MPLS și L2TP. Ar fi mai corect să spunem că aceste protocoale transferă sarcina de a asigura securitatea către alții, de exemplu L2TP, de regulă, este utilizat împreună cu IPSec.

2. După metoda de implementare:

• Rețele VPN sub formă de software și hardware special. Implementarea unei rețele VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, grad înalt Securitate.
• Rețele VPN ca soluție software. Utilizare Calculator personal cu software special care oferă funcționalitate VPN.
• Rețele VPN cu o soluție integrată. Funcționalitatea VPN este asigurată de un complex care rezolvă și problemele de filtrare a traficului de rețea, organizarea unui firewall și asigurarea calității serviciului.

3. După scop:

• VPN pentru intranet. Acestea sunt folosite pentru a uni mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise.
• Remote Access VPN. Folosit pentru a crea un canal securizat între un segment de rețea corporativă (birou central sau sucursală) și un singur utilizator care, lucrând acasă, se conectează la resursele corporative cu computer de acasă sau, în timpul unei călătorii de afaceri, se conectează la resursele corporative folosind un laptop.
• VPN extranet. Folosit pentru rețelele la care utilizatorii „externi” (de exemplu, clienții sau clienții) se conectează. Nivelul de încredere în ei este mult mai scăzut decât în ​​angajații companiei, așa că este necesar să se asigure „linii” speciale de protecție care să împiedice sau să limiteze accesul acestora din urmă la informații deosebit de valoroase, confidențiale.

4. După tipul de protocol:

• Există implementări de rețele private virtuale pentru TCP/IP, IPX și AppleTalk. Dar astăzi există o tendință spre o tranziție generală la protocolul TCP/IP și majoritatea absolută Soluții VPNîl sprijină.

5. După nivelul protocolului de rețea:

• După nivel de protocol de rețea, pe baza comparației cu nivelurile de referință model de rețea ISO/OSI.

1.3. Construirea unui VPN

Exista diverse opțiuni construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță ai constructorilor VPN. De exemplu, dacă un router funcționează deja la limita de capacitate, atunci adăugarea de tuneluri VPN și aplicarea criptării/decriptării informațiilor poate opri întreaga rețea din cauza faptului că acest router nu va putea face față trafic simplu, ca să nu mai vorbim de VPN. Experiența arată că cel mai bine este să folosiți echipamente specializate pentru a construi un VPN, dar dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software. Să ne uităm la câteva opțiuni pentru construirea unui VPN.

• VPN bazat pe firewall-uri. Majoritatea furnizorilor de firewall acceptă tunelarea și criptarea datelor. Toate astfel de produse se bazează pe faptul că traficul care trece prin firewall este criptat. Un modul de criptare este adăugat la software-ul firewall în sine. Dezavantajul acestei metode este că performanța depinde de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, trebuie să vă amintiți că o astfel de soluție poate fi utilizată numai pentru rețele mici cu o cantitate mică de informații transferate.
• VPN bazat pe router. O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare acestui router.Un exemplu de echipament pentru construirea VPN pe routere este echipamentul de la Cisco Systems. Începând cu versiunea software IOS 11.3, routerele Cisco acceptă protocoalele L2TP și IPSec. Pe lângă criptarea simplă a traficului, Cisco acceptă alte caracteristici VPN, cum ar fi autentificarea în timpul conexiunii la tunel și schimbul de chei.Poate fi folosit pentru a îmbunătăți performanța routerului modul suplimentar Criptare ESA. În plus, Cisco System a lansat aparat specializat pentru VPN, care se numește Cisco 1720 VPN Access Router (router de acces VPN), destinat instalării în companiile mici și mijlocii, precum și în sucursalele organizațiilor mari.
• VPN bazat pe software. Următoarea abordare a construirii unui VPN este doar soluții software. La implementarea unei astfel de soluții se folosește software specializat care rulează pe un computer dedicat și, în cele mai multe cazuri, acționează ca un server proxy. Computerul care rulează acest software poate fi situat în spatele unui firewall.
• VPN bazat pe sistemul de operare al rețelei.Vom lua în considerare soluții bazate pe un sistem de operare de rețea folosind exemplul sistemului de operare Windows Microsoft. Pentru a crea un VPN, Microsoft folosește protocolul PPTP, care este integrat în sistemul Windows. Această soluție este foarte atractivă pentru organizațiile care folosesc Windows ca sistem de operare corporativ. Trebuie remarcat faptul că costul unei astfel de soluții este semnificativ mai mic decât costul altor soluții. VPN în funcțiune Bazat pe Windows este utilizată o bază de date de utilizatori stocată pe Controlerul de domeniu primar (PDC). La conectarea la un server PPTP, utilizatorul este autentificat folosind protocoalele PAP, CHAP sau MS-CHAP. Pachetele transmise sunt încapsulate în pachete GRE/PPTP. Pentru a cripta pachetele, se folosește un protocol non-standard de la Microsoft Point-to-Point Encryption cu o cheie de 40 sau 128 de biți primită în momentul stabilirii conexiunii. Dezavantajele acestui sistem sunt lipsa verificării integrității datelor și incapacitatea de a schimba cheile în timpul conexiunii. Aspectele pozitive sunt ușurința de integrare cu Windows și costul redus.
• VPN bazat pe hardware. Opțiunea de a construi un VPN pe dispozitive speciale poate fi utilizată în rețelele care necesită performanțe ridicate. Un exemplu de astfel de soluție este produsul IPro-VPN de la Radguard. Acest produs folosește criptarea hardware a informațiilor transmise, capabilă să transmită un flux de 100 Mbit/s. IPro-VPN acceptă protocolul IPSec și mecanismul de gestionare a cheilor ISAKMP/Oakley. Printre alte lucruri, acest aparat acceptă instrumente de traducere a adreselor de rețea și poate fi completat cu un card special care adaugă funcționalitate firewall

