Виртуал сүлжээний тухай ойлголт. VPN - энэ юу вэ, яагаад танд хэрэгтэй вэ

Интернэт нь үр ашигтай, хямд харилцаа холбоог санал болгодог тул компьютер хоорондын харилцааны хэрэгсэл болгон ашиглах нь улам бүр нэмэгдсээр байна. Гэсэн хэдий ч Интернет бол олон нийтийн сүлжээ бөгөөд түүгээр дамжуулан аюулгүй харилцаа холбоог хангахын тулд дор хаяж дараахь ажлуудыг хангасан механизм шаардлагатай.

мэдээллийн нууцлал;

мэдээллийн бүрэн бүтэн байдал;

мэдээллийн хүртээмж;

Эдгээр шаардлагыг VPN (Virtual Private Network - виртуал хувийн сүлжээ) гэж нэрлэдэг механизм хангадаг - криптограф ашиглан өөр сүлжээгээр (жишээлбэл, Интернет) нэг буюу хэд хэдэн сүлжээний холболтыг (логик сүлжээ) хангах боломжийг олгодог технологийн ерөнхий нэр. хэрэгслүүд (шифрлэлт, нэвтрэлт танилт, дэд бүтцийн нийтийн түлхүүрүүд, логик сүлжээгээр дамжуулж буй мессежийг давтах, өөрчлөхөөс хамгаалах хэрэгсэл).

VPN үүсгэх нь нэмэлт хөрөнгө оруулалт шаарддаггүй бөгөөд түрээсийн шугам ашиглахаа зогсоох боломжийг танд олгоно. Ашигласан протоколууд болон зорилгоос хамааран VPN нь гурван төрлийн холболтыг хангаж чадна: хост-хост, хост-сүлжээ, сүлжээ-сүлжээ.

Тодорхой болгохын тулд дараахь жишээг төсөөлье: аж ахуйн нэгж нь нутаг дэвсгэрээс алслагдсан хэд хэдэн салбартай, гэртээ эсвэл зам дээр ажилладаг "хөдөлгөөнт" ажилчидтай. Аж ахуйн нэгжийн бүх ажилчдыг нэг сүлжээнд нэгтгэх шаардлагатай байна. Хамгийн хялбар арга бол модемийг салбар бүрт байрлуулж, шаардлагатай бол харилцаа холбоог зохион байгуулах явдал юм. Гэсэн хэдий ч ийм шийдэл нь үргэлж тохиромжтой, ашигтай байдаггүй - заримдаа танд байнгын холболт, том зурвасын өргөн шаардлагатай байдаг. Үүнийг хийхийн тулд та салбаруудын хооронд тусгай шугам тавих эсвэл түрээслэх шаардлагатай болно. Аль аль нь нэлээд үнэтэй. Эндээс гадна нэг аюулгүй сүлжээг бий болгохдоо та интернетээр дамжуулан компанийн бүх салбаруудын VPN холболтыг ашиглаж, сүлжээний хостууд дээр VPN хэрэгслүүдийг тохируулах боломжтой.

Цагаан будаа. 6.4.сайтаас сайт руу VPN холболт

Цагаан будаа. 6.5. VPN хост-сүлжээний холболт

Энэ тохиолдолд олон асуудал шийдэгддэг - салбарууд нь дэлхийн хаана ч байрлаж болно.

Энд байгаа аюул нь нэгдүгээрт, нээлттэй сүлжээдэлхийн өнцөг булан бүрээс халдагчдын халдлагад өртөх боломжтой. Хоёрдугаарт, бүх өгөгдлийг интернетээр тодорхой дамжуулдаг бөгөөд сүлжээг хакердсан халдагчид бүх мэдээллийг сүлжээгээр дамжуулдаг. Гуравдугаарт, өгөгдлийг зөвхөн саатуулахаас гадна сүлжээгээр дамжуулах явцад сольж болно. Халдагчид, жишээлбэл, итгэмжлэгдсэн салбаруудын аль нэгнийх нь үйлчлүүлэгчийн өмнөөс үйл ажиллагаа явуулснаар мэдээллийн сангийн бүрэн бүтэн байдлыг алдагдуулж болно.

Үүнээс урьдчилан сэргийлэхийн тулд VPN шийдлүүд нь хэрэглэгчийн эрхийг баталгаажуулах, виртуал хувийн сүлжээнд нэвтрэх боломжийг олгохын тулд бүрэн бүтэн байдал, нууцлалыг баталгаажуулахын тулд мэдээллийн шифрлэлт, баталгаажуулалт, зөвшөөрөл зэрэг хэрэгслийг ашигладаг.

VPN холболт нь үргэлж туннель гэгддэг цэгээс цэг хүртэлх холбоосоос бүрддэг. Хонгил нь ихэвчлэн интернет байдаг найдваргүй сүлжээнд бүтээгдсэн байдаг.

Туннел хийх буюу капсулжуулалт нь завсрын сүлжээгээр дамжуулан ашигтай мэдээллийг дамжуулах арга юм. Ийм мэдээлэл нь өөр протоколын хүрээ (эсвэл пакет) байж болно. Капсулжуулалтын үед фрейм нь илгээгч хостоос үүсгэгдсэн шиг дамжуулагдахгүй, харин завсрын сүлжээгээр (Интернет) капсуллагдсан пакетуудыг дамжуулах боломжийг олгодог чиглүүлэлтийн мэдээллийг агуулсан нэмэлт толгойгоор хангагдсан байдаг. Хонгилын төгсгөлд хүрээг салгаж, хүлээн авагч руу дамжуулдаг. Ихэвчлэн хонгилыг нийтийн сүлжээнд нэвтрэх цэг дээр байрлах хоёр захын төхөөрөмжөөр бүтээдэг. Туннелийн давуу талуудын нэг нь энэ технологи нь халдагчид сүлжээг хакердахад ашигладаг мэдээллийг (жишээлбэл, IP хаяг, дэд сүлжээний тоо гэх мэт) агуулсан өгөгдлийг агуулсан толгойг оруулаад эх пакетийг бүхэлд нь шифрлэх боломжийг олгодог. ).

Хэдийгээр хоёр цэгийн хооронд VPN туннель суурилуулсан ч хост бүр бусад хостуудтай нэмэлт хонгил үүсгэж болно. Жишээлбэл, гурван алслагдсан станц нэг оффистой холбогдох шаардлагатай үед энэ оффис руу гурван тусдаа VPN хонгил үүсгэнэ. Бүх хонгилын хувьд оффисын талын зангилаа нь ижил байж болно. Зурагт үзүүлсэн шиг зангилаа нь бүх сүлжээний нэрийн өмнөөс өгөгдлийг шифрлэж, тайлж чаддаг тул энэ нь боломжтой юм.

Цагаан будаа. 6.6.Олон алслагдсан байршилд VPN хонгил үүсгэ

Хэрэглэгч VPN гарцтай холбогдож, үүний дараа хэрэглэгч дотоод сүлжээнд холбогдох боломжтой болно.

Хувийн сүлжээнд шифрлэлт өөрөө явагддаггүй. Учир нь сүлжээний энэ хэсэг нь интернетээс ялгаатай нь аюулгүй, шууд хяналтанд байдаг гэж үздэг. Энэ нь VPN гарц ашиглан оффисуудыг холбоход бас үнэн юм. Тиймээс зөвхөн оффисын хооронд найдвартай бус сувгаар дамждаг мэдээллийн хувьд шифрлэлт баталгаатай болно.

Олон бий янз бүрийн шийдэлвиртуал хувийн сүлжээг бий болгоход зориулагдсан. Хамгийн алдартай бөгөөд өргөн хэрэглэгддэг протоколууд нь:

PPTP (Point-to-Point Tunneling Protocol) - энэ протокол нь Microsoft-ын үйлдлийн системд багтсан тул нэлээд алдартай болсон.

L2TP (Layer-2 Tunneling Protocol) - L2F (Layer 2 Forwarding) протокол болон PPTP протоколыг нэгтгэдэг. Ихэвчлэн IPSec-тэй хамт хэрэглэгддэг.

IPSec (Internet Protocol Security) нь IETF (Internet Engineering Task Force) нийгэмлэгээс боловсруулсан албан ёсны интернет стандарт юм.

Жагсаалтад орсон протоколуудыг D-Link төхөөрөмж дэмждэг.

PPTP протокол нь үндсэндээ залгах холболт дээр суурилсан виртуал хувийн сүлжээнд зориулагдсан. Протокол нь алсын зайнаас хандалтыг зохион байгуулах боломжийг олгодог бөгөөд ингэснээр хэрэглэгчид интернетийн үйлчилгээ үзүүлэгчидтэй залгах холболт үүсгэж, корпорацийн сүлжээндээ аюулгүй хонгил үүсгэх боломжтой болно. IPSec-ээс ялгаатай нь PPTP протокол нь локал сүлжээнүүдийн хооронд хонгил зохион байгуулах зорилготой байсангүй. PPTP нь өгөгдлийг нэгтгэж, цэгээс цэгт холболтоор дамжуулах зорилгоор анх бүтээгдсэн өгөгдлийн холболтын протокол болох PPP-ийн чадамжийг өргөжүүлдэг.

PPTP протокол нь IP, IPX, NetBEUI гэх мэт янз бүрийн протоколуудыг ашиглан өгөгдөл солилцох аюулгүй сувгуудыг үүсгэх боломжийг олгодог. Эдгээр протоколуудын өгөгдөл нь PPP фреймүүдэд, PPTP протоколыг ашиглан IP протоколын пакетуудад багцлагдсан байдаг. Дараа нь тэдгээрийг IP ашиглан ямар ч TCP/IP сүлжээгээр шифрлэгдсэн хэлбэрээр дамжуулдаг. Хүлээн авагч зангилаа нь IP пакетуудаас PPP хүрээг гаргаж аваад дараа нь стандарт аргаар боловсруулдаг, өөрөөр хэлбэл. PPP фреймээс IP, IPX, эсвэл NetBEUI пакетуудыг гаргаж аваад дотоод сүлжээгээр илгээдэг. Тиймээс PPTP протокол нь сүлжээнд цэгээс цэгт холболт үүсгэж, үүсгэсэн аюулгүй сувгаар өгөгдлийг дамжуулдаг. PPTP гэх мэт протоколуудыг багтаахын гол давуу тал нь тэдгээрийн олон протоколын шинж чанар юм. Тэдгээр. Өгөгдлийн холбоосын давхарга дахь өгөгдлийн хамгаалалт нь сүлжээ болон хэрэглээний түвшний протоколд ил тод байдаг. Тиймээс сүлжээнд IP протокол (IPSec-д суурилсан VPN-ийн хувьд) эсвэл бусад протокол хоёулаа тээвэрлэлт болгон ашиглаж болно.

Одоогийн байдлаар хэрэгжүүлэхэд хялбар тул PPTP протоколыг корпорацын сүлжээнд найдвартай найдвартай нэвтрэх, үйлчлүүлэгч интернетэд холбогдохын тулд ISP-тэй PPTP холболт хийх шаардлагатай үед ISP сүлжээнд нэвтрэхэд өргөн хэрэглэгддэг.

PPTP-д ашигладаг шифрлэлтийн аргыг PPP давхаргад зааж өгсөн болно. Ихэвчлэн PPP үйлчлүүлэгч байдаг Суурин компьютер Microsoft үйлдлийн системтэй бөгөөд Microsoft Point-to-Point Encryption (MPPE) протоколыг шифрлэлтийн протокол болгон ашигладаг. Энэхүү протокол нь RSA RC4 стандарт дээр суурилсан бөгөөд 40 эсвэл 128 битийн шифрлэлтийг дэмждэг. Энэ түвшний шифрлэлтийн олон программын хувьд энэ алгоритмыг ашиглах нь хангалттай бөгөөд энэ нь IPSec-ээс санал болгож буй бусад хэд хэдэн шифрлэлтийн алгоритмууд, тухайлбал 168 битийн Гурвалсан Өгөгдлийн Шифрлэлтийн Стандарт (3DES)-аас аюулгүй гэж тооцогддоггүй.

Холболт хэрхэн бий болсонPPTP?

PPTP нь IP сүлжээгээр дамжуулах IP пакетуудыг багтаасан. PPTP үйлчлүүлэгчид холбоосыг амьд байлгах туннелийн хяналтын холболтыг үүсгэдэг. Энэ процессыг OSI загварын тээврийн давхаргад гүйцэтгэдэг. Хонгил үүсгэсний дараа үйлчлүүлэгч компьютер болон сервер нь үйлчилгээний багцуудыг солилцож эхэлдэг.

PPTP хяналтын холболтоос гадна хонгилоор өгөгдөл дамжуулах холболт үүсдэг. Мэдээллийг хонгил руу илгээхийн өмнө капсуллах нь хоёр үе шаттай. Нэгдүгээрт, PPP хүрээний мэдээллийн хэсэг бий болно. Өгөгдөл нь дээрээс доошоо, OSI програмын давхаргаас холбоосын давхарга хүртэл урсдаг. Дараа нь хүлээн авсан өгөгдлийг OSI загвар руу илгээж, дээд түвшний протоколуудаар бүрхэнэ.

