Концепцията за виртуална мрежа. VPN - какво е това и защо ви е необходимо

Интернет все повече се използва като средство за комуникация между компютри, защото предлага ефективна и евтина комуникация. Интернет обаче е публична мрежа и за да се осигури сигурна комуникация през нея, е необходим някакъв механизъм, който да отговаря поне на следните задачи:

    конфиденциалност на информацията;

    целостта на данните;

    наличие на информация;

Тези изисквания се изпълняват от механизъм, наречен VPN (Virtual Private Network - виртуална частна мрежа) - обобщено име за технологии, които ви позволяват да осигурите една или повече мрежови връзки (логическа мрежа) през друга мрежа (например интернет) с помощта на криптография инструменти (криптиране, удостоверяване, инфраструктурни публични ключове, средства за защита срещу повторение и промяна на съобщенията, предавани през логическата мрежа).

Създаването на VPN не изисква допълнителни инвестиции и ви позволява да спрете да използвате наети линии. В зависимост от използваните протоколи и предназначението VPN може да осигури три типа връзки: хост-хост, хост-мрежа и мрежа-мрежа.

За по-голяма яснота нека си представим следния пример: едно предприятие има няколко териториално отдалечени клона и „мобилни“ служители, работещи у дома или на път. Необходимо е да се обединят всички служители на предприятието в една мрежа. Най-лесният начин е да поставите модеми във всеки клон и да организирате комуникация според нуждите. Подобно решение обаче не винаги е удобно и изгодно - понякога се нуждаете от постоянна връзка и голяма честотна лента. За да направите това, ще трябва или да поставите специална линия между клоновете, или да ги наемете. И двете са доста скъпи. И тук, като алтернатива, когато изграждате единна защитена мрежа, можете да използвате VPN връзки на всички клонове на компанията през интернет и да конфигурирате VPN инструменти на мрежови хостове.

Ориз. 6.4. VPN връзка от сайт към сайт

Ориз. 6.5. VPN връзка между хост и мрежа

В този случай много проблеми се решават - клоновете могат да бъдат разположени навсякъде по света.

Опасността тук е, че първо, отворена мрежана разположение за атаки от натрапници по целия свят. Второ, всички данни се предават по интернет в чист вид и нападателите, хакнали мрежата, ще имат цялата информация, предадена по мрежата. И трето, данните могат да бъдат не само прихванати, но и заменени по време на предаване през мрежата. Нападателят може например да компрометира целостта на базите данни, като действа от името на клиентите на един от доверените клонове.

За да предотвратят това, VPN решенията използват инструменти като криптиране на данни, за да осигурят интегритет и поверителност, удостоверяване и оторизация за проверка на потребителските права и позволяват достъп до виртуална частна мрежа.

VPN връзката винаги се състои от връзка от точка до точка, известна още като тунел. Тунелът се създава в незащитена мрежа, която най-често е Интернет.

Тунелирането или капсулирането е начин за прехвърляне на полезна информация през междинна мрежа. Такава информация може да бъде рамка (или пакети) на друг протокол. При капсулирането рамката не се предава, тъй като е генерирана от изпращащия хост, но се предоставя с допълнителен хедър, съдържащ информация за маршрутизиране, която позволява на капсулираните пакети да преминат през междинната мрежа (Интернет). В края на тунела кадрите се декапсулират и се предават на получателя. Обикновено тунелът се създава от две крайни устройства, разположени на входни точки към обществената мрежа. Едно от очевидните предимства на тунелирането е, че тази технология ви позволява да шифровате целия оригинален пакет, включително заглавката, която може да съдържа данни, съдържащи информация, която нападателите използват, за да хакнат мрежата (например IP адреси, брой подмрежи и т.н.). ) .

Въпреки че VPN тунел е установен между две точки, всеки хост може да създаде допълнителни тунели с други хостове. Например, когато три отдалечени станции трябва да се свържат с един и същи офис, към този офис ще бъдат създадени три отделни VPN тунела. За всички тунели възелът от страната на офиса може да бъде един и същ. Това е възможно поради факта, че възелът може да криптира и декриптира данни от името на цялата мрежа, както е показано на фигурата:

Ориз. 6.6.Създайте VPN тунели за множество отдалечени местоположения

Потребителят установява връзка с VPN шлюза, след което има достъп до вътрешната мрежа.

В рамките на частна мрежа самото криптиране не се извършва. Причината е, че тази част от мрежата се счита за защитена и под пряк контрол, за разлика от интернет. Това важи и при свързване на офиси чрез VPN шлюзове. По този начин криптирането е гарантирано само за информация, която се предава по незащитен канал между офисите.

Има много различни решенияза изграждане на виртуални частни мрежи. Най-известните и широко използвани протоколи са:

    PPTP (Point-to-Point Tunneling Protocol) – този протокол стана доста популярен поради включването му в операционните системи на Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - съчетава протокола L2F (Layer 2 Forwarding) и протокола PPTP. Обикновено се използва във връзка с IPSec.

    IPSec (Internet Protocol Security) е официален интернет стандарт, разработен от общността на IETF (Internet Engineering Task Force).

Изброените протоколи се поддържат от устройствата на D-Link.

Протоколът PPTP е предназначен основно за виртуални частни мрежи, базирани на комутируеми връзки. Протоколът ви позволява да организирате отдалечен достъп, така че потребителите да могат да установяват комутируеми връзки с интернет доставчици и да създават защитен тунел към своите корпоративни мрежи. За разлика от IPSec, протоколът PPTP първоначално не е предназначен да организира тунели между локални мрежи. PPTP разширява възможностите на PPP, протокол за връзка с данни, който първоначално е проектиран да капсулира данни и да ги доставя през връзки от точка до точка.

Протоколът PPTP ви позволява да създавате защитени канали за обмен на данни, използвайки различни протоколи - IP, IPX, NetBEUI и др. Данните на тези протоколи се пакетират в PPP рамки, капсулирани с помощта на протокола PPTP в пакети на IP протокол. След това те се транспортират с помощта на IP в криптирана форма през всяка TCP/IP мрежа. Получаващият възел извлича PPP кадрите от IP пакетите и след това ги обработва по стандартния начин, т.е. извлича IP, IPX или NetBEUI пакет от PPP рамка и го изпраща през локалната мрежа. По този начин PPTP протоколът създава връзка от точка до точка в мрежата и предава данни по създадения защитен канал. Основното предимство на капсулиращите протоколи като PPTP е тяхната мултипротоколна природа. Тези. защитата на данните на слоя за връзка за данни е прозрачна за протоколите на мрежовия и приложния слой. Следователно в рамките на мрежата както IP протоколът (както в случая на базирана на IPSec VPN), така и всеки друг протокол може да се използва като транспорт.

Понастоящем, поради лекотата на внедряване, PPTP протоколът се използва широко както за получаване на надежден защитен достъп до корпоративна мрежа, така и за достъп до мрежи на ISP, когато клиентът трябва да установи PPTP връзка с ISP, за да получи достъп до Интернет.

Методът на криптиране, използван в PPTP, се определя на PPP слоя. Обикновено PPP клиентът е настолен компютърс операционната система на Microsoft, а протоколът за шифроване от точка до точка на Microsoft (MPPE) се използва като протокол за шифроване. Този протокол е базиран на стандарта RSA RC4 и поддържа 40 или 128 битово криптиране. За много приложения на това ниво на криптиране използването на този алгоритъм е достатъчно, въпреки че се счита за по-малко сигурен от редица други алгоритми за криптиране, предлагани от IPSec, по-специално 168-битовия стандарт за шифроване на три данни (3DES).

Как се установява връзкатаPPTP?

PPTP капсулира IP пакети за предаване през IP мрежа. PPTP клиентите създават тунелна контролна връзка, която поддържа връзката жива. Този процес се извършва на транспортния слой на OSI модела. След като тунелът е създаден, клиентският компютър и сървърът започват да обменят сервизни пакети.

В допълнение към PPTP контролната връзка се създава връзка за изпращане на данни през тунела. Капсулирането на данни преди изпращането им в тунела включва две стъпки. Първо се създава информационната част на PPP рамката. Данните текат отгоре надолу, от приложния слой на OSI към слоя за връзка. След това получените данни се изпращат нагоре към OSI модела и се капсулират от протоколите на горния слой.

Данните от слоя на връзката достигат до транспортния слой. Информацията обаче не може да бъде изпратена до местоназначението си, тъй като за това е отговорен слоят за връзка OSI. Следователно PPTP криптира полето за полезен товар на пакета и поема функциите от второ ниво, които обикновено принадлежат на PPP, т.е. добавя PPP хедър (заглавие) и край (трейлър) към PPTP пакета. Това завършва създаването на рамката на слоя за връзка. След това PPTP капсулира PPP рамката в Generic Routing Encapsulation (GRE) пакет, който принадлежи на мрежовия слой. GRE капсулира протоколи на мрежовия слой като IP, IPX, за да им позволи да бъдат транспортирани през IP мрежи. Въпреки това, използването само на протокола GRE няма да гарантира установяване на сесия и сигурност на данните. Това използва способността на PPTP за създаване на връзка за контрол на тунела. Използването на GRE като метод за капсулиране ограничава обхвата на PPTP само до IP мрежи.

