Το Διαδίκτυο χρησιμοποιείται όλο και περισσότερο ως μέσο επικοινωνίας μεταξύ των υπολογιστών επειδή προσφέρει αποτελεσματική και φθηνή επικοινωνία. Ωστόσο, το Διαδίκτυο είναι ένα δημόσιο δίκτυο και για να διασφαλιστεί η ασφαλής επικοινωνία μέσω αυτού, απαιτείται κάποιος μηχανισμός που να ικανοποιεί τουλάχιστον τις ακόλουθες εργασίες:
εμπιστευτικότητα των πληροφοριών·
ακεραιότητα δεδομένων;
διαθεσιμότητα πληροφοριών·
Αυτές οι απαιτήσεις ικανοποιούνται από έναν μηχανισμό που ονομάζεται VPN (Virtual Private Network - εικονικό ιδιωτικό δίκτυο) - ένα γενικευμένο όνομα για τεχνολογίες που σας επιτρέπουν να παρέχετε μία ή περισσότερες συνδέσεις δικτύου (λογικό δίκτυο) μέσω ενός άλλου δικτύου (για παράδειγμα, το Διαδίκτυο) χρησιμοποιώντας κρυπτογραφία εργαλεία (κρυπτογράφηση, έλεγχος ταυτότητας, δημόσια κλειδιά υποδομής, μέσα προστασίας από την επανάληψη και την αλλαγή των μηνυμάτων που μεταδίδονται μέσω του λογικού δικτύου).
Η δημιουργία ενός VPN δεν απαιτεί πρόσθετες επενδύσεις και σας επιτρέπει να σταματήσετε να χρησιμοποιείτε μισθωμένες γραμμές. Ανάλογα με τα πρωτόκολλα που χρησιμοποιούνται και τον σκοπό, ένα VPN μπορεί να παρέχει τρεις τύπους συνδέσεων: host-host, host-network και network-network.
Για λόγους σαφήνειας, ας φανταστούμε το ακόλουθο παράδειγμα: μια επιχείρηση έχει πολλά εδαφικά απομακρυσμένα υποκαταστήματα και «κινητούς» υπαλλήλους που εργάζονται στο σπίτι ή στο δρόμο. Είναι απαραίτητο να ενωθούν όλοι οι εργαζόμενοι της επιχείρησης σε ένα ενιαίο δίκτυο. Ο ευκολότερος τρόπος είναι να τοποθετήσετε μόντεμ σε κάθε κλάδο και να οργανώσετε την επικοινωνία όπως χρειάζεται. Μια τέτοια λύση, ωστόσο, δεν είναι πάντα βολική και κερδοφόρα - μερικές φορές χρειάζεστε σταθερή σύνδεση και μεγάλο εύρος ζώνης. Για να γίνει αυτό, θα πρέπει είτε να βάλετε μια ειδική γραμμή μεταξύ των υποκαταστημάτων είτε να τα νοικιάσετε. Και τα δύο είναι αρκετά ακριβά. Και εδώ, εναλλακτικά, όταν δημιουργείτε ένα ενιαίο ασφαλές δίκτυο, μπορείτε να χρησιμοποιήσετε συνδέσεις VPN όλων των υποκαταστημάτων της εταιρείας μέσω Διαδικτύου και να διαμορφώσετε τα εργαλεία VPN σε κεντρικούς υπολογιστές δικτύου.
Ρύζι. 6.4.σύνδεση VPN από ιστότοπο σε ιστότοπο
Ρύζι. 6.5.Σύνδεση κεντρικού υπολογιστή σε δίκτυο VPN
Σε αυτή την περίπτωση, επιλύονται πολλά προβλήματα - τα υποκαταστήματα μπορούν να βρίσκονται οπουδήποτε σε όλο τον κόσμο.
Ο κίνδυνος εδώ είναι ότι, πρώτον, ανοιχτό δίκτυοδιαθέσιμο για επιθέσεις από εισβολείς σε όλο τον κόσμο. Δεύτερον, όλα τα δεδομένα μεταδίδονται μέσω του Διαδικτύου και οι εισβολείς, έχοντας παραβιάσει το δίκτυο, θα έχουν όλες τις πληροφορίες που μεταδίδονται μέσω του δικτύου. Και, τρίτον, τα δεδομένα μπορούν όχι μόνο να υποκλαπούν, αλλά και να αντικατασταθούν κατά τη μετάδοση μέσω του δικτύου. Ένας εισβολέας μπορεί, για παράδειγμα, να θέσει σε κίνδυνο την ακεραιότητα των βάσεων δεδομένων ενεργώντας για λογαριασμό των πελατών ενός από τα αξιόπιστα υποκαταστήματα.
Για να αποφευχθεί αυτό, οι λύσεις VPN χρησιμοποιούν εργαλεία όπως η κρυπτογράφηση δεδομένων για τη διασφάλιση της ακεραιότητας και του απορρήτου, τον έλεγχο ταυτότητας και την εξουσιοδότηση για την επαλήθευση των δικαιωμάτων χρήστη και την πρόσβαση σε ένα εικονικό ιδιωτικό δίκτυο.
Μια σύνδεση VPN αποτελείται πάντα από μια σύνδεση σημείου προς σημείο, γνωστή και ως σήραγγα. Η σήραγγα δημιουργείται σε ένα ανασφαλές δίκτυο, που τις περισσότερες φορές είναι το Διαδίκτυο.
Η σήραγγα ή η ενθυλάκωση είναι ένας τρόπος μεταφοράς χρήσιμων πληροφοριών μέσω ενός ενδιάμεσου δικτύου. Τέτοιες πληροφορίες μπορεί να είναι πλαίσια (ή πακέτα) άλλου πρωτοκόλλου. Με την ενθυλάκωση, το πλαίσιο δεν μεταδίδεται όπως δημιουργήθηκε από τον κεντρικό υπολογιστή αποστολής, αλλά παρέχεται με μια πρόσθετη κεφαλίδα που περιέχει πληροφορίες δρομολόγησης που επιτρέπει στα ενθυλακωμένα πακέτα να περάσουν μέσα από το ενδιάμεσο δίκτυο (Διαδίκτυο). Στο τέλος του τούνελ, τα πλαίσια απο-ενθυλακώνονται και μεταδίδονται στον παραλήπτη. Συνήθως, μια σήραγγα δημιουργείται από δύο συσκευές ακμών που βρίσκονται σε σημεία εισόδου στο δημόσιο δίκτυο. Ένα από τα προφανή πλεονεκτήματα του tunneling είναι ότι αυτή η τεχνολογία σάς επιτρέπει να κρυπτογραφείτε ολόκληρο το αρχικό πακέτο, συμπεριλαμβανομένης της κεφαλίδας, η οποία μπορεί να περιέχει δεδομένα που περιέχουν πληροφορίες που χρησιμοποιούν οι εισβολείς για να χακάρουν το δίκτυο (για παράδειγμα, διευθύνσεις IP, αριθμό υποδικτύων κ.λπ. ) .
Αν και μια σήραγγα VPN δημιουργείται μεταξύ δύο σημείων, κάθε κεντρικός υπολογιστής μπορεί να δημιουργήσει πρόσθετες σήραγγες με άλλους κεντρικούς υπολογιστές. Για παράδειγμα, όταν τρεις απομακρυσμένοι σταθμοί πρέπει να επικοινωνήσουν με το ίδιο γραφείο, θα δημιουργηθούν τρεις ξεχωριστές σήραγγες VPN σε αυτό το γραφείο. Για όλες τις σήραγγες, ο κόμβος στην πλευρά του γραφείου μπορεί να είναι ο ίδιος. Αυτό είναι δυνατό λόγω του γεγονότος ότι ο κόμβος μπορεί να κρυπτογραφήσει και να αποκρυπτογραφήσει δεδομένα για λογαριασμό ολόκληρου του δικτύου, όπως φαίνεται στο σχήμα:
Ρύζι. 6.6.Δημιουργήστε σήραγγες VPN για πολλές απομακρυσμένες τοποθεσίες
Ο χρήστης δημιουργεί μια σύνδεση με την πύλη VPN, μετά την οποία ο χρήστης έχει πρόσβαση στο εσωτερικό δίκτυο.
Μέσα σε ένα ιδιωτικό δίκτυο, η ίδια η κρυπτογράφηση δεν πραγματοποιείται. Ο λόγος είναι ότι αυτό το τμήμα του δικτύου θεωρείται ασφαλές και υπό άμεσο έλεγχο, σε αντίθεση με το Διαδίκτυο. Αυτό ισχύει επίσης κατά τη σύνδεση γραφείων χρησιμοποιώντας πύλες VPN. Έτσι, η κρυπτογράφηση είναι εγγυημένη μόνο για πληροφορίες που μεταδίδονται μέσω ενός μη ασφαλούς καναλιού μεταξύ των γραφείων.
Υπάρχουν πολλά διάφορες λύσειςγια την κατασκευή εικονικών ιδιωτικών δικτύων. Τα πιο διάσημα και ευρέως χρησιμοποιούμενα πρωτόκολλα είναι:
PPTP (Point-to-Point Tunneling Protocol) - αυτό το πρωτόκολλο έχει γίνει αρκετά δημοφιλές λόγω της συμπερίληψής του στα λειτουργικά συστήματα της Microsoft.
L2TP (Layer-2 Tunneling Protocol) - συνδυάζει το πρωτόκολλο L2F (Layer 2 Forwarding) και το πρωτόκολλο PPTP. Συνήθως χρησιμοποιείται σε συνδυασμό με το IPSec.
Το IPSec (Internet Protocol Security) είναι ένα επίσημο πρότυπο Διαδικτύου που αναπτύχθηκε από την κοινότητα IETF (Internet Engineering Task Force).
Τα πρωτόκολλα που αναφέρονται στη λίστα υποστηρίζονται από συσκευές D-Link.
Το πρωτόκολλο PPTP προορίζεται κυρίως για εικονικά ιδιωτικά δίκτυα που βασίζονται σε συνδέσεις μέσω τηλεφώνου. Το πρωτόκολλο σάς επιτρέπει να οργανώσετε την απομακρυσμένη πρόσβαση, έτσι ώστε οι χρήστες να μπορούν να δημιουργήσουν συνδέσεις μέσω τηλεφώνου με παρόχους Διαδικτύου και να δημιουργήσουν μια ασφαλή σήραγγα στα εταιρικά τους δίκτυα. Σε αντίθεση με το IPSec, το πρωτόκολλο PPTP δεν προοριζόταν αρχικά για την οργάνωση τούνελ μεταξύ τοπικών δικτύων. Το PPTP επεκτείνει τις δυνατότητες του PPP, ενός πρωτοκόλλου σύνδεσης δεδομένων που σχεδιάστηκε αρχικά για να ενθυλακώνει δεδομένα και να τα παραδίδει μέσω συνδέσεων από σημείο σε σημείο.
Το πρωτόκολλο PPTP σάς επιτρέπει να δημιουργείτε ασφαλή κανάλια για ανταλλαγή δεδομένων χρησιμοποιώντας διάφορα πρωτόκολλα - IP, IPX, NetBEUI, κ.λπ. Τα δεδομένα αυτών των πρωτοκόλλων συσκευάζονται σε πλαίσια PPP, ενσωματωμένα χρησιμοποιώντας το πρωτόκολλο PPTP σε πακέτα πρωτοκόλλου IP. Στη συνέχεια μεταφέρονται χρησιμοποιώντας IP σε κρυπτογραφημένη μορφή μέσω οποιουδήποτε δικτύου TCP/IP. Ο κόμβος λήψης εξάγει τα πλαίσια PPP από τα πακέτα IP και στη συνέχεια τα επεξεργάζεται με τον τυπικό τρόπο, π.χ. εξάγει ένα πακέτο IP, IPX ή NetBEUI από ένα πλαίσιο PPP και το στέλνει μέσω του τοπικού δικτύου. Έτσι, το πρωτόκολλο PPTP δημιουργεί μια σύνδεση από σημείο σε σημείο στο δίκτυο και μεταδίδει δεδομένα μέσω του δημιουργημένου ασφαλούς καναλιού. Το κύριο πλεονέκτημα της ενθυλάκωσης πρωτοκόλλων όπως το PPTP είναι η πολυπρωτόκολλη φύση τους. Εκείνοι. Η προστασία δεδομένων στο επίπεδο σύνδεσης δεδομένων είναι διαφανής για τα πρωτόκολλα του επιπέδου δικτύου και εφαρμογών. Επομένως, εντός του δικτύου, τόσο το πρωτόκολλο IP (όπως στην περίπτωση ενός VPN που βασίζεται σε IPSec) ή οποιοδήποτε άλλο πρωτόκολλο μπορεί να χρησιμοποιηθεί ως μεταφορά.
Επί του παρόντος, λόγω της ευκολίας εφαρμογής, το πρωτόκολλο PPTP χρησιμοποιείται ευρέως τόσο για την απόκτηση αξιόπιστης ασφαλούς πρόσβασης σε ένα εταιρικό δίκτυο όσο και για πρόσβαση σε δίκτυα ISP όταν ένας πελάτης χρειάζεται να δημιουργήσει μια σύνδεση PPTP με έναν ISP για να έχει πρόσβαση στο Διαδίκτυο.
Η μέθοδος κρυπτογράφησης που χρησιμοποιείται στο PPTP καθορίζεται στο επίπεδο PPP. Συνήθως ο πελάτης PPP είναι επιτραπέζιος υπολογιστήςμε το λειτουργικό σύστημα της Microsoft και το πρωτόκολλο κρυπτογράφησης από σημείο σε σημείο (MPPE) της Microsoft χρησιμοποιείται ως πρωτόκολλο κρυπτογράφησης. Αυτό το πρωτόκολλο βασίζεται στο πρότυπο RSA RC4 και υποστηρίζει κρυπτογράφηση 40 ή 128 bit. Για πολλές εφαρμογές αυτού του επιπέδου κρυπτογράφησης, η χρήση αυτού του αλγορίθμου είναι επαρκής, αν και θεωρείται λιγότερο ασφαλής από ορισμένους άλλους αλγόριθμους κρυπτογράφησης που προσφέρονται από το IPSec, ιδίως το Πρότυπο κρυπτογράφησης τριπλών δεδομένων 168 bit (3DES).
Πώς δημιουργείται η σύνδεσηPPTP?
Το PPTP ενσωματώνει πακέτα IP για μετάδοση μέσω δικτύου IP. Οι πελάτες PPTP δημιουργούν μια σύνδεση ελέγχου σήραγγας που διατηρεί τη σύνδεση ζωντανή. Αυτή η διαδικασία εκτελείται στο επίπεδο μεταφοράς του μοντέλου OSI. Μετά τη δημιουργία του τούνελ, ο υπολογιστής-πελάτης και ο διακομιστής αρχίζουν να ανταλλάσσουν πακέτα υπηρεσιών.
Εκτός από τη σύνδεση ελέγχου PPTP, δημιουργείται μια σύνδεση για την αποστολή δεδομένων μέσω της σήραγγας. Η ενθυλάκωση δεδομένων πριν από την αποστολή τους στη σήραγγα περιλαμβάνει δύο βήματα. Αρχικά, δημιουργείται το τμήμα πληροφοριών του πλαισίου PPP. Τα δεδομένα ρέουν από πάνω προς τα κάτω, από το επίπεδο εφαρμογής OSI στο επίπεδο σύνδεσης. Τα ληφθέντα δεδομένα αποστέλλονται στη συνέχεια στο μοντέλο OSI και ενθυλακώνονται από πρωτόκολλα ανώτερου επιπέδου.