Холболтын давхаргын өгөгдөл нь тээврийн давхаргад хүрдэг. Гэсэн хэдий ч OSI холбоосын давхарга үүнийг хариуцдаг тул мэдээллийг очих газар руу нь илгээх боломжгүй. Тиймээс PPTP нь багцын ачааллын талбарыг шифрлэж, ихэвчлэн PPP-д хамаарах хоёр дахь түвшний функцуудыг хүлээн авдаг, өөрөөр хэлбэл, PPTP багцад PPP толгой (толгой) болон төгсгөл (чиргүүлийг) нэмдэг. Энэ нь холбоосын давхаргын хүрээг үүсгэж дуусгана. Дараа нь PPTP нь PPP хүрээг сүлжээний давхаргад хамаарах Ерөнхий чиглүүлэлтийн хаалт (GRE) багцад багтаадаг. GRE нь IP, IPX зэрэг сүлжээний түвшний протоколуудыг IP сүлжээгээр дамжуулах боломжийг олгодог. Гэсэн хэдий ч GRE протоколыг дангаар нь ашиглах нь сесс үүсгэх, мэдээллийн аюулгүй байдлыг хангахгүй. Энэ нь туннелийн хяналтын холболт үүсгэх PPTP-ийн чадварыг ашигладаг. GRE-ийг капсулжуулах арга болгон ашиглах нь PPTP-ийн хамрах хүрээг зөвхөн IP сүлжээгээр хязгаарладаг.

PPP хүрээг GRE толгойтой фрэйм ​​дотор оруулсны дараа IP толгойтой фрэйм ​​дотор оруулдаг. IP толгой нь пакетийн илгээгч болон хүлээн авагчийн хаягийг агуулна. Эцэст нь PPTP нь PPP толгой болон төгсгөлийг нэмдэг.

Асаалттай будаа. 6.7 PPTP хонгилоор дамжуулах өгөгдлийн бүтцийг харуулж байна:

Цагаан будаа. 6.7. PPTP хонгилоор дамжуулах өгөгдлийн бүтэц

PPTP дээр суурилсан VPN-г тохируулах нь их хэмжээний зардал, нарийн төвөгтэй тохиргоо шаарддаггүй: төв оффист PPTP сервер суулгахад хангалттай (PPTP шийдлүүд Windows болон Linux платформуудад хоёуланд нь байдаг), үйлчлүүлэгч компьютер дээр шаардлагатай тохиргоог хийхэд хангалттай. Хэрэв та хэд хэдэн салбарыг нэгтгэх шаардлагатай бол бүх клиент станц дээр PPTP тохируулахын оронд интернет чиглүүлэгч эсвэл PPTP дэмжлэгтэй галт хана ашиглах нь дээр: тохиргоог зөвхөн интернетэд холбогдсон хилийн чиглүүлэгч (галт хана) дээр хийдэг. бүх зүйл хэрэглэгчдийн хувьд туйлын ил тод байдаг. Ийм төхөөрөмжүүдийн жишээ бол DIR/DSR олон үйлдэлт интернет чиглүүлэгч болон DFL цуврал галт хана юм.

GRE- хонгил

Generic Routing Encapsulation (GRE) нь сүлжээгээр дамжуулан траффикийн туннелийг шифрлэлтгүйгээр хийх боломжийг олгодог сүлжээний багцын инкапсулчлалын протокол юм. GRE ашиглах жишээ:

тодорхой протоколыг дэмждэггүй төхөөрөмжөөр дамжуулан урсгалыг (түүний дотор өргөн нэвтрүүлгийг) дамжуулах;

IPv4 сүлжээгээр дамжуулан IPv6 урсгалыг туннел хийх;

аюулгүй VPN холболтыг хэрэгжүүлэхийн тулд нийтийн сүлжээгээр өгөгдөл дамжуулах.

Цагаан будаа. 6.8. GRE туннелийн жишээ

А ба В хоёр чиглүүлэгчийн хооронд ( будаа. 6.8) хэд хэдэн чиглүүлэгч байдаг, GRE туннель нь 192.168.1.0/24 ба 192.168.3.0/24 локал сүлжээнүүдийн хооронд A ба B чиглүүлэгчид шууд холбогдсон мэт холболт хийх боломжийг олгодог.

Л2 TP

L2TP протокол нь PPTP болон L2F протоколуудыг нэгтгэсний үр дүнд гарч ирэв. L2TP протоколын гол давуу тал нь зөвхөн IP сүлжээнд бус ATM, X.25, Frame relay сүлжээнд туннель үүсгэх боломжийг олгодог. L2TP нь UDP-г тээвэрлэлт болгон ашигладаг бөгөөд туннелийн удирдлага болон өгөгдөл дамжуулахад ижил мессежийн форматыг ашигладаг.

PPTP-ийн нэгэн адил L2TP нь PPP мэдээллийн талбарт эхлээд PPP толгой, дараа нь L2TP толгойг нэмж хонгил руу дамжуулах пакетыг угсарч эхэлдэг. Ийнхүү хүлээн авсан пакет нь UDP-ээр бүрхэгдсэн байна. Сонгосон IPSec аюулгүй байдлын бодлогын төрлөөс хамааран L2TP нь UDP мессежийг шифрлэж, Encapsulating Security Payload (ESP) толгой болон төгсгөл, мөн IPSec Authentication төгсгөлийг нэмэх боломжтой ("IPSec гаруй L2TP" хэсгийг үзнэ үү). Дараа нь энэ нь IP-д бүрхэгдсэн болно. Илгээгч болон хүлээн авагчийн хаягийг агуулсан IP толгой хэсгийг нэмсэн. Эцэст нь L2TP нь өгөгдлийг дамжуулахад бэлтгэхийн тулд хоёр дахь PPP бүрхүүлийг гүйцэтгэдэг. Асаалттай будаа. 6.9 L2TP хонгилоор илгээгдэх өгөгдлийн бүтцийг харуулна.

Цагаан будаа. 6.9. L2TP хонгилоор дамжуулах өгөгдлийн бүтэц

Хүлээн авагч компьютер нь өгөгдлийг хүлээн авч, PPP толгой ба төгсгөлийг боловсруулж, IP толгойг таслана. IPSec Authentication нь IP мэдээллийн талбарыг баталгаажуулдаг бөгөөд IPSec ESP толгой нь пакетийн кодыг тайлахад тусалдаг.

Дараа нь компьютер UDP толгойг боловсруулж, хонгилыг тодорхойлохын тулд L2TP толгойг ашигладаг. PPP пакет нь одоо зөвхөн боловсруулж байгаа эсвэл заасан хүлээн авагч руу дамжуулж буй ачааллыг агуулна.

IPsec (IP Security гэдэг үгийн товчлол) нь IP Интернэт Протоколоор дамжуулагдсан өгөгдлийг хамгаалах протоколуудын багц бөгөөд IP пакетуудыг баталгаажуулах ба/эсвэл шифрлэх боломжийг олгодог. IPsec нь интернетэд аюулгүй түлхүүр солилцох протоколуудыг агуулдаг.

IPSec-ийн аюулгүй байдал нь IP багцад өөрийн толгойг нэмдэг нэмэлт протоколуудаар хангагдана - encapsulation. Учир нь IPSec бол интернетийн стандарт бөгөөд үүнд зориулсан RFC баримт бичиг байдаг:

RFC 2401 (Интернэт протоколын аюулгүй байдлын архитектур) нь IP протоколын аюулгүй байдлын архитектур юм.

RFC 2402 (IP Authentication header) - IP баталгаажуулалтын толгой хэсэг.

RFC 2404 (ESP болон AH доторх HMAC-SHA-1-96-г ашиглах) - Баталгаажуулалтын толгой хэсгийг үүсгэхийн тулд SHA-1 хэш алгоритмыг ашиглах.

RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - DES шифрлэлтийн алгоритмыг ашиглах.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - Өгөгдлийн шифрлэлт.

RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) нь удирдлагын гол протоколын хамрах хүрээ юм.

RFC 2408( интернетийн аюулгүй байдалАссоциаци ба Түлхүүр Удирдлагын Протокол (ISAKMP) - аюулгүй холболтын түлхүүр ба баталгаажуулагчийн удирдлага.

RFC 2409 (Интернэт түлхүүр солилцоо (IKE)) - Түлхүүр солилцох.

RFC 2410 (The NULL Encryption Algorithm and its use with IPsec) - NULL Encryption Algorithm ба түүний хэрэглээ.

RFC 2411 (IP Security Document Roadmap) нь стандартын цаашдын хөгжүүлэлт юм.

RFC 2412 (OAKLEY түлхүүр тодорхойлох протокол) - Түлхүүрийн жинхэнэ эсэхийг шалгах.

IPsec нь IPv6 интернет протоколын салшгүй хэсэг бөгөөд интернет протоколын IPv4 хувилбарын нэмэлт өргөтгөл юм.

IPSec механизм нь дараахь ажлуудыг гүйцэтгэдэг.

аюулгүй сувгийг эхлүүлэх үед хэрэглэгчид эсвэл компьютерийг баталгаажуулах;

аюулгүй сувгийн төгсгөлийн цэгүүдийн хооронд дамжуулагдсан өгөгдлийг шифрлэх, баталгаажуулах;

нэвтрэлт танилт, өгөгдлийн шифрлэлтийн протоколуудыг ажиллуулахад шаардлагатай нууц түлхүүр бүхий сувгийн төгсгөлийн цэгүүдийг автоматаар нийлүүлэх.

IPSec бүрэлдэхүүн хэсгүүд

AH (Authentication Header) протокол нь толгойг таних протокол юм. Дамжуулах явцад пакетийн хамгаалагдсан хэсэг дэх битүүд өөрчлөгдөөгүй эсэхийг баталгаажуулснаар бүрэн бүтэн байдлыг хангана. Гэхдээ AH ашиглах нь асуудал үүсгэж болно, жишээлбэл пакет NAT төхөөрөмжөөр дамжих үед. NAT нь багцын IP хаягийг өөрчилдөг бөгөөд хаалттай газраас интернетэд нэвтрэх боломжийг олгодог орон нутгийн хаяг. Учир нь Энэ тохиолдолд пакет өөрчлөгдвөл AH шалгах нийлбэр буруу болно (энэ асуудлыг арилгахын тулд UDP-ээр ESP дамжуулалтыг хангадаг NAT-Traversal (NAT-T) протоколыг боловсруулсан бөгөөд ажилдаа UDP порт 4500 ашигладаг). AH нь зөвхөн бүрэн бүтэн байдалд зориулагдсан гэдгийг тэмдэглэх нь зүйтэй. Энэ нь багцын агуулгыг шифрлэх замаар нууцлалыг баталгаажуулдаггүй.

ESP (Encapsulation Security Payload) протокол нь дамжуулагдсан өгөгдлийн бүрэн бүтэн байдал, баталгаажуулалтаас гадна өгөгдлийн шифрлэлтээс гадна пакет хуурамчаар үйлдэхээс хамгаалдаг.

ESP протокол нь бүрэн бүтэн байдал, нууцлалыг хоёуланг нь хангадаг хамгаалалтын протокол юм. Тээврийн горимд ESP толгой нь анхны IP толгой болон TCP эсвэл UDP толгойн хооронд байна. Туннелийн горимд ESP толгойг шинэ IP толгой болон бүрэн шифрлэгдсэн анхны IP пакетийн хооронд байрлуулна.

Учир нь протоколууд - AH ба ESP хоёулаа өөрийн IP толгойг нэмдэг бөгөөд тэдгээр нь тус бүр өөрийн протоколын дугаартай (ID) бөгөөд үүгээрээ IP толгойг дагаж юу болохыг тодорхойлох боломжтой. IANA (Internet Assigned Numbers Authority - Интернетийн хаягийн орон зайг хариуцдаг байгууллага) дагуу протокол бүр өөрийн гэсэн дугаартай (ID) байдаг. Жишээлбэл, TCP-ийн хувьд энэ тоо 6, UDP-ийн хувьд 17 байна. Тиймээс галт ханаар ажиллахдаа протоколын ID AH ба/эсвэл ESP-тэй пакетуудыг дамжуулахаар шүүлтүүрийг тохируулах нь маш чухал юм.

Протоколын ID 51 нь IP толгой хэсэгт AH, харин ESP-д 50 байгааг харуулахаар тохируулагдсан.

АНХААР: Протоколын ID нь портын дугаартай ижил биш байна.

IKE (Internet Key Exchange) протокол нь виртуал хувийн сүлжээн дэх харилцаа холбооны аюулгүй байдлыг хангахад ашигладаг стандарт IPsec протокол юм. IKE-ийн зорилго нь найдвартай хэлэлцээр хийж, тодорхойлсон материалыг аюулгүй байдлын холбоонд (SA) хүргэх явдал юм.

SA нь холболтын IPSec нэр томъёо юм. Тогтсон SA ("аюулгүй холбоо" эсвэл "аюулгүй байдлын холбоо" гэж нэрлэгддэг аюулгүй суваг - Аюулгүй байдлын нийгэмлэг, SA) нь хуваалцсан нууц түлхүүр болон криптографийн алгоритмуудын багцыг агуулдаг.

IKE протокол нь гурван үндсэн үүргийг гүйцэтгэдэг.

хоёр VPN төгсгөлийн цэгийн хооронд баталгаажуулах хэрэгслийг өгдөг;

шинэ IPSec холбоосуудыг бий болгодог (хос SA-г үүсгэдэг);

одоо байгаа харилцааг удирддаг.

IKE нь UDP портын дугаар 500-г ашигладаг. Өмнө дурьдсанчлан NAT Traversal функцийг ашиглах үед IKE протокол нь UDP портын дугаар 4500-г ашигладаг.

IKE-д өгөгдөл солилцох нь 2 үе шаттайгаар явагддаг. Эхний шатанд SA IKE холбоо байгуулагдаж байна. Үүний зэрэгцээ сувгийн төгсгөлийн цэгүүдийг баталгаажуулж, шифрлэлтийн алгоритм, сессийн түлхүүр гэх мэт өгөгдөл хамгаалах параметрүүдийг сонгоно.

