Konsep jaringan virtual. VPN - apa itu dan mengapa Anda membutuhkannya

Internet semakin banyak digunakan sebagai sarana komunikasi antar komputer karena menawarkan komunikasi yang efisien dan murah. Namun, Internet adalah jaringan publik dan untuk memastikan komunikasi yang aman melaluinya, diperlukan beberapa mekanisme yang memenuhi setidaknya tugas-tugas berikut:

    kerahasiaan informasi;

    integritas data;

    ketersediaan informasi;

Persyaratan ini dipenuhi oleh mekanisme yang disebut VPN (Virtual Private Network - jaringan pribadi virtual) - nama umum untuk teknologi yang memungkinkan Anda menyediakan satu atau lebih koneksi jaringan (jaringan logis) melalui jaringan lain (misalnya, Internet) menggunakan kriptografi alat (enkripsi, otentikasi, kunci publik infrastruktur, sarana untuk melindungi dari pengulangan dan perubahan pesan yang dikirimkan melalui jaringan logis).

Membuat VPN tidak memerlukan investasi tambahan dan memungkinkan Anda berhenti menggunakan jalur sewaan. Bergantung pada protokol yang digunakan dan tujuannya, VPN dapat menyediakan tiga jenis koneksi: host-host, host-jaringan, dan jaringan-jaringan.

Untuk lebih jelasnya, mari kita bayangkan contoh berikut: sebuah perusahaan memiliki beberapa cabang yang jauh secara teritorial dan karyawan "bergerak" yang bekerja di rumah atau di jalan. Penting untuk menyatukan semua karyawan perusahaan dalam satu jaringan. Cara termudah adalah dengan menempatkan modem di setiap cabang dan mengatur komunikasi sesuai kebutuhan. Solusi seperti itu, bagaimanapun, tidak selalu nyaman dan menguntungkan - terkadang Anda membutuhkan koneksi yang konstan dan bandwidth yang besar. Untuk melakukan ini, Anda harus meletakkan jalur khusus di antara cabang, atau menyewanya. Keduanya cukup mahal. Dan di sini, sebagai alternatif, saat membangun satu jaringan aman, Anda dapat menggunakan koneksi VPN dari semua cabang perusahaan melalui Internet dan mengonfigurasi alat VPN di host jaringan.

Beras. 6.4. koneksi VPN situs-ke-situs

Beras. 6.5. Koneksi host-ke-jaringan VPN

Dalam hal ini, banyak masalah diselesaikan - cabang dapat ditempatkan di mana saja di seluruh dunia.

Bahayanya di sini adalah, pertama, jaringan terbuka tersedia untuk serangan dari penyusup di seluruh dunia. Kedua, semua data ditransmisikan melalui Internet dengan jelas, dan penyerang, setelah meretas jaringan, akan memiliki semua informasi yang dikirimkan melalui jaringan. Dan ketiga, data tidak hanya dapat dicegat, tetapi juga diganti selama transmisi melalui jaringan. Penyerang dapat, misalnya, membahayakan integritas database dengan bertindak atas nama klien dari salah satu cabang tepercaya.

Untuk mencegah hal ini terjadi, solusi VPN menggunakan alat seperti enkripsi data untuk memastikan integritas dan kerahasiaan, autentikasi dan otorisasi untuk memverifikasi hak pengguna dan mengizinkan akses ke jaringan pribadi virtual.

Koneksi VPN selalu terdiri dari tautan titik-ke-titik, juga dikenal sebagai terowongan. Terowongan dibuat di jaringan yang tidak aman, yang paling sering adalah Internet.

Tunneling atau enkapsulasi adalah cara untuk mentransfer informasi yang berguna melalui jaringan perantara. Informasi tersebut dapat berupa bingkai (atau paket) dari protokol lain. Dengan enkapsulasi, frame tidak ditransmisikan seperti yang dihasilkan oleh host pengirim, tetapi dilengkapi dengan header tambahan yang berisi informasi perutean yang memungkinkan paket yang dienkapsulasi melewati jaringan perantara (Internet). Di ujung terowongan, bingkai didekapsulasi dan dikirim ke penerima. Biasanya, terowongan dibuat oleh dua perangkat tepi yang terletak di titik masuk ke jaringan publik. Salah satu keuntungan nyata dari tunneling adalah teknologi ini memungkinkan Anda untuk mengenkripsi seluruh paket asli, termasuk header, yang mungkin berisi data berisi informasi yang digunakan penyerang untuk meretas jaringan (misalnya, alamat IP, jumlah subnet, dll. ) .

Meskipun terowongan VPN dibuat di antara dua titik, setiap host dapat membuat terowongan tambahan dengan host lain. Misalnya, ketika tiga stasiun jarak jauh perlu menghubungi kantor yang sama, tiga terowongan VPN terpisah akan dibuat ke kantor ini. Untuk semua terowongan, simpul di sisi kantor bisa sama. Ini dimungkinkan karena fakta bahwa node dapat mengenkripsi dan mendekripsi data atas nama seluruh jaringan, seperti yang ditunjukkan pada gambar:

Beras. 6.6. Buat terowongan VPN untuk beberapa lokasi terpencil

Pengguna membuat koneksi ke gateway VPN, setelah itu pengguna memiliki akses ke jaringan internal.

Dalam jaringan pribadi, enkripsi itu sendiri tidak terjadi. Alasannya adalah bagian jaringan ini dianggap aman dan berada di bawah kendali langsung, berbeda dengan Internet. Ini juga berlaku saat menghubungkan kantor menggunakan gateway VPN. Dengan demikian, enkripsi dijamin hanya untuk informasi yang dikirimkan melalui saluran yang tidak aman antar kantor.

ada banyak berbagai solusi untuk membangun jaringan pribadi virtual. Protokol yang paling terkenal dan banyak digunakan adalah:

    PPTP (Point-to-Point Tunneling Protocol) - protokol ini menjadi sangat populer karena dimasukkan dalam sistem operasi Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - menggabungkan protokol L2F (Layer 2 Forwarding) dan protokol PPTP. Biasanya digunakan bersama dengan IPSec.

    IPSec (Internet Protocol Security) adalah standar Internet resmi yang dikembangkan oleh komunitas IETF (Internet Engineering Task Force).

Protokol yang terdaftar didukung oleh perangkat D-Link.

Protokol PPTP terutama ditujukan untuk jaringan pribadi virtual berdasarkan koneksi dial-up. Protokol memungkinkan Anda mengatur akses jarak jauh, sehingga pengguna dapat membuat koneksi dial-up dengan penyedia Internet dan membuat terowongan aman ke jaringan perusahaan mereka. Tidak seperti IPSec, protokol PPTP awalnya tidak dimaksudkan untuk mengatur terowongan antara jaringan lokal. PPTP memperluas kemampuan PPP, sebuah protokol data-link yang awalnya dirancang untuk mengenkapsulasi data dan mengirimkannya melalui koneksi point-to-point.

Protokol PPTP memungkinkan Anda membuat saluran aman untuk pertukaran data menggunakan berbagai protokol - IP, IPX, NetBEUI, dll. Data protokol ini dikemas ke dalam bingkai PPP, dienkapsulasi menggunakan protokol PPTP ke dalam paket protokol IP. Mereka kemudian diangkut menggunakan IP dalam bentuk terenkripsi melalui jaringan TCP/IP apa pun. Node penerima mengekstrak frame PPP dari paket IP dan kemudian memprosesnya dengan cara standar, yaitu. mengekstrak paket IP, IPX, atau NetBEUI dari bingkai PPP dan mengirimkannya melalui jaringan lokal. Dengan demikian, protokol PPTP membuat koneksi point-to-point di jaringan dan mentransmisikan data melalui saluran aman yang dibuat. Keuntungan utama dari protokol enkapsulasi seperti PPTP adalah sifat multiprotokolnya. Itu. perlindungan data pada lapisan data link transparan untuk protokol lapisan jaringan dan aplikasi. Oleh karena itu, di dalam jaringan, protokol IP (seperti dalam kasus VPN berbasis IPSec) atau protokol lainnya dapat digunakan sebagai transportasi.

Saat ini, karena kemudahan penerapannya, protokol PPTP banyak digunakan baik untuk mendapatkan akses aman yang andal ke jaringan perusahaan maupun untuk mengakses jaringan ISP ketika klien perlu membuat koneksi PPTP dengan ISP untuk mengakses Internet.

Metode enkripsi yang digunakan dalam PPTP ditentukan pada lapisan PPP. Biasanya klien PPP komputer desktop dengan sistem operasi Microsoft, dan protokol Microsoft Point-to-Point Encryption (MPPE) digunakan sebagai protokol enkripsi. Protokol ini didasarkan pada standar RSA RC4 dan mendukung enkripsi 40 atau 128 bit. Untuk banyak aplikasi tingkat enkripsi ini, menggunakan algoritme ini sudah cukup, meskipun dianggap kurang aman dibandingkan sejumlah algoritme enkripsi lain yang ditawarkan oleh IPSec, khususnya, Standar Enkripsi Triple-Data (3DES) 168-bit.

Bagaimana koneksi dibuatPPTP?

PPTP merangkum paket IP untuk transmisi melalui jaringan IP. Klien PPTP membuat koneksi kontrol terowongan yang membuat tautan tetap hidup. Proses ini dilakukan pada lapisan transport model OSI. Setelah terowongan dibuat, komputer klien dan server mulai bertukar paket layanan.

Selain koneksi kontrol PPTP, koneksi dibuat untuk mengirim data melalui terowongan. Mengenkapsulasi data sebelum mengirimkannya ke terowongan melibatkan dua langkah. Pertama, bagian informasi dari kerangka PPP dibuat. Data mengalir dari atas ke bawah, dari lapisan aplikasi OSI ke lapisan tautan. Data yang diterima kemudian dikirim ke model OSI dan dienkapsulasi oleh protokol lapisan atas.