2. Protocoale VPN

Rețelele VPN sunt construite folosind protocoale pentru tunelarea datelor printr-o rețea de comunicații uz comun Internet, cu protocoale de tunel care asigură criptarea datelor și transmisie de la capăt la capăt între utilizatori. De regulă, astăzi pentru construcție Rețele VPN Sunt utilizate următoarele niveluri de protocoale:

• Stratul de legătură de date
• Stratul de rețea
• Stratul de transport.

2.1 Stratul de legătură

La nivelul de legătură de date, pot fi utilizate protocoale de tunel de date L2TP și PPTP, care utilizează autorizarea și autentificarea.

PPTP.

În prezent, cel mai comun protocol VPN este Point-to-Point Tunneling Protocol - PPTP. A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct. În practică, PPP rămâne protocolul de comunicare al sesiunii de conexiune PPTP. PPTP creează un tunel prin rețea către serverul NT al destinatarului și transmite pachete PPP de la utilizatorul de la distanță prin intermediul acestuia. Serverul și stația de lucru folosesc o rețea privată virtuală și nu acordă atenție cât de sigur sau accesibil este WAN-ul dintre ele. Terminarea sesiunii inițiate de server, spre deosebire de serverele dedicate de acces la distanță, permite administratorilor de rețele locale să mențină utilizatorii de la distanță în limitele de securitate ale Windows Server.

Deși competența protocolului PPTP se extinde numai la dispozitivele care funcționează sub Control Windows, oferă companiilor capacitatea de a interacționa cu infrastructurile de rețea existente fără a-și compromite propriile sisteme de securitate. Astfel, un utilizator de la distanță se poate conecta la Internet printr-un ISP local printr-o linie telefonică analogică sau o legătură ISDN și poate stabili o conexiune la serverul NT. În același timp, compania nu trebuie să cheltuiască sume mari pentru organizarea și întreținerea unui pool de modemuri care oferă servicii de acces la distanță.

În cele ce urmează se discută funcționarea RRTR. PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP folosesc portul de destinație pentru a crea o conexiune de control tunel. Acest proces are loc la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii. În plus față de conexiunea de control PPTP care asigură că legătura este operațională, este creată o conexiune pentru a transmite datele prin tunel. Încapsularea datelor înainte de a le trimite printr-un tunel are loc oarecum diferit decât în ​​timpul transmisiei normale. Încapsularea datelor înainte de a le trimite în tunel implică doi pași:

1. Mai întâi este creat partea de informare PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date.
2. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Astfel, în timpul celei de-a doua treceri, datele ajung în stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă a pachetului și preia funcțiile de al doilea strat asociate de obicei cu PPP, adică. adaugă un antet PPP și se termină la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură.

Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, GRE nu are capacitatea de a stabili sesiuni și de a proteja datele de intruși. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Sistemul de trimitere trimite date prin tunel. Sistemul de recepție elimină toate anteturile de supraîncărcare, lăsând doar datele PPP.

L2TP

În viitorul apropiat, este de așteptat o creștere a numărului de rețele private virtuale, implementate pe baza noului protocol de tunel de nivel al doilea Layer 2 Tunneling Protocol - L2TP.

L2TP a apărut ca urmare a combinării protocoalelor PPTP și L2F (Layer 2 Forwarding). PPTP permite ca pachetele PPP să fie transmise prin tunel, iar pachetele L2F SLIP și PPP. Pentru a evita confuzia și problemele de interoperabilitate pe piața telecomunicațiilor, Internet Engineering Task Force (IETF) a recomandat ca Cisco Systems să combine PPTP și L2F. Din toate punctele de vedere, L2TP combină cele mai bune caracteristici ale PPTP și L2F. Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețelele IP, ci și în ATM, X.25 și Frame Relay. Din păcate, implementarea L2TP în Windows 2000 acceptă doar IP.

L2TP este folosit ca transport Protocolul UDPși utilizează același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor. L2TP, așa cum este implementat de Microsoft, utilizează pachete UDP care conțin pachete PPP criptate ca mesaje de control. Fiabilitatea livrării este garantată de controlul secvenței pachetelor.

Funcționalitatea PPTP și L2TP este diferită. L2TP poate fi folosit nu numai în rețelele IP, pentru a crea un tunel și pentru a trimite date prin intermediul acestuia, se utilizează același format și protocoale. PPTP poate fi utilizat numai pe rețele IP și necesită o conexiune TCP separată pentru a crea și utiliza tunelul. L2TP prin IPSec oferă mai multe straturi de securitate decât PPTP și poate garanta securitatea aproape 100% pentru datele critice ale organizației dumneavoastră. Caracteristicile lui L2TP îl fac un protocol foarte promițător de construit rețele virtuale.

Protocoalele L2TP și PPTP diferă de protocoalele de tunel de nivel al treilea prin mai multe caracteristici:

1. Oferirea corporațiilor posibilitatea de a alege în mod independent metoda de autentificare a utilizatorilor și de verificare a acreditărilor - pe propriul „teritoriu” sau cu un furnizor de servicii de internet. Prin procesarea pachetelor PPP tunelizate, serverele de rețea corporative primesc toate informațiile necesare pentru a identifica utilizatorii.
2. Suport pentru comutarea tunelului - terminarea unui tunel și inițierea altuia la unul dintre multele terminatoare potențiale. Comutarea tunelului vă permite să extindeți conexiunea PPP la punctul final necesar.
3. Permite administratorilor de rețele corporative să implementeze strategii de control al accesului utilizatorilor direct pe firewall și serverele interne. Deoarece terminatorii de tunel primesc pachete PPP care conțin informații despre utilizator, aceștia sunt capabili să aplice politici de securitate definite de administrator pentru traficul utilizatorului individual. (Tunelingul de nivel al treilea nu permite distingerea pachetelor care provin de la furnizor, astfel încât filtrele de politică de securitate trebuie aplicate stațiilor de lucru și dispozitivelor de rețea finale.) În plus, dacă utilizați un comutator de tunel, devine posibilă organizarea unei „continuări” a tunelul al doilea nivel pentru transmiterea directă a traficului individualutilizatorilor la cele relevante servere interne. Astfel de servere pot fi însărcinate cu filtrarea suplimentară a pachetelor.

MPLS

De asemenea, la nivelul legăturii de date, tehnologia MPLS poate fi utilizată pentru organizarea tunelurilor ( Din engleza Multiprotocol Label Switching - comutare multiprotocol label - un mecanism de transfer de date care emulează diferite proprietăți ale rețelelor cu comutare de circuite peste rețelele cu comutare de pachete). MPLS operează la un strat care ar putea fi poziționat între stratul de legătură de date și al treilea strat de rețea al modelului OSI și, prin urmare, este denumit în mod obișnuit protocol de nivel de legătură de date. A fost conceput pentru a oferi un serviciu de date universal atât pentru clienții de rețea cu comutare de circuite, cât și pentru cei cu comutare de pachete. MPLS poate transporta o mare varietate de trafic, cum ar fi pachete IP, ATM, SONET și cadre Ethernet.