Хоёрдахь үе шатанд SA IKE-г протоколын хэлэлцээр хийхэд ашигладаг (ихэвчлэн IPSec).

Тохируулсан VPN туннелийн тусламжтайгаар ашигласан протокол бүрт нэг SA хос үүсгэгддэг. SA нь хос хосоороо бүтээгдсэн, гэх мэт SA бүр нь нэг чиглэлтэй холболт бөгөөд өгөгдлийг хоёр чиглэлд илгээх ёстой. Хүлээн авсан SA хосууд нь зангилаа бүр дээр хадгалагддаг.

Зангилаа бүр өөр зангилаатай олон хонгил үүсгэх чадвартай тул SA бүр аль зангилаанд харьяалагдаж байгааг тодорхойлох өвөрмөц дугаартай байдаг. Энэ тоог SPI (Security Parameter Index) эсвэл Security Parameter Index гэж нэрлэдэг.

Өгөгдлийн санд (DB) хадгалагдсан SA ГЭМТГЭЛ(Аюулгүй байдлын холбооны мэдээллийн сан).

IPSec зангилаа бүр хоёр дахь DB --тэй байна SPD(Аюулгүй байдлын бодлогын мэдээллийн сан) - Аюулгүй байдлын бодлогын мэдээллийн сан. Энэ нь тохируулсан хостын бодлогыг агуулдаг. Ихэнх VPN шийдлүүд нь холбогдохыг хүссэн хост бүрт тохирох алгоритмуудын хослол бүхий олон бодлогыг бий болгох боломжийг олгодог.

IPSec-ийн уян хатан чанар нь даалгавар бүрт үүнийг шийдвэрлэх хэд хэдэн арга байдаг бөгөөд нэг даалгаварт сонгосон аргууд нь бусад даалгавруудыг хэрэгжүүлэх аргаас хамааралгүй байдаг. Гэсэн хэдий ч IETF-ийн Ажлын хэсэг нь IPSec-ийг дэмждэг бүх бүтээгдэхүүнд ижил аргаар хэрэгжих ёстой дэмжигдсэн функцууд болон алгоритмуудын үндсэн багцыг тодорхойлсон. AH болон ESP механизмуудыг янз бүрийн баталгаажуулалт, шифрлэлтийн схемд ашиглаж болох бөгөөд тэдгээрийн зарим нь заавал байх ёстой. Жишээлбэл, IPSec нь пакетуудыг MD5 нэг талын функц эсвэл SHA-1 нэг талын функцийг ашиглан баталгаажуулдаг бөгөөд шифрлэлт нь DES алгоритмыг ашиглан хийгддэг. IPSec-ийг ажиллуулдаг бүтээгдэхүүн үйлдвэрлэгчид бусад баталгаажуулалт болон шифрлэлтийн алгоритмуудыг нэмж болно. Жишээлбэл, зарим бүтээгдэхүүн 3DES, Blowfish, Cast, RC5 гэх мэт шифрлэлтийн алгоритмуудыг дэмждэг.

Нууц түлхүүр ашигладаг аливаа тэгш хэмтэй шифрлэлтийн алгоритмыг IPSec дэх өгөгдлийг шифрлэхэд ашиглаж болно.

Урсгалын хамгаалалтын протоколууд (AH ба ESP) нь хоёр горимд ажиллах боломжтой тээврийн горимболон дотор туннелийн горим. Тээврийн горимд ажиллах үед IPsec нь зөвхөн тээврийн түвшний мэдээлэлтэй ажилладаг; зөвхөн TCP / UDP протоколуудыг агуулсан пакетийн өгөгдлийн талбар шифрлэгдсэн байна (IP пакетийн толгой өөрчлөгдөөгүй (шифрлээгүй)). Тээврийн горимыг ихэвчлэн хостуудын хооронд холбоо тогтооход ашигладаг.

Туннель горим нь сүлжээний давхаргын толгойг оруулаад бүх IP пакетийг шифрлэдэг. Үүнийг сүлжээгээр дамжуулахын тулд өөр IP багцад байрлуулна. Үндсэндээ энэ бол аюулгүй IP туннель юм. Туннелийн горимыг алсын компьютеруудыг виртуал хувийн сүлжээнд холбох ("хост-сүлжээ" холболтын схем) эсвэл виртуал хувийн өөр өөр хэсгүүдийг нэгтгэхийн тулд гарцуудын хооронд нээлттэй холбооны сувгаар (жишээ нь интернет) өгөгдөл дамжуулах аюулгүй байдлыг зохион байгуулахад ашиглаж болно. сүлжээ ("сүлжээний холболтын схем"). -net").

IPsec горимууд нь бие биенээ үгүйсгэдэггүй. Нэг хост дээр зарим SA нь тээврийн горимыг ашиглаж байхад зарим нь туннелийн горимыг ашиглаж болно.

Баталгаажуулалтын үе шатанд багцын ICV шалгах нийлбэрийг (Бүрэн бүтэн байдлыг шалгах үнэ цэнэ) тооцдог. Энэ нь хоёр зангилаа нууц түлхүүрийг мэддэг гэж үздэг бөгөөд энэ нь хүлээн авагчид ICV-ийг тооцоолж, илгээгчийн илгээсэн үр дүнтэй харьцуулах боломжийг олгодог. Хэрэв ICV-ийн харьцуулалт амжилттай бол пакет илгээгчийг баталгаажуулсан гэж үзнэ.

горимд байна тээвэрлэлтAH

Дамжуулах явцад өөрчлөх боломжтой IP толгой хэсгийн зарим талбараас бусад бүх IP пакет. ICV тооцоолох утгууд нь 0 байх эдгээр талбарууд нь үйлчилгээний хэсэг (Үйлчилгээний төрөл, TOS), туг, фрагментийн офсет, амьдрах хугацаа (TTL), түүнчлэн шалгах нийлбэрийн толгой хэсэг байж болно;

AH дахь бүх талбарууд;

IP пакетуудын ачаалал.

Тээврийн горим дахь AH нь IP толгой (өөрчлөхийг зөвшөөрсөн талбаруудаас бусад) болон анхны IP пакет дахь ачааллыг хамгаалдаг (Зураг 3.39).

Туннелийн горимд анхны пакетыг шинэ IP пакетт байрлуулж, шинэ IP пакетийн толгой хэсэгт үндэслэн өгөгдөл дамжуулах ажлыг гүйцэтгэдэг.

Учир нь туннелийн горимAHТооцоолол хийхдээ ICV хяналтын нийлбэрт дараахь бүрэлдэхүүн хэсгүүдийг оруулсан болно.

Дамжуулалтын явцад өөрчлөх боломжтой IP толгойн зарим талбараас бусад бүх талбарууд гаднах IP толгой хэсэгт. ICV тооцоолох утгууд нь 0 байх эдгээр талбарууд нь үйлчилгээний хэсэг (Үйлчилгээний төрөл, TOS), туг, фрагментийн офсет, амьдрах хугацаа (TTL), түүнчлэн шалгах нийлбэрийн толгой хэсэг байж болно;

бүх талбарууд AH;

анхны IP пакет.

Дараах зургаас харахад AH туннелийн горим нь эх сурвалжийн IP пакетийг бүхэлд нь AH тээврийн горим ашигладаггүй нэмэлт гадна толгойгоор хамгаалдаг.

Цагаан будаа. 6.10. AN протоколын үйл ажиллагааны туннель ба тээврийн горимууд

горимд байна тээвэрлэлтESPбүхэлд нь багцыг баталгаажуулдаггүй, зөвхөн IP ачааллыг хамгаалдаг. ESP зөөвөрлөх горим дахь ESP толгой нь IP толгойн дараа шууд IP багцад нэмэгдэх ба өгөгдлийн дараа ESP төгсгөл (ESP Trailer) нэмэгддэг.

ESP тээврийн горим нь багцын дараах хэсгүүдийг шифрлэдэг.

IP ачаалал;

Cipher Block Chaining (CBC) шифрлэлтийн горимыг ашигладаг шифрлэлтийн алгоритм нь ESP толгой болон ачааны хооронд шифрлэгдээгүй талбартай байдаг. Энэ талбарыг хүлээн авагч дээр гүйцэтгэдэг CBC тооцооллын IV (Initialization Vector) гэж нэрлэдэг. Энэ талбарыг шифрлэх процессыг эхлүүлэхэд ашигладаг тул үүнийг шифрлэх боломжгүй. Хэдийгээр халдагч нь IV-г үзэх чадвартай ч шифрлэлтийн түлхүүргүйгээр пакетийн шифрлэгдсэн хэсгийг тайлах арга байхгүй. Халдагчид эхлүүлэх векторыг өөрчлөхөөс сэргийлэхийн тулд үүнийг ICV хяналтын нийлбэрээр хамгаалдаг. Энэ тохиолдолд ICV нь дараах тооцоог хийдэг.

ESP толгойн бүх талбарууд;

IV энгийн текстийг багтаасан ачаалал;

баталгаажуулалтын өгөгдлийн талбараас бусад ESP Trailer дээрх бүх талбарууд.

ESP туннелийн горим нь эх IP пакетийг бүхэлд нь шинэ IP толгой, ESP гарчиг, ESP трейлерт багтаасан болно. IP толгой хэсэгт ESP байгааг харуулахын тулд IP протоколын танигчийг 50 болгож, анхны IP толгой болон ачааллыг өөрчлөхгүй. AH туннелийн горимын нэгэн адил гаднах IP толгой нь IPSec туннелийн тохиргоонд суурилдаг. ESP туннелийн горимыг ашиглах тохиолдолд IP пакетийн баталгаажуулалтын талбар нь гарын үсэг хаана хийгдсэн болохыг харуулж, түүний бүрэн бүтэн байдал, үнэн зөвийг баталгаажуулж, шифрлэгдсэн хэсэг нь мэдээлэл хамгаалагдсан, нууцлалтай болохыг харуулж байна. Анхны толгойг ESP толгойн дараа байрлуулна. Шифрлэгдсэн хэсгийг шифрлэгдээгүй шинэ хонгилын толгой хэсэгт оруулсны дараа IP пакет дамжуулагдана. Нийтийн сүлжээгээр илгээх үед ийм пакетыг хүлээн авагч сүлжээний гарцын IP хаяг руу чиглүүлдэг бөгөөд гарц нь пакетын шифрийг тайлж, анхны IP толгойг ашиглан ESP толгойг хаяж, дараа нь пакетийг дараах хаяг дээр байрлах компьютер руу чиглүүлдэг. дотоод сүлжээ. ESP туннелийн горим нь багцын дараах хэсгүүдийг шифрлэдэг.

анхны IP пакет;

• ESP туннелийн горимын хувьд ICV-ийг дараах байдлаар тооцоолно.

  ESP толгойн бүх талбарууд;

  анхны IP пакет, түүний дотор энгийн текст IV;

  баталгаажуулалтын өгөгдлийн талбараас бусад бүх ESP толгойн талбарууд.

Цагаан будаа. 6.11. ESP протоколын туннель ба тээврийн горим

Цагаан будаа. 6.12. ESP болон AH протоколуудын харьцуулалт

Хэрэглээний горимуудын хураангуйIPSec:

Протокол - ESP (AH).

Горим - туннель (тээвэр).

Түлхүүр солилцох арга - IKE (гарын авлага).

IKE горим - үндсэн (түрэмгий).

DH түлхүүр – 5-р бүлэг (2-р бүлэг, 1-р бүлэг) - динамикаар үүсгэсэн сессийн түлхүүрүүдийг сонгох бүлгийн дугаар, бүлгийн урт.

Баталгаажуулалт - SHA1 (SHA, MD5).

Шифрлэлт - DES (3DES, Blowfish, AES).

Бодлого үүсгэхдээ ихэвчлэн алгоритмууд болон Диффи-Хеллман бүлгүүдийн дараалсан жагсаалт үүсгэх боломжтой байдаг. Diffie-Hellman (DH) нь IKE, IPSec болон PFS (Perfect Forward Secrecy)-ийн хуваалцсан нууц түлхүүрүүдийг бий болгоход ашигладаг шифрлэлтийн протокол юм. Энэ тохиолдолд хоёр зангилаа дээр таарах эхний байрлалыг ашиглана. Аюулгүй байдлын бодлогын бүх зүйл танд энэ давхцалд хүрэх боломжийг олгох нь маш чухал юм. Хэрэв бодлогын нэг хэсгээс бусад бүх зүйл таарч байвал хостууд VPN холболт үүсгэх боломжгүй хэвээр байх болно. хооронд VPN туннель тохируулах үед янз бүрийн системүүдТа аль аль алгоритмуудыг аль аль талдаа дэмжиж байгааг олж мэдэх хэрэгтэй бөгөөд ингэснээр та хамгийн найдвартай бодлогыг сонгох боломжтой болно.

Аюулгүй байдлын бодлогын үндсэн тохиргоонд дараахь зүйлс орно.

Өгөгдлийн шифрлэлт/шифр тайлах тэгш хэмтэй алгоритмууд.

Өгөгдлийн бүрэн бүтэн байдлыг шалгах криптографийн хяналтын нийлбэр.

Зангилаа тодорхойлох арга. Хамгийн түгээмэл аргууд бол урьдчилан хуваалцсан нууц эсвэл CA сертификат юм.

Туннелийн горим эсвэл тээврийн горимыг ашиглах эсэх.

Аль Diffie-Hellman бүлгийг ашиглах вэ (DH бүлэг 1 (768 бит); DH бүлэг 2 (1024 бит); DH бүлэг 5 (1536 бит)).