Τα δεδομένα από το επίπεδο σύνδεσης φτάνουν στο επίπεδο μεταφοράς. Ωστόσο, οι πληροφορίες δεν μπορούν να σταλούν στον προορισμό τους, καθώς το επίπεδο σύνδεσης OSI είναι υπεύθυνο για αυτό. Επομένως, το PPTP κρυπτογραφεί το πεδίο ωφέλιμου φορτίου του πακέτου και αναλαμβάνει τις λειτουργίες δεύτερου επιπέδου που συνήθως ανήκουν στο PPP, δηλαδή προσθέτει μια κεφαλίδα PPP (κεφαλίδα) και μια κατάληξη (τρέιλερ) στο πακέτο PPTP. Αυτό ολοκληρώνει τη δημιουργία του πλαισίου επιπέδου σύνδεσης. Στη συνέχεια, το PPTP ενσωματώνει το πλαίσιο PPP σε ένα πακέτο Generic Routing Encapsulation (GRE) που ανήκει στο επίπεδο δικτύου. Το GRE ενσωματώνει πρωτόκολλα επιπέδου δικτύου όπως IP, IPX για να τους επιτρέψει να μεταφερθούν μέσω δικτύων IP. Ωστόσο, η χρήση του πρωτοκόλλου GRE από μόνη της δεν θα εξασφαλίσει τη δημιουργία συνεδρίας και την ασφάλεια των δεδομένων. Αυτό χρησιμοποιεί την ικανότητα του PPTP να δημιουργεί μια σύνδεση ελέγχου σήραγγας. Η χρήση του GRE ως μεθόδου ενθυλάκωσης περιορίζει το πεδίο εφαρμογής του PPTP μόνο σε δίκτυα IP.
Αφού το πλαίσιο PPP έχει ενθυλακωθεί σε ένα πλαίσιο με κεφαλίδα GRE, ενθυλακώνεται σε πλαίσιο με κεφαλίδα IP. Η κεφαλίδα IP περιέχει τις διευθύνσεις αποστολέα και παραλήπτη του πακέτου. Τέλος, το PPTP προσθέτει μια κεφαλίδα PPP και τέλος.
Επί ρύζι. 6.7δείχνει τη δομή δεδομένων για προώθηση μέσω μιας σήραγγας PPTP:
Ρύζι. 6.7.Δομή δεδομένων για προώθηση σε σήραγγα PPTP
Η εγκατάσταση ενός VPN με βάση το PPTP δεν απαιτεί μεγάλα έξοδα και πολύπλοκες ρυθμίσεις: αρκεί να εγκαταστήσετε έναν διακομιστή PPTP στο κεντρικό γραφείο (οι λύσεις PPTP υπάρχουν και για πλατφόρμες Windows και Linux) και κάνετε τις απαραίτητες ρυθμίσεις σε υπολογιστές-πελάτες. Εάν πρέπει να συνδυάσετε πολλούς κλάδους, τότε αντί να ρυθμίσετε το PPTP σε όλους τους σταθμούς-πελάτες, είναι καλύτερο να χρησιμοποιήσετε έναν δρομολογητή Διαδικτύου ή ένα τείχος προστασίας με υποστήριξη PPTP: οι ρυθμίσεις γίνονται μόνο σε δρομολογητή συνόρων (τείχος προστασίας) συνδεδεμένο στο Διαδίκτυο. όλα είναι απολύτως διαφανή για τους χρήστες. Παραδείγματα τέτοιων συσκευών είναι οι πολυλειτουργικοί δρομολογητές Διαδικτύου DIR/DSR και τα τείχη προστασίας της σειράς DFL.
GRE- τούνελ
Το Generic Routing Encapsulation (GRE) είναι ένα πρωτόκολλο ενθυλάκωσης πακέτων δικτύου που παρέχει διοχέτευση κυκλοφορίας μέσω δικτύων χωρίς κρυπτογράφηση. Παραδείγματα χρήσης GRE:
μετάδοση κίνησης (συμπεριλαμβανομένης της εκπομπής) μέσω εξοπλισμού που δεν υποστηρίζει συγκεκριμένο πρωτόκολλο·
διοχέτευση της κυκλοφορίας IPv6 μέσω ενός δικτύου IPv4·
μετάδοση δεδομένων μέσω δημόσιων δικτύων για την υλοποίηση ασφαλούς σύνδεσης VPN.
Ρύζι. 6.8.Ένα παράδειγμα σήραγγας GRE
Ανάμεσα σε δύο δρομολογητές Α και Β ( ρύζι. 6.8) υπάρχουν αρκετοί δρομολογητές, η σήραγγα GRE σάς επιτρέπει να παρέχετε μια σύνδεση μεταξύ των τοπικών δικτύων 192.168.1.0/24 και 192.168.3.0/24 σαν να είχαν συνδεθεί απευθείας οι δρομολογητές Α και Β.
μεγάλο2 TP
Το πρωτόκολλο L2TP εμφανίστηκε ως αποτέλεσμα της συγχώνευσης των πρωτοκόλλων PPTP και L2F. Το κύριο πλεονέκτημα του πρωτοκόλλου L2TP είναι ότι σας επιτρέπει να δημιουργήσετε ένα τούνελ όχι μόνο σε δίκτυα IP, αλλά και σε δίκτυα ATM, X.25 και Frame relay. Το L2TP χρησιμοποιεί το UDP ως μεταφορά και χρησιμοποιεί την ίδια μορφή μηνύματος τόσο για τη διαχείριση σήραγγας όσο και για την προώθηση δεδομένων.
Όπως και στην περίπτωση του PPTP, το L2TP ξεκινά τη συναρμολόγηση ενός πακέτου για μετάδοση στη σήραγγα προσθέτοντας πρώτα την κεφαλίδα PPP και μετά την κεφαλίδα L2TP στο πεδίο δεδομένων πληροφοριών PPP. Το πακέτο που λαμβάνεται με αυτόν τον τρόπο ενθυλακώνεται από το UDP. Ανάλογα με τον τύπο της πολιτικής ασφάλειας IPSec που επιλέγεται, το L2TP μπορεί να κρυπτογραφήσει μηνύματα UDP και να προσθέσει μια κεφαλίδα και ένα τελείωμα Encapsulating Security Payload (ESP), καθώς και ένα τέλος ελέγχου ταυτότητας IPSec (δείτε την ενότητα "L2TP over IPSec"). Στη συνέχεια ενσωματώνεται σε IP. Προστίθεται μια κεφαλίδα IP που περιέχει τις διευθύνσεις αποστολέα και παραλήπτη. Τέλος, το L2TP εκτελεί μια δεύτερη ενθυλάκωση PPP για να προετοιμάσει τα δεδομένα για μετάδοση. Επί ρύζι. 6.9δείχνει τη δομή δεδομένων που πρόκειται να σταλεί μέσω μιας σήραγγας L2TP.
Ρύζι. 6.9.Δομή δεδομένων για προώθηση μέσω σήραγγας L2TP
Ο υπολογιστής λήψης λαμβάνει τα δεδομένα, επεξεργάζεται την κεφαλίδα και το τέλος PPP και αφαιρεί την κεφαλίδα IP. Το IPSec Authentication ελέγχει την ταυτότητα του πεδίου πληροφοριών IP και η κεφαλίδα IPSec ESP βοηθά στην αποκρυπτογράφηση του πακέτου.
Στη συνέχεια, ο υπολογιστής επεξεργάζεται την κεφαλίδα UDP και χρησιμοποιεί την κεφαλίδα L2TP για να αναγνωρίσει τη σήραγγα. Το πακέτο PPP περιέχει τώρα μόνο το ωφέλιμο φορτίο που υποβάλλεται σε επεξεργασία ή προωθείται στον καθορισμένο παραλήπτη.
Το IPsec (συντομογραφία της λέξης Ασφάλεια IP) είναι ένα σύνολο πρωτοκόλλων για την ασφάλεια των δεδομένων που μεταδίδονται μέσω του Πρωτοκόλλου Διαδικτύου IP, επιτρέποντας τον έλεγχο ταυτότητας και/ή την κρυπτογράφηση των πακέτων IP. Το IPsec περιλαμβάνει επίσης πρωτόκολλα για ασφαλή ανταλλαγή κλειδιών στο Διαδίκτυο.
Η ασφάλεια IPSec επιτυγχάνεται μέσω πρόσθετων πρωτοκόλλων που προσθέτουν τις δικές τους κεφαλίδες στο πακέτο IP - ενθυλάκωση. Επειδή Το IPSec είναι ένα πρότυπο Διαδικτύου, οπότε υπάρχουν έγγραφα RFC για αυτό:
Το RFC 2401 (Αρχιτεκτονική ασφαλείας για το Πρωτόκολλο Διαδικτύου) είναι η αρχιτεκτονική ασφαλείας για το πρωτόκολλο IP.
RFC 2402 (κεφαλίδα ελέγχου ταυτότητας IP) - Κεφαλίδα ελέγχου ταυτότητας IP.
RFC 2404 (Η χρήση του HMAC-SHA-1-96 εντός ESP και AH) - Χρήση του αλγορίθμου κατακερματισμού SHA-1 για τη δημιουργία μιας κεφαλίδας ελέγχου ταυτότητας.
RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - Χρήση του αλγόριθμου κρυπτογράφησης DES.
RFC 2406 (IP Encapsulating Security Payload (ESP)) - Κρυπτογράφηση δεδομένων.
Το RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) είναι το πεδίο εφαρμογής του πρωτοκόλλου διαχείρισης κλειδιών.
RFC 2408( διαδικτυακή ασφάλειαΠρωτόκολλο συσχέτισης και διαχείρισης κλειδιών (ISAKMP) - διαχείριση κλειδιών και ελέγχου ταυτότητας ασφαλών συνδέσεων.
RFC 2409 (The Internet Key Exchange (IKE)) - Key Exchange.
RFC 2410 (Ο αλγόριθμος κρυπτογράφησης NULL και η χρήση του με IPsec) - Ο αλγόριθμος κρυπτογράφησης NULL και η χρήση του.
Το RFC 2411 (IP Security Document Roadmap) είναι μια περαιτέρω εξέλιξη του προτύπου.
RFC 2412 (The OAKLEY Key Determination Protocol) - Έλεγχος της αυθεντικότητας ενός κλειδιού.
Το IPsec είναι αναπόσπαστο μέρος του Πρωτοκόλλου Διαδικτύου IPv6 και προαιρετική επέκταση της έκδοσης IPv4 του Πρωτοκόλλου Διαδικτύου.
Ο μηχανισμός IPSec εκτελεί τις ακόλουθες εργασίες:
έλεγχος ταυτότητας χρηστών ή υπολογιστών κατά την προετοιμασία ασφαλούς καναλιού.
κρυπτογράφηση και έλεγχος ταυτότητας των δεδομένων που μεταδίδονται μεταξύ των τελικών σημείων ενός ασφαλούς καναλιού·
αυτόματη παροχή τελικών σημείων καναλιού με μυστικά κλειδιά που είναι απαραίτητα για τη λειτουργία των πρωτοκόλλων ελέγχου ταυτότητας και κρυπτογράφησης δεδομένων.
Στοιχεία IPSec
Το πρωτόκολλο AH (Authentication Header) είναι ένα πρωτόκολλο αναγνώρισης κεφαλίδας. Διασφαλίζει την ακεραιότητα επαληθεύοντας ότι κανένα bit στο προστατευμένο τμήμα του πακέτου δεν έχει αλλάξει κατά τη μετάδοση. Αλλά η χρήση του AH μπορεί να προκαλέσει προβλήματα, για παράδειγμα, όταν ένα πακέτο διέρχεται από μια συσκευή NAT. Το NAT αλλάζει τη διεύθυνση IP του πακέτου για να επιτρέπει την πρόσβαση στο Διαδίκτυο από κλειστό τοπική διεύθυνση. Επειδή Σε αυτήν την περίπτωση, το πακέτο αλλάζει, τότε το άθροισμα ελέγχου AH γίνεται λανθασμένο (για την εξάλειψη αυτού του προβλήματος, αναπτύχθηκε το πρωτόκολλο NAT-Traversal (NAT-T), το οποίο παρέχει μετάδοση ESP μέσω UDP και χρησιμοποιεί τη θύρα UDP 4500 στην εργασία του). Αξίζει επίσης να σημειωθεί ότι το AH σχεδιάστηκε μόνο για ακεραιότητα. Δεν εγγυάται την εμπιστευτικότητα κρυπτογραφώντας τα περιεχόμενα της συσκευασίας.
Το πρωτόκολλο ESP (Encapsulation Security Payload) παρέχει όχι μόνο την ακεραιότητα και τον έλεγχο ταυτότητας των μεταδιδόμενων δεδομένων, αλλά και την κρυπτογράφηση δεδομένων, καθώς και προστασία από πλαστογράφηση πακέτων.
Το πρωτόκολλο ESP είναι ένα πρωτόκολλο ασφαλείας ενθυλάκωσης που παρέχει τόσο ακεραιότητα όσο και εμπιστευτικότητα. Στη λειτουργία μεταφοράς, η κεφαλίδα ESP βρίσκεται μεταξύ της αρχικής κεφαλίδας IP και της κεφαλίδας TCP ή UDP. Στη λειτουργία σήραγγας, η κεφαλίδα ESP τοποθετείται μεταξύ της νέας κεφαλίδας IP και του πλήρως κρυπτογραφημένου αρχικού πακέτου IP.
Επειδή Και τα δύο πρωτόκολλα - AH και ESP - προσθέτουν τις δικές τους κεφαλίδες IP, καθένα από αυτά έχει τον δικό του αριθμό πρωτοκόλλου (ID), με τον οποίο μπορείτε να καθορίσετε τι θα ακολουθήσει την κεφαλίδα IP. Κάθε πρωτόκολλο, σύμφωνα με την IANA (Internet Assigned Numbers Authority - ο οργανισμός που είναι υπεύθυνος για τον χώρο διευθύνσεων του Διαδικτύου), έχει τον δικό του αριθμό (ID). Για παράδειγμα, για το TCP αυτός ο αριθμός είναι 6 και για το UDP είναι 17. Επομένως, είναι πολύ σημαντικό όταν εργάζεστε μέσω ενός τείχους προστασίας να διαμορφώνετε τα φίλτρα με τέτοιο τρόπο ώστε να περνούν πακέτα με ID AH ή/και ESP του πρωτοκόλλου.
Το αναγνωριστικό πρωτοκόλλου 51 έχει οριστεί να υποδεικνύει ότι το AH υπάρχει στην κεφαλίδα IP και το 50 για το ESP.
ΠΡΟΣΟΧΗ: Το αναγνωριστικό πρωτοκόλλου δεν είναι το ίδιο με τον αριθμό θύρας.
Το πρωτόκολλο IKE (Internet Key Exchange) είναι ένα τυπικό πρωτόκολλο IPsec που χρησιμοποιείται για την ασφάλεια της επικοινωνίας σε εικονικά ιδιωτικά δίκτυα. Σκοπός της ΙΚΕ είναι η ασφαλής διαπραγμάτευση και παράδοση ταυτοποιημένου υλικού σε ένωση ασφαλείας (ΑΕ).
SA είναι ο όρος IPSec για μια σύνδεση. Ένα καθιερωμένο SA (ένα ασφαλές κανάλι που ονομάζεται "secure Association" ή "security Association" - Security Association, SA) περιλαμβάνει ένα κοινό μυστικό κλειδί και ένα σύνολο κρυπτογραφικών αλγορίθμων.
Το πρωτόκολλο IKE εκτελεί τρεις κύριες εργασίες:
παρέχει ένα μέσο ελέγχου ταυτότητας μεταξύ δύο τελικών σημείων VPN.
καθιερώνει νέες συνδέσεις IPSec (δημιουργεί ένα ζεύγος SA).
διαχειρίζεται τις υπάρχουσες σχέσεις.
Το IKE χρησιμοποιεί τον αριθμό θύρας UDP 500. Όταν χρησιμοποιείτε τη δυνατότητα διέλευσης NAT, όπως αναφέρθηκε προηγουμένως, το πρωτόκολλο IKE χρησιμοποιεί τον αριθμό θύρας UDP 4500.