След като PPP рамката е капсулирана в рамка с GRE заглавка, тя се капсулира в рамка с IP заглавка. IP хедърът съдържа адресите на изпращача и получателя на пакета. И накрая, PPTP добавя PPP заглавка и край.

На ориз. 6.7показва структурата на данните за препращане през PPTP тунел:

Ориз. 6.7.Структура на данните за препращане през PPTP тунел

Настройката на VPN, базирана на PPTP, не изисква големи разходи и сложни настройки: достатъчно е да инсталирате PPTP сървър в централния офис (PPTP решения съществуват както за Windows, така и за Linux платформи) и да направите необходимите настройки на клиентските компютри. Ако трябва да комбинирате няколко клона, тогава вместо да настройвате PPTP на всички клиентски станции, по-добре е да използвате интернет рутер или защитна стена с поддръжка на PPTP: настройките се правят само на граничен рутер (защитна стена), свързан към интернет, всичко е абсолютно прозрачно за потребителите. Примери за такива устройства са многофункционалните интернет рутери DIR/DSR и защитните стени от серията DFL.

GRE- тунели

Generic Routing Encapsulation (GRE) е протокол за капсулиране на мрежови пакети, който осигурява тунелиране на трафик през мрежи без криптиране. Примери за използване на GRE:

    предаване на трафик (включително излъчване) чрез оборудване, което не поддържа определен протокол;

    тунелиране на IPv6 трафик през IPv4 мрежа;

    предаване на данни през обществени мрежи за реализиране на защитена VPN връзка.

Ориз. 6.8.Пример за GRE тунел

Между два рутера A и B ( ориз. 6.8) има няколко рутера, GRE тунелът ви позволява да осигурите връзка между локалните мрежи 192.168.1.0/24 и 192.168.3.0/24, сякаш рутери A и B са свързани директно.

Л2 TP

Протоколът L2TP се появи в резултат на сливането на протоколите PPTP и L2F. Основното предимство на протокола L2TP е, че ви позволява да създавате тунел не само в IP мрежи, но и в ATM, X.25 и Frame relay мрежи. L2TP използва UDP като транспорт и използва същия формат на съобщение както за управление на тунели, така и за препращане на данни.

Както в случая с PPTP, L2TP започва да сглобява пакет за предаване към тунела, като първо добавя PPP заглавката, след това L2TP заглавката към информационното поле за PPP данни. Така полученият пакет се капсулира от UDP. В зависимост от избрания тип IPSec политика за сигурност, L2TP може да шифрова UDP съобщения и да добави заглавка и край на Encapsulating Security Payload (ESP), както и край на IPSec Authentication (вижте раздела „L2TP през IPSec“). След това се капсулира в IP. Добавя се IP хедър, съдържащ адресите на изпращача и получателя. Накрая L2TP извършва второ PPP капсулиране, за да подготви данните за предаване. На ориз. 6.9показва структурата на данните, която трябва да бъде изпратена през L2TP тунел.

Ориз. 6.9.Структура на данните за препращане през L2TP тунел

Получаващият компютър получава данните, обработва PPP заглавката и края и премахва IP заглавката. IPSec Authentication удостоверява автентичността на IP информационното поле, а IPSec ESP хедърът помага за дешифрирането на пакета.

След това компютърът обработва UDP хедъра и използва L2TP хедъра, за да идентифицира тунела. PPP пакетът вече съдържа само полезния товар, който се обработва или препраща към посочения получател.

IPsec (съкратено от IP Security) е набор от протоколи за защита на данни, предавани по IP интернет протокола, позволяващи удостоверяване и/или криптиране на IP пакети. IPsec включва и протоколи за защитен обмен на ключове в Интернет.

IPSec сигурността се постига чрез допълнителни протоколи, които добавят собствени хедъри към IP пакета – капсулиране. защото IPSec е интернет стандарт, тогава има RFC документи за него:

    RFC 2401 (Архитектура за сигурност за интернет протокола) е архитектурата за сигурност за IP протокола.

    RFC 2402 (IP Authentication header) - IP хедър за удостоверяване.

    RFC 2404 (Използване на HMAC-SHA-1-96 в рамките на ESP и AH) - Използване на SHA-1 хеш алгоритъм за създаване на заглавка за удостоверяване.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – Използване на алгоритъма за шифроване DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – Шифроване на данни.

    RFC 2407 (Интернет IP защитен домейн за интерпретация за ISAKMP) е обхватът на протокола за управление на ключове.

    RFC 2408( интернет сигурностПротокол за управление на асоциации и ключове (ISAKMP) - управление на ключове и автентификатори на защитени връзки.

    RFC 2409 (The Internet Key Exchange (IKE)) - Обмен на ключове.

    RFC 2410 (Алгоритъмът за шифроване NULL и използването му с IPsec) - Алгоритъмът за шифроване NULL и неговото използване.

    RFC 2411 (IP Security Document Roadmap) е по-нататъшно развитие на стандарта.

    RFC 2412 (Протоколът за определяне на ключ на OAKLEY) - Проверка на автентичността на ключ.

IPsec е неразделна част от интернет протокола IPv6 и незадължително разширение на версията IPv4 на интернет протокола.

Механизмът IPSec изпълнява следните задачи:

    удостоверяване на потребители или компютри по време на инициализация на защитен канал;

    криптиране и удостоверяване на данни, предавани между крайни точки на защитен канал;

    автоматично снабдяване на крайните точки на канала със секретни ключове, необходими за работата на протоколите за удостоверяване и криптиране на данни.

IPSec компоненти

Протоколът AH (Authentication Header) е протокол за идентификация на заглавката. Гарантира целостта, като проверява дали няма битове в защитената част на пакета, които са променени по време на предаване. Но използването на AH може да причини проблеми, например, когато пакет преминава през NAT устройство. NAT променя IP адреса на пакета, за да позволи достъп до Интернет от затворен местен адрес. защото в този случай пакетът се променя, тогава контролната сума на AH става неправилна (за да се елиминира този проблем, е разработен протоколът NAT-Traversal (NAT-T), който осигурява ESP предаване през UDP и използва UDP порт 4500 в своята работа). Също така си струва да се отбележи, че AH е проектиран само за целостта. Не гарантира поверителност чрез криптиране на съдържанието на пакета.

Протоколът ESP (Encapsulation Security Payload) осигурява не само целостта и удостоверяването на предаваните данни, но и криптиране на данните, както и защита срещу фалшифициране на пакети.

ESP протоколът е капсулиращ протокол за сигурност, който осигурява както цялост, така и поверителност. В транспортен режим ESP хедърът е между оригиналния IP хедър и TCP или UDP хедъра. В тунелен режим ESP хедърът се поставя между новия IP хедър и напълно шифрования оригинален IP пакет.

защото и двата протокола - AH и ESP - добавят собствени IP хедъри, всеки от тях има свой собствен номер на протокол (ID), по който можете да определите какво ще следва IP хедъра. Всеки протокол, според IANA (Internet Assigned Numbers Authority – организацията, отговаряща за адресното пространство на Интернет), има свой номер (ID). Например за TCP това число е 6, а за UDP е 17. Ето защо е много важно, когато работите през защитна стена, да конфигурирате филтрите така, че да пропускат пакети с ID AH и/или ESP на протокола.

Протокол ID 51 е настроен да показва, че AH присъства в IP хедъра и 50 за ESP.

ВНИМАНИЕ!: ID на протокола не е същият като номера на порта.

Протоколът IKE (Internet Key Exchange) е стандартен IPsec протокол, използван за защита на комуникация във виртуални частни мрежи. Целта на IKE е сигурно договаряне и доставка на идентифициран материал до асоциация за сигурност (SA).

SA е IPSec терминът за връзка. Установен SA (сигурен канал, наречен „сигурна асоциация“ или „асоциация за сигурност“ – Security Association, SA) включва споделен таен ключ и набор от криптографски алгоритми.

Протоколът IKE изпълнява три основни задачи:

    осигурява средство за удостоверяване между две VPN крайни точки;

    установява нови IPSec връзки (създава чифт SA);

    управлява съществуващите взаимоотношения.

IKE използва UDP порт номер 500. Когато използвате функцията NAT Traversal, както беше споменато по-рано, IKE протоколът използва UDP порт номер 4500.

Обменът на данни в IKE се извършва на 2 фази. В първата фаза се създава асоциацията SA IKE. В същото време крайните точки на канала се удостоверяват и се избират параметри за защита на данните, като алгоритъм за криптиране, сесиен ключ и др.

Във втората фаза SA IKE се използва за договаряне на протокол (обикновено IPSec).

С конфигуриран VPN тунел се създава една SA двойка за всеки използван протокол. SA се създават по двойки, като всеки SA е еднопосочна връзка и данните трябва да се изпращат в две посоки. Получените SA двойки се съхраняват на всеки възел.