AH, ESP эсвэл хоёуланг нь ашиглах эсэх.

PFS ашиглах эсэх.

IPSec-ийн хязгаарлалт нь зөвхөн IP протоколын түвшинд өгөгдөл дамжуулахыг дэмждэг.

IPSec-ийг ашиглах хоёр үндсэн схем байдаг бөгөөд тэдгээр нь аюулгүй сувгийг бүрдүүлдэг зангилааны үүргийн хувьд ялгаатай байдаг.

Эхний схемд сүлжээний эцсийн хостуудын хооронд аюулгүй суваг үүсдэг. Энэ схемд IPSec протокол нь ажиллаж байгаа хостыг хамгаалдаг:

Цагаан будаа. 6.13.Хоёр төгсгөлийн цэгийн хооронд аюулгүй суваг үүсгэ

Хоёр дахь схемд аюулгүй байдлын хоёр гарцын хооронд аюулгүй суваг бий болсон. Эдгээр гарцууд нь гарцын ард байгаа сүлжээнд холбогдсон эцсийн хостуудаас өгөгдлийг хүлээн авдаг. Энэ тохиолдолд эцсийн хостууд IPSec протоколыг дэмждэггүй, нийтийн сүлжээнд чиглэсэн траффик нь хамгаалалтын гарцаар дамждаг бөгөөд энэ нь өөрийн нэрийн өмнөөс хамгаалалт хийдэг.

Цагаан будаа. 6.14.Хоёр гарцын хооронд аюулгүй суваг үүсгэх

IPSec-ийг дэмждэг хостуудын хувьд тээврийн горим болон туннелийн горимыг хоёуланг нь ашиглаж болно. Гарцын хувьд зөвхөн туннелийн горимыг зөвшөөрдөг.

Суурилуулалт ба дэмжлэгVPN

Дээр дурдсанчлан VPN туннелийг суулгах, засвар үйлчилгээ хийх нь хоёр үе шаттай үйл явц юм. Эхний үе шатанд (үе шат) хоёр зангилаа нь таних арга, шифрлэлтийн алгоритм, хэш алгоритм, Диффи-Хеллманы бүлгийн талаар тохиролцдог. Тэд бас бие биенээ тодорхойлдог. Энэ бүхэн нь шифрлэгдээгүй гурван мессеж (түрэмгий горим гэж нэрлэгддэг) солилцсоны үр дүнд тохиолдож болно. Түрэмгий горим) эсвэл шифрлэгдсэн таних мэдээллийг солилцох зургаан мессеж (стандарт горим, Үндсэн горим).

Үндсэн горимд илгээгч болон хүлээн авагчийн төхөөрөмжүүдийн тохиргооны бүх параметрүүдийг тохиролцох боломжтой, харин түрэмгий горимд энэ боломжгүй бөгөөд зарим параметрүүдийг (Diffie-Hellman бүлэг, шифрлэлт, баталгаажуулалтын алгоритмууд, PFS) урьдчилан тохируулах шаардлагатай. -төхөөрөмж бүр дээр ижил аргаар тохируулагдсан. Гэсэн хэдий ч, энэ горимд солилцооны тоо болон илгээсэн пакетуудын тоо хоёулаа бага байдаг тул IPSec сессийг байгуулахад бага хугацаа шаардагдана.

Цагаан будаа. 6.15.Стандарт (a) болон түрэмгий (b) горимд мессеж илгээх

Үйл ажиллагаа амжилттай дууссан гэж үзвэл эхний үе шатны SA бий болно - Үе шат 1 SA(мөн гэж нэрлэдэг IKESA) ба үйл явц хоёр дахь үе шат руу шилждэг.

Хоёрдахь алхамд гол өгөгдөл бий болж, зангилаанууд ашиглах бодлогыг хүлээн зөвшөөрдөг. Түргэн горим гэж нэрлэгддэг энэ горим нь 1-р үе шатын дараа буюу 2-р фазын бүх пакетууд шифрлэгдсэн үед л тогтож болдогоороо 1-р үе шатаас ялгаатай. Хоёр дахь үе шатыг зөв дуусгах нь гадаад төрх байдалд хүргэдэг Үе шат 2 SAэсвэл IPSecSAүүн дээр хонгилыг суурилуулах ажил дууссан гэж үзнэ.

Нэгдүгээрт, пакет өөр сүлжээний очих хаягтай зангилаа руу ирэх ба зангилаа нь нөгөө сүлжээг хариуцдаг зангилаатай эхний үе шатыг эхлүүлнэ. Зангилааны хоорондох хонгил амжилттай байгуулагдаж, пакетуудыг хүлээж байна гэж бодъё. Гэсэн хэдий ч зангилаа нь тодорхой хугацааны дараа бие биенээ дахин тодорхойлж, бодлогуудыг харьцуулах шаардлагатай болдог. Энэ үеийг Нэгдүгээр үе шат буюу IKE SA амьдралын хугацаа гэж нэрлэдэг.

Зангилаанууд нь 2-р үе шат эсвэл IPSec SA ашиглалтын хугацаа гэж нэрлэгддэг хугацааны дараа өгөгдлийг шифрлэх түлхүүрийг өөрчлөх ёстой.

Хоёрдугаар үе шат нь эхний үе шатаас богино байдаг, учир нь түлхүүрийг илүү олон удаа өөрчлөх шаардлагатай. Та хоёр зангилааны хувьд ижил амьдралын параметрүүдийг тохируулах хэрэгтэй. Хэрэв та үүнийг хийхгүй бол эхлээд хонгил амжилттай байгуулагдах боломжтой боловч амьдралын эхний тогтворгүй хугацааны дараа холболт тасрах болно. Эхний үе шатны ашиглалтын хугацаа хоёр дахь үеийнхээс бага байх үед асуудал үүсч болно. Хэрэв өмнө нь тохируулсан хонгил ажиллахаа больсон бол хамгийн түрүүнд шалгах зүйл бол хоёр зангилааны ашиглалтын хугацаа юм.

Хэрэв та зангилааны аль нэг дээрх бодлогыг өөрчилвөл өөрчлөлтүүд зөвхөн эхний үе шатны дараагийн эхлэхэд л хүчин төгөлдөр болно гэдгийг тэмдэглэх нь зүйтэй. Өөрчлөлтүүд нэн даруй хүчин төгөлдөр болохын тулд та энэ туннелийн SA-г SAD мэдээллийн сангаас устгах ёстой. Энэ нь аюулгүй байдлын бодлогын шинэ тохиргоотой зангилаа хоорондын гэрээг дахин нягтлах болно.

Заримдаа янз бүрийн үйлдвэрлэгчдийн тоног төхөөрөмжийн хооронд IPSec туннель суурилуулахдаа эхний үе шатыг бий болгох явцад параметрүүдийг зохицуулахтай холбоотой хүндрэлүүд гардаг. Та Local ID гэх мэт параметрт анхаарлаа хандуулах хэрэгтэй - энэ нь туннелийн төгсгөлийн цэгийн (илгээгч ба хүлээн авагч) өвөрмөц танигч юм. Энэ нь олон хонгил үүсгэх, NAT Traversal протоколыг ашиглах үед онцгой чухал юм.

Үхсэнүе тэнгийнилрүүлэх

VPN ашиглалтын явцад хонгилын төгсгөлийн цэгүүдийн хооронд хөдөлгөөн байхгүй эсвэл алсын хостын анхны өгөгдөл өөрчлөгдвөл (жишээлбэл, динамикаар томилогдсон IP хаягийг өөрчлөх) хонгил үндсэндээ ийм байхаа больсон нөхцөл байдал үүсч болно. , яг л сүнсний хонгил болж байна. Үүсгэсэн IPSec туннелд өгөгдөл солилцох байнгын бэлэн байдлыг хангахын тулд IKE механизм (RFC 3706-д тодорхойлсон) нь хонгилын алсын зангилаанаас замын хөдөлгөөн байгаа эсэхийг хянах боломжийг олгодог бөгөөд хэрэв тодорхой хугацаанд байхгүй бол, Сайн уу мессеж илгээгдсэн (галт хананд D-Link "DPD-R-U-THERE" гэсэн мессежийг илгээдэг). Хэрэв тодорхой хугацаанд энэ зурваст хариу өгөхгүй бол "DPD дуусах хугацаа" тохиргоогоор тохируулсан D-Link галт хананд хонгилыг буулгана. Үүний дараа "DPD Keep Time" тохиргоог ашиглан D-Link галт хана ( будаа. 6.18) хонгилыг автоматаар сэргээх оролдлого.

ПротоколNATЗамын хөдөлгөөн

IPsec траффикийг бусад IP протоколуудтай ижил дүрмийн дагуу чиглүүлж болох боловч чиглүүлэгч нь тээврийн давхаргын протоколд хамаарах мэдээллийг үргэлж гаргаж чаддаггүй тул IPsec нь NAT гарцаар дамжих боломжгүй байдаг. Өмнө дурьдсанчлан, энэ асуудлыг шийдэхийн тулд IETF нь NAT-T (NAT Traversal) гэж нэрлэгддэг UDP-д ESP-г багтаах арга замыг тодорхойлсон.

NAT Traversal протокол нь IPSec траффикийг багтааж, NAT зөв дамжуулдаг UDP пакетуудыг нэгэн зэрэг үүсгэдэг. Үүнийг хийхийн тулд NAT-T нь IPSec пакетын өмнө нэмэлт UDP толгойг байрлуулснаар үүнийг сүлжээ даяар ердийн UDP пакет мэт авч үзэх ба хүлээн авагч хост бүрэн бүтэн байдлын шалгалт хийхгүй. Пакет хүрэх газартаа ирсний дараа UDP толгойг устгаж, өгөгдлийн пакет нь IPSec багц хэлбэрээр үйл ажиллагаагаа үргэлжлүүлнэ. Тиймээс NAT-T механизмыг ашиглан аюулгүй сүлжээн дэх IPSec үйлчлүүлэгчид болон галт ханаар дамжуулан нийтийн IPSec хостуудын хооронд харилцаа холбоо тогтоох боломжтой.

Хүлээн авагч төхөөрөмж дээр D-Link галт ханыг тохируулахдаа анхаарах хоёр зүйл бий.

Remote Network болон Remote Endpoint талбарт алсаас илгээх төхөөрөмжийн сүлжээ болон IP хаягийг зааж өгнө. NAT технологийг ашиглан санаачлагчийн (илгээгчийн) IP хаягийг орчуулахыг зөвшөөрөх шаардлагатай (Зураг 3.48).

Нэг хаяг руу NAT-д холбогдсон олон хонгилтой нэг алсын галт хананд холбогдсон хуваалцсан түлхүүрүүдийг ашиглах үед хонгил бүрт Local ID нь өвөрмөц байх ёстой.

Орон нутгийн IDнэг байж болно:

Автомат– гадагш гарч буй траффикийн IP хаягийг локал танигч болгон ашигладаг.

IP– Алсын галт ханын WAN портын IP хаяг

DNS- DNS хаяг

Виртуал хувийн сүлжээ (VPN) үйлчилгээ үзүүлэгчийн хувьд ихээхэн анхаарал татаж байна сүлжээний үйлчилгээболон интернет үйлчилгээ үзүүлэгч, корпорацийн хэрэглэгчид. Infonetics Research-ийн таамаглаж буйгаар VPN зах зээл 2003 он хүртэл жил бүр 100 гаруй хувиар өсөж, 12 тэрбум долларт хүрнэ.

VPN-ийн түгээмэл байдлын талаар танд хэлэхээсээ өмнө зөвхөн хувийн (корпорацын) мэдээллийн сүлжээг ихэвчлэн нийтийн утасны сүлжээнүүдийн түрээсийн (зориулалтын) холбооны сувгуудыг ашиглан бүтээдэг гэдгийг сануулъя. Олон жилийн турш эдгээр хувийн сүлжээнүүд нь корпорацийн тусгай шаардлагуудыг харгалзан бүтээгдсэн бөгөөд үүний үр дүнд өмчлөлийн програмуудыг дэмждэг өмчийн протоколууд бий болсон (гэхдээ Frame Relay болон ATM протоколууд саяхан түгээмэл болсон). Зориулалтын сувгууд нь найдвартай хамгаалалтыг хангадаг нууц мэдээлэл, гэхдээ зоосны эсрэг тал нь үйл ажиллагааны өндөр өртөг, сүлжээг өргөжүүлэхэд хүндрэлтэй байдаг бөгөөд үүнд гар утасны хэрэглэгч санамсаргүй цэг дээр холбогдох боломжтой байдаг. Үүний зэрэгцээ орчин үеийн бизнес нь ажиллах хүчний ихээхэн тархалт, хөдөлгөөнөөр тодорхойлогддог. Илүү олон хэрэглэгчид залгах сувгуудаар дамжуулан корпорацийн мэдээлэл авах шаардлагатай болж, гэрээсээ ажилладаг ажилчдын тоо нэмэгдсээр байна.

Цаашилбал, хувийн сүлжээнүүд нь интернет болон IP-д суурилсан программууд, тухайлбал, бүтээгдэхүүнийг сурталчлах, хэрэглэгчийн дэмжлэг үзүүлэх, ханган нийлүүлэгчидтэй байнгын харилцаа холбоо тогтоох зэрэг бизнесийн боломжийг олгож чадахгүй. Энэхүү онлайн харилцан үйлчлэл нь ихэвчлэн өөр өөр протокол, программууд, өөр өөр сүлжээний удирдлагын систем, өөр өөр харилцаа холбооны үйлчилгээ үзүүлэгчдийг ашигладаг хувийн сүлжээнүүдийн харилцан холболтыг шаарддаг.

