Das Internet wird zunehmend als Kommunikationsmittel zwischen Computern verwendet, da es eine effiziente und kostengünstige Kommunikation bietet. Das Internet ist jedoch ein öffentliches Netzwerk, und um eine sichere Kommunikation darüber zu gewährleisten, ist ein Mechanismus erforderlich, der mindestens die folgenden Aufgaben erfüllt:
Vertraulichkeit von Informationen;
Datenintegrität;
Verfügbarkeit von Informationen;
Diese Anforderungen werden durch einen Mechanismus namens VPN (Virtual Private Network – virtuelles privates Netzwerk) erfüllt – ein verallgemeinerter Name für Technologien, mit denen Sie eine oder mehrere Netzwerkverbindungen (logisches Netzwerk) über ein anderes Netzwerk (z. B. das Internet) mithilfe von Kryptografie bereitstellen können Tools (Verschlüsselung, Authentifizierung, öffentliche Infrastrukturschlüssel, Mittel zum Schutz vor Wiederholung und Änderung von Nachrichten, die über das logische Netzwerk übertragen werden).
Die Erstellung eines VPN erfordert keine zusätzlichen Investitionen und ermöglicht es Ihnen, die Verwendung von Standleitungen einzustellen. Abhängig von den verwendeten Protokollen und dem Zweck kann ein VPN drei Arten von Verbindungen bereitstellen: Host-Host, Host-Netzwerk und Netzwerk-Netzwerk.
Stellen wir uns zur Verdeutlichung folgendes Beispiel vor: Ein Unternehmen hat mehrere räumlich entfernte Niederlassungen und „mobile“ Mitarbeiter, die zu Hause oder unterwegs arbeiten. Es ist notwendig, alle Mitarbeiter des Unternehmens in einem einzigen Netzwerk zu vereinen. Am einfachsten ist es, Modems in jede Filiale zu stellen und die Kommunikation nach Bedarf zu organisieren. Eine solche Lösung ist jedoch nicht immer bequem und rentabel - manchmal benötigen Sie eine ständige Verbindung und eine große Bandbreite. Dazu müssen Sie entweder eine Standleitung zwischen den Zweigen verlegen oder diese mieten. Beide sind recht teuer. Und hier können Sie beim Aufbau eines einzigen sicheren Netzwerks alternativ VPN-Verbindungen aller Unternehmenszweige über das Internet nutzen und VPN-Tools auf Netzwerkhosts konfigurieren.
Reis. 6.4. Site-to-Site-VPN-Verbindung
Reis. 6.5. VPN-Host-zu-Netzwerk-Verbindung
In diesem Fall werden viele Probleme gelöst - Niederlassungen können sich überall auf der Welt befinden.
Die Gefahr besteht hier erstens darin, offenes Netzwerk verfügbar für Angriffe von Eindringlingen auf der ganzen Welt. Zweitens werden alle Daten im Klartext über das Internet übertragen, und Angreifer, die das Netzwerk gehackt haben, werden alle Informationen über das Netzwerk übertragen haben. Und drittens können Daten während der Übertragung durch das Netz nicht nur abgefangen, sondern auch ersetzt werden. Ein Angreifer kann beispielsweise die Integrität von Datenbanken kompromittieren, indem er im Namen der Clients einer der vertrauenswürdigen Zweige handelt.
Um dies zu verhindern, verwenden VPN-Lösungen Tools wie Datenverschlüsselung, um Integrität und Vertraulichkeit zu gewährleisten, Authentifizierung und Autorisierung, um Benutzerrechte zu überprüfen und den Zugriff auf ein virtuelles privates Netzwerk zu ermöglichen.
Eine VPN-Verbindung besteht immer aus einer Punkt-zu-Punkt-Verbindung, auch Tunnel genannt. Der Tunnel wird in einem unsicheren Netzwerk erstellt, das meistens das Internet ist.
Tunneling oder Kapselung ist eine Möglichkeit, nützliche Informationen über ein zwischengeschaltetes Netzwerk zu übertragen. Solche Informationen können Frames (oder Pakete) eines anderen Protokolls sein. Bei der Kapselung wird der Frame nicht so übertragen, wie er vom sendenden Host generiert wurde, sondern mit einem zusätzlichen Header versehen, der Routing-Informationen enthält, die es den eingekapselten Paketen ermöglichen, das zwischengeschaltete Netzwerk (Internet) zu passieren. Am Ende des Tunnels werden die Frames entkapselt und an den Empfänger übertragen. Typischerweise wird ein Tunnel von zwei Edge-Geräten erstellt, die sich an Eintrittspunkten zum öffentlichen Netzwerk befinden. Einer der offensichtlichen Vorteile des Tunnelings besteht darin, dass Sie mit dieser Technologie das gesamte Originalpaket verschlüsseln können, einschließlich des Headers, der Daten enthalten kann, die Informationen enthalten, die Angreifer zum Hacken des Netzwerks verwenden (z. B. IP-Adressen, Anzahl der Subnetze usw.). ) .
Obwohl ein VPN-Tunnel zwischen zwei Punkten aufgebaut wird, kann jeder Host weitere Tunnel mit anderen Hosts aufbauen. Wenn beispielsweise drei entfernte Stationen dasselbe Büro kontaktieren müssen, werden drei separate VPN-Tunnel zu diesem Büro erstellt. Für alle Tunnel kann der Knoten auf der Büroseite derselbe sein. Dies ist möglich, da der Knoten Daten für das gesamte Netzwerk verschlüsseln und entschlüsseln kann, wie in der Abbildung gezeigt:
Reis. 6.6. Erstellen Sie VPN-Tunnel für mehrere entfernte Standorte
Der Benutzer stellt eine Verbindung zum VPN-Gateway her, wonach der Benutzer Zugriff auf das interne Netzwerk hat.
Innerhalb eines privaten Netzwerks findet keine Verschlüsselung selbst statt. Der Grund dafür ist, dass dieser Teil des Netzwerks im Gegensatz zum Internet als sicher und unter direkter Kontrolle gilt. Dies gilt auch für die Verbindung von Büros über VPN-Gateways. Somit ist die Verschlüsselung nur für Informationen garantiert, die über einen unsicheren Kanal zwischen Büros übertragen werden.
Da sind viele verschiedene Lösungen zum Aufbau virtueller privater Netzwerke. Die bekanntesten und am weitesten verbreiteten Protokolle sind:
PPTP (Point-to-Point Tunneling Protocol) – dieses Protokoll ist aufgrund seiner Integration in Microsoft-Betriebssysteme sehr beliebt geworden.
L2TP (Layer-2 Tunneling Protocol) – kombiniert das L2F-Protokoll (Layer 2 Forwarding) und das PPTP-Protokoll. Wird normalerweise in Verbindung mit IPSec verwendet.
IPSec (Internet Protocol Security) ist ein offizieller Internetstandard, der von der IETF-Community (Internet Engineering Task Force) entwickelt wurde.
Die aufgeführten Protokolle werden von D-Link-Geräten unterstützt.
Das PPTP-Protokoll ist hauptsächlich für virtuelle private Netzwerke gedacht, die auf Wählverbindungen basieren. Mit dem Protokoll können Sie den Fernzugriff organisieren, sodass Benutzer DFÜ-Verbindungen mit Internetanbietern herstellen und einen sicheren Tunnel zu ihren Unternehmensnetzwerken erstellen können. Im Gegensatz zu IPSec war das PPTP-Protokoll ursprünglich nicht dazu gedacht, Tunnel zwischen lokalen Netzwerken zu organisieren. PPTP erweitert die Fähigkeiten von PPP, einem Datenverbindungsprotokoll, das ursprünglich entwickelt wurde, um Daten zu kapseln und sie über Punkt-zu-Punkt-Verbindungen bereitzustellen.
Mit dem PPTP-Protokoll können Sie sichere Kanäle für den Datenaustausch mit verschiedenen Protokollen erstellen - IP, IPX, NetBEUI usw. Die Daten dieser Protokolle werden in PPP-Frames verpackt und mit dem PPTP-Protokoll in IP-Protokollpakete eingekapselt. Sie werden dann mit IP in verschlüsselter Form über ein beliebiges TCP/IP-Netzwerk transportiert. Der empfangende Knoten extrahiert die PPP-Rahmen aus den IP-Paketen und verarbeitet sie dann auf die übliche Weise, d. h. extrahiert ein IP-, IPX- oder NetBEUI-Paket aus einem PPP-Frame und sendet es über das lokale Netzwerk. Somit erstellt das PPTP-Protokoll eine Punkt-zu-Punkt-Verbindung im Netzwerk und überträgt Daten über den erstellten sicheren Kanal. Der Hauptvorteil von Kapselungsprotokollen wie PPTP ist ihre Multiprotokollnatur. Diese. Der Datenschutz auf der Sicherungsschicht ist für Protokolle der Netzwerk- und Anwendungsschicht transparent. Daher kann innerhalb des Netzwerks sowohl das IP-Protokoll (wie bei einem IPSec-basierten VPN) als auch jedes andere Protokoll als Transport verwendet werden.
Gegenwärtig wird das PPTP-Protokoll aufgrund der einfachen Implementierung weithin verwendet, sowohl um einen zuverlässigen sicheren Zugriff auf ein Unternehmensnetzwerk zu erhalten als auch um auf ISP-Netzwerke zuzugreifen, wenn ein Client eine PPTP-Verbindung mit einem ISP aufbauen muss, um auf das Internet zuzugreifen.
Das in PPTP verwendete Verschlüsselungsverfahren wird auf der PPP-Schicht spezifiziert. Normalerweise ist das der PPP-Client Desktop-Computer mit dem Microsoft-Betriebssystem, und als Verschlüsselungsprotokoll wird das Microsoft Point-to-Point Encryption (MPPE)-Protokoll verwendet. Dieses Protokoll basiert auf dem RSA-RC4-Standard und unterstützt 40- oder 128-Bit-Verschlüsselung. Für viele Anwendungen dieser Verschlüsselungsstufe ist die Verwendung dieses Algorithmus ausreichend, obwohl er als weniger sicher gilt als eine Reihe anderer von IPSec angebotener Verschlüsselungsalgorithmen, insbesondere der 168-Bit-Triple-Data-Verschlüsselungsstandard (3DES).
Wie die Verbindung aufgebaut wirdPPTP?
PPTP kapselt IP-Pakete für die Übertragung über ein IP-Netzwerk. PPTP-Clients erstellen eine Tunnelsteuerungsverbindung, die die Verbindung aufrechterhält. Dieser Prozess wird auf der Transportschicht des OSI-Modells durchgeführt. Nachdem der Tunnel erstellt wurde, beginnen der Clientcomputer und der Server mit dem Austausch von Dienstpaketen.
Zusätzlich zur PPTP-Steuerverbindung wird eine Verbindung erstellt, um Daten über den Tunnel zu senden. Das Einkapseln von Daten vor dem Senden an den Tunnel umfasst zwei Schritte. Zuerst wird der Informationsteil des PPP-Rahmens erstellt. Daten fließen von oben nach unten, von der OSI-Anwendungsschicht zur Verbindungsschicht. Die empfangenen Daten werden dann über das OSI-Modell nach oben gesendet und durch Protokolle der oberen Schicht eingekapselt.
