Conceptul de rețea virtuală. VPN - ce este și de ce aveți nevoie de el

Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:

    confidențialitatea informațiilor;

    integritatea datelor;

    disponibilitatea informațiilor;

Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network - virtual private network) - un nume generalizat pentru tehnologiile care vă permit să furnizați una sau mai multe conexiuni de rețea (rețea logică) printr-o altă rețea (de exemplu, Internet) folosind criptografia instrumente (criptare, autentificare, chei publice de infrastructură, mijloace de protecție împotriva repetății și modificării mesajelor transmise prin rețeaua logică).

Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii închiriate. În funcție de protocoalele utilizate și de scop, un VPN poate oferi trei tipuri de conexiuni: gazdă-gazdă, gazdă-rețea și rețea-rețea.

Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate teritorial și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să puneți modemuri în fiecare ramură și să organizați comunicarea după cum este necesar. O astfel de soluție, însă, nu este întotdeauna convenabilă și profitabilă - uneori aveți nevoie de o conexiune constantă și de o lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiunile VPN ale tuturor sucursalelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.

Orez. 6.4. conexiune VPN de la site la site

Orez. 6.5. Conexiune VPN gazdă la rețea

În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.

Pericolul aici este că, în primul rând, rețea deschisă disponibil pentru atacurile de la intruși din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în mod clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și, în al treilea rând, datele pot fi nu numai interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator poate, de exemplu, să compromită integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.

Pentru a preveni acest lucru, soluțiile VPN folosesc instrumente precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la o rețea privată virtuală.

O conexiune VPN constă întotdeauna într-o legătură punct la punct, cunoscută și sub numele de tunel. Tunelul este creat într-o rețea nesigură, care este cel mai adesea Internet.

Tunnelarea sau încapsularea este o modalitate de a transfera informații utile printr-o rețea intermediară. Astfel de informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda care trimite, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine situate la punctele de intrare în rețeaua publică. Unul dintre avantajele evidente ale tunelului este că această tehnologie vă permite să criptați întregul pachet original, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).

Deși un tunel VPN este stabilit între două puncte, fiecare gazdă poate stabili tuneluri suplimentare cu alte gazde. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acest birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil datorită faptului că nodul poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:

Orez. 6.6. Creați tuneluri VPN pentru mai multe locații la distanță

Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.

În cadrul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Astfel, criptarea este garantată doar pentru informațiile care sunt transmise pe un canal nesecurizat între birouri.

Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:

    PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în sistemele de operare Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.

    IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).

Protocoalele enumerate sunt acceptate de dispozitivele D-Link.

Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul vă permite să organizați accesul la distanță, astfel încât utilizatorii să poată stabili conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, protocolul PPTP nu a fost inițial destinat să organizeze tuneluri între rețelele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.

Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date folosind diferite protocoale - IP, IPX, NetBEUI etc. Datele acestor protocoale sunt împachetate în cadre PPP, încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transportate folosind IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadrele PPP din pachetele IP și apoi le procesează în modul standard, adică. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca în cazul unui VPN bazat pe IPSec), cât și orice alt protocol poate fi folosit ca transport.

În prezent, datorită ușurinței de implementare, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la o rețea corporativă, cât și pentru accesarea rețelelor ISP atunci când un client trebuie să stabilească o conexiune PPTP cu un ISP pentru a accesa Internetul.

Metoda de criptare utilizată în PPTP este specificată la nivelul PPP. De obicei, clientul PPP este calculator desktop cu sistemul de operare Microsoft, iar protocolul Microsoft Point-to-Point Encryption (MPPE) este utilizat ca protocol de criptare. Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este suficientă, deși este considerat mai puțin sigur decât o serie de alți algoritmi de criptare oferiti de IPSec, în special, Standardul de criptare a datelor triple pe 168 de biți (3DES).

Cum se stabilește legăturaPPTP?

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține legătura vie. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.

Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a trimite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea informațională a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de nivel al doilea care aparțin de obicei PPP, adică adaugă un antet PPP (antet) și un final (trailer) pachetului PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE) care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP doar la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, acesta este încapsulat într-un cadru cu antet IP. Antetul IP conține adresele expeditorului și destinatarului pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Pe orez. 6.7 arată structura de date pentru redirecționarea printr-un tunel PPTP:

Orez. 6.7. Structura de date pentru redirecționarea printr-un tunel PPTP

Configurarea unui VPN bazat pe PPTP nu necesită cheltuieli mari și setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să faceți setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de Internet sau un firewall cu suport PPTP: setările se fac numai pe un router de frontieră (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de Internet multifuncționale DIR/DSR și firewall-urile din seria DFL.

GRE-tunele

Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă trafic tunel prin rețele fără criptare. Exemple de utilizare a GRE:

    transmiterea traficului (inclusiv broadcast) prin echipamente care nu suportă un protocol anume;

    tunelarea traficului IPv6 printr-o rețea IPv4;

    transmiterea datelor prin rețele publice pentru a implementa o conexiune VPN sigură.

Orez. 6.8. Un exemplu de tunel GRE

Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.

L2 TP

Protocolul L2TP a apărut ca urmare a fuziunii protocoalelor PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru gestionarea tunelului, cât și pentru redirecționarea datelor.

Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmisie la tunel adăugând mai întâi antetul PPP, apoi antetul L2TP, la câmpul de date de informații PPP. Pachetul astfel primit este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec aleasă, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Se adaugă un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date care trebuie trimisă printr-un tunel L2TP.

Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP

Calculatorul care primește datele, prelucrează antetul și finalul PPP și dezactivează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.

Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar sarcina utilă care este procesată sau redirecționată către destinatarul specificat.

IPsec (prescurtare pentru IP Security) este un set de protocoale pentru securizarea datelor transmise prin IP Internet Protocol, permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei pe Internet.

Securitatea IPSec se realizează prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. pentru că IPSec este un standard de internet, apoi există documente RFC pentru el:

    RFC 2401 (Arhitectura de securitate pentru protocolul Internet) este arhitectura de securitate pentru protocolul IP.

    RFC 2402 (antet de autentificare IP) - antet de autentificare IP.

    RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) - Utilizarea algoritmului hash SHA-1 pentru a crea un antet de autentificare.

    RFC 2405 (Algoritmul de criptare ESP DES-CBC cu IV explicit) - Utilizarea algoritmului de criptare DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - Criptarea datelor.

    RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de gestionare a cheilor.

    RFC 2408( securitatea internetului Protocolul de asociere și management al cheilor (ISAKMP) - gestionarea cheilor și a autentificatorilor conexiunilor securizate.

    RFC 2409 (Internet Key Exchange (IKE)) - Schimb de chei.

    RFC 2410 (Algoritmul de criptare NULL și utilizarea acestuia cu IPsec) - Algoritmul de criptare NULL și utilizarea acestuia.

    RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.

    RFC 2412 (Protocolul de determinare a cheii OAKLEY) - Verificarea autenticității unei chei.

IPsec este o parte integrantă a protocolului de internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului de internet.

Mecanismul IPSec îndeplinește următoarele sarcini:

    autentificarea utilizatorilor sau a computerelor în timpul inițializării canalului securizat;

    criptarea și autentificarea datelor transmise între punctele finale ale unui canal securizat;

    furnizarea automată a punctelor finale de canal cu chei secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.

Componente IPSec

Protocolul AH (Authentication Header) este un protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din partea protejată a pachetului nu a fost modificat în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet dintr-un dispozitiv închis adresa locala. pentru că în acest caz, pachetul se modifică, apoi suma de control AH devine incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în activitatea sa). De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.

Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva falsificării pachetelor.

Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP este între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.

pentru că ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), prin care puteți determina ce va urma antetul IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese al Internetului), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, este foarte important atunci când lucrați printr-un firewall să configurați filtrele în așa fel încât să treacă pachetele cu ID AH și/sau ESP ale protocolului.

ID-ul de protocol 51 este setat pentru a indica faptul că AH este prezent în antetul IP și 50 pentru ESP.

ATENŢIE: ID-ul protocolului nu este același cu numărul portului.

Protocolul IKE (Internet Key Exchange) este un protocol IPsec standard utilizat pentru a securiza comunicațiile în rețelele private virtuale. Scopul IKE este negocierea și livrarea în siguranță a materialului identificat către o asociație de securitate (SA).

SA este termenul IPSec pentru o conexiune. Un SA stabilit (un canal securizat numit „asociere sigură” sau „asociere de securitate” - Asociația de securitate, SA) include o cheie secretă partajată și un set de algoritmi criptografici.

Protocolul IKE îndeplinește trei sarcini principale:

    oferă un mijloc de autentificare între două puncte finale VPN;

    stabilește noi legături IPSec (creează o pereche de SA);

    gestionează relațiile existente.

IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.

Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează asociația SA IKE. În același timp, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi algoritmul de criptare, cheia de sesiune etc.

În a doua fază, SA IKE este utilizat pentru negocierea protocolului (de obicei IPSec).

Cu un tunel VPN configurat, se creează o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, ca fiecare SA este o conexiune unidirecțională, iar datele trebuie trimise în două direcții. Perechile SA primite sunt stocate pe fiecare nod.

Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index) sau Security Parameter Index.

SA stocat într-o bază de date (DB) TRIST(Baza de date Asociația de Securitate).

Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) - Baza de date cu politici de securitate. Conține politica de gazdă configurată. Majoritatea soluțiilor VPN vă permit să creați mai multe politici cu combinații de algoritmi adecvați pentru fiecare gazdă la care doriți să vă conectați.

Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe modalități de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. Cu toate acestea, grupul de lucru IETF a definit un set de bază de caracteristici și algoritmi acceptați care trebuie implementați în același mod în toate produsele IPSec activate. Mecanismele AH și ESP pot fi utilizate cu diverse scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie funcția unidirecțională MD5, fie funcția unidirecțională SHA-1, iar criptarea se face folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.

Orice algoritm de criptare simetrică care utilizează chei secrete poate fi utilizat pentru a cripta datele în IPSec.

Protocoalele de protecție a fluxului (AH și ESP) pot funcționa în două moduri - în mod de transport si in modul tunel. Când operează în modul de transport, IPsec se ocupă doar de informațiile din stratul de transport; doar câmpul de date al pachetului care conține protocoalele TCP / UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili o conexiune între gazde.

Modul de tunel criptează întregul pachet IP, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, acesta este un tunel IP securizat. Modul tunel poate fi utilizat pentru a conecta computere de la distanță la o rețea privată virtuală (schemă de conexiune „rețea gazdă”) sau pentru a organiza transferul securizat de date prin canale de comunicație deschise (de exemplu, Internet) între gateway-uri pentru a combina diferite părți ale unui privat virtual. rețea („schemă de conexiune la rețea”). -net”).

