Astăzi, întrebările populare despre VPN sunt ce este, care sunt caracteristicile sale și cum să configurați cel mai bine un VPN. Chestia este că nu toată lumea cunoaște esența tehnologiei în sine, când poate fi necesară.

Chiar și din punct de vedere financiar și de profit, înființarea unui VPN este o afacere profitabilă pentru care puteți câștiga bani ușor.
Ar fi bine să explici utilizatorului ce este un VPN și cum să-l configurezi cel mai bine pe Win 7 și 10.

1. Bazele

Acesta este modul în care dispozitivele sunt conectate fizic între ele. Dar practica a arătat că acest lucru nu este necesar.

Un VPN este configurat special pentru a evita utilizarea firelor, cablurilor și a altor dispozitive care interferează.

Dispozitivele locale sunt conectate între ele nu prin cabluri, ci prin Wi-FI, GPS, Bluetooth și alte dispozitive.
Rețelele virtuale sunt cel mai adesea o conexiune standard la Internet. Desigur, nu este ușor să obțineți acces la dispozitive, deoarece peste tot există niveluri de identificare menite să evite hacking-ul și răufăcătorii în rețeaua VPN.

2. Câteva cuvinte despre structura VPN

Un computer sau un dispozitiv conectat la un VPN trebuie să aibă toate datele pentru autorizare și așa-numita autentificare, adică o parolă specială, de obicei unică, sau alte mijloace care ar putea ajuta la finalizarea procedurii.

Acest proces nu este deosebit de important pentru noi. Experții creează metode din ce în ce mai puternice și mai serioase de autorizare pe servere.

Pentru a te regăsi într-o astfel de rețea, trebuie să știi următoarele la intrare:
1. Nume, numele computerului, de exemplu, sau alt login folosit pentru a vă autentifica în rețea;
2. Parola, dacă este setată una, pentru a finaliza autorizarea.
De asemenea, un computer care dorește să se conecteze la o altă rețea VPN „poartă” toate datele de autorizare. Serverul va introduce aceste date în baza sa de date. După înregistrarea PC-ului în baza de date, nu veți mai avea nevoie de datele menționate mai sus.

3. VPN-urile și clasificarea lor

Să încercăm să ne dăm seama mai detaliat.
- GRAD DE PROTECȚIE. Rețele selectate după acest criteriu:
1. Complet protejate – acestea sunt rețele protejate inițial;
2. „Încredere” protejată - rețele mai puțin sigure, utilizate în cazurile în care rețeaua originală sau „părinte” este fiabilă.
- IMPLEMENTARE. Metode de implementare. Rețele selectate după acest criteriu:
1. Metode combinate și program;
2. Metoda hardware – folosind dispozitive reale.
- SCOP. VPN-uri selectate pe baza acestui criteriu:
1. Intranet – folosit cel mai des în companiile în care mai multe sucursale trebuie unite;
2. Extranet – folosit special pentru organizarea de rețele în care sunt diverși participanți, precum și clienții companiei;
3. Acces (Acces la distanță) este organizarea rețelelor VPN unde există așa-numitele filiale la distanță.
- PRIN PROTOCOL. Implementarea rețelelor VPN este posibilă folosind protocoalele AppleTalk și IPX, dar în realitate folosesc TCP/IP cel mai des și mai eficient. Motivul este popularitatea acestui protocol în rețelele majore.
- NIVEL DE MUNCĂ. Aici se preferă OSI, dar un VPN poate funcționa numai la nivelul conexiunii de date, al rețelei și al transportului.
Desigur, în practică, o rețea poate include mai multe caracteristici în același timp. Să trecem la punctele despre configurarea directă a unei rețele VPN folosind computerul sau laptopul.

4. Cum să configurați o rețea VPN (rețea virtuală)

Dacă conexiunea a fost realizată la o rețea deja funcțională, cel mai bine este să solicitați informații administratorului acestei rețele. De obicei, această procedură nu durează mult timp. Introduceți datele în câmpurile furnizate.
8. În aceeași casetă, bifați „ Nu te conecta acum...", iar apoi trecem la " Mai departe».

Dacă aceasta este prima conexiune la rețea, atunci vor trebui create date noi, după ce le-ați verificat cu serverul, vi se va permite să intrați în rețea și să le utilizați.

Dacă conexiunea nu este primară, atunci serverul nu vă va verifica datele și vă va conecta direct la rețeaua dorită.