Daten von der Verbindungsschicht erreichen die Transportschicht. Allerdings können die Informationen nicht an ihr Ziel gesendet werden, da dafür die OSI-Verbindungsschicht zuständig ist. Daher verschlüsselt PPTP das Payload-Feld des Pakets und übernimmt die Funktionen der zweiten Ebene, die normalerweise zu PPP gehören, d. h. fügt dem PPTP-Paket einen PPP-Header (Header) und eine Endung (Trailer) hinzu. Damit ist die Erstellung des Verbindungsschichtrahmens abgeschlossen. Als Nächstes kapselt PPTP den PPP-Frame in ein GRE-Paket (Generic Routing Encapsulation), das zur Netzwerkschicht gehört. GRE kapselt Netzwerkschichtprotokolle wie IP, IPX, damit sie über IP-Netzwerke transportiert werden können. Die alleinige Verwendung des GRE-Protokolls gewährleistet jedoch keinen Sitzungsaufbau und keine Datensicherheit. Dies nutzt die Fähigkeit von PPTP, eine Tunnelsteuerungsverbindung herzustellen. Die Verwendung von GRE als Kapselungsmethode begrenzt den Anwendungsbereich von PPTP nur auf IP-Netzwerke.
Nachdem der PPP-Frame in einen Frame mit einem GRE-Header eingekapselt wurde, wird er in einen Frame mit einem IP-Header eingekapselt. Der IP-Header enthält die Absender- und Empfängeradresse des Pakets. Schließlich fügt PPTP einen PPP-Header und eine Endung hinzu.
An Reis. 6.7 zeigt die Datenstruktur für die Weiterleitung über einen PPTP-Tunnel:
Reis. 6.7. Datenstruktur für die Weiterleitung über einen PPTP-Tunnel
Die Einrichtung eines VPN auf Basis von PPTP erfordert keine großen Kosten und komplexe Einstellungen: Es reicht aus, einen PPTP-Server in der Zentrale zu installieren (PPTP-Lösungen gibt es sowohl für Windows- als auch für Linux-Plattformen) und die erforderlichen Einstellungen auf Client-Computern vorzunehmen. Wenn Sie mehrere Niederlassungen zusammenfassen müssen, verwenden Sie anstelle der Einrichtung von PPTP auf allen Client-Stationen besser einen Internet-Router oder eine Firewall mit PPTP-Unterstützung: Einstellungen werden nur an einem mit dem Internet verbundenen Grenzrouter (Firewall) vorgenommen. alles ist absolut transparent für die Benutzer. Beispiele für solche Geräte sind multifunktionale DIR/DSR-Internet-Router und Firewalls der DFL-Serie.
GR-Tunnel
Generic Routing Encapsulation (GRE) ist ein Netzwerkpaket-Kapselungsprotokoll, das Traffic-Tunneling durch Netzwerke ohne Verschlüsselung ermöglicht. Beispiele für die Verwendung von GRE:
Übertragung von Datenverkehr (einschließlich Broadcast) über Geräte, die ein bestimmtes Protokoll nicht unterstützen;
Tunneln von IPv6-Verkehr durch ein IPv4-Netzwerk;
Datenübertragung über öffentliche Netze zur Realisierung einer sicheren VPN-Verbindung.
Reis. 6.8. Ein Beispiel für einen GRE-Tunnel
Zwischen zwei Routern A und B ( Reis. 6.8) mehrere Router vorhanden sind, ermöglicht Ihnen der GRE-Tunnel, eine Verbindung zwischen den lokalen Netzwerken 192.168.1.0/24 und 192.168.3.0/24 herzustellen, als ob die Router A und B direkt verbunden wären.
L2 TP
Das L2TP-Protokoll entstand als Ergebnis der Fusion der PPTP- und L2F-Protokolle. Der Hauptvorteil des L2TP-Protokolls besteht darin, dass Sie damit einen Tunnel nicht nur in IP-Netzwerken, sondern auch in ATM-, X.25- und Frame-Relay-Netzwerken erstellen können. L2TP verwendet UDP als Transportmittel und verwendet dasselbe Nachrichtenformat sowohl für die Tunnelverwaltung als auch für die Datenweiterleitung.
Wie im Fall von PPTP beginnt L2TP damit, ein Paket für die Übertragung an den Tunnel zusammenzustellen, indem es zuerst den PPP-Header und dann den L2TP-Header zum PPP-Informationsdatenfeld hinzufügt. Das so empfangene Paket wird von UDP gekapselt. Je nach Art der gewählten IPSec-Sicherheitsrichtlinie kann L2TP UDP-Nachrichten verschlüsseln und einen Encapsulating Security Payload (ESP)-Header und -Endung sowie eine IPSec-Authentifizierungsendung hinzufügen (siehe Abschnitt „L2TP über IPSec“). Dann wird es in IP gekapselt. Ein IP-Header wird hinzugefügt, der die Absender- und Empfängeradressen enthält. Schließlich führt L2TP eine zweite PPP-Kapselung durch, um die Daten für die Übertragung vorzubereiten. An Reis. 6.9 zeigt die Datenstruktur, die über einen L2TP-Tunnel gesendet werden soll.
Reis. 6.9. Datenstruktur für die Weiterleitung über einen L2TP-Tunnel
Der empfangende Computer empfängt die Daten, verarbeitet den PPP-Header und die Endung und entfernt den IP-Header. Die IPSec-Authentifizierung authentifiziert das IP-Informationsfeld, und der IPSec-ESP-Header hilft beim Entschlüsseln des Pakets.
Der Computer verarbeitet dann den UDP-Header und verwendet den L2TP-Header, um den Tunnel zu identifizieren. Das PPP-Paket enthält jetzt nur noch die Nutzdaten, die verarbeitet oder an den angegebenen Empfänger weitergeleitet werden.
IPsec (kurz für IP Security) ist eine Reihe von Protokollen zum Sichern von Daten, die über das IP-Internetprotokoll übertragen werden und die Authentifizierung und/oder Verschlüsselung von IP-Paketen ermöglichen. IPsec umfasst auch Protokolle für den sicheren Schlüsselaustausch im Internet.
IPSec-Sicherheit wird durch zusätzliche Protokolle erreicht, die dem IP-Paket ihre eigenen Header hinzufügen – Kapselung. Weil IPSec ist ein Internetstandard, dann gibt es dafür RFC-Dokumente:
RFC 2401 (Security Architecture for the Internet Protocol) ist die Sicherheitsarchitektur für das IP-Protokoll.
RFC 2402 (IP-Authentifizierungsheader) – IP-Authentifizierungsheader.
RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) – Verwendung des SHA-1-Hash-Algorithmus zur Erstellung eines Authentifizierungs-Headers.
RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – Verwendung des DES-Verschlüsselungsalgorithmus.
RFC 2406 (IP Encapsulating Security Payload (ESP)) – Datenverschlüsselung.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) ist der Geltungsbereich des Schlüsselverwaltungsprotokolls.
RFC 2408 ( Internet sicherheit Association and Key Management Protocol (ISAKMP) - Verwaltung von Schlüsseln und Authentifikatoren sicherer Verbindungen.
RFC 2409 (The Internet Key Exchange (IKE)) - Schlüsselaustausch.
RFC 2410 (Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec) – Der NULL-Verschlüsselungsalgorithmus und seine Verwendung.
RFC 2411 (IP Security Document Roadmap) ist eine Weiterentwicklung des Standards.
RFC 2412 (The OAKLEY Key Determination Protocol) – Überprüfung der Authentizität eines Schlüssels.
IPsec ist ein integraler Bestandteil des Internetprotokolls IPv6 und eine optionale Erweiterung der IPv4-Version des Internetprotokolls.
Der IPSec-Mechanismus führt die folgenden Aufgaben aus:
Authentifizierung von Benutzern oder Computern während der Initialisierung des sicheren Kanals;
Verschlüsselung und Authentifizierung von Daten, die zwischen Endpunkten eines sicheren Kanals übertragen werden;
automatische Versorgung von Kanalendpunkten mit geheimen Schlüsseln, die für den Betrieb von Authentifizierungs- und Datenverschlüsselungsprotokollen erforderlich sind.
IPSec-Komponenten
Das AH-Protokoll (Authentication Header) ist ein Header-Identifizierungsprotokoll. Stellt die Integrität sicher, indem überprüft wird, dass während der Übertragung keine Bits im geschützten Teil des Pakets geändert wurden. Die Verwendung von AH kann jedoch Probleme verursachen, beispielsweise wenn ein Paket ein NAT-Gerät passiert. NAT ändert die IP-Adresse des Pakets, um den Internetzugang von einem geschlossenen Server aus zu ermöglichen Lokale Adresse. Weil In diesem Fall ändert sich das Paket, dann wird die AH-Prüfsumme falsch (um dieses Problem zu beseitigen, wurde das NAT-Traversal (NAT-T)-Protokoll entwickelt, das ESP-Übertragung über UDP bereitstellt und bei seiner Arbeit den UDP-Port 4500 verwendet). Es ist auch erwähnenswert, dass AH nur für Integrität entwickelt wurde. Es garantiert keine Vertraulichkeit durch Verschlüsselung des Paketinhalts.
Das ESP-Protokoll (Encapsulation Security Payload) bietet nicht nur die Integrität und Authentifizierung der übertragenen Daten, sondern auch die Datenverschlüsselung sowie den Schutz vor Paket-Spoofing.
Das ESP-Protokoll ist ein einkapselndes Sicherheitsprotokoll, das sowohl Integrität als auch Vertraulichkeit bietet. Im Transportmodus befindet sich der ESP-Header zwischen dem ursprünglichen IP-Header und dem TCP- oder UDP-Header. Im Tunnelmodus wird der ESP-Header zwischen dem neuen IP-Header und dem vollständig verschlüsselten ursprünglichen IP-Paket platziert.
Weil Beide Protokolle - AH und ESP - fügen ihre eigenen IP-Header hinzu, jedes von ihnen hat seine eigene Protokollnummer (ID), anhand der Sie bestimmen können, was auf den IP-Header folgt. Jedes Protokoll hat laut IANA (Internet Assigned Numbers Authority - die für den Adressraum des Internets zuständige Organisation) eine eigene Nummer (ID). Beispielsweise ist diese Zahl für TCP 6 und für UDP 17. Daher ist es sehr wichtig, beim Arbeiten durch eine Firewall Filter so zu konfigurieren, dass Pakete mit der ID AH und/oder ESP des Protokolls durchgelassen werden.
Die Protokoll-ID 51 wird gesetzt, um anzuzeigen, dass AH im IP-Header vorhanden ist, und 50 für ESP.
AUFMERKSAMKEIT: Die Protokoll-ID stimmt nicht mit der Portnummer überein.
Das IKE-Protokoll (Internet Key Exchange) ist ein Standard-IPsec-Protokoll, das zum Sichern der Kommunikation in virtuellen privaten Netzwerken verwendet wird. Der Zweck von IKE ist die sichere Aushandlung und Lieferung von identifiziertem Material an eine Sicherheitsvereinigung (SA).
SA ist der IPSec-Begriff für eine Verbindung. Eine eingerichtete SA (ein sicherer Kanal, der als "sichere Zuordnung" oder "Sicherheitszuordnung" bezeichnet wird - Security Association, SA) enthält einen gemeinsamen geheimen Schlüssel und einen Satz kryptografischer Algorithmen.
Das IKE-Protokoll erfüllt drei Hauptaufgaben:
bietet ein Mittel zur Authentifizierung zwischen zwei VPN-Endpunkten;
richtet neue IPSec-Links ein (erstellt ein SA-Paar);
verwaltet bestehende Beziehungen.
IKE verwendet die UDP-Portnummer 500. Bei Verwendung der NAT-Traversal-Funktion verwendet das IKE-Protokoll, wie bereits erwähnt, die UDP-Portnummer 4500.
Der Datenaustausch in IKE erfolgt in 2 Phasen. In der ersten Phase wird die SA-IKE-Assoziation aufgebaut. Gleichzeitig werden die Endpunkte des Kanals authentifiziert und Datenschutzparameter wie Verschlüsselungsalgorithmus, Sitzungsschlüssel usw. ausgewählt.