Modurile IPsec nu se exclud reciproc. Pe aceeași gazdă, unele SA pot folosi modul de transport, în timp ce altele pot folosi modul tunel.

În timpul fazei de autentificare, se calculează suma de control ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să compare cu rezultatul trimis de expeditor. Dacă comparația ICV are succes, expeditorul pachetului este considerat autentificat.

În modul transportAH

    întregul pachet IP, cu excepția unor câmpuri din antetul IP, care pot fi modificate în tranzit. Aceste câmpuri, ale căror valori pentru calculul ICV sunt 0, pot face parte din serviciu (Tip de serviciu, TOS), steaguri, decalaj fragment, timp de viață (TTL), precum și un antet sumă de control;

    toate câmpurile din AH;

    sarcina utilă a pachetelor IP.

AH în modul de transport protejează antetul IP (cu excepția câmpurilor care pot fi modificate) și încărcarea utilă din pachetul IP original (Figura 3.39).

În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transferul de date este efectuat pe baza antetului noului pachet IP.

Pentru modul tunelAH la efectuarea unui calcul, următoarele componente sunt incluse în suma de control ICV:

    toate câmpurile din antetul IP exterior, cu excepția unor câmpuri din antetul IP, care pot fi modificate în timpul transmisiei. Aceste câmpuri, ale căror valori pentru calculul ICV sunt 0, pot face parte din serviciu (Tip de serviciu, TOS), steaguri, decalaj fragment, timp de viață (TTL), precum și un antet sumă de control;

    toate câmpurile AH;

    pachetul IP original.

După cum puteți vedea în următoarea ilustrație, modul tunel AH protejează întregul pachet IP sursă cu un antet exterior suplimentar pe care modul de transport AH nu îl folosește:

Orez. 6.10. Modurile de operare în tunel și transport ale protocolului AN

În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar finalul ESP (ESP Trailer) este adăugat după date în consecință.

Modul de transport ESP criptează următoarele părți ale pachetului:

    sarcină utilă IP;

Un algoritm de criptare care utilizează modul de criptare Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC, care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate de a decripta partea criptată a pachetului fără cheia de criptare. Pentru a preveni atacatorii să schimbe vectorul de inițializare, acesta este protejat de suma de control ICV. În acest caz, ICV efectuează următoarele calcule:

    toate câmpurile din antetul ESP;

    sarcină utilă inclusiv text clar IV;

    toate câmpurile din remorca ESP, cu excepția câmpului de date de autentificare.

Modul tunel ESP încapsulează întregul pachet IP original într-un nou antet IP, un antet ESP și un Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul utilizării modului de tunel ESP, zona de autentificare a pachetului IP arată unde a fost făcută semnătura, atestând integritatea și autenticitatea acesteia, iar partea criptată arată că informația este protejată și confidențială. Antetul original este plasat după antetul ESP. După ce partea criptată este încapsulată într-un nou antet de tunel care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, un astfel de pachet este direcționat către adresa IP a gateway-ului rețelei de recepție, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer situat pe rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:

    pachetul IP original;

  • Pentru modul tunel ESP, ICV se calculează după cum urmează:

    toate câmpurile din antetul ESP;

    pachetul IP original, inclusiv textul simplu IV;

    toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.

Orez. 6.11. Tunelul și modul de transport al protocolului ESP

Orez. 6.12. Compararea protocoalelor ESP și AH

Rezumatul modurilor de aplicareIPSec:

    Protocol - ESP (AH).

    Mod - tunel (transport).

    Metoda de schimb de chei - IKE (manual).

    Modul IKE - principal (agresiv).

    Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.

    Autentificare - SHA1 (SHA, MD5).

    Criptare - DES (3DES, Blowfish, AES).

La crearea unei politici, este de obicei posibilă crearea unei liste ordonate de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, se va folosi prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să vă permită să obțineți această coincidență. Dacă totul se potrivește, cu excepția unei părți a politicii, gazdele nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diverse sisteme trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică dintre toate posibile.

Principalele setări pe care le include politica de securitate:

    Algoritmi simetrici pentru criptarea/decriptarea datelor.

    Sume de control criptografice pentru a verifica integritatea datelor.

    Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.

    Dacă folosiți modul tunel sau modul de transport.

    Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).

    Dacă folosiți AH, ESP sau ambele.

    Dacă să utilizați PFS.

O limitare a IPSec este că acceptă doar transferul de date la nivelul de protocol IP.

Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.

În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează gazda care rulează:

Orez. 6.13. Creați un canal securizat între două puncte finale

În a doua schemă, se stabilește un canal securizat între două Gateway-uri de securitate. Aceste gateway-uri primesc date de la gazdele terminale conectate la rețelele din spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec, traficul direcționat către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în nume propriu.

Orez. 6.14. Crearea unui canal securizat între două gateway-uri

Pentru gazdele care acceptă IPSec, pot fi utilizate atât modul de transport, cât și modul tunel. Pentru gateway-uri, este permis doar modul tunel.

Instalare si suportVPN

După cum am menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), cele două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică între ei. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Principal modul).

În modul principal, este posibil să se negocieze toți parametrii de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv acest lucru nu este posibil, iar unii parametri (grupul Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie să fie prealabile. -configurat în același mod pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai puține, rezultând mai puțin timp pentru stabilirea unei sesiuni IPSec.

Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).

Presupunând că operațiunea s-a încheiat cu succes, se creează o primă fază SA − Fază 1 SA(numit si IKESA) iar procesul trece la a doua fază.