Тъй като всеки възел може да създава множество тунели с други възли, всеки SA има уникален номер, за да идентифицира към кой възел принадлежи. Този номер се нарича SPI (Security Parameter Index) или Security Parameter Index.

SA, съхранявани в база данни (DB) ЖАЛКО(База данни на асоциацията за сигурност).

Всеки IPSec възел също има втора DB − SPD(Security Policy Database) - База данни с политики за сигурност. Той съдържа конфигурираната хост политика. Повечето VPN решения ви позволяват да създавате множество политики с комбинации от подходящи алгоритми за всеки хост, към който искате да се свържете.

Гъвкавостта на IPSec се крие във факта, че за всяка задача има няколко начина за решаването й, като методите, избрани за една задача, обикновено са независими от методите за изпълнение на други задачи. Работната група на IETF обаче е дефинирала основен набор от поддържани функции и алгоритми, които трябва да бъдат внедрени по един и същи начин във всички IPSec-активирани продукти. Механизмите AH и ESP могат да се използват с различни схеми за удостоверяване и криптиране, някои от които са задължителни. Например IPSec указва, че пакетите се удостоверяват с помощта на еднопосочната функция MD5 или еднопосочната функция SHA-1, а криптирането се извършва с помощта на алгоритъма DES. Производителите на продукти, които работят с IPSec, могат да добавят други алгоритми за удостоверяване и криптиране. Например някои продукти поддържат алгоритми за криптиране като 3DES, Blowfish, Cast, RC5 и др.

Всеки алгоритъм за симетрично криптиране, който използва секретни ключове, може да се използва за криптиране на данни в IPSec.

Протоколите за защита на потока (AH и ESP) могат да работят в два режима - в транспортен режими в тунелен режим. Когато работи в транспортен режим, IPsec работи само с информация от транспортния слой; само полето с данни на пакета, съдържащ TCP / UDP протоколите, е криптирано (заглавието на IP пакета не се променя (не е криптирано)). Транспортният режим обикновено се използва за установяване на връзка между хостовете.

Режимът на тунелиране криптира целия IP пакет, включително заглавката на мрежовия слой. За да се предаде по мрежата, той се поставя в друг IP пакет. По същество това е защитен IP тунел. Тунелният режим може да се използва за свързване на отдалечени компютри към виртуална частна мрежа (схема за свързване "хост-мрежа") или за организиране на защитен трансфер на данни чрез отворени комуникационни канали (например интернет) между шлюзове за комбиниране на различни части на виртуална частна мрежа мрежа ("схема на мрежова връзка"). -net").

IPsec режимите не се изключват взаимно. На един и същи хост някои SA могат да използват транспортен режим, докато други могат да използват тунелен режим.

По време на фазата на удостоверяване се изчислява ICV контролната сума (стойност за проверка на целостта) на пакета. Това предполага, че и двата възела знаят секретния ключ, което позволява на получателя да изчисли ICV и да го сравни с резултата, изпратен от подателя. Ако ICV сравнението е успешно, подателят на пакета се счита за удостоверен.

В режим транспортAH

    целия IP пакет, с изключение на някои полета в IP хедъра, които могат да бъдат променени при пренасяне. Тези полета, чиито стойности за изчисляване на ICV са 0, могат да бъдат част от услугата (тип услуга, TOS), флагове, отместване на фрагменти, време за живот (TTL), както и заглавка на контролна сума;

    всички полета в AH;

    полезен товар от IP пакети.

AH в транспортен режим защитава IP хедъра (с изключение на полетата, които могат да се променят) и полезния товар в оригиналния IP пакет (Фигура 3.39).

В тунелен режим оригиналният пакет се поставя в нов IP пакет и прехвърлянето на данни се извършва въз основа на заглавката на новия IP пакет.

За тунелен режимAHкогато се извършва изчисление, следните компоненти се включват в контролната сума на ICV:

    всички полета във външния IP хедър, с изключение на някои полета в IP хедъра, които могат да се променят по време на предаване. Тези полета, чиито стойности за изчисляване на ICV са 0, могат да бъдат част от услугата (тип услуга, TOS), флагове, отместване на фрагменти, време за живот (TTL), както и заглавка на контролна сума;

    всички полета AH;

    оригинален IP пакет.

Както можете да видите на следващата илюстрация, тунелният режим AH защитава целия IP пакет източник с допълнителен външен хедър, който транспортният режим AH не използва:

Ориз. 6.10.Тунелни и транспортни режими на работа на AN протокола

В режим транспортESPне удостоверява целия пакет, а защитава само IP полезния товар. ESP заглавката в режим на транспортиране на ESP се добавя към IP пакета веднага след IP заглавката, а ESP краят (ESP Trailer) се добавя след данните съответно.

Транспортният режим на ESP криптира следните части от пакета:

    IP полезен товар;

Алгоритъм за криптиране, който използва режима на криптиране на Cipher Block Chaining (CBC), има некриптирано поле между ESP хедъра и полезния товар. Това поле се нарича IV (Initialization Vector) за изчисление на CBC, което се извършва на приемника. Тъй като това поле се използва за стартиране на процеса на дешифриране, то не може да бъде шифровано. Въпреки че нападателят има способността да види IV, няма начин да дешифрира криптираната част от пакета без ключа за криптиране. За да се попречи на нападателите да променят вектора за инициализация, той се пази от ICV контролната сума. В този случай ICV извършва следните изчисления:

    всички полета в ESP заглавката;

    полезен товар, включително обикновен текст IV;

    всички полета в трейлъра на ESP, с изключение на полето с данни за удостоверяване.

ESP тунелният режим капсулира целия оригинален IP пакет в нов IP хедър, ESP хедър и ESP трейлър. За да покаже, че ESP присъства в IP хедъра, идентификаторът на IP протокола е настроен на 50, оставяйки оригиналния IP хедър и полезна информация непроменени. Както при тунелния режим AH, външният IP хедър се основава на конфигурацията на IPSec тунела. В случай на използване на ESP тунелен режим зоната за удостоверяване на IP пакета показва къде е направен подписът, удостоверявайки неговата цялост и автентичност, а криптираната част показва, че информацията е защитена и поверителна. Оригиналният хедър се поставя след ESP хедъра. След като шифрованата част е капсулирана в нов хедър на тунел, който не е шифрован, IP пакетът се предава. Когато се изпрати през обществена мрежа, такъв пакет се насочва към IP адреса на шлюза на получаващата мрежа, а шлюзът декриптира пакета и изхвърля ESP заглавката, използвайки оригиналния IP заглавие, за да насочи пакета към компютър, разположен на вътрешната мрежа. Режимът на ESP тунелиране криптира следните части от пакета:

    оригинален IP пакет;

  • За ESP тунелен режим, ICV се изчислява, както следва:

    всички полета в ESP заглавката;

    оригиналния IP пакет, включително обикновения текст IV;

    всички ESP заглавни полета, с изключение на полето с данни за удостоверяване.

Ориз. 6.11.Тунелен и транспортен режим на ESP протокола

Ориз. 6.12.Сравнение на ESP и AH протоколи

Резюме на режимите на приложениеIPSec:

    Протокол - ESP (AH).

    Режим - тунел (транспорт).

    Метод за обмен на ключове - IKE (ръчно).

    Режим IKE - основен (агресивен).

    DH ключ – група 5 (група 2, група 1) – номер на група за избор на динамично създадени сесийни ключове, дължина на групата.

    Удостоверяване - SHA1 (SHA, MD5).

    Криптиране - DES (3DES, Blowfish, AES).

Когато създавате политика, обикновено е възможно да създадете подреден списък от алгоритми и групи на Дифи-Хелман. Diffie-Hellman (DH) е протокол за криптиране, използван за установяване на споделени секретни ключове за IKE, IPSec и PFS (Perfect Forward Secrecy). В този случай ще се използва първата позиция, която съвпада и в двата възела. Много е важно всичко в политиката за сигурност да ви позволява да постигнете това съвпадение. Ако всичко останало съвпада с изключение на една част от правилата, хостовете пак няма да могат да установят VPN връзка. Когато настройвате VPN тунел между различни системитрябва да разберете какви алгоритми се поддържат от всяка страна, за да можете да изберете най-сигурната политика от всички възможни.

Основните настройки, които политиката за сигурност включва:

    Симетрични алгоритми за криптиране/декриптиране на данни.

    Криптографски контролни суми за проверка на целостта на данните.

    Метод за идентификация на възела. Най-често срещаните методи са предварително споделени тайни или CA сертификати.

    Дали да използвате тунелен режим или транспортен режим.

    Коя група на Diffie-Hellman да използвате (DH група 1 (768-бита); DH група 2 (1024-бита); DH група 5 (1536-бита)).

    Дали да използвате AH, ESP или и двете.

    Дали да се използва PFS.

Ограничение на IPSec е, че той поддържа само трансфер на данни на ниво IP протокол.

Има две основни схеми за използване на IPSec, различаващи се по ролята на възлите, които формират защитения канал.