In der zweiten Phase wird SA IKE für die Protokollaushandlung verwendet (normalerweise IPSec).
Bei einem konfigurierten VPN-Tunnel wird für jedes verwendete Protokoll ein SA-Paar erstellt. SAs werden paarweise erstellt, als Jede SA ist eine unidirektionale Verbindung, und Daten müssen in zwei Richtungen gesendet werden. Die empfangenen SA-Paare werden auf jedem Knoten gespeichert.
Da jeder Knoten mehrere Tunnel mit anderen Knoten aufbauen kann, hat jede SA eine eindeutige Nummer, um zu identifizieren, zu welchem Knoten sie gehört. Diese Zahl wird SPI (Security Parameter Index) oder Security Parameter Index genannt.
SA in einer Datenbank gespeichert (DB) TRAURIG(Datenbank der Sicherheitsvereinigung).
Jeder IPSec-Knoten hat auch eine zweite DB − SPD(Sicherheitsrichtliniendatenbank) – Sicherheitsrichtliniendatenbank. Es enthält die konfigurierte Hostrichtlinie. Bei den meisten VPN-Lösungen können Sie mehrere Richtlinien mit Kombinationen geeigneter Algorithmen für jeden Host erstellen, zu dem Sie eine Verbindung herstellen möchten.
Die Flexibilität von IPSec liegt darin, dass es für jede Aufgabe mehrere Möglichkeiten gibt, sie zu lösen, und die für eine Aufgabe gewählten Methoden normalerweise unabhängig von den Methoden zur Implementierung anderer Aufgaben sind. Die IETF-Arbeitsgruppe hat jedoch einen Kernsatz unterstützter Funktionen und Algorithmen definiert, die in allen IPSec-fähigen Produkten auf die gleiche Weise implementiert werden müssen. Die AH- und ESP-Mechanismen können mit verschiedenen Authentifizierungs- und Verschlüsselungsschemata verwendet werden, von denen einige obligatorisch sind. Beispielsweise gibt IPSec an, dass Pakete entweder mit der MD5-Einwegfunktion oder der SHA-1-Einwegfunktion authentifiziert werden und die Verschlüsselung mit dem DES-Algorithmus erfolgt. Hersteller von Produkten, die IPSec ausführen, können andere Authentifizierungs- und Verschlüsselungsalgorithmen hinzufügen. Einige Produkte unterstützen beispielsweise Verschlüsselungsalgorithmen wie 3DES, Blowfish, Cast, RC5 usw.
Jeder symmetrische Verschlüsselungsalgorithmus, der geheime Schlüssel verwendet, kann zum Verschlüsseln von Daten in IPSec verwendet werden.
Stream-Protection-Protokolle (AH und ESP) können in zwei Modi betrieben werden - in Transportmodus und in Tunnelmodus. Beim Betrieb im Transportmodus befasst sich IPsec nur mit Informationen der Transportschicht; nur das Datenfeld des Pakets, das die TCP/UDP-Protokolle enthält, wird verschlüsselt (der Header des IP-Pakets wird nicht geändert (nicht verschlüsselt)). Der Transportmodus wird normalerweise verwendet, um eine Verbindung zwischen Hosts herzustellen.
Der Tunneling-Modus verschlüsselt das gesamte IP-Paket, einschließlich des Netzwerkschicht-Headers. Damit es über das Netzwerk übertragen werden kann, wird es in einem anderen IP-Paket platziert. Im Wesentlichen ist dies ein sicherer IP-Tunnel. Der Tunnelmodus kann verwendet werden, um entfernte Computer mit einem virtuellen privaten Netzwerk (Verbindungsschema „Host-Netzwerk“) zu verbinden oder um eine sichere Datenübertragung über offene Kommunikationskanäle (z. B. das Internet) zwischen Gateways zu organisieren, um verschiedene Teile eines virtuellen Privaten zu kombinieren Netzwerk ("Netzwerkverbindungsschema"). -net").
IPsec-Modi schließen sich nicht gegenseitig aus. Auf demselben Host können einige SAs den Transportmodus verwenden, während andere den Tunnelmodus verwenden können.
Während der Authentifizierungsphase wird die ICV-Prüfsumme (Integrity Check Value) des Pakets berechnet. Dies setzt voraus, dass beide Knoten den geheimen Schlüssel kennen, wodurch der Empfänger den ICV berechnen und mit dem vom Sender gesendeten Ergebnis vergleichen kann. Wenn der ICV-Vergleich erfolgreich ist, gilt der Absender des Pakets als authentifiziert.
Im Modus TransportAH
das gesamte IP-Paket, mit Ausnahme einiger Felder im IP-Header, die während der Übertragung geändert werden können. Diese Felder, deren Werte für die ICV-Berechnung 0 sind, können Teil des Dienstes (Type of Service, TOS), Flags, Fragment-Offset, Time to Live (TTL) sowie ein Prüfsummen-Header sein;
alle Felder in AH;
Nutzlast von IP-Paketen.
AH im Transportmodus schützt den IP-Header (mit Ausnahme von Feldern, die geändert werden dürfen) und die Nutzlast im ursprünglichen IP-Paket (Abbildung 3.39).
Im Tunnelmodus wird das ursprüngliche Paket in ein neues IP-Paket platziert, und die Datenübertragung wird basierend auf dem Header des neuen IP-Pakets durchgeführt.
Für TunnelmodusAH Bei der Durchführung einer Berechnung gehen folgende Bestandteile in die ICV-Prüfsumme ein:
alle Felder im äußeren IP-Header, mit Ausnahme einiger Felder im IP-Header, die während der Übertragung geändert werden können. Diese Felder, deren Werte für die ICV-Berechnung 0 sind, können Teil des Dienstes (Type of Service, TOS), Flags, Fragment-Offset, Time to Live (TTL) sowie ein Prüfsummen-Header sein;
alle Felder AH;
ursprüngliches IP-Paket.
Wie Sie in der folgenden Abbildung sehen können, schützt der AH-Tunnelmodus das gesamte Quell-IP-Paket mit einem zusätzlichen äußeren Header, den der AH-Transportmodus nicht verwendet:
Reis. 6.10. Tunnel- und Transportbetriebsarten des AN-Protokolls
Im Modus TransportESP authentifiziert nicht das gesamte Paket, sondern schützt nur die IP-Nutzdaten. Der ESP-Header im ESP-Transportmodus wird dem IP-Paket unmittelbar nach dem IP-Header hinzugefügt, und die ESP-Endung (ESP-Trailer) wird entsprechend nach den Daten hinzugefügt.
Der ESP-Transportmodus verschlüsselt die folgenden Teile des Pakets:
IP-Nutzlast;
Ein Verschlüsselungsalgorithmus, der den Verschlüsselungsmodus Cipher Block Chaining (CBC) verwendet, hat ein unverschlüsseltes Feld zwischen dem ESP-Header und der Nutzlast. Dieses Feld wird IV (Initialisierungsvektor) für die CBC-Berechnung genannt, die auf dem Empfänger durchgeführt wird. Da dieses Feld verwendet wird, um den Entschlüsselungsprozess zu starten, kann es nicht verschlüsselt werden. Obwohl der Angreifer die Möglichkeit hat, die IV anzuzeigen, gibt es keine Möglichkeit, den verschlüsselten Teil des Pakets ohne den Verschlüsselungsschlüssel zu entschlüsseln. Um zu verhindern, dass Angreifer den Initialisierungsvektor ändern, wird er durch die ICV-Prüfsumme geschützt. ICV führt in diesem Fall folgende Berechnungen durch:
alle Felder im ESP-Header;
Nutzdaten einschließlich Klartext IV;
alle Felder im ESP-Trailer mit Ausnahme des Authentifizierungsdatenfelds.
Der ESP-Tunnelmodus kapselt das gesamte ursprüngliche IP-Paket in einen neuen IP-Header, einen ESP-Header und einen ESP-Trailer. Um anzuzeigen, dass ESP im IP-Header vorhanden ist, wird die IP-Protokollkennung auf 50 gesetzt, wobei der ursprüngliche IP-Header und die Nutzlast unverändert bleiben. Wie beim AH-Tunnelmodus basiert der äußere IP-Header auf der IPSec-Tunnelkonfiguration. Im Fall der Verwendung des ESP-Tunnelmodus zeigt der Authentifizierungsbereich des IP-Pakets, wo die Signatur erstellt wurde, wodurch ihre Integrität und Authentizität bestätigt wird, und der verschlüsselte Teil zeigt, dass die Informationen geschützt und vertraulich sind. Der ursprüngliche Header wird nach dem ESP-Header platziert. Nachdem der verschlüsselte Teil in einen neuen unverschlüsselten Tunnelheader eingekapselt wurde, wird das IP-Paket übertragen. Wenn ein solches Paket über ein öffentliches Netzwerk gesendet wird, wird es an die IP-Adresse des Gateways des empfangenden Netzwerks weitergeleitet, und das Gateway entschlüsselt das Paket und verwirft den ESP-Header unter Verwendung des ursprünglichen IP-Headers, um das Paket dann an einen Computer weiterzuleiten, der sich auf befindet das interne Netzwerk. Der ESP-Tunnelmodus verschlüsselt die folgenden Teile des Pakets:
Für den ESP-Tunnelmodus wird ICV wie folgt berechnet:
alle Felder im ESP-Header;
das ursprüngliche IP-Paket, einschließlich des Klartext-IV;
alle ESP-Header-Felder mit Ausnahme des Authentifizierungsdatenfelds.
ursprüngliches IP-Paket;
Reis. 6.11. Tunnel- und Transportmodus des ESP-Protokolls
Reis. 6.12. Vergleich von ESP- und AH-Protokollen
Zusammenfassung der AnwendungsmodiIPSec:
Protokoll - ESP (AH).
Modus - Tunnel (Transport).
Schlüsselaustauschmethode - IKE (manuell).
IKE-Modus - Haupt (aggressiv).
DH-Schlüssel – Gruppe 5 (Gruppe 2, Gruppe 1) – Gruppennummer zur Auswahl dynamisch erstellter Sitzungsschlüssel, Gruppenlänge.
Authentifizierung - SHA1 (SHA, MD5).
Verschlüsselung - DES (3DES, Blowfish, AES).
Beim Erstellen einer Richtlinie ist es normalerweise möglich, eine geordnete Liste von Algorithmen und Diffie-Hellman-Gruppen zu erstellen. Diffie-Hellman (DH) ist ein Verschlüsselungsprotokoll, das verwendet wird, um gemeinsam genutzte geheime Schlüssel für IKE, IPSec und PFS (Perfect Forward Secrecy) einzurichten. In diesem Fall wird die erste Position verwendet, die auf beiden Knoten übereinstimmt. Es ist sehr wichtig, dass alles in der Sicherheitsrichtlinie es Ihnen ermöglicht, diese Übereinstimmung zu erreichen. Wenn alles andere mit Ausnahme eines Teils der Richtlinie übereinstimmt, können Hosts immer noch keine VPN-Verbindung herstellen. Beim Aufbau eines VPN-Tunnels zwischen verschiedene Systeme Sie müssen herausfinden, welche Algorithmen von jeder Seite unterstützt werden, damit Sie die sicherste aller möglichen Richtlinien auswählen können.
Die wichtigsten Einstellungen, die die Sicherheitsrichtlinie enthält:
Symmetrische Algorithmen zur Datenverschlüsselung/-entschlüsselung.
Kryptographische Prüfsummen zur Überprüfung der Datenintegrität.