În a doua etapă, se generează datele cheie, nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de Faza 1 prin faptul că poate fi stabilit numai după Faza 1, când toate pachetele din Faza 2 sunt criptate. Finalizarea corectă a celei de-a doua faze duce la apariție Fază 2 SA sau IPSecSA iar pe aceasta se consideră finalizată instalarea tunelului.

Mai întâi, un pachet ajunge la nodul cu o adresă de destinație pe o altă rețea, iar nodul inițiază prima fază cu nodul care este responsabil pentru cealaltă rețea. Să presupunem că tunelul dintre noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește durata de viață a Fazei Unu sau durata de viață IKE SA.

Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp numită Faza a doua sau durata de viață IPSec SA.

Durata de viață a fazei a doua este mai scurtă decât prima fază, deoarece cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca inițial tunelul să fie stabilit cu succes, dar după prima perioadă inconsecventă de viață, conexiunea să fie întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă tunelul configurat anterior nu mai funcționează, atunci primul lucru de verificat este durata de viață pe ambele noduri.

De asemenea, trebuie remarcat faptul că dacă modificați politica pe unul dintre noduri, modificările vor intra în vigoare doar la următorul început al primei faze. Pentru ca modificările să intre în vigoare imediat, trebuie să eliminați SA pentru acest tunel din baza de date SAD. Acest lucru va forța o revizuire a acordului dintre noduri cu noile setări ale politicii de securitate.

Uneori, la configurarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți asociate cu coordonarea parametrilor în timpul stabilirii primei faze. Ar trebui să acordați atenție unui astfel de parametru precum Local ID - acesta este un identificator unic pentru punctul final al tunelului (expeditor și destinatar). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.

Mortegaldetectare

În timpul funcționării VPN, dacă nu există trafic între punctele terminale ale tunelului sau dacă datele inițiale ale gazdei de la distanță se modifică (de exemplu, modificarea adresei IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență așa. , devenind, parcă, un tunel fantomă . Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să controlați prezența traficului de la nodul de la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall-uri D-Link trimite un mesaj „DPD-R-U-THERE”). Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link setate de setările „DPD Expire Time”, tunelul este demontat. Firewall-uri D-Link după aceea, folosind setările „DPD Keep Time” ( orez. 6.18) încearcă automat să restabilească tunelul.

ProtocolNATTraversare

Traficul IPsec poate fi rutat după aceleași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, este imposibil ca IPsec să treacă prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).

Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP normal în întreaga rețea și gazda destinatarului să nu efectueze verificări de integritate. După ce pachetul ajunge la destinație, antetul UDP este eliminat, iar pachetul de date își continuă drumul ca un pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibilă stabilirea unei comunicații între clienții IPSec din rețelele securizate și gazdele publice IPSec prin firewall-uri.

Există două puncte de reținut atunci când configurați firewall-urile D-Link pe dispozitivul receptor:

    în câmpurile Remote Network și Remote Endpoint, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (emițătorului) folosind tehnologia NAT (Figura 3.48).

    atunci când utilizați chei partajate cu mai multe tuneluri conectate la aceeași telecomandă firewall care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.

Local ID poate fi unul dintre:

    Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.

    IP– adresa IP a portului WAN al firewall-ului de la distanță

    DNS– adresa DNS

    Rețelele private virtuale (VPN) primesc multă atenție ca furnizori servicii de rețeași furnizorii de internet și utilizatorii corporativi. Infonetics Research estimează că piața VPN va crește cu peste 100% anual până în 2003 și va ajunge la 12 miliarde de dolari.

    Înainte de a vă spune despre popularitatea VPN-urilor, permiteți-mi să vă reamintesc că doar rețelele de date private (corporate) sunt construite, de regulă, folosind canale de comunicații închiriate (dedicate) ale rețelelor publice de telefonie comutată. Timp de mulți ani, aceste rețele private au fost proiectate având în vedere cerințe specifice ale companiei, rezultând protocoale proprietare care acceptă aplicații proprietare (cu toate acestea, protocoalele Frame Relay și ATM au câștigat recent popularitate). Canalele dedicate oferă protecție fiabilă informații confidențiale, cu toate acestea, reversul monedei este costul ridicat al operațiunii și dificultatea extinderii rețelei, ca să nu mai vorbim de capacitatea unui utilizator de telefonie mobilă de a se conecta la ea într-un punct nedorit. În același timp, afacerile moderne se caracterizează printr-o dispersie și o mobilitate semnificativă a forței de muncă. Din ce în ce mai mulți utilizatori au nevoie de acces la informațiile corporative prin intermediul canalelor dial-up, iar numărul de angajați care lucrează de acasă este, de asemenea, în creștere.

    În plus, rețelele private nu pot oferi aceleași oportunități de afaceri pe care le oferă Internetul și aplicațiile bazate pe IP, cum ar fi promovarea produselor, asistența pentru clienți sau comunicarea continuă cu furnizorii. Această interacțiune on-line necesită interconectarea rețelelor private, care folosesc de obicei protocoale și aplicații diferite, sisteme diferite de gestionare a rețelei și furnizori de servicii de comunicații diferiți.

    Astfel, costul ridicat, natura statică și dificultățile care apar atunci când este necesară combinarea rețelelor private pe baza tehnologii diferite, sunt în conflict cu afacerea în dezvoltare dinamică, dorința acesteia de descentralizare și tendința recentă spre fuziuni.