Soluțiile pentru organizarea VPN la nivel de link au un domeniu de aplicare destul de limitat, de obicei în domeniul furnizorului.

2.2 Stratul de rețea

Stratul de rețea (stratul IP). Este utilizat protocolul IPSec, care implementează criptarea și confidențialitatea datelor, precum și autentificarea abonaților. Utilizarea protocolului IPSec permite accesul complet echivalent cu conexiune fizică către rețeaua corporativă. Pentru a stabili un VPN, fiecare participant trebuie să configureze anumiți parametri IPSec, de ex. Fiecare client trebuie să aibă software care implementează IPSec.

IPSec

Desigur, nicio companie nu ar dori să se transfere în mod deschis Internet financiar sau alte informații confidențiale. Canale VPN protejat de algoritmi de criptare puternici încorporați în standardele de protocol de securitate IPsec. IPSec sau Internet Protocol Security - un standard ales de comunitatea internațională, IETF - Internet Engineering Task Force, creează cadrul de securitate pentru Internet Protocol (protocolul IP/IPSec oferă securitate pe nivel de rețeași necesită suport pentru standardul IPSec numai de la dispozitivele care comunică de pe ambele părți ale conexiunii. Toate celelalte dispozitive situate între ele furnizează pur și simplu trafic de pachete IP.

Metoda de interacțiune între persoane care utilizează tehnologia IPSec este de obicei definită prin termenul „asociere sigură” - Asociația de securitate (SA). O asociere sigură funcționează pe baza unui acord între părți, care folosesc IPSec pentru a proteja informațiile transmise reciproc. Acest acord reglementează mai mulți parametri: adrese IP ale expeditorului și destinatarului, algoritmul criptografic, ordinea de schimb de chei, dimensiunile cheilor, durata de viață a cheii, algoritmul de autentificare.

IPSec este un set consistent de standarde deschise cu un nucleu care poate fi extins cu ușurință cu noi caracteristici și protocoale. Nucleul IPSec este format din trei protocoale:

· UN sau Authentication Header - antet de autentificare - garantează integritatea și autenticitatea datelor. Scopul principal al protocolului AH este acela că permite părții de recepție să se asigure că:

• pachetul a fost trimis de o parte cu care s-a stabilit o asociere sigură;
• conținutul pachetului nu a fost distorsionat în timpul transmiterii acestuia prin rețea;
• pachetul nu este un duplicat al unui pachet deja primit.

Primele două funcții sunt obligatorii pentru protocolul AH, iar ultima este selectată opțional la stabilirea unei asocieri. Pentru a îndeplini aceste funcții, protocolul AH utilizează un antet special. Structura sa este considerată conform următoarei scheme:

1. Următorul câmp de antet indică codul protocolului de nivel superior, adică protocolul al cărui mesaj se află în câmpul de date al pachetului IP.
2. Câmpul pentru lungimea sarcinii utile conține lungimea antetului AH.
3. Indexul parametrilor de securitate (SPI) este utilizat pentru a asocia un pachet cu asocierea de securitate intenționată.
4. Câmpul Număr de secvență (SN) indică numărul de secvență al pachetului și este utilizat pentru a proteja împotriva falsificării (atunci când o terță parte încearcă să refolosească pachetele securizate interceptate trimise de expeditorul real autentificat).
5. Câmpul de date de autentificare, care conține așa-numita valoare de verificare a integrității (ICV), este utilizat pentru autentificarea și verificarea integrității pachetului. Această valoare, numită și digest, este calculată folosind una dintre cele două funcții ireversibile din punct de vedere computațional MD5 sau SAH-1 care sunt cerute de protocolul AH, dar poate fi utilizată orice altă funcție.

· ESP sau Încapsulating Security Payload- încapsularea datelor criptate - criptează datele transmise, asigurând confidențialitatea, poate suporta și autentificarea și integritatea datelor;

Protocolul ESP rezolvă două grupuri de probleme.

1. Prima include sarcini similare cu cele ale protocolului AH - asigurarea autentificării și integrității datelor pe baza rezumatului,
2. Al doilea este datele transmise prin criptarea lor de la vizualizare neautorizată.