Η ανταλλαγή δεδομένων στο IKE γίνεται σε 2 φάσεις. Σε πρώτη φάση ιδρύεται ο σύλλογος Α.Ε.ΙΚΕ. Ταυτόχρονα, γίνεται έλεγχος ταυτότητας των τελικών σημείων του καναλιού και επιλέγονται παράμετροι προστασίας δεδομένων, όπως ο αλγόριθμος κρυπτογράφησης, το κλειδί συνεδρίας κ.λπ.
Στη δεύτερη φάση, η SA IKE χρησιμοποιείται για διαπραγμάτευση πρωτοκόλλου (συνήθως IPSec).
Με μια διαμορφωμένη σήραγγα VPN, δημιουργείται ένα ζεύγος SA για κάθε πρωτόκολλο που χρησιμοποιείται. Οι SA δημιουργούνται σε ζεύγη, όπως κάθε SA είναι μια σύνδεση μονής κατεύθυνσης και τα δεδομένα πρέπει να αποστέλλονται προς δύο κατευθύνσεις. Τα λαμβανόμενα ζεύγη SA αποθηκεύονται σε κάθε κόμβο.
Επειδή κάθε κόμβος είναι ικανός να δημιουργήσει πολλαπλές σήραγγες με άλλους κόμβους, κάθε SA έχει έναν μοναδικό αριθμό για να προσδιορίσει σε ποιον κόμβο ανήκει. Αυτός ο αριθμός ονομάζεται SPI (Security Parameter Index) ή Security Parameter Index.
SA αποθηκευμένο σε βάση δεδομένων (DB) ΛΥΠΗΜΕΝΟΣ(Security Association Database).
Κάθε κόμβος IPSec έχει επίσης ένα δεύτερο DB − SPD(Security Policy Database) - Βάση δεδομένων πολιτικών ασφαλείας. Περιέχει τη διαμορφωμένη πολιτική κεντρικού υπολογιστή. Οι περισσότερες λύσεις VPN σάς επιτρέπουν να δημιουργήσετε πολλαπλές πολιτικές με συνδυασμούς κατάλληλων αλγορίθμων για κάθε κεντρικό υπολογιστή στον οποίο θέλετε να συνδεθείτε.
Η ευελιξία του IPSec έγκειται στο γεγονός ότι για κάθε εργασία υπάρχουν διάφοροι τρόποι επίλυσής της και οι μέθοδοι που επιλέγονται για μία εργασία είναι συνήθως ανεξάρτητες από τις μεθόδους για την υλοποίηση άλλων εργασιών. Ωστόσο, η Ομάδα Εργασίας IETF έχει ορίσει ένα βασικό σύνολο υποστηριζόμενων χαρακτηριστικών και αλγορίθμων που πρέπει να εφαρμοστούν με τον ίδιο τρόπο σε όλα τα προϊόντα με δυνατότητα IPSec. Οι μηχανισμοί AH και ESP μπορούν να χρησιμοποιηθούν με διάφορα σχήματα ελέγχου ταυτότητας και κρυπτογράφησης, μερικά από τα οποία είναι υποχρεωτικά. Για παράδειγμα, το IPSec καθορίζει ότι τα πακέτα επαληθεύονται είτε με τη μονόδρομη συνάρτηση MD5 είτε τη μονόδρομη συνάρτηση SHA-1 και η κρυπτογράφηση γίνεται χρησιμοποιώντας τον αλγόριθμο DES. Οι κατασκευαστές προϊόντων που εκτελούν IPSec μπορούν να προσθέσουν άλλους αλγόριθμους ελέγχου ταυτότητας και κρυπτογράφησης. Για παράδειγμα, ορισμένα προϊόντα υποστηρίζουν αλγόριθμους κρυπτογράφησης όπως 3DES, Blowfish, Cast, RC5 κ.λπ.
Οποιοσδήποτε συμμετρικός αλγόριθμος κρυπτογράφησης που χρησιμοποιεί μυστικά κλειδιά μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση δεδομένων σε IPSec.
Τα πρωτόκολλα προστασίας ροής (AH και ESP) μπορούν να λειτουργήσουν σε δύο λειτουργίες - in τρόπο μεταφοράςκαι στο λειτουργία σήραγγας. Όταν λειτουργεί σε λειτουργία μεταφοράς, το IPsec ασχολείται μόνο με πληροφορίες επιπέδου μεταφοράς. κρυπτογραφείται μόνο το πεδίο δεδομένων του πακέτου που περιέχει τα πρωτόκολλα TCP/UDP (η κεφαλίδα του πακέτου IP δεν αλλάζει (δεν είναι κρυπτογραφημένη)). Η λειτουργία μεταφοράς χρησιμοποιείται συνήθως για τη δημιουργία σύνδεσης μεταξύ κεντρικών υπολογιστών.
Η λειτουργία Tunneling κρυπτογραφεί ολόκληρο το πακέτο IP, συμπεριλαμβανομένης της κεφαλίδας του επιπέδου δικτύου. Για να μεταδοθεί μέσω του δικτύου, τοποθετείται σε άλλο πακέτο IP. Ουσιαστικά, πρόκειται για μια ασφαλή σήραγγα IP. Η λειτουργία σήραγγας μπορεί να χρησιμοποιηθεί για τη σύνδεση απομακρυσμένων υπολογιστών σε ένα εικονικό ιδιωτικό δίκτυο (σύστημα σύνδεσης "κεντρικού δικτύου") ή για την οργάνωση ασφαλούς μεταφοράς δεδομένων μέσω ανοιχτών καναλιών επικοινωνίας (για παράδειγμα, το Διαδίκτυο) μεταξύ πυλών για συνδυασμό διαφορετικών τμημάτων ενός εικονικού ιδιωτικού δικτύου δίκτυο ("σχήμα σύνδεσης δικτύου"). -net").
Οι λειτουργίες IPsec δεν αποκλείονται αμοιβαία. Στον ίδιο κεντρικό υπολογιστή, ορισμένες SA μπορεί να χρησιμοποιούν τη λειτουργία μεταφοράς, ενώ άλλες μπορεί να χρησιμοποιούν τη λειτουργία σήραγγας.
Κατά τη φάση ελέγχου ταυτότητας, υπολογίζεται το άθροισμα ελέγχου ICV (Τιμή ελέγχου ακεραιότητας) του πακέτου. Αυτό προϋποθέτει ότι και οι δύο κόμβοι γνωρίζουν το μυστικό κλειδί, το οποίο επιτρέπει στον παραλήπτη να υπολογίσει το ICV και να συγκρίνει με το αποτέλεσμα που στέλνει ο αποστολέας. Εάν η σύγκριση ICV είναι επιτυχής, ο αποστολέας του πακέτου θεωρείται επικυρωμένος.
Σε λειτουργία μεταφοράAH
ολόκληρο το πακέτο IP, εκτός από ορισμένα πεδία στην κεφαλίδα IP, τα οποία μπορούν να αλλάξουν κατά τη μεταφορά. Αυτά τα πεδία, των οποίων οι τιμές για τον υπολογισμό ICV είναι 0, μπορούν να αποτελούν μέρος της υπηρεσίας (Τύπος υπηρεσίας, TOS), σημαίες, μετατόπιση θραύσματος, χρόνος ζωής (TTL), καθώς και κεφαλίδα αθροίσματος ελέγχου.
όλα τα πεδία στο AH?
ωφέλιμο φορτίο πακέτων IP.
Το AH στη λειτουργία μεταφοράς προστατεύει την κεφαλίδα IP (εκτός από τα πεδία που επιτρέπεται να αλλάξουν) και το ωφέλιμο φορτίο στο αρχικό πακέτο IP (Εικόνα 3.39).
Στη λειτουργία σήραγγας, το αρχικό πακέτο τοποθετείται σε ένα νέο πακέτο IP και η μεταφορά δεδομένων πραγματοποιείται με βάση την κεφαλίδα του νέου πακέτου IP.
Για λειτουργία σήραγγαςAHκατά την εκτέλεση ενός υπολογισμού, τα ακόλουθα στοιχεία περιλαμβάνονται στο άθροισμα ελέγχου ICV:
όλα τα πεδία στην εξωτερική κεφαλίδα IP, με εξαίρεση ορισμένα πεδία στην κεφαλίδα IP, τα οποία μπορούν να αλλάξουν κατά τη μετάδοση. Αυτά τα πεδία, των οποίων οι τιμές για τον υπολογισμό ICV είναι 0, μπορούν να αποτελούν μέρος της υπηρεσίας (Τύπος υπηρεσίας, TOS), σημαίες, μετατόπιση θραύσματος, χρόνος ζωής (TTL), καθώς και κεφαλίδα αθροίσματος ελέγχου.
όλα τα πεδία AH?
αρχικό πακέτο IP.
Όπως μπορείτε να δείτε στην παρακάτω εικόνα, η λειτουργία σήραγγας AH προστατεύει ολόκληρο το πακέτο IP πηγής με μια πρόσθετη εξωτερική κεφαλίδα που δεν χρησιμοποιεί η λειτουργία μεταφοράς AH:
Ρύζι. 6.10.Τρόποι λειτουργίας σήραγγας και μεταφοράς του πρωτοκόλλου ΑΝ
Σε λειτουργία μεταφοράESPδεν επαληθεύει ολόκληρο το πακέτο, αλλά προστατεύει μόνο το ωφέλιμο φορτίο IP. Η κεφαλίδα ESP στη λειτουργία μεταφοράς ESP προστίθεται στο πακέτο IP αμέσως μετά την κεφαλίδα IP και η κατάληξη ESP (ESP Trailer) προστίθεται ανάλογα μετά τα δεδομένα.
Η λειτουργία μεταφοράς ESP κρυπτογραφεί τα ακόλουθα μέρη του πακέτου:
ωφέλιμο φορτίο IP;
Ένας αλγόριθμος κρυπτογράφησης που χρησιμοποιεί τη λειτουργία κρυπτογράφησης Cipher Block Chaining (CBC) έχει ένα μη κρυπτογραφημένο πεδίο μεταξύ της κεφαλίδας ESP και του ωφέλιμου φορτίου. Αυτό το πεδίο ονομάζεται IV (Διάνυσμα εκκίνησης) για τον υπολογισμό CBC, ο οποίος εκτελείται στον δέκτη. Δεδομένου ότι αυτό το πεδίο χρησιμοποιείται για την έναρξη της διαδικασίας αποκρυπτογράφησης, δεν μπορεί να κρυπτογραφηθεί. Παρόλο που ο εισβολέας έχει τη δυνατότητα να δει το IV, δεν υπάρχει τρόπος να αποκρυπτογραφήσει το κρυπτογραφημένο τμήμα του πακέτου χωρίς το κλειδί κρυπτογράφησης. Για να αποτρέψετε τους εισβολείς από το να αλλάξουν το διάνυσμα αρχικοποίησης, προστατεύεται από το άθροισμα ελέγχου ICV. Σε αυτήν την περίπτωση, το ICV εκτελεί τους ακόλουθους υπολογισμούς:
όλα τα πεδία στην κεφαλίδα ESP.
ωφέλιμο φορτίο συμπεριλαμβανομένου απλού κειμένου IV.
όλα τα πεδία στο τρέιλερ ESP εκτός από το πεδίο δεδομένων ελέγχου ταυτότητας.
Η λειτουργία σήραγγας ESP ενσωματώνει ολόκληρο το αρχικό πακέτο IP σε μια νέα κεφαλίδα IP, μια κεφαλίδα ESP και ένα τρέιλερ ESP. Για να υποδείξετε ότι το ESP υπάρχει στην κεφαλίδα IP, το αναγνωριστικό πρωτοκόλλου IP ορίζεται στο 50, αφήνοντας την αρχική κεφαλίδα IP και το ωφέλιμο φορτίο αμετάβλητα. Όπως και με τη λειτουργία σήραγγας AH, η εξωτερική κεφαλίδα IP βασίζεται στη διαμόρφωση της σήραγγας IPSec. Στην περίπτωση χρήσης της λειτουργίας σήραγγας ESP, η περιοχή ελέγχου ταυτότητας του πακέτου IP δείχνει πού έγινε η υπογραφή, πιστοποιώντας την ακεραιότητα και τη γνησιότητά της, και το κρυπτογραφημένο τμήμα δείχνει ότι οι πληροφορίες είναι προστατευμένες και εμπιστευτικές. Η αρχική κεφαλίδα τοποθετείται μετά την κεφαλίδα ESP. Αφού το κρυπτογραφημένο τμήμα ενθυλακωθεί σε μια νέα κεφαλίδα σήραγγας που δεν είναι κρυπτογραφημένη, μεταδίδεται το πακέτο IP. Όταν αποστέλλεται μέσω ενός δημόσιου δικτύου, ένα τέτοιο πακέτο δρομολογείται στη διεύθυνση IP της πύλης του δικτύου λήψης και η πύλη αποκρυπτογραφεί το πακέτο και απορρίπτει την κεφαλίδα ESP χρησιμοποιώντας την αρχική κεφαλίδα IP για να δρομολογήσει στη συνέχεια το πακέτο σε έναν υπολογιστή που βρίσκεται στο το εσωτερικό δίκτυο. Η λειτουργία ESP tunneling κρυπτογραφεί τα ακόλουθα μέρη του πακέτου:
Για τη λειτουργία σήραγγας ESP, το ICV υπολογίζεται ως εξής:
όλα τα πεδία στην κεφαλίδα ESP.
το αρχικό πακέτο IP, συμπεριλαμβανομένου του απλού κειμένου IV.
όλα τα πεδία κεφαλίδας ESP εκτός από το πεδίο δεδομένων ελέγχου ταυτότητας.
αρχικό πακέτο IP.
Ρύζι. 6.11.Σήραγγα και τρόπος μεταφοράς του πρωτοκόλλου ESP
Ρύζι. 6.12.Σύγκριση πρωτοκόλλων ESP και AH
Σύνοψη των τρόπων εφαρμογήςIPSec:
Πρωτόκολλο - ESP (AH).
Τρόπος - σήραγγα (μεταφορά).
Μέθοδος ανταλλαγής κλειδιών - IKE (εγχειρίδιο).
Λειτουργία IKE - κύρια (επιθετική).
Κλειδί DH – ομάδα 5 (ομάδα 2, ομάδα 1) – αριθμός ομάδας για επιλογή δυναμικά δημιουργημένων κλειδιών συνεδρίας, διάρκεια ομάδας.
Έλεγχος ταυτότητας - SHA1 (SHA, MD5).
Κρυπτογράφηση - DES (3DES, Blowfish, AES).
Κατά τη δημιουργία μιας πολιτικής, είναι συνήθως δυνατή η δημιουργία μιας ταξινομημένης λίστας αλγορίθμων και ομάδων Diffie-Hellman. Το Diffie-Hellman (DH) είναι ένα πρωτόκολλο κρυπτογράφησης που χρησιμοποιείται για τη δημιουργία κοινών μυστικών κλειδιών για IKE, IPSec και PFS (Perfect Forward Secrecy). Σε αυτήν την περίπτωση, θα χρησιμοποιηθεί η πρώτη θέση που ταιριάζει και στους δύο κόμβους. Είναι πολύ σημαντικό ότι όλα στην πολιτική ασφαλείας σας επιτρέπουν να επιτύχετε αυτή τη σύμπτωση. Εάν όλα τα άλλα ταιριάζουν εκτός από ένα μέρος της πολιτικής, οι οικοδεσπότες θα εξακολουθούν να μην μπορούν να δημιουργήσουν μια σύνδεση VPN. Κατά τη ρύθμιση μιας σήραγγας VPN μεταξύ διάφορα συστήματαπρέπει να μάθετε ποιοι αλγόριθμοι υποστηρίζονται από κάθε πλευρά, ώστε να μπορείτε να επιλέξετε την πιο ασφαλή πολιτική από όλες τις δυνατές.