При първата схема се формира защитен канал между крайните хостове на мрежата. В тази схема IPSec протоколът защитава хоста, който работи:

Ориз. 6.13.Създайте защитен канал между две крайни точки

Във втората схема се установява защитен канал между два шлюза за сигурност. Тези шлюзове получават данни от крайни хостове, свързани към мрежи зад шлюзовете. Крайните хостове в този случай не поддържат протокола IPSec, трафикът, насочен към публичната мрежа, преминава през защитния шлюз, който изпълнява защита от свое име.

Ориз. 6.14.Създаване на защитен канал между два шлюза

За хостове, които поддържат IPSec, могат да се използват както транспортен режим, така и тунелен режим. За шлюзовете е разрешен само тунелен режим.

Монтаж и поддръжкаVPN

Както бе споменато по-горе, инсталирането и поддръжката на VPN тунел е процес в две стъпки. В първия етап (фаза) двата възела се договарят за метод за идентификация, алгоритъм за криптиране, хеш алгоритъм и група на Дифи-Хелман. Те също се идентифицират помежду си. Всичко това може да се случи в резултат на обмен на три некриптирани съобщения (т.нар. агресивен режим, Агресивен режим) или шест съобщения, с обмен на криптирана идентификационна информация (стандартен режим, Основен режим).

В основния режим е възможно да се договорят всички конфигурационни параметри на устройствата изпращач и получател, докато в агресивния режим това не е възможно и някои параметри (група Diffie-Hellman, алгоритми за криптиране и удостоверяване, PFS) трябва да бъдат предварително зададени -конфигуриран по един и същи начин на всяко устройство. В този режим обаче както броят на обмените, така и броят на изпратените пакети са по-малко, което води до по-малко време за установяване на IPSec сесия.

Ориз. 6.15.Съобщения в стандартен (a) и агресивен (b) режими

Ако приемем, че операцията е приключила успешно, се създава SA за първа фаза − Фаза 1 SA(също наричан IKESA) и процесът преминава към втората фаза.

Във втората стъпка се генерират ключовите данни, възлите се съгласяват относно политиката, която да се използва. Този режим, наричан още Бърз режим, се различава от Фаза 1 по това, че може да бъде установен само след Фаза 1, когато всички пакети от Фаза 2 са криптирани. Правилното завършване на втората фаза води до появата Фаза 2 SAили IPSecSAи на това инсталирането на тунела се счита за завършено.

Първо, пакет пристига до възела с адрес на местоназначение в друга мрежа и възелът инициира първата фаза с възела, който отговаря за другата мрежа. Да кажем, че тунелът между възлите е успешно установен и чака пакети. Възлите обаче трябва да се идентифицират повторно и да сравняват политиките след определен период от време. Този период се нарича жизнен цикъл на Phase One или живот на IKE SA.

Възлите също трябва да променят ключа за криптиране на данни след период от време, наречен Phase Two или IPSec SA lifetime.

Животът на фаза две е по-кратък от първата фаза, защото ключът трябва да се сменя по-често. Трябва да зададете едни и същи параметри на живота и за двата възела. Ако не направите това, тогава е възможно първоначално тунелът да бъде установен успешно, но след първия непоследователен период на живот връзката да бъде прекъсната. Проблеми могат да възникнат и когато животът на първата фаза е по-малък от този на втората фаза. Ако предварително конфигурираният тунел спре да работи, тогава първото нещо, което трябва да проверите, е продължителността на живота на двата възела.

Трябва също да се отбележи, че ако промените политиката на един от възлите, промените ще влязат в сила само при следващото начало на първата фаза. За да влязат в сила промените незабавно, трябва да премахнете SA за този тунел от базата данни на SAD. Това ще наложи преразглеждане на споразумението между възлите с новите настройки на правилата за сигурност.

Понякога, когато се настройва IPSec тунел между оборудване от различни производители, има трудности, свързани с координирането на параметрите по време на установяването на първата фаза. Трябва да обърнете внимание на такъв параметър като Local ID - това е уникален идентификатор за крайната точка на тунела (подател и получател). Това е особено важно при създаване на множество тунели и използване на протокола NAT Traversal.

Мъртъввръстникоткриване

По време на работа на VPN, ако няма трафик между крайните точки на тунела или ако първоначалните данни на отдалечения хост се променят (например промяна на динамично присвоения IP адрес), може да възникне ситуация, когато тунелът по същество вече не е такъв , превръщайки се, така да се каже, в призрачен тунел. За да се поддържа постоянна готовност за обмен на данни в създадения IPSec тунел, механизмът IKE (описан в RFC 3706) ви позволява да контролирате наличието на трафик от отдалечения възел на тунела и ако той отсъства за определено време, изпраща се поздравително съобщение (в защитните стени D-Link изпраща съобщение "DPD-R-U-THERE"). Ако няма отговор на това съобщение в рамките на определено време, в защитните стени на D-Link, зададени от настройките „DPD Expire Time“, тунелът се демонтира. Защитните стени на D-Link след това, като използвате настройките "DPD Keep Time" ( ориз. 6.18) автоматично се опитват да възстановят тунела.

протоколNATОбхождане

IPsec трафикът може да бъде маршрутизиран според същите правила като другите IP протоколи, но тъй като рутерът не винаги може да извлече информация, специфична за протоколите на транспортния слой, за IPsec е невъзможно да премине през NAT шлюзове. Както бе споменато по-рано, за да реши този проблем, IETF дефинира начин за капсулиране на ESP в UDP, наречен NAT-T (NAT Traversal).

Протоколът NAT Traversal капсулира IPSec трафика и същевременно създава UDP пакети, които NAT препраща правилно. За да направи това, NAT-T поставя допълнителен UDP хедър преди IPSec пакета, така че да се третира като нормален UDP пакет в цялата мрежа и хостът получател да не извършва никакви проверки за цялост. След като пакетът пристигне на местоназначението си, UDP хедърът се премахва и пакетът с данни продължава по пътя си като капсулиран IPSec пакет. По този начин, използвайки механизма NAT-T, е възможно да се установи комуникация между IPSec клиенти в защитени мрежи и публични IPSec хостове чрез защитни стени.

Има две точки, които трябва да имате предвид, когато конфигурирате защитни стени на D-Link на приемащото устройство:

    в полетата Remote Network и Remote Endpoint посочете мрежата и IP адреса на отдалеченото изпращащо устройство. Необходимо е да се разреши транслирането на IP адреса на инициатора (изпращача) чрез NAT технология (Фигура 3.48).

    Когато използвате споделени ключове с множество тунели, свързани към една и съща отдалечена защитна стена, които са били NATted към един и същ адрес, е важно да се гарантира, че локалният идентификатор е уникален за всеки тунел.

Местен документ за самоличностможе да бъде едно от:

    Автоматичен– IP адресът на интерфейса за изходящ трафик се използва като локален идентификатор.

    IP– IP адрес на WAN порта на отдалечената защитна стена

    DNS– DNS адрес

    Виртуалните частни мрежи (VPN) получават много внимание като доставчици мрежови услугии интернет доставчици, и корпоративни потребители. Infonetics Research прогнозира, че пазарът на VPN ще расте с повече от 100% годишно до 2003 г. и ще достигне 12 милиарда долара.

    Преди да ви разкажа за популярността на VPN, нека ви напомня, че само частните (корпоративни) мрежи за данни се изграждат, като правило, с помощта на наети (специализирани) комуникационни канали на обществени комутируеми телефонни мрежи. В продължение на много години тези частни мрежи са проектирани с оглед на специфични корпоративни изисквания, което води до патентовани протоколи, които поддържат патентовани приложения (обаче, Frame Relay и ATM протоколите наскоро придобиха популярност). Специализираните канали осигуряват надеждна защита конфиденциална информацияобратната страна на монетата обаче е високата цена на работа и трудността при разширяване на мрежата, да не говорим за възможността мобилен потребител да се свърже с нея в непредвидена точка. В същото време съвременният бизнес се характеризира със значителна разпръснатост и мобилност на работната сила. Все повече и повече потребители се нуждаят от достъп до корпоративна информация чрез комутируеми канали, а броят на служителите, работещи от вкъщи, също се увеличава.

    Освен това, частните мрежи не са в състояние да осигурят същите бизнес възможности, които интернет и IP-базираните приложения предоставят, като промоция на продукти, поддръжка на клиенти или текуща комуникация с доставчици. Това онлайн взаимодействие изисква взаимно свързване на частни мрежи, които обикновено използват различни протоколи и приложения, различни системи за управление на мрежата и различни доставчици на комуникационни услуги.

    По този начин високата цена, статичността и трудностите, които възникват, когато е необходимо да се комбинират частни мрежи, базирани на различни технологии, са в противоречие с динамично развиващия се бизнес, желанието му за децентрализация и тенденцията напоследък към сливания.