Data dari link layer mencapai transport layer. Namun, informasi tidak dapat dikirim ke tujuannya, karena lapisan tautan OSI bertanggung jawab untuk ini. Oleh karena itu, PPTP mengenkripsi bidang muatan paket dan mengambil alih fungsi tingkat kedua yang biasanya milik PPP, yaitu, menambahkan header PPP (header) dan penutup (trailer) ke paket PPTP. Ini melengkapi pembuatan bingkai lapisan tautan. Selanjutnya, PPTP merangkum bingkai PPP dalam paket Generic Routing Encapsulation (GRE) yang dimiliki oleh lapisan jaringan. GRE merangkum protokol lapisan jaringan seperti IP, IPX untuk memungkinkannya diangkut melalui jaringan IP. Namun, menggunakan protokol GRE saja tidak akan menjamin pembentukan sesi dan keamanan data. Ini menggunakan kemampuan PPTP untuk membuat koneksi kontrol terowongan. Penggunaan GRE sebagai metode enkapsulasi membatasi ruang lingkup PPTP hanya untuk jaringan IP.

Setelah bingkai PPP dienkapsulasi dalam bingkai dengan header GRE, bingkai tersebut dienkapsulasi dalam bingkai dengan header IP. Header IP berisi alamat pengirim dan penerima paket. Terakhir, PPTP menambahkan header dan penutup PPP.

Pada beras. 6.7 menunjukkan struktur data untuk meneruskan melalui terowongan PPTP:

Beras. 6.7. Struktur data untuk meneruskan melalui terowongan PPTP

Menyiapkan VPN berdasarkan PPTP tidak memerlukan biaya besar dan pengaturan yang rumit: cukup menginstal server PPTP di kantor pusat (solusi PPTP tersedia untuk platform Windows dan Linux), dan membuat pengaturan yang diperlukan pada komputer klien. Jika Anda perlu menggabungkan beberapa cabang, daripada menyiapkan PPTP di semua stasiun klien, lebih baik menggunakan router Internet atau firewall dengan dukungan PPTP: pengaturan dibuat hanya pada router perbatasan (firewall) yang terhubung ke Internet, semuanya benar-benar transparan bagi pengguna. Contoh perangkat tersebut adalah router Internet multifungsi DIR/DSR dan firewall seri DFL.

GRE-terowongan

Generic Routing Encapsulation (GRE) adalah protokol enkapsulasi paket jaringan yang menyediakan tunneling lalu lintas melalui jaringan tanpa enkripsi. Contoh penggunaan GRE:

    transmisi lalu lintas (termasuk siaran) melalui peralatan yang tidak mendukung protokol tertentu;

    tunneling lalu lintas IPv6 melalui jaringan IPv4;

    transmisi data melalui jaringan publik untuk mengimplementasikan koneksi VPN yang aman.

Beras. 6.8. Contoh terowongan GRE

Antara dua router A dan B ( beras. 6.8) ada beberapa router, terowongan GRE memungkinkan Anda menyediakan koneksi antara jaringan lokal 192.168.1.0/24 dan 192.168.3.0/24 seolah-olah router A dan B terhubung secara langsung.

L2 TP

Protokol L2TP muncul sebagai hasil dari penggabungan protokol PPTP dan L2F. Keuntungan utama dari protokol L2TP adalah memungkinkan Anda membuat terowongan tidak hanya di jaringan IP, tetapi juga di jaringan ATM, X.25 dan Frame relay. L2TP menggunakan UDP sebagai transportasi dan menggunakan format pesan yang sama untuk manajemen terowongan dan penerusan data.

Seperti dalam kasus PPTP, L2TP mulai menyusun paket untuk ditransmisikan ke tunnel dengan terlebih dahulu menambahkan header PPP, kemudian header L2TP, ke kolom data informasi PPP. Paket yang diterima kemudian dienkapsulasi oleh UDP. Bergantung pada jenis kebijakan keamanan IPSec yang dipilih, L2TP dapat mengenkripsi pesan UDP dan menambahkan header dan akhiran Encapsulating Security Payload (ESP), serta akhiran Autentikasi IPSec (lihat bagian "L2TP melalui IPSec"). Kemudian dikemas dalam IP. Header IP ditambahkan yang berisi alamat pengirim dan penerima. Terakhir, L2TP melakukan enkapsulasi PPP kedua untuk menyiapkan data untuk transmisi. Pada beras. 6.9 menunjukkan struktur data yang akan dikirim melalui terowongan L2TP.

Beras. 6.9. Struktur data untuk meneruskan melalui terowongan L2TP

Komputer penerima menerima data, memproses header dan penutup PPP, dan menghapus header IP. Otentikasi IPSec mengotentikasi bidang informasi IP, dan header IPSec ESP membantu mendekripsi paket.

Komputer kemudian memproses header UDP dan menggunakan header L2TP untuk mengidentifikasi tunnel. Paket PPP sekarang hanya berisi muatan yang sedang diproses atau diteruskan ke penerima yang ditentukan.

IPsec (kependekan dari IP Security) adalah seperangkat protokol untuk mengamankan data yang dikirimkan melalui Protokol Internet IP, memungkinkan otentikasi dan/atau enkripsi paket IP. IPsec juga menyertakan protokol untuk pertukaran kunci aman di Internet.

Keamanan IPSec dicapai melalui protokol tambahan yang menambahkan header mereka sendiri ke paket IP - enkapsulasi. Karena IPSec adalah standar Internet, lalu ada dokumen RFC untuk itu:

    RFC 2401 (Arsitektur Keamanan untuk Protokol Internet) adalah arsitektur keamanan untuk protokol IP.

    RFC 2402 (header Otentikasi IP) - header otentikasi IP.

    RFC 2404 (Penggunaan HMAC-SHA-1-96 dalam ESP dan AH) - Penggunaan algoritme hash SHA-1 untuk membuat header autentikasi.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - Penggunaan algoritma enkripsi DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - Enkripsi Data.

    RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) adalah ruang lingkup protokol manajemen kunci.

    RFC 2408( keamanan internet Asosiasi dan Protokol Manajemen Kunci (ISAKMP) - manajemen kunci dan autentikator koneksi aman.

    RFC 2409 (Pertukaran Kunci Internet (IKE)) - Pertukaran Kunci.

    RFC 2410 (Algoritma Enkripsi NULL dan Penggunaannya Dengan IPsec) - Algoritma Enkripsi NULL dan Penggunaannya.

    RFC 2411 (Peta Jalan Dokumen Keamanan IP) merupakan pengembangan lebih lanjut dari standar.

    RFC 2412 (Protokol Penentuan Kunci OAKLEY) - Memeriksa Keaslian Kunci.

IPsec adalah bagian integral dari Protokol Internet IPv6 dan perpanjangan opsional dari versi IPv4 dari Protokol Internet.

Mekanisme IPSec melakukan tugas-tugas berikut:

    otentikasi pengguna atau komputer selama inisialisasi saluran aman;

    enkripsi dan autentikasi data yang dikirimkan antara titik akhir saluran aman;

    pasokan otomatis titik akhir saluran dengan kunci rahasia yang diperlukan untuk pengoperasian protokol otentikasi dan enkripsi data.

Komponen IPSec

Protokol AH (Authentication Header) adalah protokol identifikasi header. Memastikan integritas dengan memverifikasi bahwa tidak ada bit di bagian paket yang dilindungi yang telah diubah selama transmisi. Namun penggunaan AH dapat menimbulkan masalah, misalnya saat sebuah paket melewati perangkat NAT. NAT mengubah alamat IP paket untuk memungkinkan akses Internet dari yang tertutup alamat lokal. Karena dalam hal ini, paket berubah, maka checksum AH menjadi salah (untuk menghilangkan masalah ini, protokol NAT-Traversal (NAT-T) dikembangkan, yang menyediakan transmisi ESP melalui UDP dan menggunakan port UDP 4500 dalam pekerjaannya). Perlu juga dicatat bahwa AH dirancang hanya untuk integritas. Itu tidak menjamin kerahasiaan dengan mengenkripsi isi paket.

Protokol ESP (Encapsulation Security Payload) tidak hanya menyediakan integritas dan otentikasi data yang dikirimkan, tetapi juga enkripsi data, serta perlindungan terhadap spoofing paket.

Protokol ESP adalah protokol keamanan enkapsulasi yang menyediakan integritas dan kerahasiaan. Dalam mode transport, header ESP berada di antara header IP asli dan header TCP atau UDP. Dalam mode terowongan, header ESP ditempatkan di antara header IP baru dan paket IP asli yang dienkripsi sepenuhnya.

Karena kedua protokol - AH dan ESP - menambahkan header IP mereka sendiri, masing-masing memiliki nomor protokol (ID) sendiri, yang dengannya Anda dapat menentukan apa yang akan mengikuti header IP. Setiap protokol, menurut IANA (Internet Assigned Numbers Authority - organisasi yang bertanggung jawab atas ruang alamat Internet), memiliki nomor (ID) sendiri. Misalnya, untuk TCP angka ini adalah 6, dan untuk UDP adalah 17. Oleh karena itu, sangat penting saat bekerja melalui firewall untuk mengonfigurasi filter sedemikian rupa untuk melewatkan paket dengan ID AH dan/atau ESP dari protokol.

Protokol ID 51 diatur untuk menunjukkan bahwa AH ada di header IP, dan 50 untuk ESP.

PERHATIAN: ID protokol tidak sama dengan nomor port.

Protokol IKE (Internet Key Exchange) adalah protokol IPsec standar yang digunakan untuk mengamankan komunikasi dalam jaringan pribadi virtual. Tujuan IKE adalah negosiasi yang aman dan pengiriman materi yang teridentifikasi ke asosiasi keamanan (SA).

SA adalah istilah IPSec untuk koneksi. SA yang mapan (saluran aman yang disebut "asosiasi aman" atau "asosiasi keamanan" - Asosiasi Keamanan, SA) mencakup kunci rahasia bersama dan sekumpulan algoritme kriptografi.

Protokol IKE melakukan tiga tugas utama:

    menyediakan sarana otentikasi antara dua titik akhir VPN;

    membuat tautan IPSec baru (membuat sepasang SA);

    mengelola hubungan yang ada.

IKE menggunakan nomor port UDP 500. Saat menggunakan fitur NAT Traversal, seperti yang disebutkan sebelumnya, protokol IKE menggunakan nomor port UDP 4500.

Pertukaran data di IKE terjadi dalam 2 fase. Pada tahap pertama, asosiasi SA IKE dibentuk. Pada saat yang sama, titik akhir saluran diautentikasi dan parameter perlindungan data dipilih, seperti algoritme enkripsi, kunci sesi, dll.