Тиймээс хувийн сүлжээг нэгтгэх шаардлагатай үед өндөр өртөгтэй, статик шинж чанар, бэрхшээлүүд гарч ирдэг. янз бүрийн технологиуд, динамик хөгжиж буй бизнес, түүний төвлөрлийг сааруулах хүсэл, нэгдэх хандлагатай зөрчилдөж байна.

Үүний зэрэгцээ, эдгээр дутагдалгүй олон нийтийн мэдээлэл дамжуулах сүлжээ, "вэб" -ээрээ дэлхийг бүхэлд нь бүрхсэн интернет байдаг. Тэд хувийн сүлжээнүүдийн хамгийн чухал давуу талаасаа хасагдсан нь үнэн. найдвартай хамгаалалткорпорацийн мэдээлэл. Виртуал Хувийн Сүлжээний технологи нь уян хатан байдал, өргөтгөх боломжтой, хямд өртөгтэй, "хэзээ ч хаана ч" интернет болон нийтийн сүлжээний хүртээмжийг хувийн сүлжээний аюулгүй байдалтай хослуулсан. Үндсэндээ VPN нь ашигладаг хувийн сүлжээ юм дэлхийн сүлжээнүүд нийтийн хүртээмж(Интернет, Frame Relay, ATM). Виртуал байдал нь корпорацийн хэрэглэгчийн хувьд тэдгээр нь тусгай зориулалтын хувийн сүлжээ мэт харагдснаар илэрдэг.

ТОХИРЦОХ

Хэрэв VPN нь Frame Relay болон ATM үйлчилгээг шууд ашигладаг бол нийцтэй байдлын асуудал үүсэхгүй, учир нь тэдгээр нь олон протоколын орчинд ажиллахад маш сайн зохицсон бөгөөд IP болон IP бус програмуудад тохиромжтой. Энэ тохиолдолд шаардлагатай бүх зүйл бол шаардлагатай газарзүйн бүсийг хамарсан зохих сүлжээний дэд бүтэцтэй байх явдал юм. Хамгийн түгээмэл хэрэглэгддэг хандалтын төхөөрөмжүүд нь Frame Relay Access Devices эсвэл Frame Relay болон ATM интерфейстэй чиглүүлэгчид юм. Олон тооны байнгын эсвэл сэлгэн залгасан виртуал хэлхээ нь ямар ч протокол, топологийн холимогтой (бараг) ажиллах боломжтой. Хэрэв VPN нь интернетэд суурилсан бол асуудал илүү төвөгтэй болно. Энэ тохиолдолд програмууд нь IP протоколтой нийцтэй байх шаардлагатай. Энэ шаардлагыг хангасан тохиолдолд та өмнө нь аюулгүй байдлын шаардлагатай түвшинг хангасан VPN-г бүтээхийн тулд интернетийг "байгаагаар нь" ашиглаж болно. Гэхдээ ихэнх хувийн сүлжээнүүд нь олон протокол эсвэл албан бус, дотоод IP хаяг ашигладаг тул зохих дасан зохицохгүйгээр интернетэд шууд холбогдож чадахгүй. Олон тооны нийцтэй шийдлүүд байдаг. Хамгийн алдартай нь дараахь зүйлүүд юм.
- одоо байгаа протоколуудыг (IPX, NetBEUI, AppleTalk болон бусад) албан ёсны хаягтай IP протокол болгон хөрвүүлэх;
- дотоод IP хаягийг албан ёсны IP хаяг руу хөрвүүлэх;
— сервер дээр тусгай IP гарц суурилуулах;
- виртуал IP чиглүүлэлт ашиглах;
— бүх нийтийн туннелийн техникийг ашиглах.
Эхний арга нь ойлгомжтой тул бусдыг нь товчхон харцгаая.
Хувийн сүлжээ нь IP протокол дээр суурилсан тохиолдолд дотоод IP хаягийг албан ёсны хаяг руу хөрвүүлэх шаардлагатай. Албан ёсны IP хаягууд нь аж ахуйн нэгжийн сүлжээн дэх свич, чиглүүлэгч дээрх дотоод хаягуудтай зэрэгцэн оршиж болох тул бүхэл бүтэн корпорацийн сүлжээнд хаягийн орчуулга хийх шаардлагагүй. Өөрөөр хэлбэл, албан ёсны IP хаягтай сервер нь дотоод дэд бүтцээр дамжуулан хувийн сүлжээний үйлчлүүлэгчдэд нээлттэй хэвээр байна. Хамгийн түгээмэл хэрэглэгддэг арга бол албан ёсны хаягийн жижиг блокийг олон хэрэглэгчид хуваах явдал юм. Энэ нь модемийн санг хуваахтай адил бөгөөд энэ нь бүх хэрэглэгчид нэгэн зэрэг интернетэд холбогдох шаардлагагүй гэсэн таамаглал дээр тулгуурладаг. Энд хоёр салбарын стандарт байдаг: Динамик хостын тохиргооны протокол (DHCP) ба өргөн нэвтрүүлэг сүлжээний хаягууд(Сүлжээний хаягийн орчуулга - NAT), арга барил нь бага зэрэг ялгаатай. DHCP нь сүлжээний администраторын тодорхойлсон хугацаанд хост руу хаягийг "түрээслүүлдэг" бол NAT нь дотоод IP хаягийг албан ёсны хаяг руу динамик байдлаар хөрвүүлдэг.
Интернет.

Хувийн сүлжээг интернетэд нийцүүлэх өөр нэг арга бол IP гарцыг суулгах явдал юм. Уг гарц нь IP бус протоколуудыг IP протокол руу хөрвүүлдэг ба эсрэгээр. Төрөлх протоколыг ашигладаг ихэнх сүлжээний үйлдлийн системүүд нь IP гарцын програм хангамжтай байдаг.

Виртуал IP чиглүүлэлтийн мөн чанар нь ISP-ийн дэд бүтцэд (чиглүүлэгч ба свич) хувийн чиглүүлэлтийн хүснэгт болон хаягийн орон зайг өргөтгөх явдал юм. Виртуал IP чиглүүлэгч нь үйлчилгээ үзүүлэгчийн эзэмшиж, ажиллуулдаг физик IP чиглүүлэгчийн логик хэсэг юм. Виртуал чиглүүлэгч бүр тодорхой бүлэг хэрэглэгчдэд үйлчилдэг.
Гэсэн хэдий ч, магадгүй хамгийн их хамгийн зөв замТуннелийн техникийг ашиглан харилцан ажиллах чадварыг бий болгож болно. Эдгээр техникийг олон протоколын багцын урсгалыг нийтлэг үндсэн шугамаар дамжуулахад удаан хугацааны турш ашиглаж ирсэн. Энэхүү батлагдсан технологийг одоогоор интернетэд суурилсан VPN-д зориулж оновчтой болгосон.
Хонгилын үндсэн бүрэлдэхүүн хэсгүүд нь:
— хонгил санаачлагч;
- чиглүүлсэн сүлжээ;
- хонгилын унтраалга (заавал биш);
- нэг буюу хэд хэдэн туннелийн терминал.
Туннелийг төгсгөл хоорондын холбоосын хоёр төгсгөлд хийх ёстой. Хонгил нь туннель үүсгэгчээр эхэлж, туннелийн төгсгөлийн төгсгөлтэй байх ёстой. Хонгилын ажиллагааг эхлүүлэх, дуусгах ажлыг янз бүрийн сүлжээний төхөөрөмжүүд болон програм хангамж. Жишээлбэл, модем болон шаардлагатай VPN программ хангамжийг суулгасан алсын хэрэглэгчийн компьютер, корпорацийн салбар оффисын урд талын чиглүүлэгч эсвэл үйлчилгээ үзүүлэгчийн сүлжээний хандалтын төвлөрсөн төхөөрөмж туннелийг эхлүүлж болно.

IP-ээс бусад пакетуудыг интернетээр дамжуулахад зориулагдсан сүлжээний протоколууд, тэдгээр нь эх сурвалжаас IP пакетуудад бүрхэгдсэн байдаг. VPN хонгил үүсгэх хамгийн түгээмэл арга бол IP бус пакетыг PPP (Point-to-Point Protocol) багцад багтааж, дараа нь IP пакетт оруулах явдал юм. PPP протоколыг цэгээс цэг рүү холбоход, тухайлбал, үйлчлүүлэгч-серверийн холболтод ашигладаг гэдгийг сануулъя. IP капсулжуулалтын процесс нь анхны пакет дээр стандарт IP толгойг нэмж оруулах бөгөөд дараа нь үүнийг дараах байдлаар авч үзнэ. хэрэгтэй мэдээлэл. Хонгилын нөгөө үзүүрт байгаа харгалзах процесс нь IP толгойг устгаж, анхны пакетыг өөрчлөхгүй. Хонгилын технологи нь маш энгийн тул зардлын хувьд хамгийн боломжийн юм.

АЮУЛГҮЙ БАЙДАЛ

Аюулгүй байдлын шаардлагатай түвшинг хангах нь корпораци интернетэд суурилсан VPN-г ашиглахад анхаарах гол асуудал байдаг. Олон мэдээллийн технологийн менежерүүд хувийн сүлжээний угаасаа нууцлалд дассан байдаг бөгөөд интернетийг хувийн сүлжээ болгон ашиглахад хэтэрхий "нийтийн" гэж үздэг. Хэрэв та англи нэр томъёог ашигладаг бол гурван "P" байдаг бөгөөд тэдгээрийн хэрэгжилт нь мэдээллийн бүрэн хамгаалалтыг хангадаг. Энэ:
Хамгаалалт - галт хана (галт хана) ашиглан нөөцийг хамгаалах;
Нотлох баримт - багцын таних (бүрэн бүтэн байдал) болон илгээгчийг баталгаажуулах (хандах эрхийг баталгаажуулах);
Нууцлал - шифрлэлт ашиглан нууц мэдээллийг хамгаалах.
Гурван P нь бүх корпорацийн сүлжээ, тэр дундаа VPN зэрэгт адил чухал юм. Хатуу хувийн сүлжээнд нөөц, мэдээллийн нууцлалыг хамгаалахын тулд маш их ашиглахад хангалттай. энгийн нууц үг. Харин хувийн сүлжээ нийтийн сүлжээнд холбогдсон бол гурван Р-ийн аль нь ч шаардлагатай хамгаалалтыг хангаж чадахгүй. Тиймээс аливаа VPN-ийн хувьд нийтийн сүлжээтэй харилцах бүх цэгүүдэд галт хана суурилуулсан байх ёстой бөгөөд пакетуудыг шифрлэж, баталгаажуулсан байх ёстой.

Галт хана нь ямар ч VPN-ийн чухал бүрэлдэхүүн хэсэг юм. Тэд зөвхөн итгэмжлэгдсэн хэрэглэгчдэд зориулсан урсгалыг зөвшөөрдөг бөгөөд бусад бүх зүйлийг блоклодог. Өөрөөр хэлбэл, үл мэдэгдэх эсвэл итгэлгүй хэрэглэгчдийн нэвтрэх бүх оролдлогыг давсан гэсэн үг. Хаана ч байхгүй гэдэг нь хаа сайгүй байхгүй гэсэн үг тул энэ төрлийн хамгаалалтын хэлбэрийг сайт, хэрэглэгч бүрт өгөх ёстой. Виртуал хувийн сүлжээний аюулгүй байдлыг хангахын тулд тусгай протоколуудыг ашигладаг. Эдгээр протоколууд нь хостуудад ашиглах шифрлэлт болон тоон гарын үсгийн техникийг "тохиролцох" боломжийг олгодог бөгөөд ингэснээр өгөгдлийн нууцлал, бүрэн бүтэн байдлыг хадгалж, хэрэглэгчийг баталгаажуулдаг.

Microsoft Point-to-Point Encryption Protocol (MPPE) нь үйлчлүүлэгч машин дээрх PPP пакетуудыг хонгил руу илгээхээс өмнө шифрлэдэг. Протоколыг ашиглан туннелийн терминалтай холбоо тогтоох үед шифрлэлтийн сессийг эхлүүлдэг
PPP.

Secure IP protocols (IPSec) нь Internet Engineering Task Force (IETF)-ийн боловсруулсан хэд хэдэн урьдчилсан стандартууд юм. Бүлэг нь Authentication Header (AH) болон Encapsulating Security Payload (ESP) гэсэн хоёр протоколыг санал болгосон. AH протокол нэмдэг цахим гарын үсэгхэрэглэгчийг баталгаажуулж, дамжих явцад гарсан аливаа өөрчлөлтийг бүртгэх замаар мэдээллийн бүрэн бүтэн байдлыг баталгаажуулдаг толгой хэсэг. Энэ протокол нь зөвхөн өгөгдлийг хамгаалж, IP пакетийн хаягийн хэсгийг өөрчлөхгүй. Нөгөө талаас ESP протокол нь багцыг бүхэлд нь (туннелийн горим) эсвэл зөвхөн өгөгдлийг (Тээвэрлэлтийн горим) шифрлэх боломжтой. Эдгээр протоколуудыг тусад нь болон хослуулан хэрэглэдэг.

Аюулгүй байдлыг удирдахын тулд салбарын стандарт RADIUS (Remote Authentication Dial-In User Service) ашигладаг бөгөөд энэ нь нууц үг (баталгаажуулалт) болон нэвтрэх эрх (зөвшөөрөл) агуулсан хэрэглэгчийн профайлын мэдээллийн сан юм.