10. După ce ați introdus datele necesare, faceți clic pe „ A conecta».

Configurarea unui VPN pe Windows 7 efectuat.

Să trecem la configurarea unui VPN pe Windows 10, algoritmul și acțiunile de acolo sunt aproape aceleași. Singura diferență este în unele elemente de interfață și accesul la acestea.

Deci, de exemplu, pentru a ajunge la „Centrul de rețea și partajare”, trebuie să faceți totul la fel ca pe Windows 7, în plus, există un element special „ Crearea și configurarea unei noi conexiuni sau...».
În plus, configurarea se face în același mod ca și pe Windows 7, doar interfața va fi ușor diferită.

5. Configurarea unui VPN pe Android

O fereastră de program care vă va solicita să creați o rețea VPN pe Android.

Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:

confidențialitatea informațiilor;

integritatea datelor;

disponibilitatea informațiilor;

Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network) - un nume generalizat pentru tehnologii care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (de exemplu, Internet) folosind criptografia (criptare, autentificare). , infrastructură) chei publice, mijloace de protecție împotriva repetărilor și modificărilor mesajelor transmise prin rețeaua logică).

Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii dedicate. În funcție de protocoalele utilizate și de scop, VPN poate oferi trei tipuri de conexiuni: host-to-host, host-to-network și network-to-network.

Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate geografic și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să instalați modemuri în fiecare ramură și să organizați comunicațiile după cum este necesar. Această soluție, însă, nu este întotdeauna convenabilă și profitabilă - uneori este nevoie de comunicare constantă și lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiuni VPN ale tuturor filialelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.

Orez. 6.4. Conexiune VPN de la site la site

Orez. 6.5. Rețea gazdă tip conexiune VPN

În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.

Pericolul aici este că, în primul rând, o rețea deschisă este deschisă atacurilor atacatorilor din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în text clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și în al treilea rând, datele nu pot fi doar interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator ar putea, de exemplu, să încalce integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.

Pentru a preveni acest lucru, soluțiile VPN folosesc caracteristici precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la rețeaua privată virtuală.

O conexiune VPN constă întotdeauna dintr-un canal punct la punct, cunoscut și sub numele de tunel. Tunelul este creat într-o rețea neprotejată, care este cel mai adesea internetul.

Tunnelarea sau încapsularea este o metodă de transmitere a informațiilor utile printr-o rețea intermediară. Aceste informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda care trimite, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine plasate la punctele de intrare într-o rețea publică. Unul dintre avantajele clare ale tunelului este că această tehnologie vă permite să criptați întregul pachet sursă, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).

Deși un tunel VPN este stabilit între două puncte, fiecare nod poate stabili tuneluri suplimentare cu alte noduri. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acel birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil deoarece un nod poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:

Orez. 6.6. Crearea de tuneluri VPN pentru mai multe locații la distanță

Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.

În interiorul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Acest lucru asigură că numai informațiile transmise pe un canal nesecurizat între birouri sunt criptate.

Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:

PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în sistemele de operare Microsoft.

L2TP (Layer-2 Tunneling Protocol) – combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.

IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).

Protocoalele enumerate sunt acceptate de dispozitivele D-Link.

Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul permite accesul de la distanță, permițând utilizatorilor să stabilească conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, PPTP nu a fost inițial destinat să creeze tuneluri între rețelele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.

Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date prin diferite protocoale - IP, IPX, NetBEUI etc. Datele din aceste protocoale sunt împachetate în cadre PPP și încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transferate utilizând IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadre PPP din pachetele IP și apoi le procesează într-un mod standard, de exemplu. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. Protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca și în cazul VPN bazat pe IPSec) cât și orice alt protocol pot fi folosite ca transport.

În prezent, datorită ușurinței implementării, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la rețeaua corporativă, cât și pentru accesarea rețelelor furnizorilor de internet, atunci când clientul trebuie să stabilească o conexiune PPTP cu furnizorul de internet pentru a obține acces. la Internet.

Metoda de criptare utilizată în PPTP este specificată la nivel PPP. De obicei, clientul PPP este un computer desktop care rulează un sistem de operare Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este destul de suficientă, deși este considerat mai puțin sigur decât unii dintre ceilalți algoritmi de criptare oferiti de IPSec, în special, standardul de criptare triple a datelor pe 168 de biți (3DES) .