    В същото време, паралелно, съществуват обществени мрежи за предаване на данни, лишени от тези недостатъци и Интернет, който буквално обгърна цялото земно кълбо със своята „мрежа“. Вярно, те са лишени от най-важното предимство на частните мрежи - надеждна защитакорпоративна информация. Технологията за виртуална частна мрежа съчетава гъвкавостта, скалируемостта, ниската цена и наличността на Интернет и публичните мрежи буквално „по всяко време навсякъде“ със сигурността на частните мрежи. В основата си VPN мрежите са частни мрежи, които използват глобални мрежи публичен достъп(Интернет, Frame Relay, ATM). Виртуалността се проявява във факта, че за корпоративен потребител те изглеждат като специализирани частни мрежи.

    СЪВМЕСТИМОСТ

    Проблеми със съвместимостта не възникват, ако VPN директно използват Frame Relay и ATM услуги, тъй като те са доста добре адаптирани за работа в многопротоколна среда и са подходящи както за IP, така и за не-IP приложения. Всичко, което се изисква в този случай, е наличието на подходяща мрежова инфраструктура, покриваща необходимата географска област. Най-често използваните устройства за достъп са Frame Relay Access Devices или рутери с Frame Relay и ATM интерфейси. Множество постоянни или комутирани виртуални вериги могат да работят (виртуално) с произволна комбинация от протоколи и топологии. Въпросът става по-сложен, ако VPN се базира на интернет. В този случай се изисква приложенията да са съвместими с IP протокола. При условие, че това изискване е изпълнено, можете да използвате интернет „какъвто е“, за да изградите VPN, като предварително сте осигурили необходимото ниво на сигурност. Но тъй като повечето частни мрежи са многопротоколни или използват неофициални вътрешни IP адреси, те не могат директно да се свържат с интернет без подходяща адаптация. Има много решения за съвместимост. Най-популярните са следните:
    - конвертиране на съществуващи протоколи (IPX, NetBEUI, AppleTalk или други) в IP протокол с официален адрес;
    - преобразуване на вътрешни IP адреси в официални IP адреси;
    — инсталиране на специални IP-шлюзове на сървъри;
    — използване на виртуално IP-маршрутизиране;
    — използване на универсална техника за тунелиране.
    Първият начин е ясен, така че нека да разгледаме накратко останалите.
    Преобразуването на вътрешни IP адреси в официални е необходимо, когато частната мрежа е базирана на IP протокола. Не е необходимо преобразуване на адреси за цялата корпоративна мрежа, тъй като официалните IP адреси могат да съществуват заедно с вътрешните на комутаторите и рутерите в корпоративната мрежа. С други думи, сървърът с официалния IP адрес все още е достъпен за клиента на частната мрежа чрез локалната инфраструктура. Най-често използваната техника е разделянето на малък блок от официални адреси от много потребители. Подобно е на разделянето на модемен пул по това, че също разчита на предположението, че не всички потребители се нуждаят от достъп до интернет едновременно. Тук има два индустриални стандарта: протокол за динамична конфигурация на хост (DHCP) и излъчване мрежови адреси(Network Address Translation - NAT), чиито подходи се различават леко. DHCP „дава под наем“ адрес на хост за време, определено от мрежовия администратор, докато NAT преобразува вътрешен IP адрес в официален динамично, за продължителността на комуникационна сесия с
    Интернет.

    Друг начин да направите частна мрежа съвместима с интернет е да инсталирате IP шлюз. Шлюзът преобразува не-IP протоколи в IP протоколи и обратно. Повечето мрежови операционни системи, които използват естествени протоколи, имат софтуер за IP шлюз.

    Същността на виртуалното IP маршрутизиране е да разшири частните таблици за маршрутизиране и адресното пространство до инфраструктурата (рутери и комутатори) на ISP. Виртуалният IP рутер е логическа част от физически IP рутер, притежаван и управляван от доставчик на услуги. Всеки виртуален рутер обслужва определена група потребители.
    Въпреки това, може би най по най-добрия начиноперативната съвместимост може да се постигне с помощта на техники за тунелиране. Тези техники се използват дълго време за предаване на многопротоколен пакетен поток през обща опорна мрежа. Тази доказана технология в момента е оптимизирана за интернет базирани VPN.
    Основните компоненти на тунела са:
    — тунелен инициатор;
    — маршрутизирана мрежа;
    - тунелен превключвател (опция);
    — един или повече тунелни крайници.
    Тунелирането трябва да се извърши в двата края на връзката от край до край. Тунелът трябва да започва с инициатор на тунел и да завършва с терминатор на тунел. Инициализирането и прекратяването на тунелни операции може да се извърши от различни мрежови устройства и софтуер. Например, тунелът може да бъде иницииран от компютър на отдалечен потребител, който има инсталиран модем и необходим софтуер за VPN, рутер за преден край в корпоративен клон или концентратор за мрежов достъп при доставчик на услуги.

    За предаване през интернет на пакети, различни от IP мрежови протоколи, те са капсулирани в IP пакети от страната на източника. Най-често използваният метод за създаване на VPN тунели е да се капсулира не-IP пакет в PPP (протокол от точка до точка) пакет и след това да се капсулира в IP пакет. Нека ви напомня, че PPP протоколът се използва за връзка от точка до точка, например за комуникация клиент-сървър. Процесът на IP капсулиране включва добавяне на стандартен IP хедър към оригиналния пакет, който след това се третира като полезна информация. Съответният процес в другия край на тунела премахва IP хедъра, оставяйки оригиналния пакет непроменен. Тъй като технологията за тунелиране е доста проста, тя е и най-достъпна по отношение на разходите.

    БЕЗОПАСНОСТ

    Осигуряването на необходимото ниво на сигурност често е основното съображение, когато една корпорация обмисля използването на интернет базирани VPN. Много ИТ мениджъри са свикнали с присъщата поверителност на частните мрежи и гледат на Интернет като на твърде „обществен“, за да бъде използван като частна мрежа. Ако използвате английската терминология, тогава има три "P", изпълнението на които заедно осигурява пълна защита на информацията. Това:
    Защита - защита на ресурсите с помощта на защитни стени (защитна стена);
    Доказателство - проверка на идентичността (целостта) на пакета и удостоверяване на подателя (потвърждение на правото на достъп);
    Поверителност - защита на поверителна информация чрез криптиране.
    И трите P са еднакво важни за всяка корпоративна мрежа, включително VPN. В строго частни мрежи, за да защитите ресурсите и поверителността на информацията, е достатъчно да използвате доста прости пароли. Но след като частна мрежа е свързана с публична, нито едно от трите P не може да осигури необходимата защита. Следователно за всяка VPN трябва да се инсталират защитни стени във всички точки на нейното взаимодействие с публичната мрежа, а пакетите трябва да бъдат криптирани и удостоверени.

    Защитните стени са съществен компонент във всяка VPN. Те позволяват само разрешен трафик за доверени потребители и блокират всичко останало. С други думи, всички опити за достъп от неизвестни или ненадеждни потребители се пресичат. Тази форма на защита трябва да бъде осигурена за всеки сайт и потребител, тъй като липсата никъде означава липса навсякъде. Специални протоколи се използват за гарантиране на сигурността на виртуалните частни мрежи. Тези протоколи позволяват на хостовете да "договарят" техниката за криптиране и цифров подпис, която да се използва, като по този начин поддържат поверителността и целостта на данните и удостоверяват потребителя.

    Microsoft Point-to-Point Encryption Protocol (MPPE) криптира PPP пакети на клиентската машина, преди да бъдат изпратени към тунела. Сесията за криптиране се инициализира по време на установяване на комуникация с терминатора на тунела, използвайки протокола
    ПЧП.

    Защитените IP протоколи (IPSec) са поредица от предварителни стандарти, разработвани от Internet Engineering Task Force (IETF). Групата предложи два протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP). AH протокол добавя цифров подписзаглавка, която удостоверява потребителя и гарантира целостта на данните, като следи всички промени в транзита. Този протокол защитава само данните, оставяйки адресната част на IP пакета непроменена. ESP протоколът, от друга страна, може да криптира или целия пакет (тунелен режим), или само данните (транспортен режим). Тези протоколи се използват както отделно, така и в комбинация.

    За управление на сигурността се използва индустриалният стандарт RADIUS (Remote Authentication Dial-In User Service), който е база данни от потребителски профили, които съдържат пароли (удостоверяване) и права за достъп (упълномощаване).

    Функциите за сигурност далеч не се ограничават до дадените примери. Много производители на рутери и защитни стени предлагат свои собствени решения. Сред тях са Ascend, CheckPoint и Cisco.

    НАЛИЧНОСТ

    Наличността включва три еднакво важни компонента: времето за предоставяне на услугата, пропускателна способности време на забавяне. Времето за предоставяне на услугата е предмет на договора с доставчика на услугата, а другите два компонента са свързани с елементите на качеството на услугата (Quality of Service – QoS). Съвременни технологиитранспорт ви позволява да изградите VPN, който отговаря на изискванията на почти всички съществуващи приложения.