Οι κύριες ρυθμίσεις που περιλαμβάνει η πολιτική ασφαλείας:
Συμμετρικοί αλγόριθμοι για κρυπτογράφηση/αποκρυπτογράφηση δεδομένων.
Κρυπτογραφικά αθροίσματα ελέγχου για τον έλεγχο της ακεραιότητας των δεδομένων.
Μέθοδος αναγνώρισης κόμβου. Οι πιο συνηθισμένες μέθοδοι είναι τα εκ των προτέρων κοινά μυστικά ή τα πιστοποιητικά ΑΠ.
Είτε θα χρησιμοποιήσετε τη λειτουργία σήραγγας είτε τη λειτουργία μεταφοράς.
Ποια ομάδα Diffie-Hellman να χρησιμοποιήσετε (ομάδα DH 1 (768-bit), DH ομάδα 2 (1024-bit), DH ομάδα 5 (1536-bit)).
Είτε θα χρησιμοποιήσετε AH, ESP ή και τα δύο.
Εάν θα χρησιμοποιήσετε το PFS.
Ένας περιορισμός του IPSec είναι ότι υποστηρίζει μεταφορά δεδομένων μόνο στο επίπεδο πρωτοκόλλου IP.
Υπάρχουν δύο βασικά σχήματα για τη χρήση του IPSec, που διαφέρουν ως προς τον ρόλο των κόμβων που σχηματίζουν το ασφαλές κανάλι.
Στο πρώτο σχήμα, σχηματίζεται ένα ασφαλές κανάλι μεταξύ των τερματικών κεντρικών υπολογιστών του δικτύου. Σε αυτό το σχήμα, το πρωτόκολλο IPSec προστατεύει τον κεντρικό υπολογιστή που εκτελείται:
Ρύζι. 6.13.Δημιουργήστε ένα ασφαλές κανάλι μεταξύ δύο τελικών σημείων
Στο δεύτερο σχήμα, δημιουργείται ένα ασφαλές κανάλι μεταξύ δύο πυλών ασφαλείας. Αυτές οι πύλες λαμβάνουν δεδομένα από τερματικούς κεντρικούς υπολογιστές που είναι συνδεδεμένοι σε δίκτυα πίσω από τις πύλες. Οι τελικοί κεντρικοί υπολογιστές σε αυτήν την περίπτωση δεν υποστηρίζουν το πρωτόκολλο IPSec, η κίνηση που κατευθύνεται στο δημόσιο δίκτυο διέρχεται από την πύλη ασφαλείας, η οποία εκτελεί προστασία για λογαριασμό της.
Ρύζι. 6.14.Δημιουργία ασφαλούς καναλιού μεταξύ δύο πυλών
Για κεντρικούς υπολογιστές που υποστηρίζουν IPSec, μπορούν να χρησιμοποιηθούν τόσο η λειτουργία μεταφοράς όσο και η λειτουργία σήραγγας. Για τις πύλες, επιτρέπεται μόνο η λειτουργία σήραγγας.
Εγκατάσταση και υποστήριξηVPN
Όπως αναφέρθηκε παραπάνω, η εγκατάσταση και η συντήρηση μιας σήραγγας VPN είναι μια διαδικασία δύο βημάτων. Στο πρώτο στάδιο (φάση), οι δύο κόμβοι συμφωνούν σε μια μέθοδο αναγνώρισης, έναν αλγόριθμο κρυπτογράφησης, έναν αλγόριθμο κατακερματισμού και μια ομάδα Diffie-Hellman. Ταυτίζονται επίσης μεταξύ τους. Όλα αυτά μπορούν να συμβούν ως αποτέλεσμα της ανταλλαγής τριών μη κρυπτογραφημένων μηνυμάτων (η λεγόμενη επιθετική λειτουργία, Επιθετικός τρόπος) ή έξι μηνύματα, με την ανταλλαγή κρυπτογραφημένων πληροφοριών αναγνώρισης (τυπική λειτουργία, Κύριος τρόπος).
Στην κύρια λειτουργία, είναι δυνατή η διαπραγμάτευση όλων των παραμέτρων διαμόρφωσης των συσκευών αποστολέα και παραλήπτη, ενώ στην επιθετική λειτουργία αυτό δεν είναι δυνατό και ορισμένες παράμετροι (ομάδα Diffie-Hellman, αλγόριθμοι κρυπτογράφησης και ελέγχου ταυτότητας, PFS) πρέπει να είναι προ -Ρυθμίζεται με τον ίδιο τρόπο σε κάθε συσκευή. Ωστόσο, σε αυτήν τη λειτουργία, τόσο ο αριθμός των ανταλλαγών όσο και ο αριθμός των πακέτων που αποστέλλονται είναι λιγότερα, με αποτέλεσμα λιγότερο χρόνο για τη δημιουργία μιας περιόδου λειτουργίας IPSec.
Ρύζι. 6.15.Μηνύματα σε τυπικές λειτουργίες (α) και επιθετικές (β).
Υποθέτοντας ότι η λειτουργία ολοκληρώθηκε με επιτυχία, δημιουργείται μια πρώτη φάση SA − Φάση 1 ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ(επίσης λέγεται ΙΚΕΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ) και η διαδικασία προχωρά στη δεύτερη φάση.
Στο δεύτερο βήμα, δημιουργούνται τα βασικά δεδομένα, οι κόμβοι συμφωνούν για την πολιτική που θα χρησιμοποιηθεί. Αυτή η λειτουργία, που ονομάζεται επίσης γρήγορη λειτουργία, διαφέρει από τη Φάση 1 στο ότι μπορεί να δημιουργηθεί μόνο μετά τη Φάση 1, όταν όλα τα πακέτα Φάσης 2 είναι κρυπτογραφημένα. Η σωστή ολοκλήρωση της δεύτερης φάσης οδηγεί στην εμφάνιση Φάση 2 ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑή IPSecΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑκαι σε αυτό η εγκατάσταση της σήραγγας θεωρείται ολοκληρωμένη.
Πρώτον, ένα πακέτο φτάνει στον κόμβο με μια διεύθυνση προορισμού σε άλλο δίκτυο και ο κόμβος ξεκινά την πρώτη φάση με τον κόμβο που είναι υπεύθυνος για το άλλο δίκτυο. Ας υποθέσουμε ότι το τούνελ μεταξύ των κόμβων έχει δημιουργηθεί με επιτυχία και περιμένει πακέτα. Ωστόσο, οι κόμβοι πρέπει να επαναπροσδιορίσουν ο ένας τον άλλον και να συγκρίνουν τις πολιτικές μετά από ένα ορισμένο χρονικό διάστημα. Αυτή η περίοδος ονομάζεται διάρκεια ζωής Phase One ή διάρκεια ζωής IKE SA.
Οι κόμβοι πρέπει επίσης να αλλάξουν το κλειδί για να κρυπτογραφήσουν δεδομένα μετά από μια χρονική περίοδο που ονομάζεται διάρκεια ζωής Φάσης Δεύτερη ή IPSec SA.
Η διάρκεια ζωής της δεύτερης φάσης είναι μικρότερη από την πρώτη φάση, γιατί το κλειδί πρέπει να αλλάζει πιο συχνά. Πρέπει να ορίσετε τις ίδιες παραμέτρους διάρκειας ζωής και για τους δύο κόμβους. Εάν δεν το κάνετε αυτό, τότε είναι πιθανό ότι αρχικά η σήραγγα θα εγκατασταθεί με επιτυχία, αλλά μετά την πρώτη ασυνεπή περίοδο ζωής, η σύνδεση θα διακοπεί. Προβλήματα μπορεί επίσης να προκύψουν όταν η διάρκεια ζωής της πρώτης φάσης είναι μικρότερη από αυτή της δεύτερης φάσης. Εάν η προηγουμένως διαμορφωμένη σήραγγα σταματήσει να λειτουργεί, τότε το πρώτο πράγμα που πρέπει να ελέγξετε είναι η διάρκεια ζωής και στους δύο κόμβους.
Θα πρέπει επίσης να σημειωθεί ότι εάν αλλάξετε την πολιτική σε έναν από τους κόμβους, οι αλλαγές θα τεθούν σε ισχύ μόνο στην επόμενη έναρξη της πρώτης φάσης. Για να τεθούν σε ισχύ οι αλλαγές αμέσως, πρέπει να αφαιρέσετε το SA για αυτήν τη σήραγγα από τη βάση δεδομένων SAD. Αυτό θα αναγκάσει μια αναθεώρηση της συμφωνίας μεταξύ των κόμβων με τις νέες ρυθμίσεις πολιτικής ασφαλείας.
Μερικές φορές, κατά τη δημιουργία μιας σήραγγας IPSec μεταξύ εξοπλισμού διαφορετικών κατασκευαστών, υπάρχουν δυσκολίες που σχετίζονται με τον συντονισμό των παραμέτρων κατά τη δημιουργία της πρώτης φάσης. Θα πρέπει να δώσετε προσοχή σε μια παράμετρο όπως το Local ID - αυτό είναι ένα μοναδικό αναγνωριστικό για το τελικό σημείο της σήραγγας (αποστολέας και παραλήπτης). Αυτό είναι ιδιαίτερα σημαντικό όταν δημιουργείτε πολλαπλές σήραγγες και χρησιμοποιείτε το πρωτόκολλο NAT Traversal.
Νεκρόςσυνομήλικοςανίχνευση
Κατά τη λειτουργία VPN, εάν δεν υπάρχει κίνηση μεταξύ των τελικών σημείων της σήραγγας ή εάν αλλάξουν τα αρχικά δεδομένα του απομακρυσμένου κεντρικού υπολογιστή (για παράδειγμα, αλλαγή της δυναμικά εκχωρημένης διεύθυνσης IP), μπορεί να προκύψει μια κατάσταση όταν η σήραγγα ουσιαστικά δεν είναι πλέον τέτοια , να γίνει, σαν να λέγαμε, ένα τούνελ φάντασμα. Προκειμένου να διατηρείται σταθερή ετοιμότητα για ανταλλαγή δεδομένων στη δημιουργημένη σήραγγα IPSec, ο μηχανισμός IKE (που περιγράφεται στο RFC 3706) σας επιτρέπει να ελέγχετε την παρουσία κίνησης από τον απομακρυσμένο κόμβο της σήραγγας και εάν απουσιάζει για ένα καθορισμένο χρονικό διάστημα, αποστέλλεται ένα μήνυμα γεια (στα τείχη προστασίας το D-Link στέλνει ένα μήνυμα "DPD-R-U-THERE"). Εάν δεν υπάρξει απάντηση σε αυτό το μήνυμα μέσα σε ένα συγκεκριμένο χρονικό διάστημα, στα τείχη προστασίας D-Link που έχουν οριστεί από τις ρυθμίσεις "DPD Expire Time", η σήραγγα αποσυναρμολογείται. Μετά από αυτό, τείχη προστασίας D-Link, χρησιμοποιώντας τις ρυθμίσεις "DPD Keep Time" ( ρύζι. 6.18) επιχειρήστε αυτόματα να αποκαταστήσετε τη σήραγγα.
ΠρωτόκολλοNATΔιασταύρωση
Η κίνηση IPsec μπορεί να δρομολογηθεί σύμφωνα με τους ίδιους κανόνες με άλλα πρωτόκολλα IP, αλλά επειδή ο δρομολογητής δεν μπορεί πάντα να εξάγει πληροφορίες ειδικά για πρωτόκολλα επιπέδου μεταφοράς, είναι αδύνατο για το IPsec να περάσει από πύλες NAT. Όπως αναφέρθηκε προηγουμένως, για να λύσει αυτό το πρόβλημα, το IETF έχει ορίσει έναν τρόπο ενθυλάκωσης του ESP στο UDP, που ονομάζεται NAT-T (NAT Traversal).
Το πρωτόκολλο NAT Traversal ενσωματώνει την κίνηση IPSec και ταυτόχρονα δημιουργεί πακέτα UDP που το NAT προωθεί σωστά. Για να γίνει αυτό, το NAT-T τοποθετεί μια πρόσθετη κεφαλίδα UDP πριν από το πακέτο IPSec, έτσι ώστε να αντιμετωπίζεται σαν ένα κανονικό πακέτο UDP σε όλο το δίκτυο και ο κεντρικός υπολογιστής παραλήπτης να μην εκτελεί κανέναν έλεγχο ακεραιότητας. Αφού το πακέτο φτάσει στον προορισμό του, η κεφαλίδα UDP αφαιρείται και το πακέτο δεδομένων συνεχίζει την πορεία του ως ένα ενθυλακωμένο πακέτο IPSec. Έτσι, χρησιμοποιώντας τον μηχανισμό NAT-T, είναι δυνατή η δημιουργία επικοινωνίας μεταξύ των πελατών IPSec σε ασφαλή δίκτυα και των δημόσιων κεντρικών υπολογιστών IPSec μέσω τείχη προστασίας.
Υπάρχουν δύο σημεία που πρέπει να προσέξετε κατά τη διαμόρφωση των τειχών προστασίας D-Link στη συσκευή λήψης:
στα πεδία Remote Network και Remote Endpoint, καθορίστε το δίκτυο και τη διεύθυνση IP της απομακρυσμένης συσκευής αποστολής. Είναι απαραίτητο να επιτρέπεται η μετάφραση της διεύθυνσης IP του εκκινητή (αποστολέα) χρησιμοποιώντας τεχνολογία NAT (Εικόνα 3.48).
Όταν χρησιμοποιείτε κοινόχρηστα κλειδιά με πολλαπλές σήραγγες που είναι συνδεδεμένες στο ίδιο απομακρυσμένο τείχος προστασίας που έχουν γίνει NAT στην ίδια διεύθυνση, είναι σημαντικό να βεβαιωθείτε ότι το Τοπικό αναγνωριστικό είναι μοναδικό για κάθε σήραγγα.
Τοπικός ταυτότηταμπορεί να είναι ένα από:
- - vpnRoot, droidVPN,
- - πρόγραμμα περιήγησης tor για σερφ σε δίκτυα, γνωστό και ως orbot
- - InBrowser, orfox (firefox+tor),
- - SuperVPN Δωρεάν VPNπελάτης
- - Ανοίξτε το VPN Connect
- - Tunnel Bear VPN
- - Hideman VPN
- - δωρεάν εφαρμογή Tunnelbear, με το οποίο μπορείτε να συνδεθείτε σε διακομιστές VPN σε οποιαδήποτε χώρα.
- - Η σύνδεση OpenVPN είναι ένας από τους καλύτερους πελάτες VPN. Εδώ, για να εκτελέσετε την εφαρμογή, πρέπει πρώτα να εισαγάγετε κλειδιά rsa μέσω του iTunes στο τηλέφωνό σας.
- - Το Cloak είναι μια εφαρμογή shareware, γιατί για κάποιο χρονικό διάστημα το προϊόν μπορεί να «χρησιμοποιηθεί» δωρεάν, αλλά για να χρησιμοποιήσετε το πρόγραμμα μετά τη λήξη της περιόδου επίδειξης, θα πρέπει να το αγοράσετε.
- Προστατεύεται
- Εμπιστοσύνη
- Με τη μορφή ειδικού λογισμικού και υλικού
- Ως λύση λογισμικού
- Ολοκληρωμένη λύση
- Απομακρυσμένη πρόσβαση VPN
- Extranet VPN
- Διαδίκτυο VPN
- VPN πελάτη/διακομιστή
- Ivanov M.A. Κρυπτογραφικές μέθοδοιπροστασία πληροφοριών σε συστήματα υπολογιστώνκαι δίκτυα. - M.: KUDITS-OBRAZ, 2001. - 368 σελ.
- Kulgin M. Τεχνολογίες εταιρικών δικτύων. Εγκυκλοπαιδεία. - Αγία Πετρούπολη: Peter, 2000. - 704 p.
- Olifer V. G., Olifer N. A. Δίκτυα υπολογιστών. Αρχές, τεχνολογίες, πρωτόκολλα: Ένα εγχειρίδιο για τα πανεπιστήμια. - Αγία Πετρούπολη: Peter, 2001. - 672 p.