Cum se stabilește legăturaPPTP?

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține canalul în funcțiune. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.

Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a transmite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea informațională a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat care aparțin de obicei PPP, adică adăugând un antet PPP și un trailer la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a permite transmisia acestora prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Pe orez. 6.7 Structura de date pentru redirecționarea printr-un tunel PPTP este afișată:

Orez. 6.7. Structura de date pentru redirecționarea printr-un tunel PPTP

Stabilirea unui VPN bazat pe PPTP nu necesită cheltuieli mari sau setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să efectuați setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de internet sau un firewall cu suport PPTP: setările sunt făcute numai pe routerul de margine (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de internet multifuncționale din seria DIR/DSR și firewall-urile din seria DFL.

GRE-tunele

Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă tunelarea traficului prin rețele fără criptare. Exemple de utilizare a GRE:

transmiterea traficului (inclusiv difuzarea) prin echipamente care nu suportă un protocol anume;

tunelarea traficului IPv6 printr-o rețea IPv4;

transfer de date prin rețele publice pentru a implementa o conexiune VPN sigură.

Orez. 6.8. Un exemplu de funcționare a unui tunel GRE

Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.

L2 TP

Protocolul L2TP a apărut ca rezultat al combinației dintre protocoalele PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor.

Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmisie în tunel, adăugând mai întâi antetul PPP la câmpul de date de informații PPP, apoi antetul L2TP. Pachetul rezultat este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec selectată, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Se adaugă un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date pentru redirecționarea printr-un tunel L2TP.

Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP

Calculatorul care primește datele, procesează antetul PPP și terminarea și îndepărtează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.

Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar date de încărcare utilă care sunt procesate sau redirecționate către destinatarul specificat.

IPsec (prescurtare de la IP Security) este un set de protocoale pentru asigurarea protecției datelor transmise prin Internet Protocol (IP), permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei prin Internet.

Securitatea IPSec se realizează prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. Deoarece IPSec este un standard de internet și există RFC-uri pentru acesta:

RFC 2401 (Arhitectura de securitate pentru protocolul Internet) – arhitectura de securitate pentru protocolul IP.

RFC 2402 (antet de autentificare IP) – antet de autentificare IP.

RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) – utilizarea algoritmului de hashing SHA-1 pentru a crea antetul de autentificare.

RFC 2405 (Algoritmul de criptare ESP DES-CBC cu explicit IV) - utilizarea algoritmului de criptare DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) – criptarea datelor.

RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de gestionare a cheilor.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – gestionarea cheilor și a autentificatorilor pentru conexiuni securizate.

RFC 2409 (The Internet Key Exchange (IKE)) – schimb de chei.

RFC 2410 (Algoritmul de criptare NULL și utilizarea sa cu IPsec) – algoritmul de criptare nul și utilizarea acestuia.

RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.

RFC 2412 (Protocolul de determinare a cheii OAKLEY) – verificarea autenticității unei chei.

IPsec este o parte integrantă a protocolului Internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului Internet.

Mecanismul IPSec rezolvă următoarele probleme:

autentificarea utilizatorilor sau computerelor la inițializarea unui canal securizat;

criptarea și autentificarea datelor transmise între punctele finale ale canalelor securizate;

furnizarea automată a punctelor finale de canal cu chei secrete necesare pentru funcționarea protocoalelor de autentificare și criptare a datelor.

Componente IPSec

Protocolul AH (Authentication Header) – protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din porțiunea protejată a pachetului nu au fost modificați în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. Deoarece În acest caz, pachetul se va schimba, apoi suma de control AH va deveni incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în funcționarea sa) . De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.

Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva redării false a pachetelor.

Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP este situat între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.

Deoarece Ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), care poate fi folosit pentru a determina ce urmează antetului IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese de Internet), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, atunci când lucrați printr-un firewall, este foarte important să configurați filtrele astfel încât să permită trecerea pachetelor cu ID AH și/sau protocol ESP. prin.

Pentru a indica faptul că AH este prezent în antetul IP, ID-ul protocolului este setat la 51, iar pentru ESP numărul este 50.

ATENŢIE: ID-ul protocolului nu este același cu numărul portului.

Protocolul IKE (Internet Key Exchange) este un protocol IPsec standard utilizat pentru a asigura comunicații securizate în rețelele private virtuale. Scopul IKE este de a negocia în siguranță și de a livra materiale identificate unei asociații de securitate (SA).