Аюулгүй байдлын функцууд нь өгөгдсөн жишээнүүдээр хязгаарлагдахгүй. Олон чиглүүлэгч болон галт хана үйлдвэрлэгчид өөрсдийн шийдлүүдийг санал болгодог. Тэдгээрийн дотор Ascend, CheckPoint, Cisco зэрэг багтана.

БОЛОМЖТОЙ БАЙДАЛ

Хүртээмж нь гурван чухал бүрэлдэхүүн хэсгийг агуулдаг: үйлчилгээ үзүүлэх хугацаа, нэвтрүүлэх чадварболон хойшлуулах хугацаа. Үйлчилгээ үзүүлэх хугацаа нь үйлчилгээ үзүүлэгчтэй байгуулсан гэрээний сэдэв бөгөөд бусад хоёр бүрэлдэхүүн хэсэг нь үйлчилгээний чанарын элементүүдтэй холбоотой байдаг (Үйлчилгээний чанар - QoS). Орчин үеийн технологиудтээвэрлэлт нь одоо байгаа бараг бүх програмын шаардлагад нийцсэн VPN бүтээх боломжийг танд олгоно.

ХЯНАЛТЫН БАЙДАЛ

Сүлжээний администраторууд корпорацийн сүлжээг, тэр дундаа харилцаа холбооны компанитай холбоотой хэсгийг хооронд нь, төгсгөлөөс нь удирдах чадвартай байхыг үргэлж хүсдэг. VPN нь ердийн хувийн сүлжээнээс илүү олон сонголтыг өгдөг. Ердийн хувийн сүлжээг "хилээс хил хүртэл" удирддаг, өөрөөр хэлбэл. үйлчилгээ үзүүлэгч нь корпорацийн сүлжээний урд чиглүүлэгч хүртэл сүлжээг удирддаг бол захиалагч нь WAN хандалтын төхөөрөмж хүртэл корпорацийн сүлжээг өөрөө удирддаг. VPN технологи нь үйлчилгээ үзүүлэгч болон захиалагчийн аль алиныг нь хангаж, "нөлөөллийн хүрээ"-ийн ийм хуваагдлаас зайлсхийдэг. нэг системсүлжээг бүхэлд нь, түүний корпорацийн хэсэг болон нийтийн сүлжээний сүлжээний дэд бүтцийг хоёуланг нь удирдах. Байгууллагын сүлжээний администратор нь сүлжээг хянах, дахин тохируулах, урд хандалтын төхөөрөмжүүдийг удирдах, сүлжээний статусыг бодит цаг хугацаанд тодорхойлох чадвартай.

VPN АРХИТЕКТУР

Виртуал хувийн сүлжээний архитектурын гурван загвар байдаг: хамааралтай, бие даасан, эрлийз гэсэн эхний хоёр хувилбарын хослол. Тодорхой загварт хамаарах нь VPN-д тавигдах дөрвөн үндсэн шаардлагыг хаана хэрэгжүүлж байгаагаас шалтгаална. Хэрэв дэлхийн сүлжээний үйлчилгээ үзүүлэгч бүрэн VPN шийдлээр хангадаг бол, i.e. хонгил, аюулгүй байдал, гүйцэтгэл, менежментийг хангадаг бөгөөд энэ нь архитектурыг үүнээс хамааралтай болгодог. Энэ тохиолдолд бүх VPN процессууд нь хэрэглэгчдэд ил тод байх бөгөөд тэрээр зөвхөн өөрийн төрөлх урсгал буюу IP, IPX эсвэл NetBEUI пакетуудыг хардаг. Захиалагчийн хувьд хамааралтай архитектурын давуу тал нь тэр одоо байгаа сүлжээний дэд бүтцийг "байгаагаар нь ашиглах боломжтой" бөгөөд зөвхөн VPN болон хувийн сүлжээний хооронд галт хана нэмж өгдөг.
WAN/LAN.

Байгууллага бүх зүйлийг хангасан тохиолдолд бие даасан архитектур хэрэгждэг технологийн шаардлагаөөрийн тоног төхөөрөмж дээр зөвхөн тээврийн функцийг үйлчилгээ үзүүлэгч рүү шилжүүлдэг. Энэ архитектур нь илүү үнэтэй боловч хэрэглэгч бүх үйлдлийг бүрэн хянах боломжийг олгодог.

Гибрид архитектур нь байгууллагаас (үйлчилгээ үзүүлэгчээс тус тус) хараат болон хараат бус сайтуудыг агуулдаг.

Корпорацийн хэрэглэгчдэд VPN-ийн амлалт юу вэ? Юуны өмнө, аж үйлдвэрийн шинжээчдийн үзэж байгаагаар энэ нь бүх төрлийн харилцаа холбооны зардлыг 30-аас 80% хүртэл бууруулж байна. Мөн түүнчлэн энэ нь корпораци эсвэл бусад байгууллагын сүлжээнд бараг хаа сайгүй нэвтрэх боломжтой байдаг; Энэ нь ханган нийлүүлэгчид болон үйлчлүүлэгчидтэй аюулгүй харилцаа холбооны хэрэгжилт юм; Энэ нь PSTN сүлжээнд байдаггүй сайжруулсан, сайжруулсан үйлчилгээ бөгөөд бусад олон зүйл юм. Мэргэжилтнүүд VPN-ийг шинэ үеийн сүлжээний харилцаа холбоо гэж үздэг бөгөөд олон шинжээчид VPN нь түрээсийн шугамд суурилсан ихэнх хувийн сүлжээг удахгүй орлох болно гэж үзэж байна.

Жилээс жилд цахим харилцаа холбооулам боловсронгуй болж, мэдээлэл солилцоход өгөгдөл боловсруулах хурд, аюулгүй байдал, чанарт тавигдах шаардлага улам бүр нэмэгдсээр байна.

Энд бид vpn холболтыг нарийвчлан авч үзэх болно: энэ нь юу вэ, vpn туннель гэж юу вэ, vpn холболтыг хэрхэн ашиглах вэ.

Энэ материал нь янз бүрийн үйлдлийн системүүд дээр vpn хэрхэн үүсгэх талаар танд хэлэх цуврал нийтлэлийн нэг төрлийн танилцуулга үг юм.

vpn холболт энэ юу вэ?

Виртуал хувийн сүлжээний vpn нь өндөр хурдны интернет байгаа тохиолдолд хувийн болон нийтийн сүлжээгээр логик сүлжээг найдвартай (гадаад хандалтаас хаалттай) холбох боломжийг олгодог технологи юм.

Ийм сүлжээний холболткомпьютерууд (газарзүйн хувьд бие биенээсээ нэлээд зайтай) цэгээс цэгийн холболтыг ашигладаг (өөрөөр хэлбэл "компьютер-компьютер").

Шинжлэх ухааны үүднээс энэ холболтын аргыг vpn туннель (эсвэл туннелийн протокол) гэж нэрлэдэг. Хэрэв та TCP / IP протоколыг ашиглан виртуал портуудыг өөр сүлжээнд "дамжуулах" боломжтой нэгдсэн VPN клиенттэй ямар ч үйлдлийн системтэй компьютертэй бол ийм хонгилд холбогдож болно.

vpn юунд зориулагдсан вэ?

Vpn-ийн гол давуу тал нь яриа хэлэлцээнд оролцогчдод өгөгдлийн нууцлал, мэдээллийн бүрэн бүтэн байдал, нэвтрэлт танилтыг хангадаг холболтын платформ шаардлагатай байдаг бөгөөд энэ нь зөвхөн хурдан цар хүрээг хамардаг төдийгүй (үндсэндээ) юм.

Диаграмм нь vpn сүлжээний хэрэглээг тодорхой харуулж байна.

Аюулгүй сувгаар холбогдох дүрмийг сервер болон чиглүүлэгч дээр урьдчилан бичсэн байх ёстой.

vpn хэрхэн ажилладаг

Vpn холболт үүсэх үед VPN серверийн IP хаяг болон алсын чиглүүлэлтийн талаарх мэдээллийг мессежийн толгой хэсэгт дамжуулдаг.

Энгийн буюу нийтийн сүлжээ, бүх мэдээлэл шифрлэгдсэн тул саатуулах боломжгүй.

VPN шифрлэлтийн үе шат нь илгээгчийн талд хэрэгждэг бөгөөд хүлээн авагчийн өгөгдлийг мессежийн толгойгоор (нийтлэг шифрлэлтийн түлхүүр байгаа бол) тайлдаг.

Мессежийн шифрийг зөв тайлсны дараа хоёр сүлжээний хооронд vpn холболт үүссэн бөгөөд энэ нь нийтийн сүлжээнд ажиллах боломжийг олгодог (жишээ нь 93.88.190.5 үйлчлүүлэгчтэй мэдээлэл солилцох).

тухай мэдээллийн нууцлал, тэгвэл интернет нь туйлын аюулгүй сүлжээ бөгөөд OpenVPN, L2TP / IPSec, PPTP, PPPoE протокол бүхий VPN сүлжээ нь өгөгдөл дамжуулах бүрэн аюулгүй, найдвартай арга юм.

Vpn суваг юунд зориулагдсан вэ?



vpn туннелинг ашигладаг:

Корпорацийн сүлжээ дотор;

Алслагдсан оффисууд, түүнчлэн жижиг салбаруудыг нэгтгэх;

Харилцаа холбооны өргөн хүрээний үйлчилгээ бүхий тоон утсаар үйлчлэх;

Мэдээллийн технологийн гадаад нөөцөд хандах;

Видео хурал хийх, хэрэгжүүлэх.

Яагаад танд vpn хэрэгтэй байна вэ?

vpn холболт шаардлагатай:

Интернет дэх нэргүй ажил;

IP хаяг нь тухайн улсын өөр бүс нутагт байрладаг тохиолдолд програмыг татаж авах;

Харилцаа холбоо ашиглан байгууллагын орчинд аюулгүй ажиллах;

Холболтын тохиргооны энгийн, тав тухтай байдал;

Өндөр хурдны холболтыг завсарлагагүйгээр хангах;

Хакерын халдлагагүй аюулгүй суваг бий болгох.

vpn хэрхэн ашиглах вэ?

Vpn хэрхэн ажилладаг тухай жишээ нь эцэс төгсгөлгүй юм. Тиймээс, корпорацийн сүлжээнд байгаа ямар ч компьютер дээр аюулгүй суулгах үед vpn холболтуудТа шуудангаар мессеж шалгах, улс орны хаанаас ч материал нийтлэх, торрент сүлжээнээс файл татаж авах боломжтой.

Vpn: утсанд юу байгаа юм бэ?

Утсан дээрээ (iPhone эсвэл бусад Андройд төхөөрөмж) vpn-ээр нэвтрэх нь олон нийтийн газар интернет ашиглахдаа нэрээ нууцлахаас гадна замын хөдөлгөөнийг саатуулах, төхөөрөмжийг хакердахаас урьдчилан сэргийлэх боломжийг олгоно.

Аливаа үйлдлийн систем дээр суулгасан VPN клиент нь үйлчилгээ үзүүлэгчийн олон тохиргоо, дүрмийг тойрч гарах боломжийг олгодог (хэрэв тэр ямар нэгэн хязгаарлалт тавьсан бол).

Утсанд ямар vpn сонгох вэ?

Android гар утас болон ухаалаг гар утаснууд нь Google Play зах зээл дээрх програмуудыг ашиглах боломжтой:

• - vpnRoot, droidVPN,
• - orbot гэх мэт сүлжээгээр аялах tor хөтөч
• - InBrowser, orfox (firefox+tor),
• - SuperVPN Үнэгүй VPNүйлчлүүлэгч
• - VPN холболтыг нээнэ үү
• - Tunnel Bear VPN
• - Hideman VPN

Эдгээр програмуудын ихэнх нь "халуун" системийн тохиргоо, эхлүүлэх товчлолыг байрлуулах, нэргүй интернетээр аялах, холболтын шифрлэлтийн төрлийг сонгоход тохиромжтой.

Гэхдээ утсан дээр VPN ашиглах гол ажил бол корпорацийн имэйлийг шалгах, хэд хэдэн оролцогчтой видео хурал хийх, мөн байгууллагаас гадуур уулзалт хийх (жишээлбэл, ажилтан бизнес аялалаар явах үед).

Iphone дээрх vpn гэж юу вэ?

Аль VPN-г сонгох, iPhone-той хэрхэн холбох талаар илүү дэлгэрэнгүй авч үзье.

Таны дэмждэг сүлжээний төрлөөс хамааран iphone дээр VPN тохиргоог анх удаа ажиллуулахдаа дараах протоколуудыг сонгож болно: L2TP, PPTP, болон Cisco IPSec(Үүнээс гадна та гуравдагч талын програмуудыг ашиглан vpn холболтыг "хийх" боломжтой).

Эдгээр бүх протоколууд нь шифрлэлтийн түлхүүр, нууц үгээр хэрэглэгчийн таних тэмдэг, баталгаажуулалтыг дэмждэг.

дунд нэмэлт функцууд iPhone дээр VPN профайлыг тохируулахдаа дараахь зүйлийг анхаарч үзэх хэрэгтэй: RSA аюулгүй байдал, шифрлэлтийн түвшин, серверт холбогдох зөвшөөрлийн дүрмүүд.

Appstore дэлгүүрээс iPhone утасны хувьд та дараахь зүйлийг сонгох хэрэгтэй.