- Romanets Yu. V., Timofeev PA, Shangin VF Προστασία πληροφοριών σε συστήματα υπολογιστών και δίκτυα. 2η έκδ. - Μ: Ραδιόφωνο και επικοινωνία, 2002. -328 σελ.
- Stallings V.Βασικές αρχές προστασίας δικτύου. Εφαρμογές και Πρότυπα = Βασικά στοιχεία ασφάλειας δικτύου. Εφαρμογές και Πρότυπα. - M.: "Williams", 2002. - S. 432. - ISBN 0-13-016093-8
- Προϊόντα εικονικού ιδιωτικού δικτύου [ Ηλεκτρονικό έγγραφο] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
- Anita Karve Real εικονικές ευκαιρίες//LAN. - 1999.- Αρ. 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
- Η απάντηση του Linux στο MS-PPTP [Ηλεκτρονικό έγγραφο] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
- Joel Snyder VPN: μια κοινή αγορά // Δίκτυα. - 1999.- Αρ. 11 http://www.citforum.ru/nets/articles/vpn.shtml
- VPN Primer [Ηλεκτρονικό Έγγραφο] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
- PKI ή PGP; [Ηλεκτρονικό έγγραφο] / Natalya Sergeeva. - http://www.citforum.ru/security/cryptography/pki_pgp/
- IPSec - πρωτόκολλο για την προστασία της κυκλοφορίας δικτύου σε επίπεδο IP [Ηλεκτρονικό έγγραφο] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
- OpenVPN FAQ [Ηλεκτρονικό έγγραφο] - http://openvpn.net/faq.html
- Σκοπός και δομή των αλγορίθμων κρυπτογράφησης [Ηλεκτρονικό έγγραφο] / Panasenko Sergey. - http://www.ixbt.com/soft/alg-encryption.shtml
- Σχετικά με τη σύγχρονη κρυπτογραφία [Ηλεκτρονικό έγγραφο] / V. M. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
- Εισαγωγή στην Κρυπτογραφία / Εκδ. V. V. Yashchenko. - M.: MTsNMO, 2000. - 288 από http://www.citforum.ru/security/cryptography/yaschenko/
- Παγίδες ασφαλείας στην κρυπτογραφία [Ηλεκτρονικό έγγραφο] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
- IPSec: πανάκεια ή αναγκαστικό μέτρο; [Ηλεκτρονικό έγγραφο] / Yevgeny Patiy. - http://citforum.ru/security/articles/ipsec_standard/
- VPN και IPSec στα χέρια σας [Ηλεκτρονικό έγγραφο] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
- A Framework for IP Based Virtual Private Networks [Ηλεκτρονικό έγγραφο] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
- OpenVPN και το SSL VPN Revolution [Ηλεκτρονικό Έγγραφο] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
- Markus Feilner Εικονικά Ιδιωτικά Δίκτυα Νέας Γενιάς // LAN.- 2005.- Αρ. 11
- Τι είναι το SSL [Ηλεκτρονικό έγγραφο] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
- Κρυπτανάλυση των επεκτάσεων ελέγχου ταυτότητας PPTP της Microsoft (MS-CHAPv2) [Ηλεκτρονικό Έγγραφο] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
- Τεχνικές προδιαγραφές Point to Point Tunneling Protocol (PPTP) [Electronic Document] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
- Ryan Norman Επιλογή πρωτοκόλλου VPN // Windows IT Pro. - 2001. - Νο. 7 http://www.osp.ru/win2000/2001/07/010.htm
- MPLS: νέα παραγγελία σε δίκτυα IP; [Ηλεκτρονικό έγγραφο] / Tom Nolle. - http://www.emanual.ru/get/3651/
- Layer Two Tunneling Protocol "L2TP" [Ηλεκτρονικό έγγραφο] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
- Alexey Lukatsky Unknown VPN // Computer Press. - 2001. - No. 10 http://abn.ru/inf/compress/network4.shtml
- Πρώτο τούβλο στον τοίχο Επισκόπηση VPNσυσκευές VPN εισαγωγικού επιπέδου [Ηλεκτρονικό έγγραφο] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
- Επισκόπηση του υλικού VPN [Ηλεκτρονικό έγγραφο] - http://www.networkaccess.ru/articles/security/vpn_hardware/
- Τα VPN καθαρού υλικού ορίζουν δοκιμές υψηλής διαθεσιμότητας [Ηλεκτρονικό έγγραφο] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
- VPN: Τύπος VPN [Ηλεκτρονικό έγγραφο] - http://www.vpn-guide.com/type_of_vpn.htm
- KAME FAQ [Ηλεκτρονικό Έγγραφο] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
- Χαρακτηριστικά της ρωσικής αγοράς VPN [Ηλεκτρονικό έγγραφο] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
- Εγχώρια μέσα κατασκευής εικονικών ιδιωτικών δικτύων [?] / I. Gvozdev, V. Zaichikov, N. Mosshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy
- Sergey Petrenko Ασφαλές εικονικό ιδιωτικό δίκτυο: μια σύγχρονη άποψη για την προστασία των εμπιστευτικών δεδομένων // Κόσμος του Διαδικτύου. - 2001. - Αρ. 2
- κόμβος-δίκτυο?
- δίκτυο-δίκτυο?
- κόμβος-κόμβος.
- Η υπηρεσία VPN χρησιμοποιείται για την αποστολή εμπιστευτικών εταιρικών δεδομένων μεταξύ υποκαταστημάτων. Αυτό βοηθά στην προστασία σημαντικές πληροφορίεςαπό υποκλοπή.
- Εάν πρέπει να παρακάμψετε τη δέσμευση της υπηρεσίας ανά γεωγραφική περιοχή. Για παράδειγμα, η υπηρεσία Yandex Music είναι διαθέσιμη μόνο σε κατοίκους της Ρωσίας και κατοίκους των πρώην χωρών της ΚΑΚ. Εάν είστε ρωσόφωνος κάτοικος των Ηνωμένων Πολιτειών, τότε δεν θα μπορείτε να ακούσετε τις ηχογραφήσεις. Μια υπηρεσία VPN θα σας βοηθήσει να παρακάμψετε αυτήν την απαγόρευση αντικαθιστώντας τη διεύθυνση δικτύου με μια ρωσική.
- Απόκρυψη επισκέψεων στον ιστότοπο από τον πάροχο. Δεν είναι όλοι έτοιμοι να μοιραστούν τις δραστηριότητές τους στο Διαδίκτυο, επομένως θα προστατεύουν τις επισκέψεις τους με τη βοήθεια του VPN.
- PPTP
- OpenVPN;
- IPSec.
- Για να πραγματοποιήσετε μια νέα σύνδεση, πρέπει να ανοίξετε το πλαίσιο προβολής πρόσβαση στο δίκτυο. Ξεκινήστε να πληκτρολογείτε στην αναζήτηση για τις λέξεις "Συνδέσεις δικτύου".
- Πατήστε το κουμπί "Alt", κάντε κλικ στην ενότητα "Αρχείο" στο μενού και επιλέξτε "Νέα εισερχόμενη σύνδεση".
- Στη συνέχεια, ορίστε τον χρήστη στον οποίο θα εκχωρηθεί μια σύνδεση VPN σε αυτόν τον υπολογιστή (αν έχετε μόνο ένα λογαριασμόςσε έναν υπολογιστή, πρέπει να δημιουργήσετε έναν κωδικό πρόσβασης για αυτό). Εγκαταστήστε το πουλί και κάντε κλικ στο "Επόμενο".
- Στη συνέχεια, θα σας ζητηθεί να επιλέξετε τον τύπο σύνδεσης, μπορείτε να αφήσετε ένα σημάδι επιλογής μπροστά από το "Internet".
- Το επόμενο βήμα είναι να ενεργοποιήσετε τα πρωτόκολλα δικτύου που θα λειτουργούν σε αυτό το VPN. Επιλέξτε όλα τα πλαίσια εκτός από το δεύτερο. Μπορείτε προαιρετικά να ορίσετε συγκεκριμένες πύλες IP, πύλες DNS και θύρες στο IPv4, αλλά είναι πιο εύκολο να αφήσετε την αυτόματη εκχώρηση.
- Όταν κάνετε κλικ στο κουμπί "Να επιτρέπεται η πρόσβαση", το λειτουργικό σύστημα θα δημιουργήσει μόνο του τον διακομιστή, εμφανίζοντας ένα παράθυρο με το όνομα του υπολογιστή. Θα το χρειαστείτε για να συνδεθείτε.
- Αυτό ολοκληρώνει τη δημιουργία ενός οικιακού διακομιστή VPN.
- Μεταβείτε στην ενότητα ρυθμίσεων, κάντε κλικ στην ενότητα "Δίκτυο".
- Αναζητήστε ένα στοιχείο που ονομάζεται " Επιπρόσθετες ρυθμίσεις" και μεταβείτε στην ενότητα "VPN". Στη συνέχεια, θα χρειαστείτε έναν κωδικό PIN ή έναν κωδικό πρόσβασης που ξεκλειδώνει τη δυνατότητα δημιουργίας δικτύου.
- Το επόμενο βήμα είναι να προσθέσετε μια σύνδεση VPN. Καθορίστε το όνομα στο πεδίο "Διακομιστής", το όνομα στο πεδίο "όνομα χρήστη", ορίστε τον τύπο σύνδεσης. Πατήστε στο κουμπί "Αποθήκευση".
- Μετά από αυτό, μια νέα σύνδεση θα εμφανιστεί στη λίστα, την οποία μπορείτε να χρησιμοποιήσετε για να αλλάξετε την τυπική σύνδεσή σας.
- Στην οθόνη θα εμφανιστεί ένα εικονίδιο που υποδεικνύει ότι είναι διαθέσιμη μια σύνδεση. Εάν το πατήσετε, θα λάβετε στατιστικά στοιχεία ληφθέντων / μεταδιδόμενων δεδομένων. Μπορείτε επίσης να απενεργοποιήσετε τη σύνδεση VPN εδώ.
Αυτο– η διεύθυνση IP της διεπαφής εξερχόμενης κίνησης χρησιμοποιείται ως τοπικό αναγνωριστικό.
IP– Διεύθυνση IP της θύρας WAN του απομακρυσμένου τείχους προστασίας
DNS– Διεύθυνση DNS
Τα εικονικά ιδιωτικά δίκτυα (VPN) προσελκύουν μεγάλη προσοχή ως πάροχοι υπηρεσίες δικτύουκαι παρόχους Διαδικτύου και εταιρικούς χρήστες. Η Infonetics Research προβλέπει ότι η αγορά VPN θα αυξάνεται περισσότερο από 100% ετησίως μέχρι το 2003 και θα φτάσει τα 12 δισεκατομμύρια δολάρια.
Πριν σας πω για τη δημοτικότητα των VPN, επιτρέψτε μου να σας υπενθυμίσω ότι μόνο ιδιωτικά (εταιρικά) δίκτυα δεδομένων κατασκευάζονται, κατά κανόνα, χρησιμοποιώντας μισθωμένα (αποκλειστικά) κανάλια επικοινωνίας δημόσιων τηλεφωνικών δικτύων μεταγωγής. Για πολλά χρόνια, αυτά τα ιδιωτικά δίκτυα έχουν σχεδιαστεί έχοντας κατά νου συγκεκριμένες εταιρικές απαιτήσεις, με αποτέλεσμα ιδιόκτητα πρωτόκολλα που υποστηρίζουν ιδιόκτητες εφαρμογές (ωστόσο, τα πρωτόκολλα Frame Relay και ATM έχουν αποκτήσει πρόσφατα δημοτικότητα). Τα αποκλειστικά κανάλια παρέχουν αξιόπιστη προστασία εμπιστευτικές πληροφορίες, ωστόσο, η άλλη όψη του νομίσματος είναι το υψηλό κόστος λειτουργίας και η δυσκολία επέκτασης του δικτύου, για να μην αναφέρουμε την ικανότητα ενός χρήστη κινητού να συνδέεται σε αυτό σε ακούσιο σημείο. Ταυτόχρονα, η σύγχρονη επιχείρηση χαρακτηρίζεται από σημαντική διασπορά και κινητικότητα του εργατικού δυναμικού. Όλο και περισσότεροι χρήστες χρειάζονται πρόσβαση σε εταιρικές πληροφορίες μέσω καναλιών μέσω τηλεφώνου, ενώ αυξάνεται επίσης ο αριθμός των εργαζομένων που εργάζονται από το σπίτι.
Επιπλέον, τα ιδιωτικά δίκτυα δεν είναι σε θέση να παρέχουν τις ίδιες επιχειρηματικές ευκαιρίες που παρέχουν το Διαδίκτυο και οι εφαρμογές που βασίζονται σε IP, όπως η προώθηση προϊόντων, η υποστήριξη πελατών ή η συνεχής επικοινωνία με τους προμηθευτές. Αυτή η on-line αλληλεπίδραση απαιτεί τη διασύνδεση ιδιωτικών δικτύων, τα οποία συνήθως χρησιμοποιούν διαφορετικά πρωτόκολλα και εφαρμογές, διαφορετικά συστήματα διαχείρισης δικτύου και διαφορετικούς παρόχους υπηρεσιών επικοινωνίας.
Έτσι, το υψηλό κόστος, η στατική φύση και οι δυσκολίες που προκύπτουν όταν είναι απαραίτητος ο συνδυασμός ιδιωτικών δικτύων με βάση διαφορετικές τεχνολογίες, έρχονται σε σύγκρουση με τη δυναμικά αναπτυσσόμενη επιχείρηση, την επιθυμία της για αποκέντρωση και την πρόσφατη τάση προς συγχωνεύσεις.
Ταυτόχρονα, υπάρχουν δημόσια δίκτυα μετάδοσης δεδομένων χωρίς αυτές τις ελλείψεις και το Διαδίκτυο, που κυριολεκτικά τύλιξε ολόκληρη την υδρόγειο με τον «ιστό» του. Είναι αλήθεια ότι στερούνται το πιο σημαντικό πλεονέκτημα των ιδιωτικών δικτύων - αξιόπιστη προστασίαεταιρικές πληροφορίες. Η τεχνολογία Virtual Private Network συνδυάζει την ευελιξία, την επεκτασιμότητα, το χαμηλό κόστος και τη διαθεσιμότητα του Διαδικτύου και των δημόσιων δικτύων κυριολεκτικά "ανά πάσα στιγμή οπουδήποτε" με την ασφάλεια των ιδιωτικών δικτύων. Στον πυρήνα τους, τα VPN είναι ιδιωτικά δίκτυα που χρησιμοποιούν παγκόσμια δίκτυα δημόσια πρόσβαση(Internet, Frame Relay, ATM). Η εικονικότητα εκδηλώνεται στο γεγονός ότι για έναν εταιρικό χρήστη φαίνεται να είναι αποκλειστικά ιδιωτικά δίκτυα.