SA este termenul IPSec pentru conexiune. Un SA stabilit (un canal securizat numit Asociație de Securitate sau SA) include o cheie secretă partajată și un set de algoritmi criptografici.

Protocolul IKE îndeplinește trei sarcini principale:

oferă un mijloc de autentificare între două puncte finale VPN;

stabilește noi conexiuni IPSec (creează o pereche SA);

gestionează conexiunile existente.

IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.

Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează IKE SA. În acest caz, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi un algoritm de criptare, cheia de sesiune etc.

În a doua fază, IKE SA este folosit pentru a negocia un protocol (de obicei IPSec).

Când este configurat un tunel VPN, este creată o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, deoarece Fiecare SA este o conexiune unidirecțională, iar datele trebuie transferate în două direcții. Perechile SA rezultate sunt stocate pe fiecare nod.

Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index).

SA este stocat într-o bază de date (DB) TRIST.(Baza de date Asociația de Securitate).

Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) – baza de date a politicilor de securitate. Conține politica de site configurată. Majoritatea soluțiilor VPN permit crearea de politici multiple cu combinații de algoritmi adecvați pentru fiecare gazdă la care trebuie stabilită o conexiune.

Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe modalități de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. În același timp, grupul de lucru IETF a definit un set de bază de funcții și algoritmi suportați, care ar trebui să fie implementați uniform în toate produsele care acceptă IPSec. Mecanismele AH și ESP pot fi utilizate cu o varietate de scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie o funcție MD5 unidirecțională, fie o funcție SHA-1 unidirecțională, iar criptarea este efectuată folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.

Pentru a cripta datele în IPSec, poate fi utilizat orice algoritm de criptare simetrică care utilizează chei secrete.

Protocoalele de protecție a fluxului transmis (AH și ESP) pot funcționa în două moduri: mod de transport si in modul de tunel. Când funcționează în modul de transport, IPsec funcționează numai cu informații despre stratul de transport, de exemplu. Numai câmpul de date al pachetului care conține protocoale TCP/UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili conexiuni între gazde.

În modul tunel, întregul pachet IP este criptat, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, este un tunel IP securizat. Modul tunel poate fi folosit pentru a conecta computere de la distanță la o rețea privată virtuală (schemă de conexiune gazdă-la-rețea) sau pentru a organiza transferul securizat de date prin canale de comunicare deschise (de exemplu, Internet) între gateway-uri pentru a conecta diferite părți ale rețelei private virtuale. reţea (schema de conectare la reţea -net").

Modurile IPsec nu se exclud reciproc. Pe același nod, unele SA pot folosi modul de transport, în timp ce altele folosesc modul tunel.

În timpul fazei de autentificare, se calculează ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să o compare cu rezultatul trimis de expeditor. Dacă compararea ICV are succes, expeditorul pachetului este considerat a fi autentificat.

În modul transportAH.

întregul pachet IP, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;

toate câmpurile din AH;

Sarcina utilă a pachetului IP.

AH în modul de transport protejează antetul IP (excluzând câmpurile pentru care sunt permise modificări) și încărcarea utilă în pachetul IP original (Figura 3.39).

În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transmisia datelor se realizează pe baza antetului noului pachet IP.

Pentru modul tunelAH. La efectuarea unui calcul, suma de control ICV include următoarele componente:

toate câmpurile antetului IP exterior, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;

toate câmpurile AH;

pachetul IP original.

După cum puteți vedea în următoarea ilustrație, modul de tunel AH protejează întregul pachet IP original prin utilizarea unui antet exterior suplimentar, pe care modul de transport AH nu îl folosește:

Orez. 6.10. Modurile de operare în tunel și transport ale protocolului AN

În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar trailerul ESP (Trailer ESP) este adăugat în consecință după date.

Modul de transport ESP criptează următoarele părți ale pachetului:

sarcină utilă IP;

Un algoritm de criptare care utilizează modul Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate ca el să decripteze porțiunea criptată a pachetului fără cheia de criptare. Pentru a împiedica atacatorii să schimbe vectorul de inițializare, acesta este protejat de o sumă de control ICV. În acest caz, ICV efectuează următoarele calcule:

toate câmpurile din antetul ESP;

sarcină utilă inclusiv text clar IV;

toate câmpurile din ESP Trailer, cu excepția câmpului de date de autentificare.