Knotenidentifikationsmethode. Die gebräuchlichsten Methoden sind Pre-Shared Secrets oder CA-Zertifikate.
Ob der Tunnelmodus oder der Transportmodus verwendet werden soll.
Welche Diffie-Hellman-Gruppe soll verwendet werden (DH-Gruppe 1 (768 Bit); DH-Gruppe 2 (1024 Bit); DH-Gruppe 5 (1536 Bit)).
Ob AH, ESP oder beides verwendet werden soll.
Ob PFS verwendet werden soll.
Eine Einschränkung von IPSec besteht darin, dass es nur die Datenübertragung auf der IP-Protokollschicht unterstützt.
Es gibt zwei Hauptschemata für die Verwendung von IPSec, die sich in der Rolle der Knoten unterscheiden, die den sicheren Kanal bilden.
Im ersten Schema wird ein sicherer Kanal zwischen den Endhosts des Netzwerks gebildet. In diesem Schema schützt das IPSec-Protokoll den laufenden Host:
Reis. 6.13. Erstellen Sie einen sicheren Kanal zwischen zwei Endpunkten
Im zweiten Schema wird ein sicherer Kanal zwischen zwei Security Gateways aufgebaut. Diese Gateways empfangen Daten von Endhosts, die mit Netzwerken hinter den Gateways verbunden sind. Die Endhosts unterstützen in diesem Fall das IPSec-Protokoll nicht, der an das öffentliche Netzwerk gerichtete Datenverkehr wird durch das Sicherheitsgateway geleitet, das den Schutz in seinem eigenen Namen durchführt.
Reis. 6.14. Erstellen eines sicheren Kanals zwischen zwei Gateways
Für Hosts, die IPSec unterstützen, können sowohl der Transportmodus als auch der Tunnelmodus verwendet werden. Für Gateways ist nur der Tunnelmodus erlaubt.
Installation und SupportVPN
Wie oben erwähnt, ist die Installation und Wartung eines VPN-Tunnels ein zweistufiger Prozess. In der ersten Stufe (Phase) einigen sich die beiden Knoten auf ein Identifikationsverfahren, einen Verschlüsselungsalgorithmus, einen Hash-Algorithmus und eine Diffie-Hellman-Gruppe. Sie identifizieren sich auch gegenseitig. All dies kann durch den Austausch von drei unverschlüsselten Nachrichten geschehen (der sogenannte aggressive Modus, Aggressiv Modus) oder sechs Nachrichten, mit dem Austausch von verschlüsselten Identifikationsinformationen (Standardmodus, Hauptsächlich Modus).
Im Main Mode ist es möglich, alle Konfigurationsparameter der Sender- und Empfängergeräte auszuhandeln, während dies im Aggressive Mode nicht möglich ist und einige Parameter (Diffie-Hellman-Gruppe, Verschlüsselungs- und Authentifizierungsalgorithmen, PFS) vorab festgelegt werden müssen -auf jedem Gerät gleich konfiguriert. In diesem Modus sind jedoch sowohl die Anzahl der Austauschvorgänge als auch die Anzahl der gesendeten Pakete geringer, was zu weniger Zeit für den Aufbau einer IPSec-Sitzung führt.
Reis. 6.15. Nachrichtenübermittlung im Standard- (a) und aggressiven (b) Modus
Unter der Annahme, dass die Operation erfolgreich abgeschlossen wurde, wird eine erste Phase SA erstellt – Phase 1 SA(auch genannt IKESA) und der Prozess fährt mit der zweiten Phase fort.
Im zweiten Schritt werden die Eckdaten generiert, die Nodes einigen sich auf die zu verwendende Policy. Dieser Modus, auch Schnellmodus genannt, unterscheidet sich von Phase 1 dadurch, dass er erst nach Phase 1 eingerichtet werden kann, wenn alle Phase-2-Pakete verschlüsselt sind. Der korrekte Abschluss der zweiten Phase führt zum Erscheinen Phase 2 SA oder IPSecSA und damit gilt die Installation des Tunnels als abgeschlossen.
Zuerst kommt ein Paket bei dem Knoten mit einer Zieladresse in einem anderen Netzwerk an, und der Knoten leitet die erste Phase mit dem Knoten ein, der für das andere Netzwerk zuständig ist. Nehmen wir an, der Tunnel zwischen den Knoten wurde erfolgreich aufgebaut und wartet auf Pakete. Knoten müssen sich jedoch nach einer bestimmten Zeit gegenseitig neu identifizieren und Richtlinien vergleichen. Dieser Zeitraum wird Phase-1-Lebensdauer oder IKE-SA-Lebensdauer genannt.
Knoten müssen auch den Schlüssel zum Verschlüsseln von Daten nach einem Zeitraum ändern, der als Phase Zwei oder IPSec-SA-Lebensdauer bezeichnet wird.
Die Lebensdauer von Phase Zwei ist kürzer als die der ersten Phase, weil Der Schlüssel muss öfter gewechselt werden. Sie müssen für beide Knoten dieselben Lebensdauerparameter festlegen. Wenn Sie dies nicht tun, ist es möglich, dass der Tunnel zunächst erfolgreich aufgebaut wird, aber nach der ersten inkonsistenten Lebensdauer die Verbindung unterbrochen wird. Probleme können auch auftreten, wenn die Lebensdauer der ersten Phase geringer ist als die der zweiten Phase. Wenn der zuvor konfigurierte Tunnel nicht mehr funktioniert, ist als erstes die Lebensdauer auf beiden Knoten zu prüfen.
Es sollte auch beachtet werden, dass, wenn Sie die Richtlinie auf einem der Knoten ändern, die Änderungen erst beim nächsten Beginn der ersten Phase wirksam werden. Damit die Änderungen sofort wirksam werden, müssen Sie die SA für diesen Tunnel aus der SAD-Datenbank entfernen. Dadurch wird eine Überarbeitung der Vereinbarung zwischen den Knoten mit den neuen Sicerzwungen.
Beim Aufbau eines IPSec-Tunnels zwischen Geräten unterschiedlicher Hersteller treten manchmal Schwierigkeiten bei der Abstimmung der Parameter während der Einrichtung der ersten Phase auf. Sie sollten auf Parameter wie Lokale ID achten - dies ist eine eindeutige Kennung für den Tunnelendpunkt (Sender und Empfänger). Dies ist besonders wichtig, wenn Sie mehrere Tunnel erstellen und das NAT-Traversal-Protokoll verwenden.
TotPeerErkennung
Wenn während des VPN-Betriebs kein Verkehr zwischen den Endpunkten des Tunnels stattfindet oder wenn sich die Anfangsdaten des entfernten Hosts ändern (z. B. Änderung der dynamisch zugewiesenen IP-Adresse), kann eine Situation entstehen, in der der Tunnel im Wesentlichen nicht mehr so ist , sozusagen zu einem Geistertunnel . Um die ständige Bereitschaft für den Datenaustausch im erstellten IPSec-Tunnel aufrechtzuerhalten, können Sie mit dem IKE-Mechanismus (beschrieben in RFC 3706) das Vorhandensein von Datenverkehr vom Remote-Knoten des Tunnels kontrollieren, und wenn dieser für eine festgelegte Zeit nicht vorhanden ist, eine Hallo-Nachricht wird gesendet (in Firewalls sendet D-Link eine Nachricht "DPD-R-U-THERE"). Erfolgt innerhalb einer bestimmten Zeit keine Antwort auf diese Nachricht, wird in den D-Link Firewalls, die durch die „DPD Expire Time“ Einstellungen eingestellt sind, der Tunnel abgebaut. D-Link-Firewalls danach mit den „DPD Keep Time“-Einstellungen ( Reis. 6.18) versuchen automatisch, den Tunnel wiederherzustellen.
ProtokollNATDurchquerung
IPsec-Verkehr kann nach den gleichen Regeln wie andere IP-Protokolle geroutet werden, aber da der Router nicht immer Informationen extrahieren kann, die für Transportschichtprotokolle spezifisch sind, ist es unmöglich, dass IPsec NAT-Gateways passiert. Wie bereits erwähnt, hat die IETF zur Lösung dieses Problems eine Methode zur Einkapselung von ESP in UDP namens NAT-T (NAT Traversal) definiert.
Das NAT-Traversal-Protokoll kapselt den IPSec-Datenverkehr und erstellt gleichzeitig UDP-Pakete, die NAT korrekt weiterleitet. Dazu stellt NAT-T einen zusätzlichen UDP-Header vor das IPSec-Paket, damit es im gesamten Netzwerk wie ein normales UDP-Paket behandelt wird und der Empfängerhost keine Integritätsprüfungen durchführt. Nachdem das Paket sein Ziel erreicht hat, wird der UDP-Header entfernt und das Datenpaket setzt seinen Weg als gekapseltes IPSec-Paket fort. So ist es unter Verwendung des NAT-T-Mechanismus möglich, eine Kommunikation zwischen IPSec-Clients in sicheren Netzwerken und öffentlichen IPSec-Hosts durch Firewalls herzustellen.
Bei der Konfiguration von D-Link-Firewalls auf dem Empfangsgerät sind zwei Punkte zu beachten:
Geben Sie in den Feldern Remote-Netzwerk und Remote-Endpunkt das Netzwerk und die IP-Adresse des Remote-Sendegeräts an. Es ist notwendig, die Übersetzung der IP-Adresse des Initiators (Absenders) mithilfe der NAT-Technologie zuzulassen (Abbildung 3.48).
Wenn Sie gemeinsam genutzte Schlüssel mit mehreren Tunneln verwenden, die mit derselben Remote-Firewall verbunden sind und an dieselbe Adresse per NAT gesendet wurden, ist es wichtig sicherzustellen, dass die lokale ID für jeden Tunnel eindeutig ist.
Lokal AUSWEIS kann einer sein von:
- - vpnRoot, droidVPN,
- - Tor-Browser zum Surfen in Netzwerken, auch bekannt als Orbot
- - InBrowser, orfox (firefox+tor),
- - SuperVPN Kostenloses VPN Klient
- - VPN-Verbindung öffnen
- - Tunnelbär-VPN
- - Hideman-VPN
- - kostenlose App Tunnelbear, mit dem Sie sich mit VPN-Servern in jedem Land verbinden können.
- - OpenVPN Connect ist einer der besten VPN-Clients. Hier müssen Sie zum Ausführen der Anwendung zunächst RSA-Schlüssel über iTunes auf Ihr Telefon importieren.
- - Cloak ist eine Shareware-Anwendung, da das Produkt für einige Zeit kostenlos "benutzt" werden kann, aber um das Programm nach Ablauf der Demo-Periode zu verwenden, müssen Sie es kaufen.
- Geschützt
- Vertrauen
- In Form von spezieller Soft- und Hardware
- Als Softwarelösung
- Integrierte Lösung
- Fernzugriff-VPN
- Extranet-VPN
- Internet-VPN
- Client/Server-VPN
- Iwanow M. A. Kryptographische Methoden Informationsschutz bei Computersysteme und Netzwerke. - M.: KUDITS-OBRAZ, 2001. - 368 S.
- Kulgin M. Technologien von Unternehmensnetzwerken. Enzyklopädie. - St. Petersburg: Peter, 2000. - 704 p.
- Olifer V. G., Olifer N. A. Computernetzwerke. Prinzipien, Technologien, Protokolle: Ein Lehrbuch für Universitäten. - St. Petersburg: Peter, 2001. - 672 p.
- Romanets Yu. V., Timofeev PA, Shangin VF Schutz von Informationen in Computersystemen und Netzwerken. 2. Aufl. - M: Radio und Kommunikation, 2002. -328 p.