Pada fase kedua, SA IKE digunakan untuk negosiasi protokol (biasanya IPSec).

Dengan terowongan VPN yang dikonfigurasi, satu pasangan SA dibuat untuk setiap protokol yang digunakan. SA dibuat berpasangan, seperti setiap SA adalah koneksi searah, dan data harus dikirim dalam dua arah. Pasangan SA yang diterima disimpan di setiap node.

Karena setiap node mampu membangun banyak terowongan dengan node lain, setiap SA memiliki nomor unik untuk mengidentifikasi node mana yang dimilikinya. Angka ini disebut SPI (Security Parameter Index) atau Indeks Parameter Keamanan.

SA disimpan dalam database (DB) SEDIH(Database Asosiasi Keamanan).

Setiap node IPSec juga memiliki DB kedua SPD(Database Kebijakan Keamanan) - Database kebijakan keamanan. Ini berisi kebijakan host yang dikonfigurasi. Sebagian besar solusi VPN memungkinkan Anda membuat beberapa kebijakan dengan kombinasi algoritme yang sesuai untuk setiap host yang ingin Anda sambungkan.

Fleksibilitas IPSec terletak pada kenyataan bahwa untuk setiap tugas ada beberapa cara untuk menyelesaikannya, dan metode yang dipilih untuk satu tugas biasanya tidak bergantung pada metode untuk mengimplementasikan tugas lainnya. Namun, Kelompok Kerja IETF telah menentukan serangkaian fitur dan algoritme yang didukung yang harus diterapkan dengan cara yang sama di semua produk yang mendukung IPSec. Mekanisme AH dan ESP dapat digunakan dengan berbagai skema autentikasi dan enkripsi, beberapa di antaranya bersifat wajib. Misalnya, IPSec menetapkan bahwa paket diautentikasi menggunakan fungsi satu arah MD5 atau fungsi satu arah SHA-1, dan enkripsi dilakukan menggunakan algoritme DES. Produsen produk yang menjalankan IPSec dapat menambahkan autentikasi dan algoritme enkripsi lainnya. Misalnya, beberapa produk mendukung algoritme enkripsi seperti 3DES, Blowfish, Cast, RC5, dll.

Setiap algoritma enkripsi simetris yang menggunakan kunci rahasia dapat digunakan untuk mengenkripsi data di IPSec.

Protokol perlindungan aliran (AH dan ESP) dapat beroperasi dalam dua mode - masuk Moda transportasi dan masuk modus terowongan. Saat beroperasi dalam mode transport, IPsec hanya berurusan dengan informasi lapisan transport; hanya bidang data paket yang berisi protokol TCP / UDP yang dienkripsi (header paket IP tidak diubah (tidak dienkripsi)). Modus transportasi biasanya digunakan untuk membangun koneksi antara host.

Mode tunneling mengenkripsi seluruh paket IP, termasuk header lapisan jaringan. Agar dapat dikirim melalui jaringan, itu ditempatkan di paket IP lain. Pada dasarnya, ini adalah terowongan IP yang aman. Mode terowongan dapat digunakan untuk menghubungkan komputer jarak jauh ke jaringan pribadi virtual (skema koneksi "jaringan host") atau untuk mengatur transfer data yang aman melalui saluran komunikasi terbuka (misalnya, Internet) antara gateway untuk menggabungkan berbagai bagian pribadi virtual jaringan ("skema koneksi jaringan").-net").

Mode IPsec tidak saling eksklusif. Pada host yang sama, beberapa SA mungkin menggunakan mode transport, sementara yang lain mungkin menggunakan mode tunnel.

Selama fase otentikasi, ICV checksum (Integrity Check Value) dari paket dihitung. Ini mengasumsikan bahwa kedua node mengetahui kunci rahasia, yang memungkinkan penerima untuk menghitung ICV dan membandingkannya dengan hasil yang dikirimkan oleh pengirim. Jika perbandingan ICV berhasil, pengirim paket dianggap terotentikasi.

Dalam mode mengangkutAH

    seluruh paket IP, kecuali beberapa kolom di header IP, yang dapat diubah saat transit. Bidang-bidang ini, yang nilainya untuk penghitungan ICV adalah 0, dapat menjadi bagian dari layanan (Jenis Layanan, TOS), bendera, offset fragmen, waktu tayang (TTL), serta header checksum;

    semua bidang di AH;

    muatan paket IP.

AH dalam mode transport melindungi header IP (kecuali untuk field yang diperbolehkan untuk diubah) dan payload dalam paket IP asli (Gambar 3.39).

Dalam mode terowongan, paket asli ditempatkan di paket IP baru, dan transfer data dilakukan berdasarkan header paket IP baru.

Untuk modus terowonganAH saat melakukan perhitungan, komponen berikut disertakan dalam checksum ICV:

    semua kolom di header IP luar, kecuali beberapa kolom di header IP, yang dapat diubah selama transmisi. Bidang-bidang ini, yang nilainya untuk penghitungan ICV adalah 0, dapat menjadi bagian dari layanan (Jenis Layanan, TOS), bendera, offset fragmen, waktu tayang (TTL), serta header checksum;

    semua bidang AH;

    paket IP asli.

Seperti yang Anda lihat dalam ilustrasi berikut, mode terowongan AH melindungi seluruh paket IP sumber dengan header luar tambahan yang tidak digunakan oleh mode transportasi AH:

Beras. 6.10. Mode terowongan dan transportasi dari protokol AN

Dalam mode mengangkutESP tidak mengautentikasi seluruh paket, tetapi hanya melindungi muatan IP. Header ESP dalam mode transportasi ESP ditambahkan ke paket IP segera setelah header IP, dan akhiran ESP (Trailer ESP) ditambahkan setelah data yang sesuai.

Mode transportasi ESP mengenkripsi bagian paket berikut:

    muatan IP;

Algoritme enkripsi yang menggunakan mode enkripsi Cipher Block Chaining (CBC) memiliki bidang yang tidak terenkripsi antara header ESP dan muatan. Bidang ini disebut IV (Inisialisasi Vektor) untuk perhitungan CBC, yang dilakukan pada penerima. Karena bidang ini digunakan untuk memulai proses dekripsi, bidang ini tidak dapat dienkripsi. Meskipun penyerang memiliki kemampuan untuk melihat IV, tidak mungkin dia dapat mendekripsi bagian terenkripsi dari paket tanpa kunci enkripsi. Untuk mencegah penyerang mengubah vektor inisialisasi, ini dijaga oleh checksum ICV. Dalam hal ini, ICV melakukan perhitungan berikut:

    semua bidang di tajuk ESP;

    payload termasuk plaintext IV;

    semua kolom di Trailer ESP kecuali untuk kolom data autentikasi.

Mode terowongan ESP merangkum seluruh paket IP asli dalam header IP baru, header ESP, dan Trailer ESP. Untuk menunjukkan bahwa ESP ada di header IP, pengidentifikasi protokol IP diatur ke 50, meninggalkan header IP asli dan payload tidak berubah. Seperti mode terowongan AH, header IP luar didasarkan pada konfigurasi terowongan IPSec. Dalam kasus menggunakan mode terowongan ESP, area otentikasi paket IP menunjukkan di mana tanda tangan dibuat, menyatakan integritas dan keasliannya, dan bagian terenkripsi menunjukkan bahwa informasi tersebut dilindungi dan dirahasiakan. Header asli ditempatkan setelah header ESP. Setelah bagian terenkripsi dienkapsulasi dalam header terowongan baru yang tidak dienkripsi, paket IP ditransmisikan. Ketika dikirim melalui jaringan publik, paket seperti itu dirutekan ke alamat IP gateway jaringan penerima, dan gateway mendekripsi paket dan membuang header ESP menggunakan header IP asli untuk kemudian merutekan paket ke komputer yang terletak di jaringan dalam. Mode tunneling ESP mengenkripsi bagian paket berikut:

    paket IP asli;

  • Untuk mode terowongan ESP, ICV dihitung sebagai berikut:

    semua bidang di tajuk ESP;

    paket IP asli, termasuk plaintext IV;

    semua bidang tajuk ESP kecuali untuk bidang data autentikasi.

Beras. 6.11. Terowongan dan mode transportasi dari protokol ESP

Beras. 6.12. Perbandingan protokol ESP dan AH

Ringkasan Mode AplikasiIPSec:

    Protokol - ESP (AH).

    Mode - terowongan (transportasi).

    Metode pertukaran kunci - IKE (manual).

    Mode IKE - utama (agresif).

    Kunci DH – grup 5 (grup 2, grup 1) – nomor grup untuk memilih kunci sesi yang dibuat secara dinamis, panjang grup.

    Otentikasi - SHA1 (SHA, MD5).

    Enkripsi - DES (3DES, Blowfish, AES).

Saat membuat kebijakan, biasanya dimungkinkan untuk membuat daftar urutan algoritme dan grup Diffie-Hellman. Diffie-Hellman (DH) adalah protokol enkripsi yang digunakan untuk menetapkan kunci rahasia bersama untuk IKE, IPSec, dan PFS (Perfect Forward Secrecy). Dalam hal ini, posisi pertama yang cocok pada kedua node akan digunakan. Sangat penting bahwa segala sesuatu dalam kebijakan keamanan memungkinkan Anda mencapai kebetulan ini. Jika semuanya cocok kecuali satu bagian dari kebijakan, host masih tidak dapat membuat koneksi VPN. Saat menyiapkan terowongan VPN antara berbagai sistem Anda perlu mencari tahu algoritme apa yang didukung oleh masing-masing pihak sehingga Anda dapat memilih kebijakan yang paling aman dari semua kemungkinan.

Pengaturan utama yang termasuk dalam kebijakan keamanan:

    Algoritma simetris untuk enkripsi/dekripsi data.

    Checksum kriptografi untuk memeriksa integritas data.

    Metode identifikasi simpul. Metode yang paling umum adalah rahasia yang dibagikan sebelumnya atau sertifikat CA.

    Apakah akan menggunakan mode terowongan atau mode transportasi.

    Grup Diffie-Hellman mana yang akan digunakan (grup DH 1 (768-bit); grup DH 2 (1024-bit); grup DH 5 (1536-bit)).

    Apakah akan menggunakan AH, ESP, atau keduanya.

    Apakah akan menggunakan PFS.