ΣΥΜΒΑΤΟΤΗΤΑ
Ζητήματα συμβατότητας δεν προκύπτουν εάν τα VPN χρησιμοποιούν απευθείας υπηρεσίες Frame Relay και ATM, καθώς είναι αρκετά καλά προσαρμοσμένα για να λειτουργούν σε περιβάλλον πολλαπλών πρωτοκόλλων και είναι κατάλληλα τόσο για εφαρμογές IP όσο και για μη IP. Το μόνο που απαιτείται σε αυτή την περίπτωση είναι η διαθεσιμότητα μιας κατάλληλης υποδομής δικτύου που να καλύπτει την απαιτούμενη γεωγραφική περιοχή. Οι πιο συχνά χρησιμοποιούμενες συσκευές πρόσβασης είναι οι συσκευές πρόσβασης αναμετάδοσης πλαισίου ή δρομολογητές με διεπαφές Frame Relay και ATM. Πολλά μόνιμα ή μεταγωγικά εικονικά κυκλώματα μπορούν να λειτουργήσουν (εικονικά) με οποιοδήποτε μείγμα πρωτοκόλλων και τοπολογιών. Το θέμα γίνεται πιο περίπλοκο εάν το VPN βασίζεται στο Διαδίκτυο. Σε αυτήν την περίπτωση, οι εφαρμογές απαιτείται να είναι συμβατές με το πρωτόκολλο IP. Με την προϋπόθεση ότι πληρούται αυτή η απαίτηση, μπορείτε να χρησιμοποιήσετε το Διαδίκτυο «ως έχει» για να δημιουργήσετε ένα VPN, έχοντας προηγουμένως παράσχει το απαραίτητο επίπεδο ασφάλειας. Επειδή όμως τα περισσότερα ιδιωτικά δίκτυα είναι πολλαπλών πρωτοκόλλων ή χρησιμοποιούν ανεπίσημες, εσωτερικές διευθύνσεις IP, δεν μπορούν να συνδεθούν απευθείας στο Διαδίκτυο χωρίς την κατάλληλη προσαρμογή. Υπάρχουν πολλές λύσεις συμβατότητας. Τα πιο δημοφιλή είναι τα ακόλουθα:
- μετατροπή υπαρχόντων πρωτοκόλλων (IPX, NetBEUI, AppleTalk ή άλλα) σε πρωτόκολλο IP με επίσημη διεύθυνση.
- μετατροπή εσωτερικών διευθύνσεων IP σε επίσημες διευθύνσεις IP.
— εγκατάσταση ειδικών πυλών IP σε διακομιστές·
— χρήση εικονικής δρομολόγησης IP·
— χρήση καθολικής τεχνικής διάνοιξης σήραγγας.
Ο πρώτος τρόπος είναι ξεκάθαρος, οπότε ας δούμε εν συντομία τους άλλους.
Η μετατροπή εσωτερικών διευθύνσεων IP σε επίσημες είναι απαραίτητη όταν το ιδιωτικό δίκτυο βασίζεται στο πρωτόκολλο IP. Η μετάφραση διευθύνσεων για ολόκληρο το εταιρικό δίκτυο δεν είναι απαραίτητη, καθώς οι επίσημες διευθύνσεις IP μπορούν να συνυπάρχουν με εσωτερικές σε μεταγωγείς και δρομολογητές στο εταιρικό δίκτυο. Με άλλα λόγια, ο διακομιστής με την επίσημη διεύθυνση IP εξακολουθεί να είναι διαθέσιμος στον ιδιωτικό πελάτη δικτύου μέσω της τοπικής υποδομής. Η πιο συχνά χρησιμοποιούμενη τεχνική είναι η διαίρεση ενός μικρού μπλοκ επίσημων διευθύνσεων από πολλούς χρήστες. Είναι παρόμοιο με το διαχωρισμό μιας ομάδας μόντεμ, καθώς βασίζεται επίσης στην υπόθεση ότι δεν χρειάζονται όλοι οι χρήστες πρόσβαση στο Διαδίκτυο ταυτόχρονα. Υπάρχουν δύο βιομηχανικά πρότυπα εδώ: το Dynamic Host Configuration Protocol (DHCP) και η εκπομπή διευθύνσεις δικτύου(Network Address Translation - NAT), των οποίων οι προσεγγίσεις διαφέρουν ελαφρώς. Το DHCP «μισθώνει» μια διεύθυνση σε έναν κεντρικό υπολογιστή για χρονικό διάστημα που καθορίζεται από τον διαχειριστή του δικτύου, ενώ το NAT μεταφράζει μια εσωτερική διεύθυνση IP σε επίσημη δυναμικά, για τη διάρκεια μιας συνεδρίας επικοινωνίας με
Διαδίκτυο.
Ένας άλλος τρόπος για να κάνετε ένα ιδιωτικό δίκτυο συμβατό με το Διαδίκτυο είναι να εγκαταστήσετε μια πύλη IP. Η πύλη μεταφράζει πρωτόκολλα που δεν είναι IP σε πρωτόκολλα IP και αντίστροφα. Τα περισσότερα λειτουργικά συστήματα δικτύου που χρησιμοποιούν εγγενή πρωτόκολλα διαθέτουν λογισμικό πύλης IP.
Η ουσία της εικονικής δρομολόγησης IP είναι η επέκταση των ιδιωτικών πινάκων δρομολόγησης και του χώρου διευθύνσεων στην υποδομή (δρομολογητές και μεταγωγείς) του ISP. Ένας εικονικός δρομολογητής IP είναι ένα λογικό μέρος ενός φυσικού δρομολογητή IP που ανήκει και λειτουργεί από έναν πάροχο υπηρεσιών. Κάθε εικονικός δρομολογητής εξυπηρετεί μια συγκεκριμένη ομάδα χρηστών.
Ωστόσο, ίσως το περισσότερο ο καλύτερος τρόποςη διαλειτουργικότητα μπορεί να επιτευχθεί χρησιμοποιώντας τεχνικές διάνοιξης σήραγγας. Αυτές οι τεχνικές έχουν χρησιμοποιηθεί για μεγάλο χρονικό διάστημα για τη μετάδοση μιας ροής πακέτων πολλαπλών πρωτοκόλλων σε μια κοινή ραχοκοκαλιά. Αυτή η δοκιμασμένη τεχνολογία είναι επί του παρόντος βελτιστοποιημένη για VPN που βασίζονται στο Διαδίκτυο.
Τα κύρια στοιχεία της σήραγγας είναι:
— εκκινητής σήραγγας·
— δρομολογημένο δίκτυο·
- διακόπτης σήραγγας (προαιρετικό).
— ένας ή περισσότεροι τερματιστές σήραγγας.
Η διάνοιξη σήραγγας πρέπει να εκτελείται και στα δύο άκρα του συνδέσμου από άκρο σε άκρο. Η σήραγγα πρέπει να ξεκινά με έναν εκκινητή σήραγγας και να τελειώνει με έναν τερματιστή σήραγγας. Η αρχικοποίηση και ο τερματισμός των λειτουργιών της σήραγγας μπορεί να πραγματοποιηθεί από διάφορες συσκευές δικτύου και λογισμικό. Για παράδειγμα, μια σήραγγα μπορεί να ξεκινήσει από έναν υπολογιστή απομακρυσμένου χρήστη που έχει εγκατεστημένο ένα μόντεμ και το απαραίτητο λογισμικό VPN, έναν δρομολογητή front-end σε ένα εταιρικό υποκατάστημα ή έναν συγκεντρωτή πρόσβασης δικτύου σε έναν πάροχο υπηρεσιών.
Για μετάδοση μέσω Διαδικτύου πακέτων διαφορετικών από IP πρωτόκολλα δικτύου, είναι ενσωματωμένα σε πακέτα IP από την πλευρά της πηγής. Η πιο συχνά χρησιμοποιούμενη μέθοδος για τη δημιουργία σηράγγων VPN είναι η ενθυλάκωση ενός πακέτου που δεν είναι IP σε ένα πακέτο PPP (Point-to-Point Protocol) και στη συνέχεια η ενθυλάκωσή του σε ένα πακέτο IP. Επιτρέψτε μου να σας υπενθυμίσω ότι το πρωτόκολλο PPP χρησιμοποιείται για μια σύνδεση από σημείο σε σημείο, για παράδειγμα, για επικοινωνία πελάτη-διακομιστή. Η διαδικασία ενθυλάκωσης IP περιλαμβάνει την προσθήκη μιας τυπικής κεφαλίδας IP στο αρχικό πακέτο, η οποία στη συνέχεια αντιμετωπίζεται ως χρήσιμες πληροφορίες. Η αντίστοιχη διαδικασία στο άλλο άκρο του τούνελ αφαιρεί την κεφαλίδα IP, αφήνοντας το αρχικό πακέτο αμετάβλητο. Δεδομένου ότι η τεχνολογία διάνοιξης σήραγγας είναι αρκετά απλή, είναι επίσης η πιο προσιτή από πλευράς κόστους.
ΑΣΦΑΛΕΙΑ
Η διασφάλιση του απαιτούμενου επιπέδου ασφάλειας είναι συχνά το πρωταρχικό μέλημα όταν μια εταιρεία σκέφτεται να χρησιμοποιήσει VPN που βασίζονται στο Διαδίκτυο. Πολλοί διαχειριστές πληροφορικής είναι συνηθισμένοι στο εγγενές απόρρητο των ιδιωτικών δικτύων και βλέπουν το Διαδίκτυο ως πολύ "δημόσιο" για να χρησιμοποιηθεί ως ιδιωτικό δίκτυο. Εάν χρησιμοποιείτε την αγγλική ορολογία, τότε υπάρχουν τρία "P", η εφαρμογή των οποίων μαζί παρέχει πλήρη προστασία των πληροφοριών. Αυτό:
Προστασία - προστασία πόρων με χρήση τείχους προστασίας (τείχος προστασίας).
Απόδειξη - επαλήθευση της ταυτότητας (ακεραιότητας) του πακέτου και πιστοποίηση του αποστολέα (επιβεβαίωση του δικαιώματος πρόσβασης).
Απόρρητο - προστασία εμπιστευτικών πληροφοριών με χρήση κρυπτογράφησης.
Και τα τρία P είναι εξίσου σημαντικά για κάθε εταιρικό δίκτυο, συμπεριλαμβανομένων των VPN. Σε αυστηρά ιδιωτικά δίκτυα, για την προστασία των πόρων και της εμπιστευτικότητας των πληροφοριών, αρκεί να χρησιμοποιηθούν αρκετά απλούς κωδικούς πρόσβασης. Αλλά από τη στιγμή που ένα ιδιωτικό δίκτυο συνδεθεί με ένα δημόσιο, κανένα από τα τρία P δεν μπορεί να παρέχει την απαραίτητη προστασία. Επομένως, για οποιοδήποτε VPN, τα τείχη προστασίας πρέπει να είναι εγκατεστημένα σε όλα τα σημεία της αλληλεπίδρασής του με το δημόσιο δίκτυο και τα πακέτα πρέπει να είναι κρυπτογραφημένα και πιστοποιημένα.
Τα τείχη προστασίας είναι ένα απαραίτητο συστατικό σε οποιοδήποτε VPN. Επιτρέπουν μόνο εξουσιοδοτημένη κυκλοφορία για αξιόπιστους χρήστες και αποκλείουν οτιδήποτε άλλο. Με άλλα λόγια, όλες οι προσπάθειες πρόσβασης από άγνωστους ή μη αξιόπιστους χρήστες διασταυρώνονται. Αυτή η μορφή προστασίας πρέπει να παρέχεται για κάθε ιστότοπο και χρήστη, καθώς το να μην το έχετε πουθενά σημαίνει να μην το έχετε παντού. Χρησιμοποιούνται ειδικά πρωτόκολλα για τη διασφάλιση της ασφάλειας των εικονικών ιδιωτικών δικτύων. Αυτά τα πρωτόκολλα επιτρέπουν στους οικοδεσπότες να «διαπραγματεύονται» την τεχνική κρυπτογράφησης και ψηφιακής υπογραφής που θα χρησιμοποιηθεί, διατηρώντας έτσι την εμπιστευτικότητα και την ακεραιότητα των δεδομένων και τον έλεγχο ταυτότητας του χρήστη.
Το Microsoft Point-to-Point Encryption Protocol (MPPE) κρυπτογραφεί τα πακέτα PPP στον υπολογιστή-πελάτη προτού σταλούν στη σήραγγα. Η συνεδρία κρυπτογράφησης αρχικοποιείται κατά την εγκατάσταση της επικοινωνίας με τον τερματιστή της σήραγγας χρησιμοποιώντας το πρωτόκολλο
ΣΔΙΤ.
Τα πρωτόκολλα ασφαλούς IP (IPSec) είναι μια σειρά προκαταρκτικών προτύπων που αναπτύσσονται από την Ομάδα Εργασίας Μηχανικής Διαδικτύου (IETF). Η ομάδα πρότεινε δύο πρωτόκολλα: Authentication Header (AH) και Encapsulating Security Payload (ESP). Προσθέτει το πρωτόκολλο AH ψηφιακή υπογραφήκεφαλίδα που πιστοποιεί την ταυτότητα του χρήστη και διασφαλίζει την ακεραιότητα των δεδομένων παρακολουθώντας τυχόν αλλαγές κατά τη μεταφορά. Αυτό το πρωτόκολλο προστατεύει μόνο τα δεδομένα, αφήνοντας το τμήμα διεύθυνσης του πακέτου IP αμετάβλητο. Το πρωτόκολλο ESP, από την άλλη πλευρά, μπορεί να κρυπτογραφήσει είτε ολόκληρο το πακέτο (Λειτουργία σήραγγας) είτε μόνο τα δεδομένα (Λειτουργία μεταφοράς). Αυτά τα πρωτόκολλα χρησιμοποιούνται τόσο ξεχωριστά όσο και σε συνδυασμό.
Για τη διαχείριση της ασφάλειας, χρησιμοποιείται το βιομηχανικό πρότυπο RADIUS (Remote Authentication Dial-In User Service), το οποίο είναι μια βάση δεδομένων με προφίλ χρηστών που περιέχουν κωδικούς πρόσβασης (έλεγχος ταυτότητας) και δικαιώματα πρόσβασης (εξουσιοδότηση).
Τα χαρακτηριστικά ασφαλείας δεν περιορίζονται στα παραδείγματα που δίνονται. Πολλοί κατασκευαστές δρομολογητών και τείχους προστασίας προσφέρουν τις δικές τους λύσεις. Μεταξύ αυτών είναι τα Ascend, CheckPoint και Cisco.
ΔΙΑΘΕΣΙΜΟΤΗΤΑ
Η διαθεσιμότητα περιλαμβάνει τρία εξίσου σημαντικά στοιχεία: τον χρόνο παροχής υπηρεσιών, διακίνησηκαι χρόνος καθυστέρησης. Ο χρόνος παροχής της υπηρεσίας είναι το αντικείμενο της σύμβασης με τον πάροχο υπηρεσιών και τα άλλα δύο στοιχεία σχετίζονται με τα στοιχεία της ποιότητας της υπηρεσίας (Quality of Service - QoS). Σύγχρονες τεχνολογίεςμεταφορά σάς επιτρέπει να δημιουργήσετε ένα VPN που πληροί τις απαιτήσεις σχεδόν όλων των υπαρχουσών εφαρμογών.
ΧΑΛΙΝΑΓΩΓΗΣΗ
Οι διαχειριστές δικτύου θέλουν πάντα να είναι σε θέση να εκτελούν από άκρο σε άκρο, από άκρο σε άκρο διαχείριση του εταιρικού δικτύου, συμπεριλαμβανομένου του τμήματος που σχετίζεται με την εταιρεία τηλεπικοινωνιών. Αποδεικνύεται ότι τα VPN παρέχουν περισσότερες επιλογές από αυτή την άποψη από τα κανονικά ιδιωτικά δίκτυα. Τυπικά ιδιωτικά δίκτυα διαχειρίζονται «από σύνορα σε σύνορα», δηλ. ο πάροχος υπηρεσιών διαχειρίζεται το δίκτυο μέχρι τους μπροστινούς δρομολογητές του εταιρικού δικτύου, ενώ ο συνδρομητής διαχειρίζεται το ίδιο το εταιρικό δίκτυο μέχρι τις συσκευές πρόσβασης WAN. Η τεχνολογία VPN αποφεύγει αυτού του είδους τη διαίρεση των «σφαιρών επιρροής», παρέχοντας τόσο στον πάροχο όσο και στον συνδρομητή ενιαίο σύστημαδιαχείριση του δικτύου στο σύνολό του, τόσο του εταιρικού του μέρους όσο και της δικτυακής υποδομής του δημόσιου δικτύου. Ο διαχειριστής εταιρικού δικτύου έχει τη δυνατότητα να παρακολουθεί και να διαμορφώνει εκ νέου το δίκτυο, να διαχειρίζεται συσκευές μπροστινής πρόσβασης και να προσδιορίζει την κατάσταση του δικτύου σε πραγματικό χρόνο.