- Stallungen V. Grundlagen des Netzwerkschutzes. Anwendungen und Standards = Grundlagen der Netzwerksicherheit. Anwendungen und Standards. - M.: "Williams", 2002. - S. 432. - ISBN 0-13-016093-8
- Produkte für virtuelle private Netzwerke [ Elektronisches Dokument] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
- Anita Karve Real virtuelle Möglichkeiten//LAN. - 1999.- Nr. 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
- Linux’ Antwort auf MS-PPTP [Elektronisches Dokument] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
- Joel Snyder VPN: ein gemeinsamer Markt // Netzwerke. - 1999.- Nr. 11 http://www.citforum.ru/nets/articles/vpn.shtml
- VPN Primer [Elektronisches Dokument] – www.xserves.com/downloads/anexgate/VPNPrimer.pdf
- PKI oder PGP? [Elektronisches Dokument] / Natalya Sergeeva. - http://www.citforum.ru/security/cryptography/pki_pgp/
- IPSec - Protokoll zum Schutz des Netzwerkverkehrs auf IP-Ebene [Elektronisches Dokument] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
- OpenVPN-FAQ [Elektronisches Dokument] – http://openvpn.net/faq.html
- Zweck und Struktur von Verschlüsselungsalgorithmen [Elektronisches Dokument] / Panasenko Sergey. - http://www.ixbt.com/soft/alg-encryption.shtml
- Zur modernen Kryptographie [Elektronisches Dokument] / V. M. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
- Einführung in die Kryptographie / Ed. V. V. Jaschtschenko. - M.: MTsNMO, 2000. - 288 von http://www.citforum.ru/security/cryptography/yaschenko/
- Sicherheitsfallen in der Kryptografie [Elektronisches Dokument] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
- IPSec: Allheilmittel oder Zwangsmaßnahme? [Elektronisches Dokument] / Yevgeny Patiy. - http://citforum.ru/security/articles/ipsec_standard/
- VPN und IPSec an Ihren Fingerspitzen [Elektronisches Dokument] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
- Ein Framework für IP-basierte virtuelle private Netzwerke [Elektronisches Dokument] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
- OpenVPN und die SSL-VPN-Revolution [Elektronisches Dokument] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
- Markus Feilner New Generation Virtual Private Networks // LAN.- 2005.- Nr. 11
- Was ist SSL [Elektronisches Dokument] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
- Kryptoanalyse der PPTP-Authentifizierungserweiterungen von Microsoft (MS-CHAPv2) [Elektronisches Dokument] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
- Technische Spezifikationen des Point-to-Point-Tunneling-Protokolls (PPTP) [Elektronisches Dokument] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
- Ryan Norman Auswählen eines VPN-Protokolls // Windows IT Pro. - 2001. - Nr. 7 http://www.osp.ru/win2000/2001/07/010.htm
- MPLS: eine neue Ordnung in IP-Netzen? [Elektronisches Dokument] / Tom Nolle. - http://www.emanual.ru/get/3651/
- Layer-Two-Tunneling-Protokoll „L2TP“ [Elektronisches Dokument] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
- Alexey Lukatsky Unbekanntes VPN // Computer Press - 2001. - Nr. 10 http://abn.ru/inf/compress/network4.shtml
- Erster Stein in der Wand VPN-Übersicht Einstiegs-VPN-Geräte [Elektronisches Dokument] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
- Überblick über VPN-Hardware [Elektronisches Dokument] - http://www.networkaccess.ru/articles/security/vpn_hardware/
- Reine Hardware-VPNs beherrschen Hochverfügbarkeitstests [Elektronisches Dokument] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
- VPN: VPN-Typ [Elektronisches Dokument] – http://www.vpn-guide.com/type_of_vpn.htm
- KAME FAQ [Elektronisches Dokument] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
- Merkmale des russischen VPN-Marktes [Elektronisches Dokument] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
- Inländische Mittel zum Aufbau virtueller privater Netzwerke [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy
- Sergey Petrenko Sicheres virtuelles privates Netzwerk: eine moderne Sicht auf den Schutz vertraulicher Daten // Internet World. - 2001. - Nr. 2
- Knotennetz;
- Netzwerk-Netzwerk;
- Knoten-Knoten.
- Der VPN-Dienst dient dazu, vertrauliche Unternehmensdaten zwischen Filialen zu versenden. Dies hilft zu schützen wichtige Informationen vom Abfangen.
- Wenn Sie die Bindung des Dienstes nach geografischem Gebiet umgehen müssen. Beispielsweise steht der Yandex Music-Dienst nur Einwohnern Russlands und Einwohnern der ehemaligen GUS-Staaten zur Verfügung. Wenn Sie ein russischsprachiger Einwohner der Vereinigten Staaten sind, können Sie sich die Aufzeichnungen nicht anhören. Ein VPN-Dienst hilft Ihnen dabei, dieses Verbot zu umgehen, indem er die Netzwerkadresse durch eine russische ersetzt.
- Seitenbesuche vor dem Anbieter verbergen. Nicht jede Person ist bereit, ihre Aktivitäten im Internet zu teilen, also schützt sie ihre Besuche mit Hilfe von VPN.
- PPTP
- OpenVPN;
- IPSec.
- Um eine neue Verbindung herzustellen, müssen Sie das Ansichtsfenster öffnen Netzwerkzugang. Beginnen Sie mit der Eingabe der Suche nach den Wörtern „Netzwerkverbindungen“.
- Drücken Sie die „Alt“-Taste, klicken Sie im Menü auf den Abschnitt „Datei“ und wählen Sie „Neue eingehende Verbindung“.
- Legen Sie dann den Benutzer fest, dem eine VPN-Verbindung zu diesem Computer gewährt wird (falls Sie nur eine haben Konto auf einem PC müssen Sie dafür ein Passwort erstellen). Installieren Sie den Vogel und klicken Sie auf „Weiter“.
- Als nächstes werden Sie aufgefordert, die Art der Verbindung auszuwählen, Sie können ein Häkchen vor „Internet“ setzen.
- Der nächste Schritt besteht darin, Netzwerkprotokolle zu aktivieren, die auf diesem VPN funktionieren. Aktivieren Sie alle Kästchen außer dem zweiten. Sie können optional bestimmte IP-, DNS-Gateways und Ports in IPv4 festlegen, aber es ist einfacher, die automatische Zuweisung zu verlassen.
- Wenn Sie auf die Schaltfläche "Zugriff zulassen" klicken, erstellt das Betriebssystem den Server selbst und zeigt ein Fenster mit dem Computernamen an. Sie benötigen es zum Verbinden.
- Damit ist die Erstellung eines Heim-VPN-Servers abgeschlossen.
- Gehen Sie zum Abschnitt Einstellungen und klicken Sie auf den Abschnitt "Netzwerk".
- Suchen Sie nach einem Artikel namens " Zusätzliche Einstellungen“ und gehen Sie zum Abschnitt „VPN“. Als nächstes benötigen Sie einen PIN-Code oder ein Passwort, mit dem Sie ein Netzwerk erstellen können.
- Der nächste Schritt besteht darin, eine VPN-Verbindung hinzuzufügen. Geben Sie den Namen im Feld "Server" an, den Namen im Feld "Benutzername", legen Sie den Verbindungstyp fest. Tippen Sie auf die Schaltfläche „Speichern“.
- Danach erscheint eine neue Verbindung in der Liste, mit der Sie Ihre Standardverbindung ändern können.
- Auf dem Bildschirm erscheint ein Symbol, das anzeigt, dass eine Verbindung verfügbar ist. Wenn Sie darauf tippen, erhalten Sie eine Statistik der empfangenen / gesendeten Daten. Hier können Sie auch die VPN-Verbindung deaktivieren.
Auto– Die IP-Adresse der abgehenden Verkehrsschnittstelle wird als lokale Kennung verwendet.
IP– IP-Adresse des WAN-Ports der Remote-Firewall
DNS– DNS-Adresse
Virtual Private Networks (VPNs) bekommen als Anbieter viel Aufmerksamkeit Netzwerkdienste und Internetanbieter und Unternehmensbenutzer. Infonetics Research prognostiziert, dass der VPN-Markt bis 2003 jährlich um mehr als 100 % wachsen und 12 Milliarden US-Dollar erreichen wird.
Bevor ich Sie über die Popularität von VPNs erzähle, möchte ich Sie daran erinnern, dass nur private (Unternehmens-) Datennetze in der Regel über gemietete (dedizierte) Kommunikationskanäle von öffentlichen Telefonnetzen aufgebaut werden. Viele Jahre lang wurden diese privaten Netzwerke unter Berücksichtigung spezifischer Unternehmensanforderungen entwickelt, was zu proprietären Protokollen führte, die proprietäre Anwendungen unterstützen (jedoch haben Frame Relay- und ATM-Protokolle in letzter Zeit an Popularität gewonnen). Dedizierte Kanäle bieten zuverlässigen Schutz vertrauliche Informationen Die Kehrseite der Medaille sind jedoch die hohen Betriebskosten und die Schwierigkeit, das Netzwerk zu erweitern, ganz zu schweigen von der Möglichkeit eines mobilen Benutzers, sich an einem unbeabsichtigten Punkt damit zu verbinden. Gleichzeitig ist die moderne Wirtschaft durch eine erhebliche Streuung und Mobilität der Arbeitskräfte gekennzeichnet. Immer mehr Benutzer benötigen Zugriff auf Unternehmensinformationen über Einwahlkanäle, und auch die Zahl der Mitarbeiter, die von zu Hause aus arbeiten, nimmt zu.
Darüber hinaus sind private Netzwerke nicht in der Lage, die gleichen Geschäftsmöglichkeiten zu bieten, die das Internet und IP-basierte Anwendungen bieten, wie z. B. Produktwerbung, Kundenunterstützung oder laufende Kommunikation mit Lieferanten. Diese Online-Interaktion erfordert die Verbindung privater Netzwerke, die typischerweise unterschiedliche Protokolle und Anwendungen, unterschiedliche Netzwerkverwaltungssysteme und unterschiedliche Kommunikationsdienstanbieter verwenden.
So basieren die hohen Kosten, die statische Natur und die Schwierigkeiten, die entstehen, wenn es notwendig ist, private Netze zu kombinieren verschiedene Technologien, stehen im Widerspruch zu der sich dynamisch entwickelnden Wirtschaft, ihrem Wunsch nach Dezentralisierung und dem jüngsten Trend zu Fusionen.
Gleichzeitig gibt es parallel dazu öffentliche Datenübertragungsnetze ohne diese Mängel und das Internet, das buchstäblich den gesamten Globus mit seinem „Netz“ umhüllte. Sie werden zwar des wichtigsten Vorteils privater Netzwerke beraubt - zuverlässiger Schutz Unternehmensinformationen. Die Virtual Private Network-Technologie kombiniert die Flexibilität, Skalierbarkeit, niedrigen Kosten und Verfügbarkeit von buchstäblich „jederzeit und überall“ Internet und öffentlichen Netzwerken mit der Sicherheit privater Netzwerke. Im Kern sind VPNs private Netzwerke, die verwenden globale Netzwerke öffentlicher Zugang(Internet, Frame-Relay, Geldautomat). Virtualität manifestiert sich in der Tatsache, dass sie für einen Unternehmensbenutzer wie dedizierte private Netzwerke erscheinen.