Antetul este împărțit în două părți, separate printr-un câmp de date.

1. Prima parte, numită antetul ESP în sine, este formată din două câmpuri (SPI și SN), al căror scop este similar cu câmpurile cu același nume din protocolul AH și este plasat înaintea câmpului de date.
2. Câmpurile de serviciu de protocol ESP rămase, numite trailer ESP, sunt situate la sfârșitul pachetului.

Cele două câmpuri de trailer - antetul următor și datele de autentificare - sunt similare cu câmpurile antetului AH. Câmpul Date de autentificare este absent dacă se ia decizia de a nu folosi capacitățile de integritate ale protocolului ESP la stabilirea unei asocieri sigure. Pe lângă aceste câmpuri, remorca conține două câmpuri suplimentare- umplutură și lungimea umpluturii.

Protocoalele AH și ESP pot proteja datele în două moduri:

1. în transport - transmisia se realizează cu anteturi IP originale;
2. într-un tunel - pachetul original este plasat într-un nou pachet IP și transmisia se realizează cu anteturi noi.

Utilizarea unui mod sau altuia depinde de cerințele pentru protecția datelor, precum și de rolul jucat în rețea de nodul care încheie canalul securizat. Astfel, un nod poate fi o gazdă (nod final) sau o poartă (nod intermediar).

În consecință, există trei scheme pentru utilizarea protocolului IPSec:

1. gazdă-gazdă;
2. gateway-gateway;
3. poarta gazdă.

Capacitățile protocoalelor AH și ESP se suprapun parțial: protocolul AH este responsabil doar pentru asigurarea integrității și autentificarea datelor, protocolul ESP poate cripta datele și, în plus, poate îndeplini funcțiile protocolului AH (într-o formă redusă). ). Un ESP poate suporta funcții de criptare și autentificare/integritate în orice combinație, adică fie întregul grup de funcții, numai autentificare/integritate, fie numai criptare.

· IKE sau Internet Key Exchange - Internet Key Exchange - rezolvă sarcina auxiliară de a furniza automat punctelor terminale ale unui canal securizat cheile secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.

2.3 Stratul de transport

Stratul de transport utilizează protocolul SSL/TLS sau Secure Socket Layer/Transport Layer Security, care implementează criptarea și autentificarea între straturile de transport ale receptorului și ale transmițătorului. SSL/TLS poate fi folosit pentru a securiza traficul TCP, dar nu poate fi folosit pentru a securiza traficul UDP. Pentru a opera un VPN bazat pe SSL/TLS, nu este nevoie să implementați software special, deoarece fiecare browser și client de mail echipate cu aceste protocoale. Datorită faptului că SSL/TLS este implementat la nivelul transportului, se stabilește o conexiune securizată „end-to-end”.

Protocolul TLS se bazează pe protocolul Netscape SSL versiunea 3.0 și constă din două părți - Protocolul de înregistrare TLS și Protocolul TLS Handshake. Diferențele dintre SSL 3.0 și TLS 1.0 sunt minore.

SSL/TLS include trei faze principale:

1. Dialog între părți, al cărui scop este selectarea unui algoritm de criptare;
2. Schimb de chei bazat pe criptosisteme cu chei publice sau autentificare bazată pe certificate;
3. Transmiterea datelor criptate folosind algoritmi simetrici criptare.

2.4 Implementarea VPN: IPSec sau SSL/TLS?

Managerii departamentelor IT se confruntă adesea cu întrebarea: ce protocol să aleagă pentru construirea unei rețele VPN corporative? Răspunsul nu este evident, deoarece fiecare abordare are atât argumente pro, cât și dezavantaje. Vom încerca să conducem și să identificăm când este necesar să folosim IPSec și când SSL/TLS. După cum se poate observa din analiza caracteristicilor acestor protocoale, acestea nu sunt interschimbabile și pot funcționa atât separat, cât și în paralel, definind caracteristici funcționale fiecare dintre VPN-urile implementate.

Alegerea protocolului pentru construirea unei rețele VPN corporative se poate face în funcție de următoarele criterii:

· Tipul de acces necesar pentru utilizatorii VPN.