ΑΡΧΙΤΕΚΤΟΝΙΚΗ VPN
Υπάρχουν τρία μοντέλα εικονικής αρχιτεκτονικής ιδιωτικού δικτύου: εξαρτημένο, ανεξάρτητο και υβριδικό ως συνδυασμός των δύο πρώτων εναλλακτικών. Το να ανήκεις σε ένα συγκεκριμένο μοντέλο καθορίζεται από το πού εφαρμόζονται οι τέσσερις κύριες απαιτήσεις για το VPN. Εάν ένας πάροχος υπηρεσιών παγκόσμιου δικτύου παρέχει μια ολοκληρωμένη λύση VPN, π.χ. παρέχει σήραγγα, ασφάλεια, απόδοση και διαχείριση, καθιστά την αρχιτεκτονική εξαρτημένη από αυτήν. Σε αυτήν την περίπτωση, όλες οι διεργασίες VPN είναι διαφανείς στον χρήστη και βλέπει μόνο την εγγενή επισκεψιμότητά του — πακέτα IP, IPX ή NetBEUI. Το πλεονέκτημα της εξαρτημένης αρχιτεκτονικής για τον συνδρομητή είναι ότι μπορεί να χρησιμοποιήσει την υπάρχουσα υποδομή δικτύου «ως έχει», προσθέτοντας μόνο ένα τείχος προστασίας μεταξύ του VPN και του ιδιωτικού δικτύου.
WAN/LAN.
Η ανεξάρτητη αρχιτεκτονική εφαρμόζεται όταν ο οργανισμός παρέχει τα πάντα τεχνολογικές απαιτήσειςστον εξοπλισμό του, αναθέτοντας μόνο λειτουργίες μεταφοράς στον πάροχο υπηρεσιών. Αυτή η αρχιτεκτονική είναι πιο ακριβή, αλλά δίνει στον χρήστη πλήρη έλεγχο όλων των λειτουργιών.
Η υβριδική αρχιτεκτονική περιλαμβάνει εξαρτημένες και ανεξάρτητες από τον οργανισμό (αντίστοιχα, από τον πάροχο υπηρεσιών) τοποθεσίες.
Ποιες είναι οι υποσχέσεις του VPN για εταιρικούς χρήστες; Καταρχάς, σύμφωνα με βιομηχανικούς αναλυτές, πρόκειται για μείωση του κόστους για όλους τους τύπους τηλεπικοινωνιών από 30 σε 80%. Και επίσης είναι σχεδόν πανταχού παρούσα πρόσβαση στα δίκτυα μιας εταιρείας ή άλλων οργανισμών. είναι η εφαρμογή ασφαλών επικοινωνιών με προμηθευτές και πελάτες. είναι μια βελτιωμένη και βελτιωμένη υπηρεσία που δεν είναι διαθέσιμη σε δίκτυα PSTN και πολλά άλλα. Οι ειδικοί βλέπουν τα VPN ως μια νέα γενιά δικτυακών επικοινωνιών και πολλοί αναλυτές πιστεύουν ότι τα VPN θα αντικαταστήσουν σύντομα τα περισσότερα ιδιωτικά δίκτυα που βασίζονται σε μισθωμένες γραμμές.
Από χρόνο σε χρόνο ηλεκτρονική επικοινωνίαβελτιώνεται και τίθενται όλο και πιο υψηλές απαιτήσεις για την ανταλλαγή πληροφοριών για την ταχύτητα, την ασφάλεια και την ποιότητα της επεξεργασίας δεδομένων.
Και εδώ θα ρίξουμε μια πιο προσεκτική ματιά σε μια σύνδεση vpn: τι είναι, τι είναι μια σήραγγα vpn και πώς να χρησιμοποιήσετε μια σύνδεση vpn.
Αυτό το υλικό είναι ένα είδος εισαγωγικής λέξης σε μια σειρά άρθρων όπου θα σας πούμε πώς να δημιουργήσετε ένα vpn σε διάφορα λειτουργικά συστήματα.
σύνδεση vpn τι είναι;
Έτσι, ένα εικονικό ιδιωτικό δίκτυο vpn είναι μια τεχνολογία που παρέχει μια ασφαλή (κλειστή από εξωτερική πρόσβαση) σύνδεση ενός λογικού δικτύου μέσω ενός ιδιωτικού ή δημόσιου δικτύου παρουσία Internet υψηλής ταχύτητας.
Τέτοιος σύνδεση δικτύουυπολογιστές (γεωγραφικά απομακρυσμένοι ο ένας από τον άλλο σε σημαντική απόσταση) χρησιμοποιούν μια σύνδεση σημείου προς σημείο (με άλλα λόγια, "υπολογιστής-σε-υπολογιστής").
Επιστημονικά, αυτή η μέθοδος σύνδεσης ονομάζεται vpn tunnel (ή πρωτόκολλο σήραγγας). Μπορείτε να συνδεθείτε σε μια τέτοια σήραγγα εάν έχετε έναν υπολογιστή με οποιοδήποτε λειτουργικό σύστημα που διαθέτει ενσωματωμένο πρόγραμμα-πελάτη VPN που μπορεί να "προωθήσει" εικονικές θύρες χρησιμοποιώντας το πρωτόκολλο TCP / IP σε άλλο δίκτυο.
Σε τι χρησιμεύει το vpn;
Το κύριο πλεονέκτημα του vpn είναι ότι οι διαπραγματευτές χρειάζονται μια πλατφόρμα συνδεσιμότητας που όχι μόνο κλιμακώνεται γρήγορα, αλλά και (κυρίως) παρέχει εμπιστευτικότητα δεδομένων, ακεραιότητα δεδομένων και έλεγχο ταυτότητας.
Το διάγραμμα δείχνει ξεκάθαρα τη χρήση δικτύων vpn.
Προηγουμένως, οι κανόνες για τις συνδέσεις μέσω ασφαλούς καναλιού πρέπει να είναι γραμμένοι στον διακομιστή και στο δρομολογητή.
πώς λειτουργεί το vpn
Όταν πραγματοποιείται μια σύνδεση vpn, πληροφορίες σχετικά με τη διεύθυνση IP του διακομιστή VPN και την απομακρυσμένη διαδρομή μεταδίδονται στην κεφαλίδα του μηνύματος.
Ενθυλακωμένα δεδομένα που περνούν πάνω από ένα κοινό ή δημόσιο δίκτυο, δεν μπορεί να υποκλαπεί επειδή όλες οι πληροφορίες είναι κρυπτογραφημένες.
Το στάδιο κρυπτογράφησης VPN υλοποιείται από την πλευρά του αποστολέα και τα δεδομένα του παραλήπτη αποκρυπτογραφούνται από την κεφαλίδα του μηνύματος (εάν υπάρχει κοινό κλειδί κρυπτογράφησης).
Αφού αποκρυπτογραφηθεί σωστά το μήνυμα, δημιουργείται μια σύνδεση vpn μεταξύ των δύο δικτύων, η οποία σας επιτρέπει επίσης να εργάζεστε σε ένα δημόσιο δίκτυο (για παράδειγμα, να ανταλλάσσετε δεδομένα με έναν πελάτη 93.88.190.5).
Σχετικά με ασφάλεια πληροφοριών, τότε το Διαδίκτυο είναι ένα εξαιρετικά ανασφαλές δίκτυο και ένα δίκτυο VPN με πρωτόκολλα OpenVPN, L2TP / IPSec, PPTP, PPPoE είναι ένας απόλυτα ασφαλής και ασφαλής τρόπος μεταφοράς δεδομένων.
Σε τι χρησιμεύει ένα κανάλι vpn;
vpn tunneling χρησιμοποιείται:
Μέσα στο εταιρικό δίκτυο.
Να ενωθούν απομακρυσμένα γραφεία, καθώς και μικρά υποκαταστήματα.
Να εξυπηρετεί την ψηφιακή τηλεφωνία με ένα ευρύ φάσμα τηλεπικοινωνιακών υπηρεσιών.
Για πρόσβαση σε εξωτερικούς πόρους πληροφορικής.
Για τη δημιουργία και υλοποίηση τηλεδιάσκεψης.
Γιατί χρειάζεστε ένα vpn;
Απαιτείται σύνδεση vpn για:
Ανώνυμη εργασία στο Διαδίκτυο.
Λήψεις εφαρμογών, στην περίπτωση που η διεύθυνση IP βρίσκεται σε άλλη περιφερειακή ζώνη της χώρας.
Ασφαλής εργασία σε εταιρικό περιβάλλον με χρήση επικοινωνιών.
Απλότητα και ευκολία εγκατάστασης σύνδεσης.
Παροχή σύνδεσης υψηλής ταχύτητας χωρίς διακοπές.
Δημιουργία ασφαλούς καναλιού χωρίς επιθέσεις χάκερ.
Πώς να χρησιμοποιήσετε το vpn;
Τα παραδείγματα για το πώς λειτουργεί το vpn είναι ατελείωτα. Έτσι, σε οποιονδήποτε υπολογιστή στο εταιρικό δίκτυο, κατά την εγκατάσταση ενός ασφαλούς συνδέσεις vpnμπορείτε να χρησιμοποιήσετε την αλληλογραφία για να ελέγξετε μηνύματα, να δημοσιεύσετε υλικό από οπουδήποτε στη χώρα ή να κατεβάσετε αρχεία από δίκτυα torrent.
Vpn: τι είναι στο τηλέφωνο;
Η πρόσβαση μέσω vpn στο τηλέφωνό σας (iPhone ή οποιαδήποτε άλλη συσκευή Android) σάς επιτρέπει να παραμείνετε ανώνυμοι όταν χρησιμοποιείτε το Διαδίκτυο σε δημόσιους χώρους, καθώς και να αποτρέψετε την παρακολούθηση της κυκλοφορίας και την παραβίαση συσκευών.
Ένας πελάτης VPN που είναι εγκατεστημένος σε οποιοδήποτε λειτουργικό σύστημα σάς επιτρέπει να παρακάμψετε πολλές ρυθμίσεις και κανόνες του παρόχου (αν έχει θέσει περιορισμούς).
Ποιο vpn να επιλέξω για το τηλέφωνο;
Τα κινητά τηλέφωνα και τα smartphone Android μπορούν να χρησιμοποιούν εφαρμογές από την αγορά του Google Play:
Τα περισσότερα από αυτά τα προγράμματα χρησιμεύουν για τη διευκόλυνση της "καυτής" διαμόρφωσης συστήματος, την τοποθέτηση συντομεύσεων εκκίνησης, την ανώνυμη περιήγηση στο Διαδίκτυο και την επιλογή του τύπου κρυπτογράφησης σύνδεσης.
Αλλά τα κύρια καθήκοντα της χρήσης ενός VPN στο τηλέφωνο είναι ο έλεγχος της εταιρικής αλληλογραφίας, η δημιουργία βιντεοδιασκέψεων με πολλούς συμμετέχοντες, καθώς και η διεξαγωγή συναντήσεων εκτός του οργανισμού (για παράδειγμα, όταν ένας υπάλληλος βρίσκεται σε επαγγελματικό ταξίδι).
Τι είναι το vpn στο iphone;
Εξετάστε ποιο vpn να επιλέξετε και πώς να το συνδέσετε με ένα iPhone με περισσότερες λεπτομέρειες.
Ανάλογα με τον τύπο του δικτύου που υποστηρίζει, την πρώτη φορά που θα εκτελέσετε τη διαμόρφωση VPN στο iphone, μπορείτε να επιλέξετε τα ακόλουθα πρωτόκολλα: L2TP, PPTP και Cisco IPSec(επιπλέον, μπορείτε να «κάνετε» μια σύνδεση vpn χρησιμοποιώντας εφαρμογές τρίτων).
Όλα αυτά τα πρωτόκολλα υποστηρίζουν κλειδιά κρυπτογράφησης, αναγνώριση χρήστη με κωδικό πρόσβασης και πιστοποίηση.
Αναμεταξύ Επιπρόσθετα χαρακτηριστικάόταν ρυθμίζετε ένα προφίλ VPN σε ένα iPhone, μπορείτε να σημειώσετε: την ασφάλεια RSA, το επίπεδο κρυπτογράφησης και τους κανόνες εξουσιοδότησης για τη σύνδεση στο διακομιστή.
Για το τηλέφωνο iphone από το κατάστημα εφαρμογών, θα πρέπει να επιλέξετε:
Δημιουργία VPN: επιλογή και διαμόρφωση εξοπλισμού
Για εταιρική επικοινωνία σε μεγάλους οργανισμούς ή για ενοποίηση γραφείων που είναι απομακρυσμένα μεταξύ τους, χρησιμοποιούν εξοπλισμό υλικού που μπορεί να υποστηρίξει αδιάκοπη, ασφαλή δικτύωση.
Για την εφαρμογή τεχνολογιών vpn, τα ακόλουθα μπορούν να λειτουργήσουν ως πύλη δικτύου: Διακομιστές Unix, διακομιστής windows, δρομολογητής δικτύου και πύλη δικτύου στην οποία έχει αναπτυχθεί το VPN.
Ο διακομιστής ή η συσκευή που χρησιμοποιείται για τη δημιουργία ενός δικτύου vpn μιας επιχείρησης ή ενός καναλιού vpn μεταξύ απομακρυσμένων γραφείων πρέπει να εκτελεί σύνθετες τεχνικές εργασίες και να παρέχει ένα πλήρες φάσμα υπηρεσιών στους χρήστες τόσο σε σταθμούς εργασίας όσο και σε κινητές συσκευές.
Οποιοσδήποτε δρομολογητής ή δρομολογητής vpn θα πρέπει να παρέχει αξιόπιστη λειτουργία δικτύου χωρίς «παγώσεις». Και η ενσωματωμένη λειτουργία vpn σάς επιτρέπει να αλλάξετε τη διαμόρφωση δικτύου για εργασία στο σπίτι, σε έναν οργανισμό ή σε ένα απομακρυσμένο γραφείο.
Ρύθμιση vpn στο δρομολογητή
Στη γενική περίπτωση, η διαμόρφωση VPN στο δρομολογητή πραγματοποιείται χρησιμοποιώντας τη διεπαφή ιστού του δρομολογητή. Στις "κλασικές" συσκευές για την οργάνωση vpn, πρέπει να μεταβείτε στην ενότητα "ρυθμίσεις" ή "ρυθμίσεις δικτύου", όπου επιλέγετε την ενότητα VPN, προσδιορίζετε τον τύπο πρωτοκόλλου, εισάγετε τις ρυθμίσεις διεύθυνσης υποδικτύου, μάσκες και προσδιορίζετε το εύρος της IP διευθύνσεις για τους χρήστες.
Επιπλέον, για την ασφάλεια της σύνδεσης, θα χρειαστεί να καθορίσετε αλγόριθμους κωδικοποίησης, μεθόδους ελέγχου ταυτότητας, να δημιουργήσετε κλειδιά διαπραγμάτευσης και να καθορίσετε διακομιστές DNSΝΙΚΗΣ. Στις παραμέτρους "Gateway", πρέπει να καθορίσετε τη διεύθυνση IP της πύλης (η ip σας) και να συμπληρώσετε τα δεδομένα σε όλους τους προσαρμογείς δικτύου.
Εάν υπάρχουν πολλοί δρομολογητές στο δίκτυο, είναι απαραίτητο να συμπληρώσετε τον πίνακα δρομολόγησης vpn για όλες τις συσκευές στη σήραγγα VPN.
Ακολουθεί μια λίστα εξοπλισμού υλικού που χρησιμοποιείται για την κατασκευή δικτύων VPN:
Δρομολογητές Dlink: DIR-320, DIR-620, DSR-1000 με νέο υλικολογισμικό ή δρομολογητής D-Link DI808HV.