Keterbatasan IPSec adalah hanya mendukung transfer data pada lapisan protokol IP.

Ada dua skema utama untuk menggunakan IPSec, berbeda dalam peran node yang membentuk saluran aman.

Dalam skema pertama, saluran aman dibentuk antara host akhir jaringan. Dalam skema ini, protokol IPSec melindungi host yang sedang berjalan:

Beras. 6.13. Buat saluran aman antara dua titik akhir

Dalam skema kedua, saluran aman dibuat antara dua Gateway Keamanan. Gateway ini menerima data dari host akhir yang terhubung ke jaringan di belakang gateway. Host akhir dalam hal ini tidak mendukung protokol IPSec, lalu lintas yang diarahkan ke jaringan publik melewati gateway keamanan, yang melakukan perlindungan atas namanya sendiri.

Beras. 6.14. Membuat saluran aman antara dua gateway

Untuk host yang mendukung IPSec, mode transport dan mode terowongan dapat digunakan. Untuk gateway, hanya mode terowongan yang diperbolehkan.

Instalasi dan dukunganVPN

Seperti disebutkan di atas, menginstal dan memelihara terowongan VPN adalah proses dua langkah. Pada tahap pertama (fase), kedua node menyepakati metode identifikasi, algoritma enkripsi, algoritma hash, dan grup Diffie-Hellman. Mereka juga mengidentifikasi satu sama lain. Semua ini dapat terjadi sebagai akibat dari pertukaran tiga pesan yang tidak terenkripsi (yang disebut mode agresif, Agresif mode) atau enam pesan, dengan pertukaran informasi identifikasi terenkripsi (mode standar, Utama mode).

Dalam Mode Utama, dimungkinkan untuk menegosiasikan semua parameter konfigurasi perangkat pengirim dan penerima, sedangkan dalam Mode Agresif hal ini tidak dimungkinkan, dan beberapa parameter (grup Diffie-Hellman, algoritma enkripsi dan otentikasi, PFS) harus pra -dikonfigurasi dengan cara yang sama di setiap perangkat. Namun, dalam mode ini, jumlah pertukaran dan jumlah paket yang dikirim lebih sedikit, sehingga lebih sedikit waktu untuk membuat sesi IPSec.

Beras. 6.15. Pesan dalam mode standar (a) dan agresif (b).

Dengan asumsi operasi selesai dengan sukses, SA fase pertama dibuat − Fase 1 SA(disebut juga IKESA) dan proses dilanjutkan ke tahap kedua.

Pada langkah kedua, data kunci dihasilkan, node menyepakati kebijakan yang akan digunakan. Mode ini, juga disebut mode Cepat, berbeda dari Fase 1 karena hanya dapat dibuat setelah Fase 1, ketika semua paket Fase 2 dienkripsi. Penyelesaian yang benar dari fase kedua mengarah pada penampilan Fase 2 SA atau IPSecSA dan dalam hal ini pemasangan terowongan dianggap selesai.

Pertama, sebuah paket tiba di node dengan alamat tujuan di jaringan lain, dan node memulai fase pertama dengan node yang bertanggung jawab atas jaringan lain. Katakanlah terowongan antar node telah berhasil dibuat dan sedang menunggu paket. Namun, node perlu mengidentifikasi ulang satu sama lain dan membandingkan kebijakan setelah jangka waktu tertentu. Periode ini disebut masa hidup Tahap Satu atau masa hidup IKE SA.

Node juga harus mengubah kunci untuk mengenkripsi data setelah periode waktu yang disebut Fase Dua atau seumur hidup IPSec SA.

Fase Dua seumur hidup lebih pendek dari fase pertama, karena kunci perlu diubah lebih sering. Anda perlu menyetel parameter seumur hidup yang sama untuk kedua node. Jika Anda tidak melakukan ini, maka mungkin terowongan pada awalnya akan berhasil dibuat, tetapi setelah periode pertama kehidupan yang tidak konsisten, koneksi akan terputus. Masalah juga bisa muncul ketika masa hidup fase pertama kurang dari fase kedua. Jika terowongan yang dikonfigurasi sebelumnya berhenti berfungsi, hal pertama yang harus diperiksa adalah masa pakai kedua node.

Perlu juga dicatat bahwa jika Anda mengubah kebijakan di salah satu node, perubahan hanya akan berlaku pada permulaan fase pertama berikutnya. Agar perubahan segera berlaku, Anda harus menghapus SA untuk terowongan ini dari database SAD. Ini akan memaksa revisi perjanjian antara node dengan pengaturan kebijakan keamanan yang baru.

Terkadang, saat menyiapkan terowongan IPSec antara peralatan dari produsen yang berbeda, ada kesulitan yang terkait dengan koordinasi parameter selama pembuatan fase pertama. Anda harus memperhatikan parameter seperti ID Lokal - ini adalah pengidentifikasi unik untuk titik akhir terowongan (pengirim dan penerima). Ini sangat penting saat membuat banyak terowongan dan menggunakan protokol NAT Traversal.

Matirekandeteksi

Selama operasi VPN, jika tidak ada lalu lintas antara titik akhir terowongan, atau jika data awal host jarak jauh berubah (misalnya, mengubah alamat IP yang ditetapkan secara dinamis), suatu situasi dapat muncul ketika terowongan pada dasarnya tidak lagi seperti itu. , seolah-olah menjadi terowongan hantu . Untuk menjaga kesiapan konstan untuk pertukaran data di terowongan IPSec yang dibuat, mekanisme IKE (dijelaskan dalam RFC 3706) memungkinkan Anda untuk mengontrol keberadaan lalu lintas dari simpul jarak jauh terowongan, dan jika tidak ada selama waktu yang ditentukan, pesan halo dikirim (di firewall D-Link mengirim pesan "DPD-R-U-THERE"). Jika tidak ada respons terhadap pesan ini dalam waktu tertentu, di firewall D-Link yang diatur oleh pengaturan "Waktu Kedaluwarsa DPD", terowongan dibongkar. Firewall D-Link setelah itu, menggunakan pengaturan "DPD Keep Time" ( beras. 6.18) secara otomatis mencoba membangun kembali terowongan.

ProtokolNATLintasan

Lalu lintas IPsec dapat dirutekan menurut aturan yang sama dengan protokol IP lainnya, tetapi karena router tidak selalu dapat mengekstraksi informasi khusus untuk protokol lapisan transport, IPsec tidak mungkin melewati gateway NAT. Seperti disebutkan sebelumnya, untuk mengatasi masalah ini, IETF telah menetapkan cara untuk mengenkapsulasi ESP dalam UDP, yang disebut NAT-T (NAT Traversal).

Protokol NAT Traversal merangkum lalu lintas IPSec dan secara bersamaan membuat paket UDP yang diteruskan NAT dengan benar. Untuk melakukannya, NAT-T menempatkan header UDP tambahan sebelum paket IPSec sehingga diperlakukan seperti paket UDP normal di seluruh jaringan dan host penerima tidak melakukan pemeriksaan integritas apa pun. Setelah paket tiba di tujuannya, header UDP dihapus dan paket data melanjutkan perjalanannya sebagai paket IPSec yang dienkapsulasi. Jadi, dengan menggunakan mekanisme NAT-T, dimungkinkan untuk membangun komunikasi antara klien IPSec di jaringan aman dan host IPSec publik melalui firewall.

Ada dua hal yang perlu diperhatikan saat mengonfigurasi firewall D-Link di perangkat penerima:

    di bidang Jaringan Jarak Jauh dan Titik Akhir Jarak Jauh, tentukan jaringan dan alamat IP perangkat pengirim jarak jauh. Perlu untuk mengizinkan terjemahan alamat IP pemrakarsa (pengirim) menggunakan teknologi NAT (Gambar 3.48).

    Saat menggunakan kunci bersama dengan beberapa terowongan yang terhubung ke firewall jarak jauh yang sama yang telah diberi NAT ke alamat yang sama, penting untuk memastikan bahwa ID Lokal unik untuk setiap terowongan.

Lokal PENGENAL dapat menjadi salah satu dari:

    Mobil– alamat IP antarmuka lalu lintas keluar digunakan sebagai pengidentifikasi lokal.

    AKU P– Alamat IP port WAN firewall jarak jauh

    DNS– alamat DNS

    Virtual Private Networks (VPNs) mendapatkan banyak perhatian sebagai penyedia layanan jaringan dan penyedia Internet, dan pengguna korporat. Riset Infonetika memperkirakan bahwa pasar VPN akan tumbuh lebih dari 100% per tahun hingga tahun 2003 dan mencapai $12 miliar.

    Sebelum memberi tahu Anda tentang popularitas VPN, izinkan saya mengingatkan Anda bahwa hanya jaringan data pribadi (perusahaan) yang dibangun, sebagai aturan, menggunakan saluran komunikasi sewaan (khusus) dari jaringan telepon umum yang dialihkan. Selama bertahun-tahun, jaringan pribadi ini telah dirancang dengan mempertimbangkan kebutuhan perusahaan tertentu, menghasilkan protokol berpemilik yang mendukung aplikasi berpemilik (namun, protokol Frame Relay dan ATM baru-baru ini mendapatkan popularitas). Saluran khusus memberikan perlindungan yang andal informasi rahasia, bagaimanapun, sisi lain dari koin adalah biaya operasi yang tinggi dan kesulitan dalam memperluas jaringan, belum lagi kemampuan pengguna ponsel untuk terhubung ke titik yang tidak diinginkan. Pada saat yang sama, bisnis modern dicirikan oleh penyebaran dan mobilitas tenaga kerja yang signifikan. Semakin banyak pengguna yang membutuhkan akses ke informasi perusahaan melalui saluran dial-up, dan jumlah karyawan yang bekerja dari rumah juga semakin meningkat.

    Selanjutnya, jaringan pribadi tidak dapat menyediakan peluang bisnis yang sama yang disediakan oleh aplikasi berbasis Internet dan IP, seperti promosi produk, dukungan pelanggan, atau komunikasi berkelanjutan dengan pemasok. Interaksi online ini memerlukan interkoneksi jaringan pribadi, yang biasanya menggunakan protokol dan aplikasi yang berbeda, sistem manajemen jaringan yang berbeda, dan penyedia layanan komunikasi yang berbeda.