    УПРАВЛЯЕМОСТ

    Мрежовите администратори винаги искат да могат да извършват управление от край до край на корпоративната мрежа, включително частта, която се отнася до телекомуникационната компания. Оказва се, че VPN предоставят повече възможности в това отношение от обикновените частни мрежи. Типичните частни мрежи се администрират "от граница до граница", т.е. доставчикът на услуги управлява мрежата до предните рутери на корпоративната мрежа, докато абонатът управлява самата корпоративна мрежа до устройствата за достъп до WAN. VPN технологията избягва този вид разделение на "сфери на влияние", осигурявайки както доставчика, така и абоната единна системауправление на мрежата като цяло, както нейната корпоративна част, така и мрежовата инфраструктура на публичната мрежа. Мрежовият администратор на предприятието има способността да наблюдава и преконфигурира мрежата, да управлява устройствата за преден достъп и да определя състоянието на мрежата в реално време.

    VPN АРХИТЕКТУРА

    Има три модела на архитектура на виртуална частна мрежа: зависим, независим и хибриден като комбинация от първите две алтернативи. Принадлежността към определен модел се определя от това къде са изпълнени четирите основни изисквания за VPN. Ако глобален доставчик на мрежови услуги предоставя цялостно VPN решение, т.е. осигурява тунелиране, сигурност, производителност и управление, прави архитектурата зависима от него. В този случай всички VPN процеси са прозрачни за потребителя и той вижда само собствения си трафик - IP, IPX или NetBEUI пакети. Предимството на зависимата архитектура за абоната е, че той може да използва съществуващата мрежова инфраструктура „както е“, като добави само защитна стена между VPN и частната мрежа.
    WAN/LAN.

    Независимата архитектура се прилага, когато организацията предоставя всичко технологични изискванияна своето оборудване, като делегира само транспортни функции на доставчика на услугата. Тази архитектура е по-скъпа, но дава на потребителя пълен контрол върху всички операции.

    Хибридната архитектура включва зависими и независими от организацията (съответно от доставчика на услуги) сайтове.

    Какви са обещанията на VPN за корпоративните потребители? На първо място, според индустриални анализатори, това е намаляване на разходите за всички видове телекомуникации от 30 до 80%. Освен това това е почти повсеместен достъп до мрежите на корпорация или други организации; това е осъществяване на защитени комуникации с доставчици и клиенти; това е подобрена и подобрена услуга, която не е достъпна в PSTN мрежи, и много повече. Специалистите виждат VPN като ново поколение мрежова комуникация и много анализатори смятат, че VPN скоро ще замени повечето частни мрежи, базирани на наети линии.

    От година на година електронна комуникациясе усъвършенства и се поставят все по-високи изисквания към обмена на информация за скоростта, сигурността и качеството на обработката на данните.

    И тук ще разгледаме по-подробно vpn връзката: какво представлява, за какво е vpn тунелът и как да използвате vpn връзка.

    Този материал е вид уводна дума към поредица от статии, в които ще ви кажем как да създадете vpn на различни операционни системи.

    vpn връзка какво е това?

    И така, виртуална частна мрежа vpn е технология, която осигурява сигурна (затворена от външен достъп) връзка на логическа мрежа през частна или публична при наличие на високоскоростен интернет.

    Такива мрежова връзкакомпютри (географски отдалечени един от друг на значително разстояние) използва връзка от точка до точка (с други думи, "компютър към компютър").

    Научно този метод на свързване се нарича vpn тунел (или тунелен протокол). Можете да се свържете с такъв тунел, ако имате компютър с която и да е операционна система, която има интегриран VPN клиент, който може да „пренасочва“ виртуални портове, използвайки TCP / IP протокола към друга мрежа.

    За какво е vpn?

    Основното предимство на vpn е, че преговарящите се нуждаят от платформа за свързване, която не само се мащабира бързо, но също така (основно) осигурява поверителност на данните, цялост на данните и удостоверяване.

    Диаграмата ясно показва използването на vpn мрежи.

    Предварително правилата за свързване по защитен канал трябва да бъдат записани на сървъра и рутера.

    как работи vpn

    Когато възникне vpn връзка, информацията за IP адреса на VPN сървъра и отдалечения маршрут се предава в заглавката на съобщението.

    Капсулирани данни, преминаващи през общ или обществена мрежа, не може да бъде прихваната, тъй като цялата информация е криптирана.

    Етапът на VPN криптиране се изпълнява от страна на подателя, а данните на получателя се дешифрират от заглавката на съобщението (ако има общ ключ за криптиране).

    След като съобщението бъде правилно декриптирано, се установява vpn връзка между двете мрежи, което също ви позволява да работите в публична мрежа (например обмен на данни с клиент 93.88.190.5).

    Относно информационна сигурност, тогава Интернет е изключително несигурна мрежа, а VPN мрежа с OpenVPN, L2TP / IPSec, PPTP, PPPoE протоколи е напълно сигурен и защитен начин за пренос на данни.

    За какво е vpn канал?

    използва се vpn тунелиране:

    В рамките на корпоративната мрежа;

    Да обединим отдалечени офиси, както и малки клонове;

    Да обслужва цифрова телефония с широк набор от телекомуникационни услуги;

    За достъп до външни ИТ ресурси;

    Да изгради и реализира видеоконферентна връзка.

    Защо ви трябва vpn?

    vpn връзката е необходима за:

    Анонимна работа в Интернет;

    Изтегляне на приложения, в случай че ip адресът се намира в друга регионална зона на страната;

    Безопасна работа в корпоративна среда с използване на комуникации;

    Простота и удобство при настройка на връзката;

    Осигуряване на високоскоростна връзка без прекъсвания;

    Създаване на защитен канал без хакерски атаки.

    Как да използвам vpn?

    Примерите за това как работи vpn са безкрайни. Така че, на всеки компютър в корпоративната мрежа, когато инсталирате защитен vpn връзкиможете да използвате пощата, за да проверявате съобщения, да публикувате материали от всяка точка на страната или да изтегляте файлове от торент мрежи.

    Vpn: какво има в телефона?

    Достъпът чрез vpn на вашия телефон (iPhone или друго устройство с Android) ви позволява да останете анонимни, когато използвате интернет на обществени места, както и да предотвратите прихващане на трафик и хакване на устройства.

    VPN клиент, инсталиран на всяка операционна система, ви позволява да заобиколите много настройки и правила на доставчика (ако той е задал някакви ограничения).

    Кой vpn да избера за телефона?

    Мобилните телефони и смартфони с Android могат да използват приложения от Google Play market:

    • - vpnRoot, droidVPN,
    • - tor браузър за сърфиране в мрежи, известен още като orbot
    • - InBrowser, orfox (firefox+tor),
    • - SuperVPN Безплатен VPNклиент
    • - Отворете VPN Connect
    • - Tunnel Bear VPN
    • - Hideman VPN

    Повечето от тези програми служат за удобство на "гореща" конфигурация на системата, поставяне на преки пътища за стартиране, анонимно сърфиране в Интернет и избор на типа криптиране на връзката.

    Но основните задачи при използването на VPN по телефона са проверка на корпоративната поща, създаване на видеоконференции с няколко участници, както и провеждане на срещи извън организацията (например, когато служител е в командировка).

    Какво е vpn на iphone?

    Помислете кой vpn да изберете и как да го свържете към iPhone по-подробно.

    В зависимост от типа мрежа, която поддържа, първия път, когато стартирате VPN конфигурация на iphone, можете да изберете следните протоколи: L2TP, PPTP и Cisco IPSec(в допълнение, можете да „направите“ vpn връзка с помощта на приложения на трети страни).

    Всички тези протоколи поддържат ключове за криптиране, идентификация на потребителя с парола и сертифициране.

    Между допълнителни функциикогато настройвате VPN профил на iPhone, можете да отбележите: RSA сигурност, ниво на криптиране и правила за оторизация за свързване към сървъра.

    За телефон iphone от appstore store трябва да изберете:

    • - безплатно приложение Tunnelbear, с който можете да се свържете с VPN сървъри във всяка държава.
    • - OpenVPN връзката е един от най-добрите VPN клиенти. Тук, за да стартирате приложението, първо трябва да импортирате rsa-ключове през itunes в телефона си.
    • - Cloak е shareware приложение, тъй като известно време продуктът може да се "използва" безплатно, но за да използвате програмата след изтичане на демо периода, ще трябва да я закупите.

    Създаване на VPN: избор и конфигуриране на оборудване

    За корпоративна комуникация в големи организации или консолидиране на офиси, отдалечени един от друг, те използват хардуерно оборудване, което може да поддържа непрекъсната, сигурна работа в мрежа.

    За внедряване на vpn технологии, следното може да действа като мрежов шлюз: Unix сървъри, windows сървър, мрежов рутер и мрежов шлюз, на който се повдига VPN.

    Сървърът или устройството, използвано за създаване на vpn мрежа на предприятие или vpn канал между отдалечени офиси, трябва да изпълнява сложни технически задачи и да предоставя пълен набор от услуги на потребителите както на работни станции, така и на мобилни устройства.