Δρομολογητές Cisco PIX 501, Cisco 871-SEC-K9
Δρομολογητής Linksys Rv082 που υποστηρίζει περίπου 50 σήραγγες VPN
Μοντέλα δρομολογητή Netgear DG834G και δρομολογητές FVS318G, FVS318N, FVS336G, SRX5308
Router Mikrotik με λειτουργία OpenVPN. Παράδειγμα RouterBoard RB/2011L-IN Mikrotik
Εξοπλισμός Vpn RVPN S-Terra ή VPN Gate
Δρομολογητές ASUS RT-N66U, RT-N16 και RT N-10
Δρομολογητές ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG
Εικονικό ιδιωτικό δίκτυο
Τις περισσότερες φορές για να δημιουργήσετε εικονικό δίκτυοΧρησιμοποιείται ενθυλάκωση του πρωτοκόλλου PPP σε κάποιο άλλο πρωτόκολλο - Ethernet (πάροχοι του "τελευταίου μιλίου" για την παροχή πρόσβασης στο Διαδίκτυο.
Με το σωστό επίπεδο υλοποίησης και τη χρήση ειδικού λογισμικού, ένα VPN μπορεί να προσφέρει υψηλό επίπεδοκρυπτογράφηση των μεταδιδόμενων πληροφοριών. Στο σωστή ρύθμισηόλα τα εξαρτήματα Τεχνολογία VPNπαρέχει ανωνυμία στον Ιστό.
Δομή VPN
Ένα VPN αποτελείται από δύο μέρη: ένα «εσωτερικό» (ελεγχόμενο) δίκτυο, από το οποίο μπορεί να υπάρχουν πολλά, και ένα «εξωτερικό» δίκτυο μέσω του οποίου διέρχεται η ενθυλακωμένη σύνδεση (συνήθως χρησιμοποιείται το Διαδίκτυο). Είναι επίσης δυνατή η σύνδεση ενός μόνο υπολογιστή σε ένα εικονικό δίκτυο. Ένας απομακρυσμένος χρήστης συνδέεται στο VPN μέσω ενός διακομιστή πρόσβασης που είναι συνδεδεμένος τόσο στο εσωτερικό όσο και στο εξωτερικό (δημόσιο) δίκτυο. Κατά τη σύνδεση ενός απομακρυσμένου χρήστη (ή κατά τη δημιουργία μιας σύνδεσης σε άλλο ασφαλές δίκτυο), ο διακομιστής πρόσβασης απαιτεί να περάσει η διαδικασία αναγνώρισης και, στη συνέχεια, η διαδικασία ελέγχου ταυτότητας. Μετά την επιτυχή ολοκλήρωση και των δύο διαδικασιών, ο απομακρυσμένος χρήστης ( απομακρυσμένο δίκτυο) εξουσιοδοτείται να εργάζεται στο δίκτυο, δηλαδή πραγματοποιείται η διαδικασία εξουσιοδότησης.
Ταξινόμηση VPN
Ταξινόμηση VPN
Οι λύσεις VPN μπορούν να ταξινομηθούν σύμφωνα με διάφορες κύριες παραμέτρους:
Ανά τύπο περιβάλλοντος που χρησιμοποιείται
Η πιο κοινή έκδοση εικονικών ιδιωτικών δικτύων. Με τη βοήθειά του, είναι δυνατό να δημιουργηθεί ένα αξιόπιστο και ασφαλές υποδίκτυο που βασίζεται σε ένα αναξιόπιστο δίκτυο, συνήθως στο Διαδίκτυο. Παραδείγματα ασφαλών VPN είναι: IPSec, PPTP.
Χρησιμοποιούνται σε περιπτώσεις όπου το μέσο μετάδοσης μπορεί να θεωρηθεί αξιόπιστο και είναι απαραίτητο μόνο να λυθεί το πρόβλημα της δημιουργίας ενός εικονικού υποδικτύου εντός μεγαλύτερο δίκτυο. Τα θέματα ασφαλείας γίνονται άσχετα. Παραδείγματα τέτοιων λύσεων VPN είναι: Εναλλαγή ετικετών πολλαπλών πρωτοκόλλων (L2TP (Layer 2 Tunneling Protocol). (ακριβέστερα, αυτά τα πρωτόκολλα μετατοπίζουν την εργασία ασφαλείας σε άλλα, για παράδειγμα, το L2TP χρησιμοποιείται συνήθως σε συνδυασμό με το IPSec).
Κατά τρόπο υλοποίησης
Η υλοποίηση του δικτύου VPN πραγματοποιείται χρησιμοποιώντας ένα ειδικό σύνολο λογισμικού και υλικού. Αυτή η υλοποίηση παρέχει υψηλή απόδοση και, κατά κανόνα, υψηλό βαθμόασφάλεια.
Χρησιμοποιούν προσωπικό υπολογιστή με ειδικό λογισμικό που παρέχει λειτουργικότητα VPN.
Η λειτουργικότητα VPN παρέχεται από ένα σύμπλεγμα που επιλύει επίσης εργασίες φιλτραρίσματος κυκλοφορίας δικτύου, οργάνωση τείχους προστασίας και διασφάλιση της ποιότητας της υπηρεσίας.
Με ραντεβού
Χρησιμοποιούνται για τον συνδυασμό πολλών κατανεμημένων υποκαταστημάτων ενός οργανισμού σε ένα ενιαίο ασφαλές δίκτυο, ανταλλάσσοντας δεδομένα μέσω ανοιχτών καναλιών επικοινωνίας.
Χρησιμοποιείται για τη δημιουργία ενός ασφαλούς καναλιού μεταξύ ενός τμήματος εταιρικού δικτύου (κεντρικό γραφείο ή υποκατάστημα) και ενός μεμονωμένου χρήστη που, ενώ εργάζεται στο σπίτι, συνδέεται με εταιρικούς πόρουςΜε οικιακός υπολογιστής, εταιρικό φορητό υπολογιστή, smartphone ή περίπτερο internet.
Χρησιμοποιείται για δίκτυα στα οποία συνδέονται "εξωτερικοί" χρήστες (για παράδειγμα, πελάτες ή πελάτες). Το επίπεδο εμπιστοσύνης σε αυτούς είναι πολύ χαμηλότερο από ό,τι στους υπαλλήλους της εταιρείας, επομένως, είναι απαραίτητο να παρέχονται ειδικά «σύνορα» προστασίας που εμποδίζουν ή περιορίζουν την πρόσβαση των τελευταίων σε ιδιαίτερα πολύτιμες, εμπιστευτικές πληροφορίες.
Χρησιμοποιείται για την παροχή πρόσβασης στο Διαδίκτυο από παρόχους.
Εξασφαλίζει την προστασία των μεταδιδόμενων δεδομένων μεταξύ δύο κόμβων (όχι δικτύων) ενός εταιρικού δικτύου. Η ιδιαιτερότητα αυτής της επιλογής είναι ότι το VPN δημιουργείται μεταξύ κόμβων που συνήθως βρίσκονται στο ίδιο τμήμα δικτύου, για παράδειγμα, μεταξύ σταθμός εργασίαςκαι διακομιστή. Μια τέτοια ανάγκη προκύπτει πολύ συχνά σε περιπτώσεις όπου είναι απαραίτητο να δημιουργηθούν πολλά λογικά δίκτυα. Για παράδειγμα, όταν είναι απαραίτητο να διαιρεθεί η κίνηση μεταξύ του οικονομικού τμήματος και του τμήματος ανθρώπινων πόρων, με πρόσβαση σε διακομιστές που βρίσκονται στο ίδιο φυσικό τμήμα. Αυτή η επιλογή είναι παρόμοια με την τεχνολογία VLAN, αλλά αντί να διαχωρίζει την κυκλοφορία, είναι κρυπτογραφημένη.
Ανά τύπο πρωτοκόλλου
Υπάρχουν υλοποιήσεις εικονικών ιδιωτικών δικτύων υπό TCP/IP, IPX και AppleTalk. Αλλά σήμερα υπάρχει μια τάση προς μια γενική μετάβαση στο πρωτόκολλο TCP/IP και η συντριπτική πλειοψηφία των λύσεων VPN το υποστηρίζει.
Κατά επίπεδο πρωτοκόλλου δικτύου
Με επίπεδο πρωτοκόλλου δικτύου, με βάση μια αντιστοίχιση στα επίπεδα του μοντέλου αναφοράς δικτύου ISO/OSI.
Παραδείγματα VPN
Πολλοί μεγάλοι πάροχοι προσφέρουν τις υπηρεσίες VPN τους για επιχειρηματικούς πελάτες.
Βιβλιογραφία
Το Virtual Private Network είναι ένα εικονικό ιδιωτικό δίκτυο που χρησιμοποιείται για την παροχή ασφαλούς συνδεσιμότητας σε εταιρικές συνδέσεις και πρόσβαση στο Διαδίκτυο. Το κύριο πλεονέκτημα του VPN είναι η υψηλή ασφάλεια λόγω της κρυπτογράφησης της εσωτερικής κίνησης, η οποία είναι σημαντική κατά τη μεταφορά δεδομένων.
Τι είναι μια σύνδεση VPN
Πολλοί άνθρωποι, όταν έρχονται αντιμέτωποι με αυτήν τη συντομογραφία, ρωτούν: VPN - τι είναι και γιατί χρειάζεται; Αυτή η τεχνολογίαανοίγει τη δυνατότητα δημιουργίας σύνδεσης δικτύου πάνω από μια άλλη. Το VPN λειτουργεί με διάφορους τρόπους:
Η οργάνωση ενός ιδιωτικού εικονικού δικτύου σε επίπεδο δικτύου επιτρέπει τη χρήση πρωτοκόλλων TCP και UDP. Όλα τα δεδομένα που περνούν από υπολογιστές είναι κρυπτογραφημένα. Αυτό είναι πρόσθετη προστασία για τη σύνδεσή σας. Υπάρχουν πολλά παραδείγματα που εξηγούν τι είναι μια σύνδεση VPN και γιατί πρέπει να τη χρησιμοποιήσετε. Παρακάτω θα είναι αναλυτικά αυτη η ερωτηση.
Γιατί χρειάζεστε ένα VPN
Κάθε πάροχος είναι σε θέση να παρέχει, κατόπιν αιτήματος των αρμόδιων αρχών, αρχεία καταγραφής δραστηριοτήτων των χρηστών. Η εταιρεία σας στο Διαδίκτυο καταγράφει όλες τις δραστηριότητες που πραγματοποιήσατε στο δίκτυο. Αυτό βοηθά στην απαλλαγή του παρόχου από κάθε ευθύνη για τις ενέργειες που πραγματοποίησε ο πελάτης. Υπάρχουν πολλές περιπτώσεις στις οποίες πρέπει να προστατεύσετε τα δεδομένα σας και να αποκτήσετε ελευθερία, για παράδειγμα:
Πώς λειτουργεί ένα VPN
Όταν χρησιμοποιείτε άλλο κανάλι VPN, η IP σας θα ανήκει στη χώρα όπου βρίσκεται αυτό το ασφαλές δίκτυο. Όταν συνδεθείτε, θα δημιουργηθεί ένα τούνελ μεταξύ του διακομιστή VPN και του υπολογιστή σας. Μετά από αυτό, στα αρχεία καταγραφής (αρχεία) του παρόχου θα υπάρχει ένα σύνολο ακατανόητοι χαρακτήρες. Ανάλυση δεδομένων ειδικό πρόγραμμαδεν θα δώσει αποτελέσματα. Εάν δεν χρησιμοποιείτε αυτήν την τεχνολογία, τότε το πρωτόκολλο HTTP θα υποδείξει αμέσως σε ποιον ιστότοπο συνδέεστε.
Δομή VPN
Αυτή η σύνδεση αποτελείται από δύο μέρη. Το πρώτο ονομάζεται "εσωτερικό" δίκτυο, μπορείτε να δημιουργήσετε πολλά από αυτά. Το δεύτερο είναι το "εξωτερικό", μέσω του οποίου πραγματοποιείται η ενθυλακωμένη σύνδεση, κατά κανόνα χρησιμοποιείται το Διαδίκτυο. Είναι επίσης δυνατή η σύνδεση ενός μόνο υπολογιστή στο δίκτυο. Ο χρήστης συνδέεται με ένα συγκεκριμένο VPN μέσω ενός διακομιστή πρόσβασης που συνδέεται ταυτόχρονα με τα εξωτερικά και εσωτερικά δίκτυα.
Όταν ένα πρόγραμμα VPN συνδέει έναν απομακρυσμένο χρήστη, ο διακομιστής απαιτεί δύο σημαντικές διαδικασίες για να περάσουν: πρώτα αναγνώριση και μετά έλεγχος ταυτότητας. Αυτό είναι απαραίτητο για να αποκτήσετε δικαιώματα χρήσης αυτής της σύνδεσης. Εάν έχετε περάσει με επιτυχία αυτά τα δύο στάδια, το δίκτυό σας ενδυναμώνεται, γεγονός που ανοίγει τη δυνατότητα εργασίας. Στην ουσία, αυτή είναι η διαδικασία εξουσιοδότησης.
Ταξινόμηση VPN
Υπάρχουν διάφοροι τύποι εικονικών ιδιωτικών δικτύων. Υπάρχουν επιλογές για το βαθμό ασφάλειας, τον τρόπο υλοποίησης, το επίπεδο εργασίας σύμφωνα με το μοντέλο ISO/OSI, το σχετικό πρωτόκολλο. Μπορείτε να χρησιμοποιήσετε πρόσβαση επί πληρωμή ή μια δωρεάν υπηρεσία VPN από την Google. Με βάση τον βαθμό ασφάλειας, τα κανάλια μπορεί να είναι "ασφαλή" ή "έμπιστα". Τα τελευταία χρειάζονται εάν η ίδια η σύνδεση έχει το επιθυμητό επίπεδο προστασίας. Για την οργάνωση της πρώτης επιλογής, θα πρέπει να χρησιμοποιηθούν οι ακόλουθες τεχνολογίες:
Πώς να δημιουργήσετε έναν διακομιστή VPN
Για όλους τους χρήστες υπολογιστών, υπάρχει τρόπος να συνδέσετε μόνοι σας ένα VPN. Παρακάτω υπάρχει μια επιλογή για λειτουργικό σύστημα Windows. Αυτό το εγχειρίδιο δεν προβλέπει τη χρήση πρόσθετου λογισμικού. Η ρύθμιση πραγματοποιείται ως εξής:
Πώς να ρυθμίσετε ένα VPN στο Android
Η μέθοδος που περιγράφεται παραπάνω ήταν πώς να δημιουργήσετε μια σύνδεση VPN προσωπικός υπολογιστής. Ωστόσο, πολλοί από καιρό εκτελούν όλες τις ενέργειες χρησιμοποιώντας το τηλέφωνο. Εάν δεν ξέρετε τι είναι ένα VPN στο Android, τότε όλα τα παραπάνω γεγονότα αυτός ο τύποςΟι συνδέσεις ισχύουν και για smartphone. Η διαμόρφωση των σύγχρονων συσκευών παρέχει άνετη χρήση του Διαδικτύου σε υψηλή ταχύτητα. Σε ορισμένες περιπτώσεις (για την έναρξη παιχνιδιών, το άνοιγμα τοποθεσιών) χρησιμοποιούν αντικατάσταση διακομιστή μεσολάβησης ή ανωνυμοποιητές, αλλά για σταθερό και γρήγορο Συνδέσεις VPNταιριάζει καλύτερα.
Εάν καταλαβαίνετε ήδη τι είναι ένα VPN σε ένα τηλέφωνο, τότε μπορείτε να πάτε απευθείας στη δημιουργία ενός τούνελ. Μπορείτε να το κάνετε αυτό σε οποιαδήποτε συσκευή Android. Η σύνδεση γίνεται ως εξής:
Βίντεο: Δωρεάν υπηρεσία VPN
Φόρτωση...