    Dengan demikian, biaya tinggi, sifat statis, dan kesulitan yang muncul ketika perlu menggabungkan jaringan pribadi berdasarkan teknologi yang berbeda, bertentangan dengan bisnis yang berkembang secara dinamis, keinginannya untuk desentralisasi dan tren baru-baru ini menuju merger.

    Pada saat yang sama, secara paralel, ada jaringan transmisi data publik tanpa kekurangan ini dan Internet, yang secara harfiah menyelimuti seluruh dunia dengan "web" -nya. Benar, mereka kehilangan keuntungan terpenting dari jaringan pribadi - perlindungan yang handal informasi perusahaan. Teknologi Virtual Private Network menggabungkan fleksibilitas, skalabilitas, biaya rendah, dan ketersediaan Internet "kapan saja di mana saja" secara harfiah dan jaringan publik dengan keamanan jaringan pribadi. Pada intinya, VPN adalah jaringan pribadi yang digunakan jaringan global akses publik(Internet, Frame Relay, ATM). Virtualitas dimanifestasikan dalam kenyataan bahwa untuk pengguna korporat mereka tampak seperti jaringan pribadi yang berdedikasi.

    KESESUAIAN

    Masalah kompatibilitas tidak muncul jika VPN secara langsung menggunakan layanan Frame Relay dan ATM, karena mereka beradaptasi dengan baik untuk bekerja di lingkungan multiprotokol dan cocok untuk aplikasi IP dan non-IP. Semua yang diperlukan dalam hal ini adalah tersedianya infrastruktur jaringan yang sesuai yang mencakup wilayah geografis yang dibutuhkan. Perangkat akses yang paling umum digunakan adalah Perangkat Akses Frame Relay atau router dengan antarmuka Frame Relay dan ATM. Banyak sirkuit virtual permanen atau yang diaktifkan dapat beroperasi (secara virtual) dengan campuran protokol dan topologi apa pun. Masalah menjadi lebih rumit jika VPN berbasis Internet. Dalam hal ini, aplikasi harus kompatibel dengan protokol IP. Asalkan persyaratan ini terpenuhi, Anda dapat menggunakan Internet "sebagaimana adanya" untuk membangun VPN, setelah sebelumnya memberikan tingkat keamanan yang diperlukan. Tetapi karena sebagian besar jaringan pribadi multiprotokol atau menggunakan alamat IP internal tidak resmi, mereka tidak dapat langsung terhubung ke Internet tanpa adaptasi yang sesuai. Ada banyak solusi kompatibilitas. Yang paling populer adalah sebagai berikut:
    - konversi protokol yang ada (IPX, NetBEUI, AppleTalk atau lainnya) menjadi protokol IP dengan alamat resmi;
    - konversi alamat IP internal ke alamat IP resmi;
    — pemasangan gateway IP khusus di server;
    — penggunaan perutean IP virtual;
    - penggunaan teknik tunneling universal.
    Cara pertama sudah jelas, jadi mari kita lihat secara singkat yang lain.
    Mengubah alamat IP internal menjadi yang resmi diperlukan ketika jaringan pribadi didasarkan pada protokol IP. Terjemahan alamat untuk seluruh jaringan perusahaan tidak diperlukan, karena alamat IP resmi dapat hidup berdampingan dengan yang internal pada sakelar dan perute di jaringan perusahaan. Dengan kata lain, server dengan alamat IP resmi masih tersedia untuk klien jaringan pribadi melalui infrastruktur lokal. Teknik yang paling umum digunakan adalah pembagian blok kecil alamat resmi oleh banyak pengguna. Ini mirip dengan pemisahan kumpulan modem yang juga bergantung pada asumsi bahwa tidak semua pengguna memerlukan akses ke Internet pada saat yang bersamaan. Ada dua standar industri di sini: Protokol Konfigurasi Host Dinamis (DHCP) dan siaran alamat jaringan(Terjemahan Alamat Jaringan - NAT), yang pendekatannya sedikit berbeda. DHCP "menyewa" alamat ke host untuk waktu yang ditentukan oleh administrator jaringan, sementara NAT menerjemahkan alamat IP internal menjadi alamat resmi secara dinamis, selama sesi komunikasi dengan
    Internet.

    Cara lain untuk membuat jaringan pribadi kompatibel dengan Internet adalah dengan memasang gateway IP. Gateway menerjemahkan protokol non-IP ke protokol IP dan sebaliknya. Sebagian besar sistem operasi jaringan yang menggunakan protokol asli memiliki perangkat lunak gateway IP.

    Inti dari perutean IP virtual adalah memperluas tabel perutean pribadi dan ruang alamat ke infrastruktur (router dan sakelar) ISP. Router IP virtual adalah bagian logis dari router IP fisik yang dimiliki dan dioperasikan oleh penyedia layanan. Setiap router virtual melayani sekelompok pengguna tertentu.
    Namun, mungkin yang paling jalan terbaik interoperabilitas dapat dicapai dengan menggunakan teknik tunneling. Teknik-teknik ini telah digunakan sejak lama untuk mengirimkan aliran paket multiprotocol melalui tulang punggung yang sama. Teknologi yang terbukti ini saat ini dioptimalkan untuk VPN berbasis Internet.
    Komponen utama terowongan adalah:
    — pemrakarsa terowongan;
    — jaringan yang dialihkan;
    - sakelar terowongan (opsional);
    — satu atau lebih terminator terowongan.
    Tunneling harus dilakukan di kedua ujung link end-to-end. Terowongan harus dimulai dengan inisiator terowongan dan diakhiri dengan terminator terowongan. Inisialisasi dan penghentian operasi terowongan dapat dilakukan oleh berbagai perangkat jaringan dan perangkat lunak. Sebagai contoh, terowongan dapat diinisiasi oleh komputer pengguna jarak jauh yang memiliki modem dan perangkat lunak VPN yang diperlukan, router front-end di kantor cabang perusahaan, atau konsentrator akses jaringan di penyedia layanan.

    Untuk transmisi melalui Internet paket selain IP protokol jaringan, mereka dikemas dalam paket IP dari sisi sumber. Metode yang paling umum digunakan untuk membuat tunnel VPN adalah dengan mengenkapsulasi paket non-IP dalam paket PPP (Point-to-Point Protocol) dan kemudian mengenkapsulasinya dalam paket IP. Izinkan saya mengingatkan Anda bahwa protokol PPP digunakan untuk koneksi point-to-point, misalnya untuk komunikasi client-server. Proses enkapsulasi IP melibatkan penambahan header IP standar ke paket asli, yang kemudian diperlakukan sebagai informasi yang bermanfaat. Proses yang sesuai di ujung lain terowongan menghapus header IP, membiarkan paket asli tidak berubah. Karena teknologi tunneling cukup sederhana, ini juga yang paling terjangkau dari segi biaya.

    KEAMANAN

    Memastikan tingkat keamanan yang diperlukan seringkali menjadi pertimbangan utama ketika sebuah perusahaan mempertimbangkan untuk menggunakan VPN berbasis Internet. Banyak manajer TI terbiasa dengan privasi yang melekat pada jaringan pribadi dan menganggap Internet terlalu "publik" untuk digunakan sebagai jaringan pribadi. Jika Anda menggunakan terminologi bahasa Inggris, maka ada tiga "P", implementasi yang bersama-sama memberikan perlindungan informasi yang lengkap. Ini:
    Perlindungan - perlindungan sumber daya menggunakan firewall (firewall);
    Bukti - verifikasi identitas (integritas) paket dan otentikasi pengirim (konfirmasi hak akses);
    Privasi - perlindungan informasi rahasia menggunakan enkripsi.
    Ketiga P sama pentingnya untuk jaringan perusahaan apa pun, termasuk VPN. Dalam jaringan yang sangat pribadi, untuk melindungi sumber daya dan kerahasiaan informasi, cukup menggunakan cukup kata sandi sederhana. Tapi begitu jaringan pribadi terhubung ke jaringan publik, tidak satu pun dari ketiga P itu dapat memberikan perlindungan yang diperlukan. Oleh karena itu, untuk VPN apa pun, firewall harus dipasang di semua titik interaksinya dengan jaringan publik, dan paket harus dienkripsi dan diautentikasi.

    Firewall adalah komponen penting dalam VPN apa pun. Mereka hanya mengizinkan lalu lintas resmi untuk pengguna tepercaya dan memblokir yang lainnya. Dengan kata lain, semua upaya akses oleh pengguna yang tidak dikenal atau tidak dipercaya akan dilewati. Bentuk perlindungan ini harus disediakan untuk setiap situs dan pengguna, karena tidak memilikinya di mana pun berarti tidak memilikinya di mana pun. Protokol khusus digunakan untuk memastikan keamanan jaringan pribadi virtual. Protokol ini memungkinkan host untuk "menegosiasikan" teknik enkripsi dan tanda tangan digital yang akan digunakan, sehingga menjaga kerahasiaan dan integritas data serta mengotentikasi pengguna.

    Microsoft Point-to-Point Encryption Protocol (MPPE) mengenkripsi paket PPP pada mesin klien sebelum dikirim ke tunnel. Sesi enkripsi diinisialisasi selama pembentukan komunikasi dengan tunnel terminator menggunakan protokol
    PPP.

    Protokol IP aman (IPSec) adalah serangkaian standar awal yang dikembangkan oleh Internet Engineering Task Force (IETF). Grup mengusulkan dua protokol: Authentication Header (AH) dan Encapsulating Security Payload (ESP). protokol AH menambahkan tanda tangan digital header yang mengautentikasi pengguna dan memastikan integritas data dengan melacak setiap perubahan saat transit. Protokol ini hanya melindungi data, membiarkan bagian alamat dari paket IP tidak berubah. Protokol ESP, di sisi lain, dapat mengenkripsi seluruh paket (Mode Tunnel) atau hanya data (Mode Transportasi). Protokol-protokol ini digunakan baik secara terpisah maupun dalam kombinasi.

    Untuk mengelola keamanan, standar industri RADIUS (Layanan Pengguna Dial-In Otentikasi Jarak Jauh) digunakan, yang merupakan basis data profil pengguna yang berisi kata sandi (otentikasi) dan hak akses (otorisasi).

    Fitur keamanan jauh dari terbatas pada contoh yang diberikan. Banyak produsen router dan firewall menawarkan solusi mereka sendiri. Diantaranya adalah Ascend, CheckPoint dan Cisco.