Modul tunel ESP încapsulează întregul pachet IP original în noul antet IP, antet ESP și Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost plasată semnătura pentru a-i certifica integritatea și autenticitatea, iar partea criptată arată că informațiile sunt sigure și confidențiale. Antetul sursă este plasat după antetul ESP. După ce porțiunea criptată este încapsulată într-un nou antet de tunel, care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, pachetul este direcționat către adresa IP a gateway-ului rețelei de primire, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer din rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:

pachetul IP original;

• Pentru modul tunel ESP, ICV se calculează după cum urmează:

  toate câmpurile din antetul ESP;

  pachetul IP original, inclusiv text clar IV;

  toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.

Orez. 6.11. Tunelul și modul de transport al protocolului ESP

Orez. 6.12. Compararea protocoalelor ESP și AH

Rezumatul modurilor de aplicareIPSec:

Protocol – ESP (AH).

Mod – tunel (transport).

Metoda de schimb de chei este IKE (manual).

Modul IKE – principal (agresiv).

Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.

Autentificare – SHA1 (SHA, MD5).

Criptare – DES (3DES, Blowfish, AES).

La crearea unei politici, este de obicei posibilă crearea unei liste ordonate de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, se va folosi prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să permită această aliniere. Dacă totul se potrivește, cu excepția unei părți a politicii, nodurile nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică posibilă.

Setări de bază pe care politica de securitate le include:

Algoritmi simetrici pentru criptarea/decriptarea datelor.

Sume de verificare criptografice pentru a verifica integritatea datelor.

Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.

Dacă folosiți modul tunel sau modul de transport.

Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).

Dacă să folosiți AH, ESP sau ambele.

Dacă să utilizați PFS.

O limitare a IPSec este că acceptă doar comunicațiile la nivel de protocol IP.

Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.

În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează nodul pe care rulează:

Orez. 6.13. Creați un canal securizat între două puncte finale

În a doua schemă, se stabilește un canal securizat între două gateway-uri de securitate. Aceste gateway-uri primesc date de la gazdele terminale conectate la rețelele situate în spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec; traficul trimis către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în numele său.

Orez. 6.14. Crearea unui canal securizat între două gateway-uri

Pentru gazdele care acceptă IPSec, pot fi utilizate atât modurile de transport, cât și cele de tunel. Gateway-urilor li se permite doar să folosească modul tunel.

Instalare si suportVPN

După cum am menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică reciproc. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Principal modul).

În modul principal, este posibilă coordonarea tuturor parametrilor de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv nu există o astfel de posibilitate, iar unii parametri (grup Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie configurați identic în avans pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai mici, rezultând mai puțin timp necesar pentru stabilirea unei sesiuni IPSec.

Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).

Presupunând că operațiunea s-a încheiat cu succes, se creează prima fază SA − Fază 1 S.A.(numit si IKES.A.) iar procesul trece la a doua fază.

În a doua etapă, datele cheie sunt generate și nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de prima fază prin faptul că poate fi stabilit doar după prima fază, când toate pachetele din a doua fază sunt criptate. Finalizarea corectă a celei de-a doua faze are ca rezultat apariția Fază 2 S.A. sau IPSecS.A. iar în acest moment instalarea tunelului este considerată finalizată.

Mai întâi, un pachet cu o adresă de destinație într-o altă rețea ajunge la nod, iar nodul inițiază prima fază cu nodul responsabil pentru cealaltă rețea. Să presupunem că un tunel între noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește Phase One lifetime sau IKE SA lifetime.

Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp numită Faza a doua sau durata de viață IPSec SA.

Durata de viață a fazei a doua este mai scurtă decât cea a primei faze, deoarece... cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca tunelul să fie stabilit inițial cu succes, dar după prima durată de viață inconsistentă conexiunea va fi întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă un tunel configurat anterior nu mai funcționează, atunci primul lucru care trebuie verificat este durata de viață pe ambele noduri.

De asemenea, trebuie remarcat faptul că, dacă politica este modificată pe unul dintre noduri, modificările vor intra în vigoare numai data viitoare când va avea loc prima fază. Pentru ca modificările să intre în vigoare imediat, SA pentru acest tunel trebuie eliminat din baza de date SAD. Acest lucru va face ca acordul dintre noduri să fie renegociat cu noi setări de politică de securitate.