• - үнэгүй програм Tunnelbear-ийн тусламжтайгаар та аль ч улсын VPN серверт холбогдох боломжтой.
• - OpenVPN холболт нь хамгийн сайн VPN үйлчлүүлэгчдийн нэг юм. Энд програмыг ажиллуулахын тулд эхлээд утсандаа itunes-ээр дамжуулан rsa-түлхүүрүүдийг импортлох ёстой.
• - Cloak бол shareware программ юм, учир нь тухайн бүтээгдэхүүнийг хэсэг хугацаанд үнэ төлбөргүй "ашиглах" боломжтой боловч демо хугацаа дууссаны дараа програмыг ашиглахын тулд та үүнийг худалдаж авах хэрэгтэй болно.

VPN үүсгэх: тоног төхөөрөмжийг сонгох, тохируулах

Томоохон байгууллагууд дахь корпорацийн харилцаа холбоо эсвэл бие биенээсээ алслагдсан оффисуудыг нэгтгэхийн тулд тэд тасралтгүй, аюулгүй сүлжээг дэмжих техник хангамжийн төхөөрөмжийг ашигладаг.



Vpn технологийг хэрэгжүүлэхийн тулд дараах зүйлс сүлжээний гарц болж чадна: Unix серверүүд, windows сервер, сүлжээний чиглүүлэгч болон VPN суулгасан сүлжээний гарц.

Байгууллагын vpn сүлжээ эсвэл алслагдсан оффисуудын хооронд vpn суваг үүсгэхэд ашигладаг сервер эсвэл төхөөрөмж нь техникийн нарийн төвөгтэй ажлуудыг гүйцэтгэж, ажлын станц болон хөдөлгөөнт төхөөрөмж дээр хэрэглэгчдэд бүрэн хэмжээний үйлчилгээг үзүүлэх ёстой.

Аливаа чиглүүлэгч эсвэл vpn чиглүүлэгч нь сүлжээний найдвартай ажиллагааг "хөлдөх"гүйгээр хангах ёстой. Суурилуулсан vpn функц нь гэртээ, байгууллага эсвэл алсын оффис дээр ажиллахад зориулсан сүлжээний тохиргоог өөрчлөх боломжийг олгодог.

чиглүүлэгч дээрх vpn тохиргоо

Ерөнхийдөө чиглүүлэгч дээрх VPN тохиргоог чиглүүлэгчийн вэб интерфэйс ашиглан гүйцэтгэдэг. Vpn-ийг зохион байгуулах "сонгодог" төхөөрөмжүүд дээр та "тохиргоо" эсвэл "сүлжээний тохиргоо" хэсэгт очиж VPN хэсгийг сонгож, протоколын төрлийг зааж, дэд сүлжээний хаягийн тохиргоо, маск, IP хүрээг зааж өгөх хэрэгтэй. хэрэглэгчдэд зориулсан хаягууд.

Нэмж дурдахад, холболтын аюулгүй байдлыг хангахын тулд та кодчиллын алгоритм, баталгаажуулалтын аргуудыг зааж өгөх, хэлэлцээрийн түлхүүрүүдийг үүсгэх, зааж өгөх шаардлагатай болно. DNS серверүүдЯЛСАН. "Гарц" параметрүүдэд та гарцын IP хаягийг (таны IP) зааж, бүх сүлжээний адаптер дээрх өгөгдлийг бөглөх хэрэгтэй.

Хэрэв сүлжээнд хэд хэдэн чиглүүлэгч байгаа бол VPN туннелийн бүх төхөөрөмжүүдийн vpn чиглүүлэлтийн хүснэгтийг бөглөх шаардлагатай.

VPN сүлжээг бий болгоход ашигладаг тоног төхөөрөмжийн жагсаалтыг энд оруулав.

Dlink чиглүүлэгчид: DIR-320, DIR-620, DSR-1000 шинэ програм хангамж эсвэл D-Link DI808HV чиглүүлэгч.

Чиглүүлэгч Cisco PIX 501, Cisco 871-SEC-K9

50 орчим VPN туннелийг дэмждэг Linksys Rv082 чиглүүлэгч

Netgear чиглүүлэгч DG834G болон чиглүүлэгчийн загварууд FVS318G, FVS318N, FVS336G, SRX5308

OpenVPN функцтэй микротик чиглүүлэгч. Жишээ RouterBoard RB/2011L-IN Mikrotik

Vpn төхөөрөмж RVPN S-Terra эсвэл VPN Gate

ASUS RT-N66U, RT-N16 болон RT N-10 чиглүүлэгчид

ZyXel чиглүүлэгч ZyWALL 5, ZyWALL P1, ZyWALL USG

Виртуал хувийн сүлжээ

Ихэнхдээ бий болгох виртуал сүлжээ PPP протоколыг бусад протоколд оруулахыг ашигладаг - Ethernet (Интернэтэд нэвтрэх боломжийг олгох "сүүлийн миль" үйлчилгээ үзүүлэгч.

Зөв түвшний хэрэгжилт, тусгай програм хангамжийг ашигласнаар VPN нь үүнийг хангаж чадна өндөр түвшиндамжуулагдсан мэдээллийн шифрлэлт. At зөв тохиргообүх бүрэлдэхүүн хэсгүүд VPN технологивэб дээр нэрээ нууцлах боломжийг олгодог.

VPN бүтэц

VPN нь хэд хэдэн байж болох "дотоод" (хяналттай) сүлжээ, капсуллагдсан холболт дамждаг "гадаад" сүлжээ (ихэвчлэн интернет ашигладаг) гэсэн хоёр хэсгээс бүрдэнэ. Мөн нэг компьютерийг виртуал сүлжээнд холбох боломжтой. Алсын хэрэглэгч VPN-д дотоод болон гадаад (нийтийн) сүлжээнд холбогдсон хандалтын серверээр холбогддог. Алсын хэрэглэгчийг холбох үед (эсвэл өөр аюулгүй сүлжээнд холбогдох үед) хандалтын сервер нь таних процессыг дамжуулж, дараа нь баталгаажуулалтын процессыг шаарддаг. Хоёр процесс амжилттай дууссаны дараа алсын хэрэглэгч ( алсын сүлжээ) сүлжээнд ажиллах эрх мэдэлтэй, өөрөөр хэлбэл зөвшөөрлийн процесс явагдана.

VPN ангилал

VPN ангилал

VPN шийдлүүдийг хэд хэдэн үндсэн параметрийн дагуу ангилж болно.

Ашигласан орчны төрлөөр

• Хамгаалагдсан

Виртуал хувийн сүлжээнүүдийн хамгийн түгээмэл хувилбар. Түүний тусламжтайгаар найдваргүй сүлжээ, ихэвчлэн интернет дээр суурилсан найдвартай, найдвартай дэд сүлжээг бий болгох боломжтой. Аюулгүй VPN-ийн жишээ нь: IPSec, PPTP.

• Итгэл

Тэдгээрийг дамжуулах хэрэгслийг найдвартай гэж үзэж болох тохиолдолд ашигладаг бөгөөд зөвхөн виртуал дэд сүлжээг бий болгох асуудлыг шийдвэрлэхэд л шаардлагатай байдаг. илүү том сүлжээ. Аюулгүй байдлын асуудал хамаагүй болж байна. Ийм VPN шийдлүүдийн жишээ нь: Олон протоколын шошгыг сэлгэх (L2TP (2-р давхаргын туннелийн протокол).

Хэрэгжүүлэх замаар

• Тусгай програм хангамж, техник хангамжийн хэлбэрээр

VPN сүлжээг хэрэгжүүлэх нь тусгай програм хангамж, техник хангамж ашиглан хийгддэг. Энэхүү хэрэгжилт нь өндөр гүйцэтгэлийг хангадаг бөгөөд дүрмээр бол өндөр зэрэгтэйаюулгүй байдал.

• Програм хангамжийн шийдэл болгон

Тэд VPN функцийг хангадаг тусгай программ хангамж бүхий хувийн компьютер ашигладаг.

• Нэгдсэн шийдэл

VPN функцийг шүүлтүүрийн ажлыг шийддэг цогцолбороор хангадаг сүлжээний урсгал, галт ханыг зохион байгуулж, үйлчилгээний чанарыг хангах.

Уулзалтаар

Эдгээр нь нэг байгууллагын хэд хэдэн тархсан салбарыг нэг аюулгүй сүлжээнд нэгтгэж, нээлттэй холбооны сувгаар мэдээлэл солилцоход ашиглагддаг.

• Алсын хандалтын VPN

Корпорацийн сүлжээний сегмент (төв оффис эсвэл салбар оффис) болон гэртээ ажиллаж байхдаа холбогдох нэг хэрэглэгчийн хооронд аюулгүй суваг үүсгэхэд ашигладаг. корпорацийн нөөц-тай гэрийн компьютер, байгууллагын зөөврийн компьютер, ухаалаг утас эсвэл интернет ТҮЦ.

• Экстранет VPN

"Гадны" хэрэглэгчид (жишээлбэл, үйлчлүүлэгч эсвэл үйлчлүүлэгчид) холбогдох сүлжээнд ашиглагддаг. Тэдэнд итгэх итгэлийн түвшин нь компанийн ажилчдаас хамаагүй доогуур байдаг тул ялангуяа үнэ цэнэтэй, нууц мэдээлэлд нэвтрэхээс урьдчилан сэргийлэх, хязгаарлах тусгай хамгаалалтын "хязгаарыг" хангах шаардлагатай байна.

• Интернет VPN

Үйлчилгээ үзүүлэгчдийн интернетэд нэвтрэх боломжийг олгоход ашигладаг.

• Үйлчлүүлэгч/Сервер VPN

Энэ нь корпорацийн сүлжээний хоёр зангилаа (сүлжээ биш) хооронд дамжуулагдсан өгөгдлийг хамгаалах боломжийг олгодог. Энэ сонголтын онцлог нь VPN нь ихэвчлэн ижил сүлжээний сегментэд байрладаг зангилааны хооронд, жишээлбэл, хооронд байрладаг. ажлын станцболон сервер. Ийм хэрэгцээ нь хэд хэдэн бий болгох шаардлагатай тохиолдолд ихэвчлэн үүсдэг логик сүлжээнүүд. Жишээлбэл, санхүүгийн хэлтэс болон хүний ​​​​нөөцийн хэлтэс хоёрын хооронд урсгалыг хуваах шаардлагатай үед ижил физик сегментэд байрлах серверт хандах. Энэ сонголт нь VLAN технологитой төстэй боловч траффикийг тусгаарлахын оронд шифрлэгдсэн байдаг.

Протоколын төрлөөр

TCP/IP, IPX болон AppleTalk дор виртуал хувийн сүлжээний хэрэгжилтүүд байдаг. Гэвч өнөөдөр TCP / IP протокол руу ерөнхий шилжих хандлага ажиглагдаж байгаа бөгөөд VPN шийдлүүдийн дийлэнх нь үүнийг дэмждэг.

Сүлжээний протоколын түвшинд

Сүлжээний протоколын давхаргаар, ISO/OSI сүлжээний лавлагааны загварын давхаргын зураглал дээр үндэслэсэн.

VPN жишээнүүд

Олон томоохон үйлчилгээ үзүүлэгчид өөрсдийн VPN үйлчилгээг бизнесийн үйлчлүүлэгчдэд санал болгодог.