    KETERSEDIAAN

    Ketersediaan mencakup tiga komponen yang sama pentingnya: waktu penyediaan layanan, throughput dan waktu tunda. Waktu penyediaan layanan merupakan subjek kontrak dengan penyedia layanan, dan dua komponen lainnya terkait dengan unsur kualitas layanan (Quality of Service - QoS). Teknologi modern transport memungkinkan Anda membangun VPN yang memenuhi persyaratan hampir semua aplikasi yang ada.

    KONTROL

    Administrator jaringan selalu ingin dapat melakukan manajemen end-to-end, end-to-end jaringan perusahaan, termasuk bagian yang berhubungan dengan perusahaan telekomunikasi. Ternyata VPN memberikan lebih banyak opsi dalam hal ini daripada jaringan pribadi biasa. Jaringan pribadi tipikal dikelola "dari perbatasan ke perbatasan", mis. penyedia layanan mengelola jaringan hingga router depan jaringan perusahaan, sementara pelanggan mengelola jaringan perusahaan itu sendiri hingga perangkat akses WAN. Teknologi VPN menghindari pembagian "lingkup pengaruh" semacam ini, menyediakan penyedia dan pelanggan sistem tunggal mengelola jaringan secara keseluruhan, baik bagian korporatnya maupun infrastruktur jaringan jaringan publik. Administrator jaringan perusahaan memiliki kemampuan untuk memantau dan mengkonfigurasi ulang jaringan, mengelola perangkat akses depan, dan menentukan status jaringan secara real time.

    ARSITEKTUR VPN

    Ada tiga model arsitektur jaringan pribadi virtual: dependen, independen, dan hybrid sebagai kombinasi dari dua alternatif pertama. Milik model tertentu ditentukan oleh di mana empat persyaratan utama untuk VPN diimplementasikan. Jika penyedia layanan jaringan global menyediakan solusi VPN lengkap, mis. menyediakan tunneling, keamanan, kinerja dan manajemen, itu membuat arsitektur bergantung padanya. Dalam hal ini, semua proses VPN bersifat transparan bagi pengguna, dan dia hanya melihat lalu lintas asalnya — paket IP, IPX, atau NetBEUI. Keuntungan dari arsitektur dependen untuk pelanggan adalah dia dapat menggunakan infrastruktur jaringan yang ada "sebagaimana adanya", hanya menambahkan firewall antara VPN dan jaringan pribadi.
    WAN/LAN.

    Arsitektur independen diimplementasikan ketika organisasi menyediakan semuanya persyaratan teknologi pada peralatannya, hanya mendelegasikan fungsi transportasi ke penyedia layanan. Arsitektur ini lebih mahal, tetapi memberi pengguna kendali penuh atas semua operasi.

    Arsitektur hybrid mencakup situs yang bergantung dan independen dari organisasi (masing-masing, dari penyedia layanan).

    Apa janji VPN untuk pengguna korporat? Pertama-tama, menurut analis industri, ini adalah pengurangan biaya untuk semua jenis telekomunikasi dari 30 menjadi 80%. Dan juga hampir di mana-mana akses ke jaringan perusahaan atau organisasi lain; itu adalah penerapan komunikasi yang aman dengan pemasok dan pelanggan; ini adalah layanan yang ditingkatkan dan disempurnakan yang tidak tersedia di jaringan PSTN, dan banyak lagi. Spesialis melihat VPN sebagai generasi baru komunikasi jaringan, dan banyak analis percaya bahwa VPN akan segera menggantikan sebagian besar jaringan pribadi berdasarkan jalur sewaan.

    Dari tahun ke tahun komunikasi elektronik sedang diperbaiki, dan persyaratan yang semakin tinggi ditempatkan pada pertukaran informasi untuk kecepatan, keamanan, dan kualitas pemrosesan data.

    Dan di sini kita akan melihat lebih dekat koneksi vpn: apa itu, untuk apa terowongan vpn, dan bagaimana menggunakan koneksi vpn.

    Materi ini adalah semacam kata pengantar untuk serangkaian artikel di mana kami akan memberi tahu Anda cara membuat vpn di berbagai sistem operasi.

    koneksi vpn apa itu?

    Jadi, vpn jaringan pribadi virtual adalah teknologi yang menyediakan koneksi aman (tertutup dari akses eksternal) dari jaringan logis melalui jaringan pribadi atau publik dengan adanya Internet berkecepatan tinggi.

    Seperti koneksi jaringan komputer (secara geografis jauh satu sama lain pada jarak yang cukup jauh) menggunakan koneksi point-to-point (dengan kata lain, "komputer-ke-komputer").

    Secara ilmiah, metode koneksi ini disebut terowongan vpn (atau protokol terowongan). Anda dapat terhubung ke terowongan seperti itu jika Anda memiliki komputer dengan sistem operasi apa pun yang memiliki klien VPN terintegrasi yang dapat "meneruskan" port virtual menggunakan protokol TCP / IP ke jaringan lain.

    Untuk apa vpn?

    Keuntungan utama vpn adalah negosiator membutuhkan platform konektivitas yang tidak hanya menskalakan dengan cepat, tetapi juga (terutama) menyediakan kerahasiaan data, integritas data, dan autentikasi.

    Diagram dengan jelas menunjukkan penggunaan jaringan vpn.

    Sebelumnya, aturan untuk koneksi melalui saluran aman harus ditulis di server dan router.

    cara kerja vpn

    Saat koneksi vpn terjadi, informasi tentang alamat IP server VPN dan rute jarak jauh ditransmisikan di header pesan.

    Data yang dienkapsulasi melewati umum atau jaringan publik, tidak dapat dicegat karena semua informasi dienkripsi.

    Tahap enkripsi VPN diterapkan di sisi pengirim, dan data penerima didekripsi oleh header pesan (jika ada kunci enkripsi umum).

    Setelah pesan didekripsi dengan benar, koneksi vpn dibuat antara dua jaringan, yang juga memungkinkan Anda untuk bekerja di jaringan publik (misalnya, bertukar data dengan klien 93.88.190.5).

    Tentang informasi keamanan, maka Internet adalah jaringan yang sangat tidak aman, dan jaringan VPN dengan protokol OpenVPN, L2TP / IPSec, PPTP, PPPoE adalah cara yang sepenuhnya aman dan aman untuk mentransfer data.

    Untuk apa saluran vpn?

    tunneling vpn digunakan:

    Di dalam jaringan perusahaan;

    Untuk menyatukan kantor-kantor yang jauh, serta cabang-cabang kecil;

    Melayani telepon digital dengan jangkauan layanan telekomunikasi yang luas;

    Untuk mengakses sumber daya TI eksternal;

    Untuk membangun dan mengimplementasikan konferensi video.

    Mengapa Anda membutuhkan vpn?

    koneksi vpn diperlukan untuk:

    Pekerjaan anonim di Internet;

    Pengunduhan aplikasi, jika alamat ip berada di zona regional lain di negara tersebut;

    Pekerjaan yang aman di lingkungan perusahaan menggunakan komunikasi;

    Kesederhanaan dan kemudahan pengaturan koneksi;

    Menyediakan koneksi berkecepatan tinggi tanpa putus;

    Pembuatan saluran aman tanpa serangan peretas.

    Bagaimana cara menggunakan vpn?

    Contoh cara kerja vpn tidak terbatas. Jadi, di komputer mana pun di jaringan perusahaan, saat memasang yang aman koneksi vpn Anda dapat menggunakan email untuk memeriksa pesan, menerbitkan materi dari mana saja di negara ini, atau mengunduh file dari jaringan torrent.

    Vpn: ada apa di telepon?

    Akses melalui vpn di ponsel Anda (iPhone atau perangkat Android lainnya) memungkinkan Anda tetap anonim saat menggunakan Internet di tempat umum, serta mencegah intersepsi lalu lintas dan peretasan perangkat.

    Klien VPN yang diinstal pada OS apa pun memungkinkan Anda melewati banyak pengaturan dan aturan penyedia (jika dia telah menetapkan batasan apa pun).

    VPN mana yang harus dipilih untuk telepon?

    Ponsel dan smartphone Android dapat menggunakan aplikasi dari pasar Google Play:

    • - vpnRoot, droidVPN,
    • - browser tor untuk jaringan selancar, alias orbot
    • - InBrowser, orfox (firefox+tor),
    • - SuperVPN VPN gratis klien
    • - Buka VPN Connect
    • - Tunnel Bear VPN
    • - Hideman VPN

    Sebagian besar program ini berfungsi untuk kenyamanan konfigurasi sistem "panas", penempatan pintasan peluncuran, penjelajahan Internet anonim, dan pemilihan jenis enkripsi koneksi.

    Tetapi tugas utama menggunakan VPN di telepon adalah memeriksa surat perusahaan, membuat konferensi video dengan beberapa peserta, serta mengadakan rapat di luar organisasi (misalnya, saat karyawan sedang dalam perjalanan bisnis).

    Apa itu vpn di iphone?

    Pertimbangkan vpn mana yang harus dipilih dan cara menghubungkannya ke iPhone secara lebih detail.

    Tergantung pada jenis jaringan yang didukungnya, pertama kali Anda menjalankan konfigurasi VPN di iphone, Anda dapat memilih protokol berikut: L2TP, PPTP, dan Cisco IPSec(selain itu, Anda dapat "membuat" koneksi vpn menggunakan aplikasi pihak ketiga).

    Semua protokol ini mendukung kunci enkripsi, identifikasi pengguna dengan kata sandi, dan sertifikasi.

    Di antara fitur tambahan saat mengatur profil VPN di iPhone, Anda dapat mencatat: keamanan RSA, tingkat enkripsi, dan aturan otorisasi untuk menyambung ke server.

    Untuk ponsel iphone dari appstore store, Anda harus memilih:

    • - Aplikasi gratis Tunnelbear, yang dengannya Anda dapat terhubung ke server VPN di negara mana pun.
    • - Koneksi OpenVPN adalah salah satu klien VPN terbaik. Di sini, untuk menjalankan aplikasi, Anda harus mengimpor kunci rsa melalui itunes ke ponsel Anda terlebih dahulu.
    • - Cloak adalah aplikasi shareware, karena untuk beberapa waktu produk dapat "digunakan" secara gratis, tetapi untuk menggunakan program setelah periode demo berakhir, Anda harus membelinya.