    Всеки рутер или vpn рутер трябва да осигурява надеждна мрежова работа без „замръзване“. А вградената vpn функция ви позволява да промените мрежовата конфигурация за работа у дома, в организация или отдалечен офис.

    vpn настройка на рутера

    В общия случай конфигурацията на VPN на рутера се извършва чрез уеб интерфейса на рутера. На „класическите“ устройства за организиране на vpn трябва да отидете в секцията „настройки“ или „мрежови настройки“, където избирате секцията VPN, посочвате типа на протокола, въвеждате настройките на подмрежовия адрес, маските и определяте обхвата на ip адреси за потребителите.

    Освен това, за сигурността на връзката, ще трябва да посочите алгоритми за кодиране, методи за удостоверяване, да генерирате ключове за преговори и да посочите DNS сървъриПЕЧЕЛИ. В параметрите "Gateway" трябва да посочите ip-адреса на шлюза (вашия ip) и да попълните данните за всички мрежови адаптери.

    Ако в мрежата има няколко рутера, е необходимо да попълните vpn маршрутизиращата таблица за всички устройства в VPN тунела.

    Ето списък на хардуерното оборудване, използвано при изграждането на VPN мрежи:

    Dlink рутери: DIR-320, DIR-620, DSR-1000 с нов фърмуер или рутер D-Link DI808HV.

    Рутери Cisco PIX 501, Cisco 871-SEC-K9

    Linksys Rv082 рутер, поддържащ около 50 VPN тунела

    Netgear рутер DG834G и модели рутери FVS318G, FVS318N, FVS336G, SRX5308

    Рутер Mikrotik с OpenVPN функция. Пример RouterBoard RB/2011L-IN Mikrotik

    Vpn оборудване RVPN S-Terra или VPN Gate

    Рутери ASUS RT-N66U, RT-N16 и RT N-10

    Рутери ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

    Виртуална частна мрежа

    Най-често за създаване виртуална мрежаизползва се капсулиране на PPP протокола в друг протокол - Ethernet (доставчици на "последната миля" за осигуряване на достъп до Интернет.

    С правилното ниво на изпълнение и използването на специален софтуер VPN може да осигури високо нивокриптиране на предаваната информация. При правилна настройкавсички компоненти VPN технологияосигурява анонимност в мрежата.

    VPN структура

    VPN се състои от две части: "вътрешна" (контролирана) мрежа, от които може да има няколко, и "външна" мрежа, през която минава капсулираната връзка (обикновено се използва Интернет). Също така е възможно да свържете един компютър към виртуална мрежа. Отдалечен потребител е свързан към VPN чрез сървър за достъп, който е свързан както към вътрешната, така и към външната (публична) мрежа. Когато свързвате отдалечен потребител (или когато установявате връзка с друга защитена мрежа), сървърът за достъп изисква да премине процесът на идентификация и след това процесът на удостоверяване. След успешно завършване на двата процеса, отдалеченият потребител ( отдалечена мрежа) е упълномощен да работи в мрежата, т.е. протича процесът на оторизация.

    VPN класификация

    VPN класификация

    VPN решенията могат да бъдат класифицирани според няколко основни параметъра:

    По вид на използваната среда

    • Защитен

    Най-често срещаната версия на виртуални частни мрежи. С негова помощ е възможно да се създаде надеждна и сигурна подмрежа, базирана на ненадеждна мрежа, обикновено Интернет. Примери за защитени VPN са: IPSec, PPTP.

    • Доверие

    Те се използват в случаите, когато предавателната среда може да се счита за надеждна и е необходимо само да се реши проблемът със създаването на виртуална подмрежа в по-голяма мрежа. Проблемите със сигурността стават без значение. Примери за такива VPN решения са: Превключване на многопротоколни етикети (L2TP (Layer 2 Tunneling Protocol). (по-точно, тези протоколи прехвърлят задачата за сигурност към други, например L2TP обикновено се използва заедно с IPSec).

    По начин на изпълнение

    • Под формата на специален софтуер и хардуер

    Внедряването на VPN мрежата се осъществява с помощта на специален набор от софтуер и хардуер. Тази реализация осигурява висока производителност и, като правило, висока степенсигурност.

    • Като софтуерно решение

    Те използват персонален компютър със специален софтуер, който осигурява VPN функционалност.

    • Интегрирано решение

    Функционалността на VPN се осигурява от комплекс, който също решава задачи за филтриране мрежов трафик, организиране на защитна стена и осигуряване на качеството на услугата.

    С уговорка

    Те се използват за комбиниране на няколко разпределени клона на една организация в една защитена мрежа, обменяща данни чрез отворени комуникационни канали.

    • VPN за отдалечен достъп

    Използва се за създаване на защитен канал между корпоративния мрежов сегмент (централен офис или клон) и отделен потребител, който, докато работи у дома, се свързва с корпоративни ресурсис домашен компютър, корпоративен лаптоп, смартфон или интернет павилион.

    • Екстранет VPN

    Използва се за мрежи, към които се свързват „външни“ потребители (например клиенти или клиенти). Нивото на доверие в тях е много по-ниско, отколкото в служителите на компанията, поради което е необходимо да се осигурят специални „граници“ на защита, които предотвратяват или ограничават достъпа на последните до особено ценна, поверителна информация.

    • Интернет VPN

    Използва се за осигуряване на достъп до интернет от доставчици.

    • Клиент/сървър VPN

    Той гарантира защитата на предаваните данни между два възела (не мрежи) на корпоративна мрежа. Особеността на тази опция е, че VPN се изгражда между възли, които обикновено се намират в един и същ мрежов сегмент, например между работна станцияи сървър. Такава нужда много често възниква в случаите, когато е необходимо да се създадат няколко логически мрежи. Например, когато е необходимо да се раздели трафика между финансовия отдел и отдела за човешки ресурси, достъп до сървъри, разположени в същия физически сегмент. Тази опция е подобна на VLAN технологията, но вместо да разделя трафика, тя е криптирана.

    По вид на протокола

    Има реализации на виртуални частни мрежи под TCP/IP, IPX и AppleTalk. Но днес има тенденция към общ преход към TCP / IP протокола и по-голямата част от VPN решенията го поддържат.

    На ниво мрежов протокол

    По слой на мрежовия протокол, въз основа на картографиране към слоевете на мрежовия референтен модел ISO/OSI.

    Примери за VPN

    Много големи доставчици предлагат своите VPN услуги за бизнес клиенти.

    Литература

    • Иванов М. А. Криптографски методизащита на информацията в компютърни системии мрежи. - М.: КУДИЦ-ОБРАЗ, 2001. - 368 с.
    • Кулгин М. Технологии на корпоративните мрежи. Енциклопедия. - Санкт Петербург: Питър, 2000. - 704 с.
    • Олифер В. Г., Олифер Н. А. Компютърни мрежи. Принципи, технологии, протоколи: Учебник за ВУЗ. - Санкт Петербург: Питър, 2001. - 672 с.
    • Романец Ю. В., Тимофеев П. А., Шангин В. Ф. Защита на информацията в компютърни системи и мрежи. 2-ро изд. - М: Радио и комуникация, 2002. -328 с.
    • Сталингс В.Основи на мрежовата защита. Приложения и стандарти = Основи за мрежова сигурност. Приложения и стандарти. - М.: "Уилямс", 2002. - С. 432. - ISBN 0-13-016093-8
    • Продукти за виртуална частна мрежа [ Електронен документ] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
    • Анита Карве Реал виртуални възможности//LAN. - 1999.- № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
    • Отговорът на Linux на MS-PPTP [Електронен документ] / Питър Гутман. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
    • Джоел Снайдер VPN: споделен пазар // Мрежи. - 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
    • VPN Primer [Електронен документ] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
    • PKI или PGP? [Електронен документ] / Наталия Сергеева. - http://www.citforum.ru/security/cryptography/pki_pgp/
    • IPSec - протокол за защита на мрежовия трафик на ниво IP [Електронен документ] / Станислав Коротигин. - http://www.ixbt.com/comm/ipsecure.shtml
    • Често задавани въпроси за OpenVPN [Електронен документ] - http://openvpn.net/faq.html
    • Цел и структура на алгоритмите за криптиране [Електронен документ] / Панасенко Сергей. - http://www.ixbt.com/soft/alg-encryption.shtml
    • За съвременната криптография [Електронен документ] / В. М. Сиделников. - http://www.citforum.ru/security/cryptography/crypto/
    • Въведение в криптографията / Изд. В. В. Ященко. - М.: МЦНМО, 2000. - 288 от http://www.citforum.ru/security/cryptography/yaschenko/
    • Капаните на сигурността в криптографията [Електронен документ] / Брус Шнайер. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
    • IPSec: панацея или принудителна мярка? [Електронен документ] / Евгений Патий. - http://citforum.ru/security/articles/ipsec_standard/
    • VPN и IPSec на една ръка разстояние [Електронен документ] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
    • Рамка за IP базирани виртуални частни мрежи [Електронен документ] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
    • OpenVPN и SSL VPN революцията [Електронен документ] / Чарли Хоснър. - http://www.sans.org/rr/whitepapers/vpns/1459.php
    • Markus Feilner Ново поколение виртуални частни мрежи // LAN.- 2005.- No. 11
    • Какво е SSL [Електронен документ] / Максим Дрогайцев. - http://www.ods.com.ua/win/rus/security/ssl.html
    • Криптоанализ на разширенията за удостоверяване на PPTP на Microsoft (MS-CHAPv2) [Електронен документ] / Брус Шнайер. - http://www.schneier.com/paper-pptpv2.html
    • Технически спецификации на протокола за тунелиране от точка до точка (PPTP) [Електронен документ] / Кори Хамзех, Гурдип Сингх Пал, Уилям Вертейн, Джеф Тааруд, У. Андрю Литъл. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
    • Райън Норман Избор на VPN протокол // Windows IT Pro. - 2001. - № 7 http://www.osp.ru/win2000/2001/07/010.htm
    • MPLS: нов ред в IP мрежите? [Електронен документ] / Том Ноле. - http://www.emanual.ru/get/3651/
    • Layer Two Tunneling Protocol "L2TP" [Електронен документ] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
    • Алексей Лукацки Unknown VPN // Computer Press.- 2001. - № 10 http://abn.ru/inf/compress/network4.shtml
    • Първата тухла в стената Общ преглед на VPN VPN устройства от начално ниво [Електронен документ] / Валерий Лукин. - http://www.ixbt.com/comm/vpn1.shtml
    • Преглед на VPN хардуера [Електронен документ] - http://www.networkaccess.ru/articles/security/vpn_hardware/
    • Чистите хардуерни VPN управляват тестове за висока наличност [Електронен документ] / Джоел Снайдер, Крис Елиът. - http://www.networkworld.com/reviews/2000/1211rev.html
    • VPN: Тип VPN [Електронен документ] - http://www.vpn-guide.com/type_of_vpn.htm
    • Често задавани въпроси за KAME [Електронен документ] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
    • Характеристики на руския VPN пазар [Електронен документ] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
    • Домашни средства за изграждане на виртуални частни мрежи [?] / И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицин, С. Селезнев, Д. Шепеляви
    • Сергей Петренко Сигурна виртуална частна мрежа: модерен поглед върху защитата на поверителни данни // Интернет свят. - 2001. - № 2