    În același timp, în paralel, există rețele publice de transmisie a datelor lipsite de aceste neajunsuri și Internetul, care a învăluit literalmente întregul glob cu „web-ul” său. Adevărat, sunt lipsiți de cel mai important avantaj al rețelelor private - protecţie fiabilă informație corporativă. Tehnologia rețelelor private virtuale combină flexibilitatea, scalabilitatea, costurile reduse și disponibilitatea literalmente „oricand oriunde” Internet și rețelele publice cu securitatea rețelelor private. În esență, VPN-urile sunt rețele private care folosesc rețele globale acces public(Internet, Frame Relay, ATM). Virtualitatea se manifestă prin faptul că pentru un utilizator corporativ par a fi rețele private dedicate.

    COMPATIBILITATE

    Problemele de compatibilitate nu apar dacă VPN-urile utilizează direct serviciile Frame Relay și ATM, deoarece sunt destul de bine adaptate pentru a funcționa într-un mediu multiprotocol și sunt potrivite atât pentru aplicații IP, cât și non-IP. Tot ceea ce este necesar în acest caz este disponibilitatea unei infrastructuri de rețea adecvate care să acopere zona geografică necesară. Dispozitivele de acces cel mai frecvent utilizate sunt dispozitivele de acces Frame Relay sau routerele cu interfețe Frame Relay și ATM. Numeroase circuite virtuale permanente sau comutate pot funcționa (virtual) cu orice amestec de protocoale și topologii. Problema devine mai complicată dacă VPN-ul se bazează pe Internet. În acest caz, aplicațiile trebuie să fie compatibile cu protocolul IP. Cu condiția să fie îndeplinită această cerință, puteți utiliza internetul „ca așa cum este” pentru a construi un VPN, asigurând anterior nivelul necesar de securitate. Dar, deoarece majoritatea rețelelor private sunt multiprotocoale sau folosesc adrese IP interne neoficiale, acestea nu se pot conecta direct la Internet fără o adaptare adecvată. Există multe soluții de compatibilitate. Cele mai populare sunt următoarele:
    - conversia protocoalelor existente (IPX, NetBEUI, AppleTalk sau altele) intr-un protocol IP cu adresa oficiala;
    - conversia adreselor IP interne în adrese IP oficiale;
    — instalarea de IP-gateway-uri speciale pe servere;
    — utilizarea de rutare IP virtuală;
    — utilizarea tehnicii universale de tunelare.
    Prima modalitate este clară, așa că să ne uităm pe scurt la celelalte.
    Convertirea adreselor IP interne în cele oficiale este necesară atunci când rețeaua privată se bazează pe protocolul IP. Traducerea adreselor pentru întreaga rețea corporativă nu este necesară, deoarece adresele IP oficiale pot coexista cu cele interne pe switch-uri și routere din rețeaua întreprinderii. Cu alte cuvinte, serverul cu adresa IP oficială este încă disponibil pentru clientul rețelei private prin infrastructura locală. Cea mai des folosită tehnică este împărțirea unui bloc mic de adrese oficiale de către mulți utilizatori. Este similar cu împărțirea unui pool de modemuri, deoarece se bazează, de asemenea, pe presupunerea că nu toți utilizatorii au nevoie de acces la Internet în același timp. Există două standarde din industrie aici: Dynamic Host Configuration Protocol (DHCP) și broadcast adrese de rețea(Network Address Translation - NAT), ale cărui abordări diferă ușor. DHCP „închiriază” o adresă unei gazde pentru un timp determinat de administratorul de rețea, în timp ce NAT traduce dinamic o adresă IP internă într-una oficială, pe durata unei sesiuni de comunicare cu
    Internet.

    O altă modalitate de a face o rețea privată compatibilă cu Internetul este instalarea unui gateway IP. Gateway-ul traduce protocoalele non-IP în protocoale IP și invers. Majoritatea sistemelor de operare de rețea care utilizează protocoale native au software IP gateway.

    Esența rutării IP virtuale este extinderea tabelelor de rutare private și a spațiului de adrese la infrastructura (routere și comutatoare) ISP. Un router IP virtual este o parte logică a unui router IP fizic deținut și operat de un furnizor de servicii. Fiecare router virtual deservește un anumit grup de utilizatori.
    Cu toate acestea, poate cel mai mult cel mai bun mod interoperabilitatea poate fi realizată folosind tehnici de tunel. Aceste tehnici au fost folosite de mult timp pentru a transmite un flux de pachete multiprotocol printr-o coloană principală comună. Această tehnologie dovedită este în prezent optimizată pentru VPN-urile bazate pe Internet.
    Principalele componente ale tunelului sunt:
    — inițiator de tunel;
    — rețea direcționată;
    - comutator de tunel (optional);
    — unul sau mai multe terminatoare de tunel.
    Tunnelarea trebuie efectuată la ambele capete ale legăturii de la capăt la capăt. Tunelul trebuie să înceapă cu un inițiator de tunel și să se termine cu un terminator de tunel. Inițializarea și terminarea operațiunilor de tunel pot fi efectuate de diverse dispozitive de rețeași software. De exemplu, un tunel poate fi inițiat de computerul unui utilizator de la distanță care are instalat un modem și software-ul VPN necesar, un router front-end la o sucursală corporativă sau un concentrator de acces la rețea la un furnizor de servicii.