    Membuat VPN: memilih dan mengonfigurasi peralatan

    Untuk komunikasi korporat dalam organisasi besar atau konsolidasi kantor yang jauh dari satu sama lain, mereka menggunakan peralatan perangkat keras yang dapat mendukung jaringan yang aman dan tidak terputus.

    Untuk mengimplementasikan teknologi vpn, berikut ini dapat bertindak sebagai gateway jaringan: Server Unix, server jendela, router jaringan dan gateway jaringan tempat VPN dinaikkan.

    Server atau perangkat yang digunakan untuk membuat jaringan vpn suatu perusahaan atau saluran vpn antara kantor jarak jauh harus melakukan tugas teknis yang kompleks dan menyediakan berbagai layanan kepada pengguna baik di workstation maupun di perangkat seluler.

    Router atau router vpn apa pun harus menyediakan operasi jaringan yang andal tanpa "macet". Dan fungsi vpn bawaan memungkinkan Anda mengubah konfigurasi jaringan untuk bekerja di rumah, di organisasi, atau kantor jarak jauh.

    pengaturan vpn di router

    Dalam kasus umum, konfigurasi VPN pada router dilakukan menggunakan antarmuka web router. Pada perangkat "klasik" untuk mengatur vpn, Anda harus pergi ke bagian "pengaturan" atau "pengaturan jaringan", di mana Anda memilih bagian VPN, menentukan jenis protokol, memasukkan pengaturan alamat subnet Anda, menutupi dan menentukan kisaran ip alamat untuk pengguna.

    Selain itu, untuk keamanan koneksi, Anda perlu menentukan algoritme penyandian, metode otentikasi, membuat kunci negosiasi, dan menentukan Server DNS MENANG. Dalam parameter "Gateway", Anda perlu menentukan alamat ip gateway (ip Anda) dan mengisi data di semua adaptor jaringan.

    Jika ada beberapa router di jaringan, Anda perlu mengisi tabel perutean vpn untuk semua perangkat di terowongan VPN.

    Berikut adalah daftar peralatan perangkat keras yang digunakan dalam membangun jaringan VPN:

    Router Dlink: DIR-320, DIR-620, DSR-1000 dengan firmware baru atau router D-Link DI808HV.

    Router Cisco PIX 501, Cisco 871-SEC-K9

    Router Linksys Rv082 Mendukung Sekitar 50 Terowongan VPN

    Router Netgear DG834G dan model router FVS318G, FVS318N, FVS336G, SRX5308

    Router mikrotik dengan fungsi OpenVPN. Contoh RouterBoard RB/2011L-IN Mikrotik

    Peralatan VPN RVPN S-Terra atau Gerbang VPN

    Router ASUS RT-N66U, RT-N16 dan RT N-10

    Router ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

    Jaringan pribadi maya

    Paling sering dibuat jaringan maya enkapsulasi protokol PPP ke beberapa protokol lain digunakan - Ethernet (penyedia "jarak terakhir" untuk menyediakan akses ke Internet.

    Dengan tingkat penerapan yang tepat dan penggunaan perangkat lunak khusus, VPN dapat menyediakannya level tinggi enkripsi informasi yang dikirimkan. Pada pengaturan yang benar semua komponen Teknologi VPN menyediakan anonimitas di web.

    Struktur VPN

    VPN terdiri dari dua bagian: jaringan "internal" (terkontrol), yang mungkin ada beberapa, dan jaringan "eksternal" yang dilalui koneksi yang dienkapsulasi (biasanya Internet digunakan). Dimungkinkan juga untuk menghubungkan satu komputer ke jaringan virtual. Pengguna jarak jauh terhubung ke VPN melalui server akses yang terhubung ke jaringan internal dan eksternal (publik). Saat menghubungkan pengguna jarak jauh (atau saat membuat koneksi ke jaringan aman lain), server akses memerlukan proses identifikasi untuk dilalui, dan kemudian proses otentikasi. Setelah berhasil menyelesaikan kedua proses, pengguna jarak jauh ( jaringan jarak jauh) diberdayakan untuk bekerja di jaringan, yaitu proses otorisasi berlangsung.

    klasifikasi VPN

    klasifikasi VPN

    Solusi VPN dapat diklasifikasikan menurut beberapa parameter utama:

    Menurut jenis lingkungan yang digunakan

    • Terlindung

    Versi paling umum dari jaringan pribadi virtual. Dengan bantuannya, dimungkinkan untuk membuat subnet yang andal dan aman berdasarkan jaringan yang tidak dapat diandalkan, biasanya Internet. Contoh VPN yang aman adalah: IPSec, PPTP.

    • Memercayai

    Mereka digunakan dalam kasus di mana media transmisi dapat dianggap andal dan hanya diperlukan untuk menyelesaikan masalah pembuatan subnet virtual di dalamnya jaringan yang lebih besar. Masalah keamanan menjadi tidak relevan. Contoh solusi VPN tersebut adalah: Multi-protocol label switching (L2TP (Layer 2 Tunneling Protocol)) (lebih tepatnya, protokol ini mengalihkan tugas keamanan ke yang lain, misalnya, L2TP biasanya digunakan bersamaan dengan IPSec).

    Dengan cara implementasi

    • Berupa software dan hardware khusus

    Implementasi jaringan VPN dilakukan dengan menggunakan perangkat lunak dan perangkat keras khusus. Implementasi ini memberikan kinerja tinggi dan, sebagai aturan, derajat yang tinggi keamanan.

    • Sebagai solusi perangkat lunak

    Mereka menggunakan komputer pribadi dengan perangkat lunak khusus yang menyediakan fungsionalitas VPN.

    • Solusi terintegrasi

    Fungsionalitas VPN disediakan oleh kompleks yang juga menyelesaikan tugas pemfilteran lalu lintas jaringan, mengatur firewall dan memastikan kualitas layanan.

    Dengan janji

    Mereka digunakan untuk menggabungkan beberapa cabang terdistribusi dari satu organisasi ke dalam satu jaringan aman, bertukar data melalui saluran komunikasi terbuka.

    • VPN Akses Jarak Jauh

    Digunakan untuk membuat saluran aman antara segmen jaringan korporat (kantor pusat atau kantor cabang) dan satu pengguna yang, saat bekerja di rumah, terhubung ke sumber daya perusahaan Dengan komputer rumah, laptop perusahaan, smartphone atau kios internet.

    • VPN ekstranet

    Digunakan untuk jaringan tempat pengguna "eksternal" (misalnya, pelanggan atau klien) terhubung. Tingkat kepercayaan pada mereka jauh lebih rendah daripada karyawan perusahaan, oleh karena itu, perlu untuk memberikan "perbatasan" perlindungan khusus yang mencegah atau membatasi akses yang terakhir ke informasi rahasia yang sangat berharga.

    • VPN internet

    Digunakan untuk menyediakan akses ke Internet oleh penyedia.

    • VPN Klien/Server

    Ini memastikan perlindungan data yang ditransmisikan antara dua node (bukan jaringan) dari jaringan perusahaan. Keunikan dari opsi ini adalah VPN dibangun di antara node yang biasanya terletak di segmen jaringan yang sama, misalnya antara stasiun kerja dan server. Kebutuhan seperti itu sangat sering muncul dalam kasus di mana beberapa perlu dibuat jaringan logis. Misalnya, bila perlu membagi lalu lintas antara departemen keuangan dan departemen sumber daya manusia, mengakses server yang terletak di segmen fisik yang sama. Opsi ini mirip dengan teknologi VLAN, tetapi alih-alih memisahkan lalu lintas, ini dienkripsi.

    Menurut jenis protokol

    Ada implementasi jaringan pribadi virtual di bawah TCP/IP, IPX dan AppleTalk. Tetapi hari ini ada kecenderungan transisi umum ke protokol TCP / IP, dan sebagian besar solusi VPN mendukungnya.

    Dengan tingkat protokol jaringan

    Berdasarkan lapisan protokol jaringan, berdasarkan pemetaan ke lapisan model referensi jaringan ISO/OSI.

    Contoh VPN

    Banyak penyedia besar menawarkan layanan VPN mereka untuk pelanggan bisnis.