    Виртуалната частна мрежа е виртуална частна мрежа, която се използва за осигуряване на сигурна свързаност в рамките на корпоративни връзки и достъп до Интернет. Основното предимство на VPN е високата сигурност поради криптирането на вътрешния трафик, което е важно при прехвърляне на данни.

    Какво е VPN връзка

    Много хора, когато се сблъскат с това съкращение, питат: VPN - какво е това и защо е необходимо? Тази технологияотваря възможност за създаване на мрежова връзка върху друга. VPN работи в няколко режима:

    • възел-мрежа;
    • мрежа-мрежа;
    • възел-възел.

    Организацията на частна виртуална мрежа на мрежови нива позволява използването на TCP и UDP протоколи. Всички данни, които преминават през компютрите, са криптирани. Това е допълнителна защита за вашата връзка. Има много примери, които обясняват какво е VPN връзка и защо трябва да я използвате. По-долу ще бъде описано подробно този въпрос.

    Защо имате нужда от VPN

    Всеки доставчик може да предостави, при поискване от съответните органи, регистрационни файлове на потребителските дейности. Вашата интернет компания записва всички дейности, които сте извършили в мрежата. Това спомага за освобождаването на доставчика от всякаква отговорност за действията, извършени от клиента. Има много ситуации, в които трябва да защитите данните си и да спечелите свобода, например:

    1. VPN услугата се използва за изпращане на поверителни фирмени данни между клоновете. Това помага за защита важна информацияот прихващане.
    2. Ако трябва да заобиколите обвързването на услугата по географски район. Например услугата Yandex Music е достъпна само за жители на Русия и жители на бившите страни от ОНД. Ако сте рускоговорящ жител на Съединените щати, тогава няма да можете да слушате записите. VPN услугата ще ви помогне да заобиколите тази забрана, като замените мрежовия адрес с руски.
    3. Скрийте посещенията на сайта от доставчика. Не всеки човек е готов да споделя своите дейности в Интернет, така че ще защити посещенията си с помощта на VPN.

    Как работи VPN

    Когато използвате друг VPN канал, вашият IP ще принадлежи на държавата, в която се намира тази защитена мрежа. Когато се свържете, ще бъде създаден тунел между VPN сървъра и вашия компютър. След това в дневниците (записите) на доставчика ще има набор неразбираеми знаци. Анализ на данни специална програманяма да даде резултат. Ако не използвате тази технология, тогава HTTP протоколът веднага ще покаже към кой сайт се свързвате.

    VPN структура

    Тази връзка се състои от две части. Първата се нарича "вътрешна" мрежа, можете да създадете няколко от тях. Вторият е „външният“, чрез който се осъществява капсулираната връзка, като правило се използва Интернет. Също така е възможно да свържете един компютър към мрежата. Потребителят е свързан към конкретна VPN чрез сървър за достъп, свързан едновременно към външната и вътрешната мрежа.

    Когато VPN програма свързва отдалечен потребител, сървърът изисква да премине през два важни процеса: първо идентификация, след това удостоверяване. Това е необходимо, за да получите права за използване на тази връзка. Ако сте преминали успешно тези два етапа, вашата мрежа е овластена, което отваря възможност за работа. По същество това е процесът на оторизация.

    VPN класификация

    Има няколко вида виртуални частни мрежи. Има опции за степен на сигурност, начин на изпълнение, ниво на работа по ISO/OSI модел, включен протокол. Можете да използвате платен достъп или безплатна VPN услуга от Google. В зависимост от степента на сигурност, каналите могат да бъдат „сигурни“ или „доверени“. Последните са необходими, ако самата връзка има желаното ниво на защита. За да организирате първия вариант, трябва да използвате следните технологии:

    • PPTP
    • OpenVPN;
    • IPSec.

    Как да създадете VPN сървър

    За всички потребители на компютри има начин сами да свържат VPN. По-долу има опция за операционна система Windows. Това ръководство не предвижда използването на допълнителен софтуер. Настройката се извършва по следния начин:

    1. За да направите нова връзка, трябва да отворите панела за преглед достъп до мрежата. Започнете да въвеждате в търсенето думите „Мрежови връзки“.
    2. Натиснете бутона "Alt", щракнете върху секцията "Файл" в менюто и изберете "Нова входяща връзка".
    3. След това задайте потребителя, на когото ще бъде предоставена VPN връзка с този компютър (ако имате само един Сметкана компютър, трябва да създадете парола за него). Инсталирайте птицата и щракнете върху "Напред".
    4. След това ще бъдете подканени да изберете типа връзка, можете да оставите отметка пред „Интернет“.
    5. Следващата стъпка е да активирате мрежови протоколи, които ще работят на тази VPN. Поставете отметки във всички квадратчета с изключение на второто. По желание можете да зададете конкретни IP, DNS шлюзове и портове в IPv4, но е по-лесно да оставите автоматичното присвояване.
    6. Когато щракнете върху бутона "Разрешаване на достъп", операционната система ще създаде сървъра сама, ще покаже прозорец с името на компютъра. Ще ви трябва, за да се свържете.
    7. Това завършва създаването на домашен VPN сървър.

    Как да настроите VPN на Android

    Методът, описан по-горе, беше как да създадете VPN връзка на персонален компютър. Мнозина обаче отдавна извършват всички действия с помощта на телефона. Ако не знаете какво е VPN на Android, тогава всички факти по-горе този видвръзките са валидни и за смартфон. Конфигурацията на съвременните устройства осигурява удобно използване на интернет с висока скорост. В някои случаи (за стартиране на игри, отваряне на сайтове) те използват заместване на прокси или анонимизатори, но за стабилни и бързи VPN връзкипасва по-добре.

    Ако вече разбирате какво е VPN на телефон, тогава можете да преминете директно към създаването на тунел. Можете да направите това на всяко устройство с Android. Връзката се осъществява по следния начин:

    1. Отидете в секцията с настройки, щракнете върху секцията „Мрежа“.
    2. Потърсете елемент, наречен " Допълнителни настройки" и отидете в секцията "VPN". След това ще ви е необходим пин код или парола, които отключват възможността за създаване на мрежа.
    3. Следващата стъпка е да добавите VPN връзка. Посочете името в полето "Сървър", името в полето "потребителско име", задайте типа връзка. Докоснете бутона „Запазване“.
    4. След това в списъка ще се появи нова връзка, която можете да използвате, за да промените стандартната си връзка.
    5. На екрана ще се появи икона, която показва, че връзката е налична. Ако го докоснете, ще ви бъде предоставена статистика за получените / предадените данни. Можете също да деактивирате VPN връзката тук.

    Видео: Безплатна VPN услуга



Зареждане...
Връх