    Pentru transmiterea pe Internet a altor pachete decât IP protocoale de rețea, sunt încapsulate în pachete IP din partea sursă. Metoda cea mai frecvent utilizată pentru crearea tunelurilor VPN este încapsularea unui pachet non-IP într-un pachet PPP (Point-to-Point Protocol) și apoi încapsularea acestuia într-un pachet IP. Permiteți-mi să vă reamintesc că protocolul PPP este utilizat pentru o conexiune punct la punct, de exemplu, pentru comunicarea client-server. Procesul de încapsulare IP implică adăugarea unui antet IP standard la pachetul original, care este apoi tratat ca Informatii utile. Procesul corespunzător de la celălalt capăt al tunelului elimină antetul IP, lăsând pachetul original neschimbat. Deoarece tehnologia de tunelare este destul de simplă, este și cea mai accesibilă din punct de vedere al costului.

    SIGURANȚĂ

    Asigurarea nivelului necesar de securitate este adesea principalul aspect atunci când o corporație ia în considerare utilizarea VPN-urilor bazate pe Internet. Mulți manageri IT sunt obișnuiți cu confidențialitatea inerentă a rețelelor private și văd Internetul ca fiind prea „public” pentru a fi folosit ca o rețea privată. Dacă utilizați terminologia engleză, atunci există trei „P”, a căror implementare oferă împreună o protecție completă a informațiilor. Aceasta:
    Protectie - protectia resurselor folosind firewall-uri (firewall);
    Dovada - verificarea identitatii (integritatii) coletului si autentificarea expeditorului (confirmarea dreptului de acces);
    Confidențialitate - protecția informațiilor confidențiale folosind criptare.
    Toate cele trei P sunt la fel de importante pentru orice rețea corporativă, inclusiv pentru VPN-urile. În rețelele strict private, pentru a proteja resursele și confidențialitatea informațiilor, este suficient să folosiți destul parole simple. Dar odată ce o rețea privată este conectată la una publică, niciunul dintre cei trei P nu poate oferi protecția necesară. Prin urmare, pentru orice VPN, firewall-urile trebuie instalate în toate punctele de interacțiune cu rețeaua publică, iar pachetele trebuie să fie criptate și autentificate.

    Firewall-urile sunt o componentă esențială în orice VPN. Acestea permit doar traficul autorizat pentru utilizatorii de încredere și blochează orice altceva. Cu alte cuvinte, toate încercările de acces ale utilizatorilor necunoscuți sau de încredere sunt încrucișate. Această formă de protecție trebuie oferită fiecărui site și utilizator, deoarece a nu o avea nicăieri înseamnă a nu o avea peste tot. Sunt folosite protocoale speciale pentru a asigura securitatea rețelelor private virtuale. Aceste protocoale permit gazdelor să „negoceze” tehnica de criptare și semnătură digitală care urmează să fie utilizată, menținând astfel confidențialitatea și integritatea datelor și autentificând utilizatorul.

    Protocolul Microsoft Point-to-Point Encryption (MPPE) criptează pachetele PPP pe computerul client înainte ca acestea să fie trimise în tunel. Sesiunea de criptare este inițializată în timpul stabilirii comunicării cu terminatorul de tunel folosind protocolul
    P.P.P.

    Protocoalele IP securizate (IPSec) sunt o serie de standarde preliminare dezvoltate de Internet Engineering Task Force (IETF). Grupul a propus două protocoale: Authentication Header (AH) și Encapsulating Security Payload (ESP). Protocolul AH adaugă semnatura digitala antet care autentifică utilizatorul și asigură integritatea datelor ținând evidența oricăror modificări în tranzit. Acest protocol protejează numai datele, lăsând neschimbată partea de adrese a pachetului IP. Protocolul ESP, pe de altă parte, poate cripta fie întregul pachet (mod tunel), fie doar datele (mod transport). Aceste protocoale sunt utilizate atât separat, cât și în combinație.

    Pentru a gestiona securitatea, este utilizat standardul industrial RADIUS (Remote Authentication Dial-In User Service), care este o bază de date de profiluri de utilizator care conțin parole (autentificare) și drepturi de acces (autorizare).

    Caracteristicile de securitate sunt departe de a fi limitate la exemplele date. Mulți producători de routere și firewall oferă propriile soluții. Printre acestea se numără Ascend, CheckPoint și Cisco.

    DISPONIBILITATE

    Disponibilitatea include trei componente la fel de importante: timpul de furnizare a serviciului, debituluiși timpul de întârziere. Timpul de prestare a serviciului face obiectul contractului cu furnizorul de servicii, iar celelalte două componente sunt legate de elementele de calitate a serviciului (Quality of Service - QoS). Tehnologii moderne transport vă permite să construiți un VPN care să îndeplinească cerințele aproape tuturor aplicațiilor existente.

    CONTROLABILITATE

    Administratorii de rețea doresc întotdeauna să poată efectua managementul de la capăt la capăt al rețelei corporative, inclusiv partea care se referă la compania de telecomunicații. Se pare că VPN-urile oferă mai multe opțiuni în acest sens decât rețelele private obișnuite. Rețelele private tipice sunt administrate „de la graniță la graniță”, adică. furnizorul de servicii gestionează rețeaua până la routerele frontale ale rețelei corporative, în timp ce abonatul gestionează rețeaua corporativă în sine până la dispozitivele de acces WAN. Tehnologia VPN evită acest tip de împărțire a „sferelor de influență”, oferind atât furnizorului, cât și abonatului sistem unic gestionarea rețelei în ansamblu, atât partea sa corporativă, cât și infrastructura de rețea a rețelei publice. Administratorul de rețea al întreprinderii are capacitatea de a monitoriza și reconfigura rețeaua, de a gestiona dispozitivele de acces frontal și de a determina starea rețelei în timp real.