Uneori, la configurarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți din cauza coordonării parametrilor la stabilirea primei faze. Ar trebui să acordați atenție unui astfel de parametru, cum ar fi Local ID - acesta este un identificator unic al punctului final al tunelului (expeditor și destinatar). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.

MortPeerDetectare

În timpul operațiunii VPN, în absența traficului între punctele terminale ale tunelului sau când se modifică datele inițiale ale nodului de la distanță (de exemplu, modificarea unei adrese IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență. un tunel, devenind, parcă, un tunel fantomă. Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să monitorizați prezența traficului de la un nod la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall Mesajul „DPD-R-U-THERE” este trimis către D-Link. Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link specificate de setările „DPD Expire Time”, tunelul este demontat. Firewall-urile D-Link după aceasta utilizând setările „DPD Keep Time” ( orez. 6.18), încearcă automat să restaureze tunelul.

ProtocolNATTraversare

Traficul IPsec poate fi rutat conform acelorași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, IPsec nu poate trece prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).

Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP obișnuit în întreaga rețea și gazda destinatarului să nu efectueze nicio verificare de integritate. Odată ce pachetul ajunge la destinație, antetul UDP este eliminat și pachetul de date își continuă calea ca pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibil să se stabilească comunicarea între clienții IPSec pe rețelele securizate și gazdele publice IPSec prin firewall-uri.

Când configurați firewall-urile D-Link pe dispozitivul destinatar, trebuie remarcate două puncte:

În câmpurile Rețea la distanță și Punct final la distanță, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (expeditorului) folosind tehnologia NAT (Figura 3.48).

Când utilizați chei partajate cu mai multe tuneluri conectate la același firewall la distanță care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.

Local ID poate fi unul dintre:

Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.

IP– adresa IP a portului WAN al firewall-ului de la distanță

DNS– adresa DNS

Bună prieteni! Mulți oameni folosesc internetul cu principiul „Nu am nimic de ascuns”, dar este același lucru cu a spune „Nu îmi pasă de drepturile mele”. Acest articol este pentru cei cărora le pasă de drepturile lor, precum și pentru cei care se gândesc la siguranța pe internet. Vă voi spune în cuvinte simple ce este un VPN, de ce aveți nevoie de el și cum să îl utilizați.

Ce este VPN

VPN reprezintă rețeaua privată virtuală. Tradus în rusă – rețea privată virtuală. Un VPN este o tehnologie care oferă o conexiune criptată prin conexiunea dvs. la Internet.

Datorită VPN, veți fi protejat de interceptarea autentificărilor/parolelor în punctele WI-FI nesecurizate sau publice, istoricul vizitelor dvs. pe site-ul dvs. nu va fi disponibil pentru nimeni și veți uita blocarea site-ului ca un vis rău. Acest lucru se aplică torrenților și oricăror alte site-uri presupus interzise.

Mâinile „blocatorilor” au ajuns și la industria proiectelor. Recent, un schimb popular de bitcoin, un forum mare de investiții și cine știe câte site-uri web au fost blocate. Accesul la site-ul web al oricărui sistem de plată, de exemplu, poate fi, de asemenea, blocat. Din fericire, utilizatorii VPN nu sunt afectați de blocări ridicole :)

Ce face un VPN?

1. VPN-ul vă înlocuiește IP-ul real cu unul fals, de exemplu, italiană sau olandeză. Dacă utilizați un VPN, atunci sunteți practic invizibil în rețea. Te duci pe site, dar ei văd că tu, de exemplu, nu ești din Rusia, ci din Germania. Din acest motiv, nu vă este frică de nicio blocare a site-ului.

2. Criptează conexiunea - nici ISP-ul tău, nici administratorul de sistem de la locul de muncă nu vor ști unde te-ai dus.
- Ce vede administratorul/furnizorul de sistem atunci când nu aveți un VPN? Întreaga istorie a navigării dumneavoastră, fără excepție, toate site-urile pe care le vizitați.
- Ce vede când lucrați printr-un VPN? Că te-ai conectat prin VPN și... atât, el nu știe altceva :)
De asemenea, atunci când interceptează date, atacatorii nu le vor putea recunoaște din cauza criptării.

3. Combinat cu falsificarea IP și criptarea traficului, devii complet anonim.




De ce ai nevoie de un VPN?