1. Conexiune complet funcțională, permanentă la rețeaua corporativă. Alegerea recomandată este protocolul IPSec.
2. O conexiune temporară, de exemplu, de către un utilizator mobil sau un utilizator care utilizează un computer public, pentru a obține acces la anumite servicii, cum ar fi e-mailul sau o bază de date. Alegerea recomandată este protocolul SSL/TLS, care vă permite să organizați un VPN pentru fiecare serviciu individual.

· Dacă utilizatorul este angajat al companiei.

1. Dacă utilizatorul este angajat al unei companii, dispozitivul pe care îl folosește pentru a accesa rețeaua corporativă prin VPN IPSec poate fi configurat într-un mod specific.
2. Dacă utilizatorul nu este angajat al companiei la care este accesată rețeaua corporativă, se recomandă utilizarea SSL/TLS. Acest lucru va limita accesul oaspeților numai la anumite servicii.

· Care este nivelul de securitate al rețelei corporative.

1. Înalt. Alegerea recomandată este protocolul IPSec. Într-adevăr, nivelul de securitate oferit de IPSec este mult mai mare decât cel oferit de protocolul SSL/TLS datorită utilizării software-ului configurabil pe partea utilizatorului și a unui gateway de securitate pe partea rețelei corporative.
2. In medie. Alegerea recomandată este protocolul SSL/TLS, care permite accesul de pe orice terminal.

· Nivelul de securitate al datelor transmise de utilizator.

1. Înalt, de exemplu, managementul companiei. Alegerea recomandată este protocolul IPSec.
2. Mediu, de exemplu, partener. Alegerea recomandată este protocolul SSL/TLS.

În funcție de serviciu - de la mediu la mare. Alegerea recomandată este o combinație de protocoale IPSec (pentru serviciile care necesită nivel inalt securitate) și SSL/TLS (pentru serviciile care necesită nivel mediu Securitate).

Ceea ce este mai important este rapid Implementarea VPN sau scalabilitatea soluției în viitor.

1. Implementați rapid o rețea VPN la costuri minime. Alegerea recomandată este protocolul SSL/TLS. În acest caz, nu este nevoie să implementați software special din partea utilizatorului, ca în cazul IPSec.
2. Scalabilitatea rețelei VPN - adăugarea accesului la diverse servicii. Alegerea recomandată este protocolul IPSec, care permite accesul la toate serviciile și resursele rețelei corporative.
3. Implementare rapidă și scalabilitate. Alegerea recomandată este o combinație de IPSec și SSL/TLS: utilizați SSL/TLS în primul pas pentru a accesa servicii necesare urmată de introducerea IPSec.

3. Metode de implementare a rețelelor VPN

O rețea privată virtuală se bazează pe trei metode de implementare:

· Tunele;

· Criptare;

· Autentificare.

3.1 Tunele

Tunnelarea asigură transferul de date între două puncte - capetele tunelului - în așa fel încât întreaga infrastructură de rețea aflată între ele să fie ascunsă de sursa și receptorul datelor.

Mijlocul de transport al tunelului, ca un feribot, preia pachete din protocolul de rețea folosit la intrarea în tunel și le livrează neschimbate la ieșire. Construirea unui tunel este suficientă pentru a conecta două noduri de rețea, astfel încât, din punctul de vedere al software-ului care rulează pe ele, acestea să pară conectate la aceeași rețea (locală). Totuși, nu trebuie să uităm că de fapt „fericul” cu date trece prin multe noduri intermediare (routere) ale unei rețele publice deschise.

Această stare de fapt pune două probleme. Prima este că informațiile transmise prin tunel pot fi interceptate de atacatori. Dacă este confidențial (numerele cardurilor bancare, rapoarte financiare, informații personale), atunci amenințarea compromiterii sale este destul de reală, ceea ce în sine este neplăcut. Mai rău decât atât, atacatorii au capacitatea de a modifica datele transmise prin tunel, astfel încât destinatarul nu va putea verifica autenticitatea acestora. Consecințele pot fi cele mai grave. Ținând cont de cele de mai sus, ajungem la concluzia că tunelul în formă pură Este potrivit doar pentru anumite tipuri de jocuri pe computer în rețea și nu poate pretinde că este folosit mai în serios. Ambele probleme pot fi rezolvate cu mijloace moderne protecţie criptografică informație. Pentru a preveni modificarea neautorizată a pachetului de date pe măsură ce acesta trece prin tunel, se utilizează metoda semnăturii digitale electronice (). Esența metodei este că fiecare pachet transmis este echipat cu bloc suplimentar informații, care sunt generate în conformitate cu un algoritm criptografic asimetric și sunt unice pentru conținutul pachetului și cheia secretă a semnăturii digitale a expeditorului. Acest bloc de informații este semnătura digitală a pachetului și permite autentificarea datelor de către destinatarul care cunoaște deschiderea cheie EDS expeditor. Protecția datelor transmise prin tunel împotriva vizualizării neautorizate se realizează prin utilizarea unor algoritmi puternici de criptare.