    ARHITECTURA VPN

    Există trei modele de arhitectură de rețea privată virtuală: dependent, independent și hibrid, ca o combinație a primelor două alternative. Apartenența la un anumit model este determinată de locul în care sunt implementate cele patru cerințe principale pentru VPN. Dacă un furnizor global de servicii de rețea oferă o soluție VPN completă, de ex. oferă tunel, securitate, performanță și management, face arhitectura dependentă de aceasta. În acest caz, toate procesele VPN sunt transparente pentru utilizator și el vede doar traficul său nativ - pachetele IP, IPX sau NetBEUI. Avantajul arhitecturii dependente pentru abonat este că acesta poate folosi infrastructura de rețea existentă „ca atare”, adăugând doar un firewall între VPN și rețeaua privată.
    WAN/LAN.

    Arhitectura independentă este implementată atunci când organizația oferă totul cerinte tehnologice pe echipamentul său, delegând furnizorului de servicii doar funcții de transport. Această arhitectură este mai scumpă, dar oferă utilizatorului control total asupra tuturor operațiunilor.

    Arhitectura hibridă include site-uri dependente și independente de organizație (respectiv, de furnizorul de servicii).

    Care sunt promisiunile VPN pentru utilizatorii corporativi? În primul rând, potrivit analiștilor industriali, aceasta este o reducere a costurilor pentru toate tipurile de telecomunicații de la 30 la 80%. Și, de asemenea, este un acces aproape omniprezent la rețelele unei corporații sau ale altor organizații; este implementarea de comunicații securizate cu furnizorii și clienții; este un serviciu îmbunătățit și îmbunătățit, care nu este disponibil pe rețelele PSTN și multe altele. Specialiștii văd VPN-urile ca o nouă generație de comunicații de rețea și mulți analiști cred că VPN-urile vor înlocui în curând majoritatea rețelelor private bazate pe linii închiriate.

    De la an la an comunicare electronică se îmbunătățește și se impun cerințe din ce în ce mai mari privind schimbul de informații pentru viteza, securitatea și calitatea prelucrării datelor.

    Și aici vom arunca o privire mai atentă asupra unei conexiuni vpn: ce este, pentru ce este un tunel vpn și cum se utilizează o conexiune vpn.

    Acest material este un fel de cuvânt introductiv la o serie de articole în care vă vom spune cum să creați un vpn pe diverse sisteme de operare.

    conexiune vpn ce este?

    Deci, o rețea virtuală privată vpn este o tehnologie care oferă o conexiune sigură (închisă de la accesul extern) a unei rețele logice peste una privată sau publică în prezența internetului de mare viteză.

    Astfel de conexiune retea calculatoarele (departate geografic unul de celălalt la o distanță considerabilă) utilizează o conexiune punct la punct (cu alte cuvinte, „computer-to-computer”).

    Din punct de vedere științific, această metodă de conectare se numește tunel vpn (sau protocol de tunel). Vă puteți conecta la un astfel de tunel dacă aveți un computer cu orice sistem de operare care are un client VPN integrat care poate „redirecționa” porturi virtuale folosind protocolul TCP/IP către o altă rețea.

    Pentru ce este vpn-ul?

    Principalul avantaj al vpn este că negociatorii au nevoie de o platformă de conectivitate care nu numai că se extinde rapid, dar și (în primul rând) oferă confidențialitatea datelor, integritatea datelor și autentificarea.

    Diagrama arată în mod clar utilizarea rețelelor VPN.

    În prealabil, regulile pentru conexiunile pe un canal securizat trebuie scrise pe server și pe router.

    cum funcționează vpn-ul

    Când are loc o conexiune vpn, informații despre adresa IP a serverului VPN și ruta de la distanță sunt transmise în antetul mesajului.

    Date încapsulate care trec peste un comun sau retea publica, nu poate fi interceptat deoarece toate informațiile sunt criptate.

    Etapa de criptare VPN este implementată de partea expeditorului, iar datele destinatarului sunt decriptate de antetul mesajului (dacă există o cheie de criptare comună).

    După ce mesajul este corect decriptat, se stabilește o conexiune vpn între cele două rețele, care vă permite și să lucrați într-o rețea publică (de exemplu, să faceți schimb de date cu un client 93.88.190.5).

    Cu privire la securitatea informatiei, atunci Internetul este o rețea extrem de nesigură, iar o rețea VPN cu protocoale OpenVPN, L2TP / IPSec, PPTP, PPPoE este o modalitate complet sigură și sigură de a transfera date.

    Pentru ce este un canal vpn?

    se folosește tunelul VPN:

    În interiorul rețelei corporative;

    Pentru a uni birouri îndepărtate, precum și sucursale mici;

    Pentru a servi telefonia digitală cu o gamă largă de servicii de telecomunicații;

    Pentru a accesa resurse IT externe;

    Pentru a construi și implementa videoconferințe.

    De ce ai nevoie de un VPN?

    conexiunea vpn este necesară pentru:

    Lucrări anonime pe Internet;

    Descărcări de aplicații, în cazul în care adresa ip se află într-o altă zonă regională a țării;

    Lucru în siguranță într-un mediu corporativ folosind comunicații;

    Simplitatea și comoditatea configurației conexiunii;

    Furnizarea conexiunii de mare viteză fără întreruperi;

    Crearea unui canal securizat fără atacuri de hackeri.