• Dacă îți place să vizitezi cafenele și să navighezi pe internet acolo prin Wi-Fi sau să călătorești adesea și să te conectezi la puncte Wi-Fi deschise, niciun hacker arogant care stă la masa următoare nu va intercepta datele cardului de plastic cu un cod CVV sau nu va fura parola de la cardul dvs. de plată.sisteme împreună cu banii dvs. Și nu contează dacă lucrați de pe un laptop sau de pe un dispozitiv mobil - fără un VPN, acestea nu sunt la fel de protejate.
• Apreciezi anonimatul și ești inconfortabil de faptul că orice administrator de sistem al furnizorului are acces la site-urile pe care le vizitezi sau din care EPS depui/retragi sume mari. ISP-ul nu va mai ști ce site-uri vizitați, iar site-urile nu vor mai ști cine le-a vizitat.
• La serviciu, vă place să navigați pe YouTube/VKontakte/Skype, dar nu doriți ca șeful sau administratorul de sistem să afle despre asta. Știu că ești un investitor de succes și nu te-ai mai dus la muncă de mult timp, acesta sunt doar eu, pentru orice eventualitate :)
• Doriți să vedeți Internetul așa cum ar trebui să fie - vizitați site-uri fără restricțiile unui serviciu care pur și simplu blochează site-urile în loturi. La momentul redactării acestui articol, peste 2 milioane de site-uri sunt blocate (se păstrează statisticile). De asemenea, nu este neobișnuit atunci când solicită blocarea unei anumite pagini sau secțiuni, iar furnizorul, fără să înțeleagă, blochează întregul site.
• Serviciul tău preferat restricționează accesul din țara ta sau oferă privilegii/bonusuri/reduceri în anumite țări? Cu ajutorul unui VPN, deveniți rezident al oricărei țări și obțineți toate beneficiile serviciilor.

Cum să utilizați un VPN (folosind NordVPN ca exemplu)

Eu însumi navighez pe internet doar printr-un VPN și pot recomanda un serviciu excelent numit NordVPN. Voi spune imediat că serviciul este plătit, costul este de 12 USD pe lună, când plătiți pentru o jumătate de an costul pe lună este de 9 USD, când plătiți pentru un an - 7 USD.

Da, internetul este plin de servicii VPN gratuite, dar întreținerea serverelor costă bani, așa că, dacă serviciul nu te taxează, câștigă bani de la tine în alt mod, iar acest „altfel” poate costa mult mai mult decât plata pentru un serviciu de încredere. VPN. Securitatea nu este o problemă pe care să-l zgarcim.


Recenzie NordVPN, caracteristicile sale

• Practic, niciun efect asupra vitezei de conectare, verificat personal :)
• Suport Windows, MacOS X, Linux, Android, iOS;
• Posibilitatea de a folosi un cont pe 6 dispozitive simultan;
• Există mai mult de 50 de țări și peste 500 de servere din care să alegeți;
• Conectați-vă la NordVPN cu un singur clic;
• Dacă se pierde conexiunea VPN, programele pe care le-ați specificat în setări se vor închide automat. Nu trebuie să vă faceți griji cu privire la scurgerile de date;
• Protecție împotriva recunoașterii prin DNS și WebRTC (aceștia sunt băieții prin care IP-ul tău real este vizibil chiar și atunci când VPN-ul este pornit);
• Suport DoubleVPN (un lanț de două servere VPN);
• Fără restricții: torrente, apeluri Skype, videoclipuri HD, jocuri online - totul funcționează fără probleme;
• Suport pentru bitcoini și plăți prin carduri de plastic. Dar ne place anonimatul, așa că dacă nu ți-ai luat încă un portofel Bitcoin, urmează instrucțiunile;
• Orice solicitare este ignorată deoarece serviciul se află sub jurisdicția Panama și nu este supus legilor altor țări.

Creați un cont cu NordVPN

1) Urmați linkul, faceți clic pe „Obțineți VPN” și selectați un tarif.
2) Suntem redirecționați către formularul de înregistrare a contului. Selectați un tarif, completați e-mailul și parola, selectați o opțiune de plată convenabilă și faceți clic pe „Înregistrare”.
3) Confirmați plata și conectați-vă la contul personal folosind datele de conectare și parola.

Descărcați clientul și activați VPN (folosind Windows ca exemplu)

1) În contul personal de pe site, accesați fila „Zona de descărcare”, găsiți sistemul de operare și descărcați clientul. Dacă aveți Windows, selectați linia lângă care este „recomandat”. Dacă aveți nevoie de un VPN pe dispozitivul dvs. mobil, căutați NordVPN în magazinul dvs. de aplicații și descărcați.