3.2 Autentificare

Securitatea este funcția principală a unui VPN. Toate datele de la computerele client trec prin Internet către serverul VPN. Un astfel de server poate fi situat la o distanță mare de computerul client, iar datele pe drumul către rețeaua organizației trec prin echipamentele multor furnizori. Cum pot să mă asigur că datele nu au fost citite sau modificate? În acest scop folosesc diverse metode autentificare și criptare.

PPTP poate folosi oricare dintre protocoalele utilizate pentru PPP pentru a autentifica utilizatorii

• EAP sau Extensible Authentication Protocol;
• Protocolul de autentificare MSCHAP sau Microsoft Challenge Handshake (versiunile 1 și 2);
• CHAP sau Protocolul de autentificare prin strângere de mână Challenge;
• Protocolul de autentificare prin parolă SPAP sau Shiva;
• PAP sau Protocolul de autentificare cu parolă.

Cele mai bune protocoale sunt MSCHAP versiunea 2 și Transport Layer Security (EAP-TLS), deoarece oferă autentificare reciprocă, de exemplu. Serverul VPN și clientul se identifică reciproc. În toate celelalte protocoale, doar serverul autentifică clienții.

Deși PPTP oferă un grad suficient de securitate, L2TP prin IPSec este mai fiabil. L2TP prin IPSec oferă autentificare la nivel de utilizator și computer și, de asemenea, realizează autentificare și criptare a datelor.

Autentificarea se realizează fie printr-un test deschis (parolă cu text clar), fie printr-o schemă de provocare/răspuns. Totul este clar cu textul direct. Clientul trimite serverului o parolă. Serverul compară acest lucru cu standardul și fie refuză accesul, fie spune „bun venit”. Autentificarea deschisă nu se vede aproape niciodată.

Schema cerere/răspuns este mult mai avansată. In general arata asa:

• clientul trimite serverului o cerere de autentificare;
• serverul returnează un răspuns aleator (provocare);
• clientul ia un hash din parola sa (un hash este rezultatul unei funcții hash care convertește o matrice de date de intrare de lungime arbitrară într-un șir de biți de ieșire de lungime fixă), criptează răspunsul cu acesta și îl transmite serverului;
• serverul face același lucru, comparând rezultatul primit cu răspunsul clientului;
• dacă răspunsul criptat se potrivește, autentificarea este considerată reușită;

În primul pas de autentificare a clienților și serverelor VPN, L2TP prin IPSec utilizează certificate locale obținute de la o autoritate de certificare. Clientul și serverul schimbă certificate și creează o conexiune securizată ESP SA (asociație de securitate). După ce L2TP (peste IPSec) finalizează procesul de autentificare a computerului, se realizează autentificarea la nivel de utilizator. Pentru autentificare, puteți utiliza orice protocol, chiar și PAP, care îi transmite numele de utilizator și parola formă deschisă. Acest lucru este destul de sigur, deoarece L2TP prin IPSec criptează întreaga sesiune. Cu toate acestea, efectuarea autentificării utilizatorului folosind MSCHAP, care utilizează diferite chei de criptare pentru a autentifica computerul și utilizatorul, poate îmbunătăți securitatea.

3.3. Criptare

Criptarea PPTP asigură că nimeni nu vă poate accesa datele în timp ce acestea sunt trimise prin Internet. În prezent, există două metode de criptare acceptate:

• MPPE sau Microsoft Point-to-Point Encryption este compatibil doar cu MSCHAP (versiunile 1 și 2);
• EAP-TLS poate selecta automat lungimea cheii de criptare atunci când negociază parametrii între client și server.