KOMPATIBILITÄT
Kompatibilitätsprobleme treten nicht auf, wenn VPNs Frame Relay- und ATM-Dienste direkt verwenden, da sie recht gut für den Betrieb in einer Multiprotokollumgebung geeignet sind und sowohl für IP- als auch für Nicht-IP-Anwendungen geeignet sind. Erforderlich ist in diesem Fall lediglich die Verfügbarkeit einer geeigneten Netzinfrastruktur, die das benötigte geografische Gebiet abdeckt. Die am häufigsten verwendeten Zugangsgeräte sind Frame-Relay-Zugangsgeräte oder Router mit Frame-Relay- und ATM-Schnittstellen. Zahlreiche permanente oder geschaltete virtuelle Verbindungen können (virtuell) mit jeder Mischung von Protokollen und Topologien arbeiten. Komplizierter wird die Sache, wenn das VPN auf dem Internet basiert. In diesem Fall müssen Anwendungen mit dem IP-Protokoll kompatibel sein. Vorausgesetzt, dass diese Voraussetzung erfüllt ist, können Sie das Internet „so wie es ist“ verwenden, um ein VPN aufzubauen, nachdem Sie zuvor für das erforderliche Sicherheitsniveau gesorgt haben. Da die meisten privaten Netzwerke jedoch multiprotokollfähig sind oder inoffizielle, interne IP-Adressen verwenden, können sie sich ohne entsprechende Anpassung nicht direkt mit dem Internet verbinden. Es gibt viele Kompatibilitätslösungen. Die beliebtesten sind die folgenden:
- Umwandlung bestehender Protokolle (IPX, NetBEUI, AppleTalk oder andere) in ein IP-Protokoll mit offizieller Adresse;
- Umwandlung interner IP-Adressen in offizielle IP-Adressen;
— Installation spezieller IP-Gateways auf Servern;
— Nutzung von virtuellem IP-Routing;
— Verwendung der universellen Tunnelbautechnik.
Der erste Weg ist klar, also schauen wir uns kurz die anderen an.
Die Konvertierung interner IP-Adressen in offizielle IP-Adressen ist erforderlich, wenn das private Netzwerk auf dem IP-Protokoll basiert. Eine Adressübersetzung für das gesamte Unternehmensnetzwerk ist nicht erforderlich, da offizielle IP-Adressen mit internen auf Switches und Routern im Unternehmensnetzwerk koexistieren können. Mit anderen Worten, der Server mit der offiziellen IP-Adresse steht dem Client des privaten Netzwerks weiterhin über die lokale Infrastruktur zur Verfügung. Die am häufigsten verwendete Technik ist die Aufteilung eines kleinen Blocks offizieller Adressen durch viele Benutzer. Es ähnelt dem Aufteilen eines Modempools, da es auch auf der Annahme beruht, dass nicht alle Benutzer gleichzeitig auf das Internet zugreifen müssen. Hier gibt es zwei Industriestandards: das Dynamic Host Configuration Protocol (DHCP) und Broadcast Netzwerkadressen(Network Address Translation - NAT), deren Ansätze sich leicht unterscheiden. DHCP „vermietet“ eine Adresse an einen Host für eine vom Netzwerkadministrator festgelegte Zeit, während NAT eine interne IP-Adresse für die Dauer einer Kommunikationssitzung dynamisch in eine offizielle übersetzt
Internet.
Eine weitere Möglichkeit, ein privates Netzwerk mit dem Internet kompatibel zu machen, besteht darin, ein IP-Gateway zu installieren. Das Gateway übersetzt Nicht-IP-Protokolle in IP-Protokolle und umgekehrt. Die meisten Netzwerkbetriebssysteme, die native Protokolle verwenden, verfügen über IP-Gateway-Software.
Der Kern des virtuellen IP-Routings besteht darin, die privaten Routing-Tabellen und den Adressraum auf die Infrastruktur (Router und Switches) des ISP auszudehnen. Ein virtueller IP-Router ist ein logischer Teil eines physischen IP-Routers, der einem Dienstanbieter gehört und von ihm betrieben wird. Jeder virtuelle Router dient einer bestimmten Benutzergruppe.
Allerdings vielleicht die meisten der beste Weg Interoperabilität kann durch Tunneling-Techniken erreicht werden. Diese Techniken werden seit langem verwendet, um einen Multiprotokoll-Paketstrom über ein gemeinsames Backbone zu übertragen. Diese bewährte Technologie ist derzeit für internetbasierte VPNs optimiert.
Die Hauptbestandteile des Tunnels sind:
— Tunnelinitiator;
— geroutetes Netzwerk;
- Tunnelschalter (optional);
— ein oder mehrere Tunnelabschlusswiderstände.
Tunneling muss an beiden Enden der End-to-End-Verbindung durchgeführt werden. Der Tunnel muss mit einem Tunnelinitiator beginnen und mit einem Tunnelterminator enden. Die Initialisierung und Beendigung von Tunneloperationen kann von verschiedenen Netzwerkgeräten durchgeführt werden und Software. Beispielsweise kann ein Tunnel durch den Computer eines entfernten Benutzers initiiert werden, auf dem ein Modem und die erforderliche VPN-Software installiert sind, ein Front-End-Router in einer Unternehmensniederlassung oder ein Netzwerkzugriffskonzentrator bei einem Dienstanbieter.
Zur Übertragung von anderen Paketen als IP über das Internet Netzwerkprotokolle, werden sie in IP-Pakete von der Quellseite eingekapselt. Die am häufigsten verwendete Methode zum Erstellen von VPN-Tunneln besteht darin, ein Nicht-IP-Paket in ein PPP-Paket (Point-to-Point Protocol) und dann in ein IP-Paket einzukapseln. Ich möchte Sie daran erinnern, dass das PPP-Protokoll für eine Punkt-zu-Punkt-Verbindung verwendet wird, beispielsweise für die Client-Server-Kommunikation. Der IP-Kapselungsprozess umfasst das Hinzufügen eines Standard-IP-Headers zum ursprünglichen Paket, das dann so behandelt wird eine nützliche Information. Der entsprechende Prozess am anderen Ende des Tunnels entfernt den IP-Header und lässt das ursprüngliche Paket unverändert. Da die Vortriebstechnik recht einfach ist, ist sie auch preislich am günstigsten.
SICHERHEIT
Die Gewährleistung des erforderlichen Sicherheitsniveaus ist oft die Hauptüberlegung, wenn ein Unternehmen die Verwendung internetbasierter VPNs in Betracht zieht. Viele IT-Manager sind an die inhärente Privatsphäre privater Netzwerke gewöhnt und betrachten das Internet als zu „öffentlich“, um als privates Netzwerk verwendet zu werden. Wenn Sie die englische Terminologie verwenden, dann gibt es drei "P", deren Implementierung zusammen einen vollständigen Informationsschutz bietet. Das:
Schutz - Schutz von Ressourcen durch Firewalls (Firewall);
Nachweis - Überprüfung der Identität (Integrität) des Pakets und Authentifizierung des Absenders (Bestätigung des Zugangsrechts);
Datenschutz - Schutz vertraulicher Informationen durch Verschlüsselung.
Alle drei Ps sind für jedes Unternehmensnetzwerk, einschließlich VPNs, gleichermaßen wichtig. In streng privaten Netzwerken reicht es zum Schutz der Ressourcen und der Vertraulichkeit von Informationen aus, ganz zu verwenden einfache Passwörter. Aber sobald ein privates Netzwerk mit einem öffentlichen verbunden ist, kann keines der drei Ps den notwendigen Schutz bieten. Daher müssen für jedes VPN an allen Punkten seiner Interaktion mit dem öffentlichen Netzwerk Firewalls installiert werden, und Pakete müssen verschlüsselt und authentifiziert werden.
Firewalls sind eine wesentliche Komponente in jedem VPN. Sie erlauben nur autorisierten Datenverkehr für vertrauenswürdige Benutzer und blockieren alles andere. Mit anderen Worten, alle Zugriffsversuche von unbekannten oder nicht vertrauenswürdigen Benutzern werden gekreuzt. Diese Form des Schutzes muss für jede Website und jeden Benutzer bereitgestellt werden, denn nicht überall zu haben bedeutet, sie nicht überall zu haben. Spezielle Protokolle werden verwendet, um die Sicherheit virtueller privater Netzwerke zu gewährleisten. Diese Protokolle ermöglichen es Hosts, die zu verwendende Verschlüsselungs- und digitale Signaturtechnik zu "verhandeln", wodurch die Vertraulichkeit und Integrität von Daten aufrechterhalten und der Benutzer authentifiziert wird.
Das Microsoft Point-to-Point Encryption Protocol (MPPE) verschlüsselt PPP-Pakete auf dem Clientcomputer, bevor sie an den Tunnel gesendet werden. Die Verschlüsselungssitzung wird während des Aufbaus der Kommunikation mit dem Tunnelabschluss unter Verwendung des Protokolls initialisiert
PPP.
Sichere IP-Protokolle (IPSec) sind eine Reihe von vorläufigen Standards, die von der Internet Engineering Task Force (IETF) entwickelt werden. Die Gruppe schlug zwei Protokolle vor: Authentication Header (AH) und Encapsulating Security Payload (ESP). AH-Protokoll fügt hinzu Digitale Unterschrift Header, der den Benutzer authentifiziert und die Datenintegrität sicherstellt, indem er alle Änderungen während der Übertragung verfolgt. Dieses Protokoll schützt nur die Daten und lässt den Adressteil des IP-Pakets unverändert. Das ESP-Protokoll hingegen kann entweder das gesamte Paket (Tunnel Mode) oder nur die Daten (Transport Mode) verschlüsseln. Diese Protokolle werden sowohl einzeln als auch in Kombination verwendet.
Zur Verwaltung der Sicherheit wird der Industriestandard RADIUS (Remote Authentication Dial-In User Service) verwendet, bei dem es sich um eine Datenbank mit Benutzerprofilen handelt, die Passwörter (Authentifizierung) und Zugriffsrechte (Autorisierung) enthalten.
Die Sicherheitsmerkmale beschränken sich bei weitem nicht auf die angegebenen Beispiele. Viele Router- und Firewall-Hersteller bieten eigene Lösungen an. Darunter Ascend, CheckPoint und Cisco.
VERFÜGBARKEIT
Die Verfügbarkeit umfasst drei gleich wichtige Komponenten: den Zeitpunkt der Leistungserbringung, Durchsatz und Verzögerungszeit. Der Zeitpunkt der Leistungserbringung ist Gegenstand des Vertrages mit dem Dienstleister, die beiden anderen Komponenten beziehen sich auf die Elemente der Dienstgüte (Quality of Service – QoS). Moderne Technologien transport ermöglichen es Ihnen, ein VPN aufzubauen, das die Anforderungen fast aller vorhandenen Anwendungen erfüllt.
STEUERBARKEIT
Netzwerkadministratoren möchten immer in der Lage sein, ein End-to-End-, End-to-End-Management des Unternehmensnetzwerks durchzuführen, einschließlich des Teils, der sich auf das Telekommunikationsunternehmen bezieht. Es stellt sich heraus, dass VPNs diesbezüglich mehr Möglichkeiten bieten als normale private Netzwerke. Typische private Netze werden „von Grenze zu Grenze“ verwaltet, d.h. der Dienstanbieter verwaltet das Netzwerk bis zu den Front-Routern des Unternehmensnetzwerks, während der Teilnehmer das Unternehmensnetzwerk selbst bis zu den WAN-Zugangsgeräten verwaltet. Die VPN-Technologie vermeidet diese Art der Aufteilung von „Einflusssphären“ und stellt sowohl den Anbieter als auch den Teilnehmer bereit einzelnes System Verwaltung des Netzes als Ganzes, sowohl seines Unternehmensteils als auch der Netzinfrastruktur des öffentlichen Netzes. Der Uhat die Möglichkeit, das Netzwerk zu überwachen und neu zu konfigurieren, Frontzugriffsgeräte zu verwalten und den Netzwerkstatus in Echtzeit zu bestimmen.