Уран зохиол

• Иванов М.А. Криптографийн аргуудмэдээлэл хамгаалах компьютерийн системүүдболон сүлжээнүүд. - М.: КУДИЦ-ОБРАЗ, 2001. - 368 х.
• Кулгин М. Корпорацийн сүлжээний технологи. нэвтэрхий толь бичиг. - Санкт-Петербург: Петр, 2000. - 704 х.
• Олифер В.Г., Олифер Н.А. Компьютерийн сүлжээ. Зарчим, технологи, протокол: Их дээд сургуулиудад зориулсан сурах бичиг. - Санкт-Петербург: Петр, 2001. - 672 х.
• Романец Ю.В., Тимофеев П.А., Шангин В.Ф. Компьютерийн систем, сүлжээн дэх мэдээллийг хамгаалах. 2-р хэвлэл. - М: Радио холбоо, 2002. -328 х.
• Зогсоогчид В.Сүлжээг хамгаалах үндэс. Хэрэглээ ба стандартууд = Сүлжээний аюулгүй байдлын үндсэн. Хэрэглээ ба стандартууд. - М.: "Уильямс", 2002. - S. 432. - ISBN 0-13-016093-8
• Виртуал хувийн сүлжээний бүтээгдэхүүнүүд [ Цахим баримт бичиг] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
• Анита Карве Реал виртуал боломжууд//LAN. - 1999.- № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
• Линуксийн MS-PPTP-д өгсөн хариулт [Цахим баримт бичиг] / Питер Гутманн. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
• Жоэл Снайдер VPN: хуваалцсан зах зээл // Сүлжээ. - 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
• VPN Primer [Цахим баримт бичиг] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
• PKI эсвэл PGP? [Цахим баримт бичиг] / Наталья Сергеева. - http://www.citforum.ru/security/cryptography/pki_pgp/
• IPSec - IP түвшний сүлжээний траффикийг хамгаалах протокол [Цахим баримт бичиг] / Станислав Коротигин. - http://www.ixbt.com/comm/ipsecure.shtml
• OpenVPN-н түгээмэл асуултууд [Цахим баримт бичиг] - http://openvpn.net/faq.html
• Шифрлэлтийн алгоритмын зорилго ба бүтэц [Цахим баримт бичиг] / Панасенко Сергей. - http://www.ixbt.com/soft/alg-encryption.shtml
• Орчин үеийн криптографийн тухай [Цахим баримт бичиг] / V. M. Сидельников. - http://www.citforum.ru/security/cryptography/crypto/
• Криптографийн танилцуулга / Ред. В.В.Ященко. - М.: MTsNMO, 2000. - 288 http://www.citforum.ru/security/cryptography/yaschenko/ сайтаас
• Криптограф дахь аюулгүй байдлын алдаа [Цахим баримт бичиг] / Брюс Шнайер. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
• IPSec: эм уу эсвэл албадан арга хэмжээ? [Цахим баримт бичиг] / Евгений Патий. - http://citforum.ru/security/articles/ipsec_standard/
• VPN болон IPSec таны гарт [Цахим баримт бичиг] / Дру Лавин. - http://www.nestor.minsk.by/sr/2005/03/050315.html
• IP дээр суурилсан виртуал хувийн сүлжээний хүрээ [Цахим баримт бичиг] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
• OpenVPN ба SSL VPN-ийн хувьсгал [Цахим баримт бичиг] / Чарли Хоснер. - http://www.sans.org/rr/whitepapers/vpns/1459.php
• Маркус Фейлнер Шинэ үеийн виртуал хувийн сүлжээ // LAN.- 2005.- № 11
• SSL гэж юу вэ [Цахим баримт бичиг] / Максим Дрогайцев. - http://www.ods.com.ua/win/rus/security/ssl.html
• Microsoft-ын PPTP баталгаажуулалтын өргөтгөлүүдийн крипт анализ (MS-CHAPv2) [Электрон баримт бичиг] / Брюс Шнайер. - http://www.schneier.com/paper-pptpv2.html
• Point to Point Tunneling Protocol (PPTP) Техникийн үзүүлэлтүүд [Цахим баримт бичиг] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
• Райан Норман VPN протокол сонгох нь // Windows IT Pro. - 2001. - № 7 http://www.osp.ru/win2000/2001/07/010.htm
• MPLS: IP сүлжээнд шинэ захиалга байна уу? [Цахим баримт бичиг] / Том Нолле. - http://www.emanual.ru/get/3651/
• Хоёр давхар туннелийн протокол "L2TP" [Цахим баримт бичиг] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
• Алексей Лукатский Үл мэдэгдэх VPN // Компьютерийн хэвлэл. - 2001. - № 10 http://abn.ru/inf/compress/network4.shtml
• Ханан дахь анхны тоосго VPN тоймнэвтрэх түвшний VPN төхөөрөмжүүд [Цахим баримт бичиг] / Валерий Лукин. - http://www.ixbt.com/comm/vpn1.shtml
• VPN техник хангамжийн тойм [Цахим баримт бичиг] - http://www.networkaccess.ru/articles/security/vpn_hardware/
• Цэвэр техник хангамжийн VPN нь өндөр хүртээмжтэй тестийг удирддаг [Цахим баримт бичиг] / Жоэл Снайдер, Крис Эллиотт. - http://www.networkworld.com/reviews/2000/1211rev.html
• VPN: VPN-ийн төрөл [Цахим баримт бичиг] - http://www.vpn-guide.com/type_of_vpn.htm
• KAME-ийн түгээмэл асуултууд [Цахим баримт бичиг] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
• Оросын VPN зах зээлийн онцлог [Цахим баримт бичиг] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• Виртуал хувийн сүлжээг бий болгох дотоодын арга хэрэгсэл [?] / И.Гвоздев, В.Зайчиков, Н.Мошак, М.Пеленицын, С.Селезнев, Д.Шепелявы
• Сергей Петренко Аюулгүй виртуал хувийн сүлжээ: нууц мэдээллийг хамгаалах орчин үеийн үзэл бодол // Интернетийн ертөнц. - 2001. - No2

Виртуал Хувийн Сүлжээ нь корпорацийн холболтууд болон интернетэд нэвтрэх найдвартай холболтыг хангахад ашигладаг виртуал хувийн сүлжээ юм. VPN-ийн гол давуу тал нь өгөгдөл дамжуулахад чухал ач холбогдолтой дотоод траффикийн шифрлэлтээс шалтгаалан өндөр хамгаалалт юм.

VPN холболт гэж юу вэ

Олон хүмүүс энэ товчлолтой тулгарахдаа: VPN - энэ юу вэ, яагаад хэрэгтэй вэ? Энэ технологисүлжээний холболт үүсгэх боломжийг нээж өгдөг. VPN нь хэд хэдэн горимд ажилладаг:

• зангилаа сүлжээ;
• сүлжээний сүлжээ;
• зангилаа.

Сүлжээний түвшинд хувийн виртуал сүлжээг зохион байгуулах нь TCP болон UDP протоколуудыг ашиглах боломжийг олгодог. Компьютерээр дамждаг бүх өгөгдөл шифрлэгдсэн байдаг. Энэ нь таны холболтын нэмэлт хамгаалалт юм. VPN холболт гэж юу болох, яагаад үүнийг ашиглах ёстойг тайлбарласан олон жишээ бий. Доор дэлгэрэнгүй тайлбарлах болно энэ асуулт.

Яагаад танд VPN хэрэгтэй байна вэ?

Үйлчилгээ үзүүлэгч бүр холбогдох байгууллагуудын хүсэлтээр хэрэглэгчийн үйл ажиллагааны бүртгэлийг гаргаж өгөх боломжтой. Танай интернет компани таны сүлжээнд хийсэн бүх үйл ажиллагааг бүртгэдэг. Энэ нь үйлчилгээ үзүүлэгчийг үйлчлүүлэгчийн хийсэн үйлдлийнхээ хариуцлагаас чөлөөлөхөд тусалдаг. Өгөгдлөө хамгаалах, эрх чөлөөг олж авах шаардлагатай олон нөхцөл байдал байдаг, жишээлбэл:

1. VPN үйлчилгээг салбар хооронд компанийн нууц мэдээллийг дамжуулахад ашигладаг. Энэ нь хамгаалахад тусалдаг чухал мэдээлэлсаатуулахаас.
2. Хэрэв та газарзүйн бүсээр үйлчилгээний холболтыг тойрч гарах шаардлагатай бол. Жишээлбэл, Yandex Music үйлчилгээг зөвхөн ОХУ-ын оршин суугчид болон хуучин ТУХН-ийн орнуудын оршин суугчид ашиглах боломжтой. Хэрэв та АНУ-ын орос хэлээр ярьдаг хүн бол бичлэгийг сонсох боломжгүй болно. VPN үйлчилгээ нь сүлжээний хаягийг орос хаягаар сольж энэ хоригийг даван туулахад тусална.
3. Үйлчилгээ үзүүлэгчээс сайтын зочилсон мэдээллийг нуух. Хүн бүр интернет дэх үйл ажиллагаагаа хуваалцахад бэлэн байдаггүй тул VPN-ийн тусламжтайгаар зочлоо хамгаалах болно.

VPN хэрхэн ажилладаг вэ

Таныг өөр VPN суваг ашиглах үед таны IP энэ аюулгүй сүлжээ байрладаг улсад харьяалагдах болно. Холбогдсон үед VPN сервер болон таны компьютерийн хооронд туннель үүснэ. Үүний дараа үйлчилгээ үзүүлэгчийн бүртгэлд (бичлэг) багц байх болно ойлгомжгүй дүрүүд. Мэдээллийн дүн шинжилгээ хийх тусгай хөтөлбөрүр дүн өгөхгүй. Хэрэв та энэ технологийг ашиглахгүй бол HTTP протокол нь таныг аль сайт руу холбогдож байгааг шууд зааж өгөх болно.



VPN бүтэц

Энэ холболт нь хоёр хэсгээс бүрдэнэ. Эхнийх нь "дотоод" сүлжээ гэж нэрлэгддэг, та эдгээрээс хэд хэдэн үүсгэж болно. Хоёр дахь нь "гадаад" холболт бөгөөд түүгээр дамжуулан капсул холболт үүсдэг бөгөөд дүрмээр бол интернет ашигладаг. Мөн сүлжээнд нэг компьютер холбох боломжтой. Хэрэглэгч гадаад болон дотоод сүлжээнд нэгэн зэрэг холбогдсон хандалтын серверээр дамжуулан тодорхой VPN-тэй холбогддог.

VPN програм нь алсын хэрэглэгчийг холбоход сервер нь хоёр чухал процессыг шаарддаг: эхлээд таних, дараа нь баталгаажуулалт. Энэ холболтыг ашиглах эрхийг олж авахад шаардлагатай. Хэрэв та эдгээр хоёр үе шатыг амжилттай давсан бол таны сүлжээ хүчирхэгжсэн бөгөөд энэ нь ажиллах боломжийг нээж өгдөг. Үндсэндээ энэ бол зөвшөөрлийн үйл явц юм.

VPN ангилал

Виртуал хувийн сүлжээний хэд хэдэн төрөл байдаг. Аюулгүй байдлын зэрэг, хэрэгжүүлэх арга, ISO / OSI загвар, холбогдох протоколын дагуу ажлын түвшин зэрэг сонголтууд байдаг. Та төлбөртэй хандалт эсвэл Google-ийн үнэгүй VPN үйлчилгээг ашиглаж болно. Аюулгүй байдлын зэрэгт үндэслэн сувгууд нь "аюулгүй" эсвэл "найдвартай" байж болно. Холболт нь өөрөө хүссэн хамгаалалтын түвшинтэй бол сүүлийнх нь шаардлагатай. Эхний сонголтыг зохион байгуулахын тулд дараахь технологийг ашиглах шаардлагатай.

• PPTP
• OpenVPN;
• IPSec.



VPN серверийг хэрхэн үүсгэх

Бүх компьютер хэрэглэгчдийн хувьд VPN-г өөрөө холбох арга бий. Доорх сонголт байна үйлдлийн систем Windows. Энэхүү гарын авлагад нэмэлт програм хангамж ашиглахыг заагаагүй болно. Тохиргоог дараах байдлаар гүйцэтгэнэ.

1. Шинэ холболт хийхийн тулд та харах самбарыг нээх хэрэгтэй сүлжээний хандалт. Хайлтын хэсэгт "Сүлжээний холболтууд" гэсэн үгийг бичиж эхлээрэй.
2. "Alt" товчийг дараад цэсний "Файл" хэсгийг товшоод "Шинэ ирж буй холболт" -ыг сонгоно уу.
3. Дараа нь энэ компьютерт VPN холболт олгох хэрэглэгчийг тохируулна уу (хэрэв танд ганцхан байгаа бол). Данс PC дээр та түүнд нууц үг үүсгэх ёстой). Шувууг суулгаад "Дараах" дээр дарна уу.
4. Дараа нь та холболтын төрлийг сонгохыг хүсэх болно, та "Интернэт" -ийн өмнө тэмдэглэгээ үлдээж болно.
5. Дараагийн алхам бол энэ VPN дээр ажиллах сүлжээний протоколуудыг идэвхжүүлэх явдал юм. Хоёр дахь хайрцгаас бусад бүх хайрцгийг шалгана уу. Та IPv4-д тодорхой IP, DNS гарц, портуудыг тохируулж болно, гэхдээ автомат хуваарилалтыг орхих нь илүү хялбар байдаг.
6. "Хандалтыг зөвшөөрөх" товчийг дарахад үйлдлийн систем нь серверийг өөрөө үүсгэж, компьютерийн нэр бүхий цонхыг харуулна. Холбохын тулд танд хэрэгтэй болно.
7. Энэ нь гэрийн VPN серверийг үүсгэж дуусгана.



Android дээр VPN хэрхэн тохируулах талаар

Дээр тайлбарласан арга бол VPN холболтыг хэрхэн үүсгэх явдал юм Хувийн компьютер. Гэсэн хэдий ч олон хүмүүс утсыг ашиглан бүх үйлдлүүдийг удаан хугацаанд гүйцэтгэдэг. Хэрэв та Android дээрх VPN гэж юу болохыг мэдэхгүй байгаа бол дээрх бүх баримтуудыг уншина уу энэ төрөлхолболтууд нь ухаалаг гар утсанд ч хүчинтэй. Орчин үеийн төхөөрөмжүүдийн тохиргоо нь интернетийг өндөр хурдаар тав тухтай ашиглах боломжийг олгодог. Зарим тохиолдолд (тоглоом эхлүүлэх, сайт нээхэд) тэд прокси орлуулах эсвэл нэрээ нууцлагчийг ашигладаг боловч тогтвортой, хурдан байдаг. VPN холболтуудилүү таарч байна.

Хэрэв та утсан дээрх VPN гэж юу болохыг ойлгосон бол шууд хонгил үүсгэх боломжтой. Та үүнийг ямар ч Android төхөөрөмж дээр хийж болно. Холболтыг дараах байдлаар хийнэ.

1. Тохиргооны хэсэг рүү очоод "Сүлжээ" хэсгийг дарна уу.
2. "гэж нэрлэсэн зүйлийг хайж олоорой. Нэмэлт тохиргоо"болон "VPN" хэсэгт очно уу. Дараа нь танд сүлжээ үүсгэх боломжийг нээх пин код эсвэл нууц үг хэрэгтэй болно.
3. Дараагийн алхам бол VPN холболт нэмэх явдал юм. "Сервер" талбарт нэр, "хэрэглэгчийн нэр" талбарт нэрийг зааж, холболтын төрлийг тохируулна уу. "Хадгалах" товчийг дарна уу.
4. Үүний дараа жагсаалтад шинэ холболт гарч ирэх бөгөөд та стандарт холболтоо өөрчлөхөд ашиглаж болно.
5. Дэлгэц дээр холболт боломжтой болохыг харуулсан дүрс гарч ирнэ. Хэрэв та үүн дээр дарвал хүлээн авсан / дамжуулсан өгөгдлийн статистик мэдээллийг өгөх болно. Та энд VPN холболтыг идэвхгүй болгож болно.

Видео: Үнэгүй VPN үйлчилгээ