MPPE acceptă chei cu lungimi de 40, 56 sau 128 de biți. Săli de operație vechi sisteme Windows acceptă criptarea cu o lungime a cheii de numai 40 de biți, așa că într-un mediu Windows mixt ar trebui să alegeți lungimea minimă a cheii.

PPTP modifică valoarea cheii de criptare după fiecare pachet primit. Protocolul MMPE a fost conceput pentru legăturile de comunicație punct la punct în care pachetele sunt transmise secvenţial și există foarte puţine pierderi de date. În această situație, valoarea cheii pentru următorul pachet depinde de rezultatele decriptării pachetului anterior. Când construiți rețele virtuale prin intermediul rețelelor acces public aceste condiții nu pot fi îndeplinite, deoarece pachetele de date ajung adesea la destinatar într-o ordine diferită de cea în care au fost trimise. Prin urmare, PPTP folosește pentru a schimba cheia de criptare numere de serie pachete. Acest lucru permite decriptarea să fie efectuată indiferent de pachetele primite anterioare.

Ambele protocoale sunt implementate ca în Microsoft Windows, iar în afara acestuia (de exemplu, în BSD), algoritmii de operare VPN pot diferi semnificativ.

Astfel, combinația „tunel + autentificare + criptare” vă permite să transferați date între două puncte printr-o rețea publică, simulând funcționarea unei rețele private (locale). Cu alte cuvinte, instrumentele luate în considerare vă permit să construiți o rețea privată virtuală.

Un efect suplimentar plăcut al unei conexiuni VPN este posibilitatea (și chiar necesitatea) utilizării sistemului de adresare adoptat în rețeaua locală.

Implementarea unei rețele private virtuale în practică arată astfel: Un server VPN este instalat în rețeaua locală de calculatoare a biroului companiei. Utilizator de la distanță(sau un router dacă se conectează două birouri) folosind software-ul client VPN inițiază procedura de conectare cu serverul. Are loc autentificarea utilizatorului - prima fază a stabilirii unei conexiuni VPN. Dacă autoritatea este confirmată, începe a doua fază - detaliile de asigurare a securității conexiunii sunt convenite între client și server. După aceasta, se organizează o conexiune VPN, asigurând schimbul de informații între client și server în forma în care fiecare pachet de date trece prin proceduri de criptare/decriptare și verificare a integrității - autentificarea datelor.

Principala problemă a rețelelor VPN este lipsa standardelor stabilite pentru autentificare și schimbul de informații criptate. Aceste standarde sunt încă în curs de dezvoltare și, prin urmare, produsele de la diferiți producători nu pot stabili conexiuni VPN și nu pot schimba automat cheile. Această problemă presupune o încetinire Distribuție VPN, deoarece este dificil să forțați diferite companii să folosească produsele unui producător și, prin urmare, procesul de combinare a rețelelor companiilor partenere în așa-numitele rețele extranet este dificil.

Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. Dezavantajul tehnologiei VPN este că instrumentele de construire VPN nu sunt mijloace cu drepturi depline de detectare și blocare a atacurilor. Ele pot preveni o serie de acțiuni neautorizate, dar nu toate posibilitățile care pot fi folosite pentru a pătrunde într-o rețea corporativă. Dar, în ciuda tuturor acestor lucruri, tehnologia VPN are perspective de dezvoltare ulterioară.

La ce ne putem aștepta în ceea ce privește dezvoltarea tehnologiei VPN în viitor? Fără îndoială, va fi dezvoltat și aprobat un standard unificat pentru construirea unor astfel de rețele. Cel mai probabil, baza acestui standard va fi protocolul IPSec deja dovedit. În continuare, producătorii se vor concentra pe îmbunătățirea performanței produselor lor și pe crearea unor instrumente de management VPN ușor de utilizat. Cel mai probabil, dezvoltarea instrumentelor de construire VPN va merge în direcția VPN-urilor bazate pe router, deoarece această soluție combină performanțe destul de ridicate, integrarea VPN și rutare într-un singur dispozitiv. Cu toate acestea, se vor dezvolta și soluții low-cost pentru organizațiile mici. În concluzie, trebuie spus că, în ciuda faptului că tehnologia VPN este încă foarte tânără, are un viitor mare în față.

Lasă comentariul tău!