2) Instalați programul și rulați-l. Captura de ecran de mai jos arată cum arată programul (faceți clic pentru a mări ecranul). În " Servere” puteți alege orice țară pentru a vă conecta.

Configurarea NordVPN

Dacă doriți protecție maximă și personalizați totul pentru dvs., atunci faceți clic pe „Setări”:

Imaginați-vă o scenă dintr-un film plin de acțiune în care răufăcătorul evadează de la locul crimei de-a lungul autostrăzii într-o mașină sport. El este urmărit de un elicopter al poliției. Mașina intră într-un tunel care are mai multe ieșiri. Pilotul elicopterului nu știe din ce ieșire va apărea mașina, iar răufăcătorul scapă de urmărire.

VPN este un tunel care conectează multe drumuri. Nimeni din afară nu știe unde vor ajunge mașinile care intră în el. Nimeni din afară nu știe ce se întâmplă în tunel.

Probabil ați auzit de mai multe ori despre VPN. Lifehacker vorbește și despre acest lucru. Cel mai adesea, un VPN este recomandat pentru că folosind rețeaua puteți accesa conținut geo-blocat și, în general, puteți crește securitatea atunci când utilizați Internetul. Adevărul este că accesarea internetului printr-un VPN nu poate fi mai puțin periculoasă decât direct.

Cum funcționează un VPN?

Cel mai probabil, aveți un router Wi-Fi acasă. Dispozitivele conectate la acesta pot face schimb de date chiar și fără internet. Se pare că aveți propria rețea privată, dar pentru a vă conecta la ea, trebuie să fiți fizic la îndemâna semnalului routerului.

VPN (Virtual Private Network) este o rețea privată virtuală. Funcționează pe internet, astfel încât să vă puteți conecta la el de oriunde.

De exemplu, compania pentru care lucrați poate utiliza o rețea privată virtuală pentru lucrătorii la distanță. Folosind un VPN, se conectează la rețeaua lor de lucru. În același timp, computerele, smartphone-urile sau tabletele lor sunt transferate virtual la birou și conectate la rețea din interior. Pentru a vă conecta la o rețea privată virtuală, trebuie să cunoașteți adresa serverului VPN, autentificarea și parola.

Utilizarea unui VPN este destul de simplă. De obicei, o companie instalează un server VPN undeva pe un computer local, server sau centru de date și se conectează la acesta folosind un client VPN pe dispozitivul utilizatorului.

În prezent, clienții VPN încorporați sunt disponibili în toate sistemele de operare actuale, inclusiv Android, iOS, Windows, macOS și Linux.

Conexiunea VPN dintre client și server este de obicei criptată.

Deci VPN este bun?

Da, dacă sunteți proprietar de afaceri și doriți să securizați datele și serviciile corporative. Permițând angajaților să intre în mediul de lucru doar printr-un VPN și folosind conturi, veți ști întotdeauna cine a făcut și ce face.

Mai mult, proprietarul VPN poate monitoriza și controla tot traficul care trece între server și utilizator.

Angajații tăi petrec mult timp pe VKontakte? Puteți bloca accesul la acest serviciu. Gennady Andreevich își petrece jumătate din ziua de lucru pe site-uri cu meme? Toată activitatea lui este înregistrată automat în jurnalele și va deveni un argument ferm pentru concediere.

Atunci de ce VPN?

VPN vă permite să ocoliți restricțiile geografice și legale.

De exemplu, ești în Rusia și vrei. Ne pare rău să aflăm că acest serviciu nu este disponibil din Federația Rusă. Îl poți folosi doar accesând internetul printr-un server VPN din țara în care operează Spotify.

În unele țări, există cenzură pe internet care restricționează accesul la anumite site-uri. Doriți să accesați o resursă, dar este blocată în Rusia. Puteți deschide site-ul doar accesând Internetul printr-un server VPN al unei țări în care acesta nu este blocat, adică din aproape orice țară, cu excepția Federației Ruse.

VPN este o tehnologie utilă și necesară, care se descurcă bine cu o anumită gamă de sarcini. Dar securitatea datelor personale depinde în continuare de integritatea furnizorului de servicii VPN, de bunul simț, de atenție și de cunoștințele pe internet.