VPN-ARCHITEKTUR
Es gibt drei Architekturmodelle für virtuelle private Netzwerke: abhängig, unabhängig und hybrid als Kombination der ersten beiden Alternativen. Die Zugehörigkeit zu einem bestimmten Modell wird dadurch bestimmt, wo die vier Hauptanforderungen für VPN implementiert sind. Wenn ein globaler Netzwerkdienstanbieter eine vollständige VPN-Lösung bereitstellt, d. bietet Tunneling, Sicherheit, Performance und Management, macht die Architektur davon abhängig. In diesem Fall sind alle VPN-Prozesse für den Benutzer transparent und er sieht nur seinen nativen Datenverkehr – IP-, IPX- oder NetBEUI-Pakete. Der Vorteil der abhängigen Architektur für den Teilnehmer besteht darin, dass er die vorhandene Netzwerkinfrastruktur "wie sie ist" verwenden kann und nur eine Firewall zwischen dem VPN und dem privaten Netzwerk hinzufügt.
WAN/LAN.
Unabhängige Architektur wird implementiert, wenn die Organisation alles bereitstellt technologische Anforderungen auf seinen Geräten und delegiert nur Transportfunktionen an den Dienstanbieter. Diese Architektur ist teurer, gibt dem Benutzer jedoch die volle Kontrolle über alle Operationen.
Die hybride Architektur umfasst von der Organisation (bzw. vom Dienstanbieter) abhängige und unabhängige Standorte.
Was sind die Versprechungen von VPN für Unternehmensanwender? Erstens ist dies laut Industrieanalysten eine Kostensenkung für alle Arten von Telekommunikation von 30 auf 80 %. Und es ist auch ein nahezu allgegenwärtiger Zugang zu den Netzwerken eines Unternehmens oder anderer Organisationen; es ist die Implementierung einer sicheren Kommunikation mit Lieferanten und Kunden; Es ist ein verbesserter und erweiterter Dienst, der in PSTN-Netzwerken nicht verfügbar ist, und vieles mehr. Spezialisten sehen VPNs als eine neue Generation der Netzwerkkommunikation, und viele Analysten glauben, dass VPNs bald die meisten privaten Netzwerke auf Basis von Standleitungen ersetzen werden.
Von Jahr zu Jahr elektronische Kommunikation wird verbessert und es werden immer höhere Anforderungen an den Informationsaustausch hinsichtlich Geschwindigkeit, Sicherheit und Qualität der Datenverarbeitung gestellt.
Und hier werden wir uns eine VPN-Verbindung genauer ansehen: was es ist, wozu ein VPN-Tunnel dient und wie man eine VPN-Verbindung verwendet.
Dieses Material ist eine Art Einführungswort zu einer Reihe von Artikeln, in denen wir Ihnen erklären, wie Sie ein VPN auf verschiedenen Betriebssystemen erstellen.
VPN-Verbindung, was ist das?
Ein virtuelles privates Netzwerk vpn ist also eine Technologie, die eine sichere (vor externem Zugriff geschlossene) Verbindung eines logischen Netzwerks über ein privates oder öffentliches Netzwerk in Gegenwart von Hochgeschwindigkeits-Internet bietet.
Solch Netzwerkverbindung Computer (geografisch in beträchtlicher Entfernung voneinander entfernt) verwendet eine Punkt-zu-Punkt-Verbindung (mit anderen Worten "Computer-zu-Computer").
Wissenschaftlich wird diese Verbindungsmethode als VPN-Tunnel (oder Tunnelprotokoll) bezeichnet. Sie können sich mit einem solchen Tunnel verbinden, wenn Sie einen Computer mit einem beliebigen Betriebssystem haben, der über einen integrierten VPN-Client verfügt, der virtuelle Ports mithilfe des TCP / IP-Protokolls an ein anderes Netzwerk „weiterleiten“ kann.
Wozu dient VPN?
Der Hauptvorteil von VPN besteht darin, dass Verhandlungsführer eine Konnektivitätsplattform benötigen, die nicht nur schnell skaliert, sondern auch (hauptsächlich) Datenvertraulichkeit, Datenintegrität und Authentifizierung bietet.
Das Diagramm zeigt deutlich die Verwendung von VPN-Netzwerken.
Zuvor müssen die Regeln für Verbindungen über einen sicheren Kanal auf Server und Router geschrieben werden.
wie vpn funktioniert
Bei einer VPN-Verbindung werden im Nachrichtenkopf Informationen über die IP-Adresse des VPN-Servers und die Remote-Route übertragen.
Eingekapselte Daten, die über ein gemeinsames Oder übertragen werden öffentliches Netzwerk, können nicht abgefangen werden, da alle Informationen verschlüsselt sind.
Die VPN-Verschlüsselungsstufe wird auf der Seite des Senders implementiert, und die Daten des Empfängers werden durch den Nachrichtenkopf entschlüsselt (wenn es einen gemeinsamen Verschlüsselungsschlüssel gibt).
Nachdem die Nachricht korrekt entschlüsselt wurde, wird eine VPN-Verbindung zwischen den beiden Netzwerken aufgebaut, die Ihnen auch das Arbeiten in einem öffentlichen Netzwerk ermöglicht (z. B. Datenaustausch mit einem Client 93.88.190.5).
Hinsichtlich Informationssicherheit, dann ist das Internet ein extrem unsicheres Netzwerk, und ein VPN-Netzwerk mit den Protokollen OpenVPN, L2TP / IPSec, PPTP, PPPoE ist eine absolut sichere Methode zur Datenübertragung.
Wozu dient ein VPN-Kanal?
VPN-Tunneling wird verwendet:
Innerhalb des Unternehmensnetzwerks;
Um entfernte Büros sowie kleine Zweigstellen zu vereinen;
Um die digitale Telefonie mit einer breiten Palette von Telekommunikationsdiensten zu bedienen;
Zugriff auf externe IT-Ressourcen;
Aufbau und Implementierung von Videokonferenzen.
Warum brauchen Sie ein VPN?
Eine VPN-Verbindung ist erforderlich für:
Anonymes Arbeiten im Internet;
Anwendungsdownloads, falls sich die IP-Adresse in einer anderen regionalen Zone des Landes befindet;
Sicheres Arbeiten in einer Unternehmensumgebung durch Kommunikation;
Einfachheit und Komfort des Verbindungsaufbaus;
Bereitstellung von Hochgeschwindigkeitsverbindungen ohne Unterbrechungen;
Schaffung eines sicheren Kanals ohne Hackerangriffe.
Wie verwende ich VPN?
Beispiele dafür, wie VPN funktioniert, sind endlos. Also, auf jedem Rechner im Firmennetzwerk, bei der Installation einen Secure VPN-Verbindungen Sie können E-Mail verwenden, um Nachrichten zu überprüfen, Materialien von überall im Land zu veröffentlichen oder Dateien von Torrent-Netzwerken herunterzuladen.
VPN: was ist das im Telefon?
Der Zugriff über VPN auf Ihrem Telefon (iPhone oder ein anderes Android-Gerät) ermöglicht es Ihnen, bei der Nutzung des Internets an öffentlichen Orten anonym zu bleiben und das Abfangen des Datenverkehrs und das Hacken von Geräten zu verhindern.
Ein VPN-Client, der auf einem beliebigen Betriebssystem installiert ist, ermöglicht es Ihnen, viele Einstellungen und Regeln des Anbieters zu umgehen (sofern er Einschränkungen festgelegt hat).
Welches VPN für das Telefon wählen?
Android-Handys und -Smartphones können Anwendungen aus dem Google Play Market nutzen:
Die meisten dieser Programme dienen der Bequemlichkeit der "heißen" Systemkonfiguration, der Platzierung von Startverknüpfungen, dem anonymen Surfen im Internet und der Auswahl der Art der Verbindungsverschlüsselung.
Die Hauptaufgaben bei der Nutzung eines VPN am Telefon sind jedoch das Abrufen von Unternehmenspost, das Erstellen von Videokonferenzen mit mehreren Teilnehmern sowie das Abhalten von Besprechungen außerhalb der Organisation (z. B. wenn ein Mitarbeiter auf Geschäftsreise ist).
Was ist VPN auf dem iPhone?
Überlegen Sie genauer, welches VPN Sie wählen und wie Sie es mit einem iPhone verbinden.
Abhängig von der Art des unterstützten Netzwerks können Sie beim ersten Ausführen der VPN-Konfiguration auf dem iPhone die folgenden Protokolle auswählen: L2TP, PPTP und Cisco-IPSec(Außerdem können Sie eine VPN-Verbindung mit Anwendungen von Drittanbietern „herstellen“).
Alle diese Protokolle unterstützen Verschlüsselungsschlüssel, Benutzeridentifikation mit einem Passwort und Zertifizierung.
Unter Zusatzfunktionen Beim Einrichten eines VPN-Profils auf einem iPhone können Sie Folgendes beachten: RSA-Sicherheit, Verschlüsselungsstufe und Autorisierungsregeln für die Verbindung zum Server.
Für das iPhone-Telefon aus dem Appstore sollten Sie wählen:
Erstellen eines VPN: Auswahl und Konfiguration von Geräten
Für die Unternehmenskommunikation in großen Organisationen oder die Konsolidierung von weit voneinander entfernten Büros verwenden sie Hardware, die eine unterbrechungsfreie, sichere Vernetzung unterstützen kann.
Um VPN-Technologien zu implementieren, können die folgenden als Netzwerk-Gateway fungieren: Unix-Server, Windows Server, Netzwerkrouter und Netzwerkgateway, auf dem VPN aufgebaut wird.
Der Server oder das Gerät, das zum Erstellen eines VPN-Netzwerks eines Unternehmens oder eines VPN-Kanals zwischen entfernten Niederlassungen verwendet wird, muss komplexe technische Aufgaben ausführen und Benutzern sowohl auf Workstations als auch auf mobilen Geräten eine vollständige Palette von Diensten bieten.
Jeder Router oder VPN-Router sollte einen zuverlässigen Netzwerkbetrieb ohne „Einfrieren“ bieten. Und die integrierte VPN-Funktion ermöglicht es Ihnen, die Netzwerkkonfiguration für die Arbeit zu Hause, in einer Organisation oder einem entfernten Büro zu ändern.
VPN-Setup auf Router
Im Allgemeinen erfolgt die VPN-Konfiguration auf dem Router über die Weboberfläche des Routers. Auf „klassischen“ Geräten zum Organisieren von VPN müssen Sie zum Abschnitt „Einstellungen“ oder „Netzwerkeinstellungen“ gehen, wo Sie den Abschnitt VPN auswählen, den Protokolltyp angeben, Ihre Subnetzadresseneinstellungen und Masken eingeben und den IP-Bereich angeben Adressen für Benutzer.
Darüber hinaus müssen Sie für die Sicherheit der Verbindung Verschlüsselungsalgorithmen und Authentifizierungsmethoden angeben, Verhandlungsschlüssel generieren und angeben DNS-Server GEWINNT. In den "Gateway"-Parametern müssen Sie die IP-Adresse des Gateways (Ihre IP) angeben und die Daten aller Netzwerkadapter eingeben.
Befinden sich mehrere Router im Netzwerk, muss die VPN-Routing-Tabelle für alle Geräte im VPN-Tunnel ausgefüllt werden.
Hier ist eine Liste der Hardware-Ausrüstung, die beim Aufbau von VPN-Netzwerken verwendet wird:
Dlink Router: DIR-320, DIR-620, DSR-1000 mit neuer Firmware oder D-Link DI808HV Router.