    literatur

    • Ivanov M.A. metode kriptografi perlindungan informasi di sistem komputer dan jaringan. - M.: KUDITS-OBRAZ, 2001. - 368 hal.
    • Kulgin M. Teknologi jaringan perusahaan. Ensiklopedi. - St.Petersburg: Peter, 2000. - 704 hal.
    • Olifer V.G., Olifer N.A. Jaringan komputer. Prinsip, teknologi, protokol: Buku teks untuk universitas. - St.Petersburg: Peter, 2001. - 672 hal.
    • Romanets Yu.V., Timofeev PA, Shangin VF Perlindungan informasi dalam sistem dan jaringan komputer. edisi ke-2. - M: Radio dan komunikasi, 2002. -328 hal.
    • Stallings V. Dasar-dasar perlindungan jaringan. Aplikasi dan Standar = Esensi Keamanan Jaringan. Aplikasi dan Standar. - M.: "Williams", 2002. - S.432. - ISBN 0-13-016093-8
    • Produk Jaringan Pribadi Virtual [ dokumen elektronik] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
    • Anita Karve Nyata peluang maya//LAN. - 1999.- No. 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
    • Jawaban Linux untuk MS-PPTP [Dokumen elektronik] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
    • Joel Snyder VPN: pasar bersama // Jaringan. - 1999.- No. 11 http://www.citforum.ru/nets/articles/vpn.shtml
    • VPN Primer [Dokumen Elektronik] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
    • PKI atau PGP? [Dokumen elektronik] / Natalya Sergeeva. - http://www.citforum.ru/security/cryptography/pki_pgp/
    • IPSec - protokol untuk melindungi lalu lintas jaringan pada tingkat IP [Dokumen elektronik] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
    • FAQ OpenVPN [Dokumen Elektronik] - http://openvpn.net/faq.html
    • Tujuan dan struktur algoritma enkripsi [Dokumen elektronik] / Panasenko Sergey. - http://www.ixbt.com/soft/alg-encryption.shtml
    • Tentang kriptografi modern [Dokumen elektronik] / V. M. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
    • Pengantar Kriptografi / Ed. V. V. Yashchenko. - M.: MTsNMO, 2000. - 288 dari http://www.citforum.ru/security/cryptography/yaschenko/
    • Jebakan keamanan dalam kriptografi [Dokumen elektronik] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
    • IPSec: obat mujarab atau tindakan paksa? [Dokumen elektronik] / Yevgeny Patiy. - http://citforum.ru/security/articles/ipsec_standard/
    • VPN dan IPSec di ujung jari Anda [Dokumen elektronik] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
    • Kerangka Kerja untuk Jaringan Privat Virtual Berbasis IP [Dokumen elektronik] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
    • OpenVPN dan Revolusi SSL VPN [Dokumen Elektronik] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
    • Markus Feilner Generasi Baru Virtual Private Networks // LAN.- 2005.- No. 11
    • Apa itu SSL [Dokumen elektronik] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
    • Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) [Dokumen Elektronik] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
    • Spesifikasi Teknis Protokol Tunneling Titik ke Titik (PPTP) [Dokumen Elektronik] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
    • Ryan Norman Memilih protokol VPN // Windows IT Pro. - 2001. - No. 7 http://www.osp.ru/win2000/2001/07/010.htm
    • MPLS: tatanan baru dalam jaringan IP? [Dokumen elektronik] / Tom Nolle. - http://www.emanual.ru/get/3651/
    • Protokol Tunneling Lapisan Dua "L2TP" [Dokumen elektronik] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
    • Alexey Lukatsky VPN Tidak Dikenal // Computer Press - 2001. - No.10 http://abn.ru/inf/compress/network4.shtml
    • Bata pertama di dinding Ikhtisar VPN perangkat VPN tingkat pemula [Dokumen elektronik] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
    • Ikhtisar perangkat keras VPN [Dokumen elektronik] - http://www.networkaccess.ru/articles/security/vpn_hardware/
    • VPN perangkat keras murni mengatur tes ketersediaan tinggi [Dokumen elektronik] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
    • VPN: Jenis VPN [Dokumen Elektronik] - http://www.vpn-guide.com/type_of_vpn.htm
    • FAQ KAME [Dokumen Elektronik] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
    • Fitur pasar VPN Rusia [Dokumen elektronik] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
    • Sarana domestik untuk membangun jaringan pribadi virtual [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy
    • Sergey Petrenko Secure jaringan pribadi virtual: pandangan modern tentang perlindungan data rahasia // Dunia Internet. - 2001. - No.2

    Virtual Private Network adalah jaringan pribadi virtual yang digunakan untuk menyediakan konektivitas yang aman dalam koneksi perusahaan dan akses Internet. Keuntungan utama VPN adalah keamanan tinggi karena enkripsi lalu lintas internal, yang penting saat mentransfer data.

    Apa itu koneksi VPN

    Banyak orang, dihadapkan pada singkatan ini, bertanya: VPN - apa itu dan mengapa diperlukan? Teknologi ini membuka kemungkinan untuk membuat koneksi jaringan di atas yang lain. VPN berfungsi dalam beberapa mode:

    • jaringan simpul;
    • jaringan-jaringan;
    • node-node.

    Organisasi jaringan virtual pribadi di tingkat jaringan memungkinkan penggunaan protokol TCP dan UDP. Semua data yang melewati komputer dienkripsi. Ini adalah perlindungan tambahan untuk koneksi Anda. Ada banyak contoh yang menjelaskan apa itu koneksi VPN dan mengapa Anda harus menggunakannya. Di bawah ini akan dirinci pertanyaan ini.

    Mengapa Anda membutuhkan VPN

    Setiap penyedia dapat menyediakan, atas permintaan otoritas terkait, catatan aktivitas pengguna. Perusahaan Internet Anda mencatat semua aktivitas yang Anda lakukan di jaringan. Ini membantu membebaskan penyedia dari tanggung jawab apa pun atas tindakan yang dilakukan klien. Ada banyak situasi di mana Anda perlu melindungi data Anda dan mendapatkan kebebasan, misalnya:

    1. Layanan VPN digunakan untuk mengirim data rahasia perusahaan antar cabang. Ini membantu melindungi informasi penting dari penyadapan.
    2. Jika Anda perlu melewati pengikatan layanan berdasarkan wilayah geografis. Misalnya, layanan Musik Yandex hanya tersedia untuk penduduk Rusia dan penduduk negara-negara CIS sebelumnya. Jika Anda adalah penduduk Amerika Serikat yang berbahasa Rusia, Anda tidak akan dapat mendengarkan rekamannya. Layanan VPN akan membantu Anda melewati larangan ini dengan mengganti alamat jaringan dengan alamat Rusia.
    3. Sembunyikan kunjungan situs dari penyedia. Tidak semua orang siap untuk membagikan aktivitasnya di Internet, jadi mereka akan melindungi kunjungan mereka dengan bantuan VPN.

    Cara Kerja VPN

    Saat Anda menggunakan saluran VPN lain, IP Anda akan menjadi milik negara tempat jaringan aman ini berada. Saat terhubung, terowongan akan dibuat antara server VPN dan komputer Anda. Setelah itu, di log (catatan) penyedia akan ada satu set karakter yang tidak dapat dipahami. Analisis data program khusus tidak akan memberikan hasil. Jika Anda tidak menggunakan teknologi ini, protokol HTTP akan langsung menunjukkan situs mana yang Anda sambungkan.

    Struktur VPN

    Sambungan ini terdiri dari dua bagian. Yang pertama disebut jaringan "internal", Anda dapat membuat beberapa di antaranya. Yang kedua adalah yang "eksternal", di mana koneksi yang dienkapsulasi terjadi, sebagai aturan, Internet digunakan. Dimungkinkan juga untuk menghubungkan satu komputer ke jaringan. Pengguna terhubung ke VPN tertentu melalui server akses yang terhubung secara bersamaan ke jaringan eksternal dan internal.

    Ketika program VPN menghubungkan pengguna jarak jauh, server memerlukan dua proses penting untuk dilalui: identifikasi pertama, kemudian otentikasi. Ini diperlukan untuk mendapatkan hak untuk menggunakan koneksi ini. Jika Anda berhasil melewati dua tahap ini, jaringan Anda diberdayakan, yang membuka kemungkinan untuk bekerja. Intinya, ini adalah proses otorisasi.

    klasifikasi VPN

    Ada beberapa jenis jaringan pribadi virtual. Ada pilihan untuk tingkat keamanan, metode implementasi, tingkat pekerjaan sesuai model ISO/OSI, protokol yang terlibat. Anda dapat menggunakan akses berbayar atau layanan VPN gratis dari Google. Berdasarkan tingkat keamanannya, saluran dapat "aman" atau "tepercaya". Yang terakhir diperlukan jika koneksi itu sendiri memiliki tingkat perlindungan yang diinginkan. Untuk mengatur opsi pertama, teknologi berikut harus digunakan:

    • PPTP
    • OpenVPN;
    • IPSec.

    Cara membuat server VPN

    Untuk semua pengguna komputer, ada cara untuk menyambungkan VPN sendiri. Di bawah ini adalah opsi untuk sistem operasi Windows. Panduan ini tidak menyediakan penggunaan perangkat lunak tambahan. Pengaturan dilakukan sebagai berikut:

    1. Untuk membuat koneksi baru, Anda perlu membuka panel tampilan akses jaringan. Mulailah mengetik di pencarian kata "Network Connections".
    2. Tekan tombol "Alt", klik bagian "File" di menu dan pilih "Koneksi masuk baru".
    3. Kemudian atur pengguna yang akan diberikan koneksi VPN ke komputer ini (jika Anda hanya memiliki satu Akun pada PC, Anda harus membuat kata sandi untuk itu). Instal burung dan klik "Berikutnya".
    4. Selanjutnya Anda akan diminta untuk memilih jenis koneksi, Anda dapat meninggalkan tanda centang di depan "Internet".
    5. Langkah selanjutnya adalah mengaktifkan protokol jaringan yang akan berfungsi pada VPN ini. Centang semua kotak kecuali yang kedua. Secara opsional, Anda dapat menyetel IP tertentu, gateway DNS, dan port di IPv4, tetapi akan lebih mudah untuk meninggalkan penetapan otomatis.
    6. Saat Anda mengklik tombol "Izinkan akses", sistem operasi akan membuat server sendiri, menampilkan jendela dengan nama komputer. Anda akan membutuhkannya untuk terhubung.
    7. Ini melengkapi pembuatan server VPN rumah.

    Cara mengatur VPN di Android

    Metode yang dijelaskan di atas adalah cara membuat koneksi VPN komputer pribadi. Namun, banyak yang sudah lama melakukan semua tindakan menggunakan ponsel. Jika Anda tidak tahu apa itu VPN di Android, maka semua fakta di atas tentang tipe ini koneksi juga berlaku untuk smartphone. Konfigurasi perangkat modern memberikan kenyamanan penggunaan Internet dengan kecepatan tinggi. Dalam beberapa kasus (untuk meluncurkan game, membuka situs) mereka menggunakan substitusi proxy atau penganonim, tetapi untuk stabil dan cepat koneksi VPN lebih cocok.

    Jika Anda sudah memahami apa itu VPN di ponsel, maka Anda dapat langsung membuat terowongan. Anda dapat melakukan ini di perangkat Android apa pun. Koneksi dibuat sebagai berikut:

    1. Buka bagian pengaturan, klik bagian "Jaringan".
    2. Cari item bernama " Pengaturan tambahan" dan buka bagian "VPN". Selanjutnya, Anda memerlukan kode pin atau kata sandi yang membuka kemampuan untuk membuat jaringan.
    3. Langkah selanjutnya adalah menambahkan koneksi VPN. Tentukan nama di bidang "Server", nama di bidang "nama pengguna", atur jenis koneksi. Ketuk tombol "Simpan".
    4. Setelah itu, koneksi baru akan muncul dalam daftar, yang dapat Anda gunakan untuk mengubah koneksi standar Anda.
    5. Ikon akan muncul di layar yang menunjukkan bahwa koneksi tersedia. Jika Anda mengetuknya, Anda akan diberikan statistik data yang diterima / dikirim. Anda juga dapat menonaktifkan koneksi VPN di sini.

    Video: Layanan VPN Gratis



Memuat...
Atas