Router Cisco PIX 501, Cisco 871-SEC-K9
Linksys Rv082 Router unterstützt etwa 50 VPN-Tunnel
Netgear Router DG834G und Routermodelle FVS318G, FVS318N, FVS336G, SRX5308
Mikrotik-Router mit OpenVPN-Funktion. Beispiel RouterBoard RB/2011L-IN Mikrotik
VPN-Ausrüstung RVPN S-Terra oder VPN Gate
ASUS RT-N66U, RT-N16 und RT N-10 Router
ZyXel-Router ZyWALL 5, ZyWALL P1, ZyWALL USG
Virtuelles privates Netzwerk
Meistens zu erstellen virtuelles Netzwerk Kapselung des PPP-Protokolls in ein anderes Protokoll verwendet wird - Ethernet (Anbieter der "letzten Meile", um den Zugang zum Internet bereitzustellen.
Mit der richtigen Implementierung und der Verwendung spezieller Software kann ein VPN bieten hohes Niveau Verschlüsselung übertragener Informationen. Bei richtige Einstellung alle Komponenten VPN-Technologie bietet Anonymität im Web.
VPN-Struktur
Ein VPN besteht aus zwei Teilen: einem „internen“ (kontrollierten) Netzwerk, von dem es mehrere geben kann, und einem „externen“ Netzwerk, durch das die gekapselte Verbindung verläuft (normalerweise wird das Internet verwendet). Es ist auch möglich, einen einzelnen Computer mit einem virtuellen Netzwerk zu verbinden. Ein entfernter Benutzer wird über einen Zugriffsserver, der sowohl mit dem internen als auch mit dem externen (öffentlichen) Netzwerk verbunden ist, mit dem VPN verbunden. Beim Verbinden eines entfernten Benutzers (oder beim Herstellen einer Verbindung zu einem anderen sicheren Netzwerk) erfordert der Zugriffsserver, dass der Identifizierungsprozess und dann der Authentifizierungsprozess durchlaufen werden. Nach erfolgreichem Abschluss beider Prozesse kann der entfernte Benutzer ( Remote-Netzwerk) wird ermächtigt, im Netzwerk zu arbeiten, d. h. der Autorisierungsprozess findet statt.
VPN-Klassifizierung
VPN-Klassifizierung
VPN-Lösungen können nach mehreren Hauptparametern klassifiziert werden:
Nach Art der verwendeten Umgebung
Die gebräuchlichste Version von virtuellen privaten Netzwerken. Mit seiner Hilfe ist es möglich, ausgehend von einem unzuverlässigen Netzwerk, meist dem Internet, ein zuverlässiges und sicheres Subnetz aufzubauen. Beispiele für sichere VPNs sind: IPSec, PPTP.
Sie werden in Fällen verwendet, in denen das Übertragungsmedium als zuverlässig angesehen werden kann und es nur notwendig ist, das Problem der Schaffung eines virtuellen Subnetzes darin zu lösen größeres Netzwerk. Sicherheitsfragen werden irrelevant. Beispiele für solche VPN-Lösungen sind: Multi-Protocol Label Switching (L2TP (Layer 2 Tunneling Protocol). (Genauer gesagt verlagern diese Protokolle die Sicherheitsaufgabe auf andere, zB wird L2TP meist in Verbindung mit IPSec verwendet).
Zur Umsetzung
Die Implementierung des VPN-Netzwerks erfolgt mit einem speziellen Satz von Software und Hardware. Diese Implementierung bietet eine hohe Leistung und in der Regel ein hohes Maß Sicherheit.
Sie verwenden einen PC mit spezieller Software, die VPN-Funktionalität bereitstellt.
Die VPN-Funktionalität wird von einem Komplex bereitgestellt, der auch Filteraufgaben löst Netzwerktraffic, Organisation einer Firewall und Sicherstellung der Servicequalität.
Nach Vereinbarung
Sie werden verwendet, um mehrere verteilte Zweige einer Organisation zu einem einzigen sicheren Netzwerk zusammenzufassen und Daten über offene Kommunikationskanäle auszutauschen.
Wird verwendet, um einen sicheren Kanal zwischen einem Unternehmensnetzwerksegment (Zentrale oder Zweigstelle) und einem einzelnen Benutzer zu erstellen, der sich während der Arbeit zu Hause verbindet Unternehmensressourcen Mit Heimcomputer, Firmenlaptop, Smartphone oder Internetkiosk.
Wird für Netzwerke verwendet, mit denen sich "externe" Benutzer (z. B. Kunden oder Klienten) verbinden. Das Vertrauen in sie ist viel geringer als in die Mitarbeiter des Unternehmens, daher müssen spezielle „Grenzen“ zum Schutz geschaffen werden, die den Zugang letzterer zu besonders wertvollen, vertraulichen Informationen verhindern oder einschränken.
Wird verwendet, um Anbietern den Zugang zum Internet zu ermöglichen.
Es gewährleistet den Schutz übertragener Daten zwischen zwei Knoten (keine Netzwerke) eines Unternehmensnetzwerks. Die Besonderheit dieser Option besteht darin, dass das VPN zwischen Knoten aufgebaut wird, die sich normalerweise im selben Netzwerksegment befinden, z. B. zwischen Arbeitsplatz und Server. Ein solcher Bedarf entsteht sehr oft in Fällen, in denen mehrere erstellt werden müssen logische Netzwerke. Wenn es beispielsweise erforderlich ist, den Datenverkehr zwischen der Finanzabteilung und der Personalabteilung aufzuteilen und auf Server zuzugreifen, die sich im selben physischen Segment befinden. Diese Option ähnelt der VLAN-Technologie, aber der Datenverkehr wird nicht getrennt, sondern verschlüsselt.
Nach Art des Protokolls
Es gibt Implementierungen von virtuellen privaten Netzwerken unter TCP/IP, IPX und AppleTalk. Aber heute gibt es einen Trend zu einem allgemeinen Übergang zum TCP / IP-Protokoll, und die überwiegende Mehrheit der VPN-Lösungen unterstützt dies.
Nach Netzwerkprotokollebene
Nach Netzwerkprotokollschicht, basierend auf einer Abbildung auf die Schichten des ISO/OSI-Netzwerkreferenzmodells.
VPN-Beispiele
Viele große Anbieter bieten ihre VPN-Dienste für Geschäftskunden an.
Literatur
Virtual Private Network ist ein virtuelles privates Netzwerk, das verwendet wird, um sichere Konnektivität innerhalb von Unternehmensverbindungen und Internetzugang bereitzustellen. Der Hauptvorteil von VPN ist die hohe Sicherheit aufgrund der Verschlüsselung des internen Datenverkehrs, was bei der Datenübertragung wichtig ist.
Was ist eine VPN-Verbindung
Viele Menschen fragen angesichts dieser Abkürzung: VPN – was ist das und warum wird es benötigt? Diese Technologie eröffnet die Möglichkeit, eine Netzwerkverbindung übereinander zu erstellen. VPN funktioniert in mehreren Modi:
Die Organisation eines privaten virtuellen Netzwerks auf Netzwerkebene ermöglicht die Verwendung von TCP- und UDP-Protokollen. Alle Daten, die Computer durchlaufen, werden verschlüsselt. Dies ist ein zusätzlicher Schutz für Ihre Verbindung. Es gibt viele Beispiele, die erklären, was eine VPN-Verbindung ist und warum Sie eine verwenden sollten. Unten wird detailliert diese Frage.
Warum Sie ein VPN brauchen
Jeder Anbieter kann auf Anfrage der zuständigen Behörden Protokolle der Benutzeraktivitäten bereitstellen. Ihr Internetunternehmen zeichnet alle Aktivitäten auf, die Sie im Netzwerk durchgeführt haben. Dies trägt dazu bei, den Anbieter von jeglicher Verantwortung für die vom Kunden durchgeführten Handlungen zu befreien. Es gibt viele Situationen, in denen Sie Ihre Daten schützen und Freiheit erlangen müssen, zum Beispiel:
Wie ein VPN funktioniert
Wenn Sie einen anderen VPN-Kanal verwenden, gehört Ihre IP dem Land, in dem sich dieses sichere Netzwerk befindet. Wenn die Verbindung hergestellt ist, wird ein Tunnel zwischen dem VPN-Server und Ihrem Computer erstellt. Danach wird in den Protokollen (Aufzeichnungen) des Anbieters ein Satz angezeigt unverständliche Zeichen. Datenanalyse spezielles Programm wird keine Ergebnisse liefern. Wenn Sie diese Technologie nicht verwenden, zeigt das HTTP-Protokoll sofort an, zu welcher Site Sie sich verbinden.
VPN-Struktur
Diese Verbindung besteht aus zwei Teilen. Das erste wird als "internes" Netzwerk bezeichnet, Sie können mehrere davon erstellen. Die zweite ist die „externe“, über die die gekapselte Verbindung erfolgt, in der Regel wird das Internet verwendet. Es ist auch möglich, einen einzelnen Computer mit dem Netzwerk zu verbinden. Der Benutzer wird über einen Zugriffsserver, der gleichzeitig mit dem externen und internen Netzwerk verbunden ist, mit einem bestimmten VPN verbunden.
Wenn ein VPN-Programm einen entfernten Benutzer verbindet, muss der Server zwei wichtige Prozesse durchlaufen: zuerst Identifizierung, dann Authentifizierung. Dies ist erforderlich, um Rechte zur Nutzung dieser Verbindung zu erhalten. Wenn Sie diese beiden Phasen erfolgreich durchlaufen haben, wird Ihr Netzwerk gestärkt, was die Möglichkeit der Arbeit eröffnet. Im Wesentlichen ist dies der Autorisierungsprozess.
VPN-Klassifizierung
Es gibt verschiedene Arten von virtuellen privaten Netzwerken. Es gibt Optionen für den Sicherheitsgrad, die Implementierungsmethode, die Arbeitsebene gemäß dem ISO / OSI-Modell, das beteiligte Protokoll. Sie können einen kostenpflichtigen Zugang oder einen kostenlosen VPN-Dienst von Google nutzen. Je nach Sicherheitsgrad können Kanäle „sicher“ oder „vertrauenswürdig“ sein. Letztere werden benötigt, wenn die Verbindung selbst das gewünschte Schutzniveau aufweist. Um die erste Option zu organisieren, sollten die folgenden Technologien verwendet werden:
So erstellen Sie einen VPN-Server
Für alle Computerbenutzer gibt es eine Möglichkeit, sich selbst mit einem VPN zu verbinden. Unten ist eine Option für Betriebssystem Fenster. Dieses Handbuch sieht nicht die Verwendung zusätzlicher Software vor. Die Einstellung erfolgt wie folgt:
So richten Sie ein VPN auf Android ein
Die oben beschriebene Methode war, wie man eine VPN-Verbindung erstellt persönlicher Computer. Viele führen jedoch seit langem alle Aktionen mit dem Telefon aus. Wenn Sie nicht wissen, was ein VPN auf Android ist, dann alle oben genannten Fakten dieser Typ Verbindungen gelten auch für ein Smartphone. Die Konfiguration moderner Geräte ermöglicht eine komfortable Nutzung des Internets mit hoher Geschwindigkeit. In einigen Fällen (zum Starten von Spielen, Öffnen von Websites) verwenden sie Proxy-Substitution oder Anonymisierer, aber für Stabilität und Schnelligkeit VPN-Verbindungen passt besser.
Wenn Sie bereits wissen, was ein VPN auf einem Telefon ist, können Sie direkt zum Erstellen eines Tunnels übergehen. Sie können dies auf jedem Android-Gerät tun. Der Anschluss erfolgt wie folgt:
Video: Kostenloser VPN-Dienst
Wird geladen...