    Cum se folosește vpn-ul?

    Exemplele de cum funcționează VPN-ul sunt nesfârșite. Așadar, pe orice computer din rețeaua corporativă, atunci când stabiliți o conexiune vpn securizată, puteți utiliza e-mailul pentru a verifica mesajele, a publica materiale de oriunde în țară sau a descărca fișiere din rețelele torrent.

    VPN: ce este in telefon?

    Accesul prin vpn pe telefonul dvs. (iPhone sau orice alt dispozitiv Android) vă permite să rămâneți anonim atunci când utilizați Internetul în locuri publice, precum și să preveniți interceptarea traficului și piratarea dispozitivului.

    Un client VPN instalat pe orice sistem de operare vă permite să ocoliți multe setări și reguli ale furnizorului (dacă acesta a stabilit vreo restricție).

    Ce vpn sa aleg pentru telefon?

    Telefoanele mobile și smartphone-urile Android pot folosi aplicații de pe piața Google Play:

    • - vpnRoot, droidVPN,
    • - tor browser pentru rețele de navigare, alias orbot
    • - InBrowser, orfox (firefox+tor),
    • - SuperVPN VPN gratuit client
    • - Deschideți VPN Connect
    • - Tunnel Bear VPN
    • - Hideman VPN

    Cele mai multe dintre aceste programe servesc pentru comoditatea configurației „fierbinte” a sistemului, plasarea comenzilor rapide de lansare, navigarea anonimă pe internet și selectarea tipului de criptare a conexiunii.

    Dar principalele sarcini ale utilizării unui VPN pe telefon sunt verificarea corespondenței corporative, crearea de conferințe video cu mai mulți participanți, precum și organizarea de întâlniri în afara organizației (de exemplu, atunci când un angajat se află într-o călătorie de afaceri).

    Ce este vpn-ul pe iPhone?

    Luați în considerare ce vpn să alegeți și cum să îl conectați la un iPhone mai detaliat.

    În funcție de tipul de rețea pe care îl acceptă, prima dată când rulați configurația VPN pe iPhone, puteți selecta următoarele protocoale: L2TP, PPTP și Cisco IPSec(în plus, puteți „face” o conexiune vpn folosind aplicații terțe).

    Toate aceste protocoale acceptă chei de criptare, identificarea utilizatorului cu o parolă și certificare.

    Printre caracteristici suplimentare atunci când configurați un profil VPN pe un iPhone, puteți observa: securitatea RSA, nivelul de criptare și regulile de autorizare pentru conectarea la server.

    Pentru telefonul iPhone din magazinul de aplicații, ar trebui să alegeți:

    • - aplicatie gratuita Tunnelbear, cu care vă puteți conecta la serverele VPN din orice țară.
    • - OpenVPN connect este unul dintre cei mai buni clienți VPN. Aici, pentru a rula aplicația, trebuie mai întâi să importați cheile rsa prin itunes pe telefon.
    • - Cloak este o aplicație shareware, deoarece de ceva timp produsul poate fi „folosit” gratuit, dar pentru a utiliza programul după expirarea perioadei demo, va trebui să-l cumpărați.

    Crearea unui VPN: alegerea și configurarea echipamentelor

    Pentru comunicarea corporativă în organizații mari sau pentru consolidarea birourilor aflate la distanță unul de celălalt, aceștia folosesc echipamente hardware care pot suporta o rețea neîntreruptă și securizată.

    Pentru a implementa tehnologii vpn, următoarele pot acționa ca o poartă de rețea: servere Unix, Windows server, routerul de rețea și gateway-ul de rețea pe care este generat VPN.

    Serverul sau dispozitivul folosit pentru a crea o rețea VPN a unei întreprinderi sau un canal VPN între birouri la distanță trebuie să îndeplinească sarcini tehnice complexe și să ofere utilizatorilor o gamă completă de servicii atât pe stațiile de lucru, cât și pe dispozitivele mobile.

    Orice router sau router VPN ar trebui să ofere o funcționare fiabilă a rețelei, fără „înghețuri”. Și funcția vpn încorporată vă permite să schimbați configurația rețelei pentru a lucra acasă, într-o organizație sau într-un birou la distanță.

    configurare vpn pe router

    În cazul general, configurarea VPN pe router se realizează folosind interfața web a routerului. Pe dispozitivele „clasice” pentru organizarea vpn-ului, trebuie să mergeți la secțiunea „setări” sau „setări de rețea”, unde selectați secțiunea VPN, specificați tipul de protocol, introduceți setările adresei de subrețea, măști și specificați intervalul de ip. adrese pentru utilizatori.

    În plus, pentru a securiza conexiunea, va trebui să specificați algoritmi de codare, metode de autentificare, să generați chei de negociere și să specificați serverele DNS WINS. În parametrii „Gateway”, trebuie să specificați adresa IP a gateway-ului (ip-ul dvs.) și să completați datele de pe toate adaptoarele de rețea.

    Dacă există mai multe routere în rețea, este necesar să completați tabelul de rutare vpn pentru toate dispozitivele din tunelul VPN.

    Iată o listă de echipamente hardware utilizate în construirea rețelelor VPN:

    Routere Dlink: DIR-320, DIR-620, DSR-1000 cu firmware nou sau router D-Link DI808HV.

    Routere Cisco PIX 501, Cisco 871-SEC-K9

    Router Linksys Rv082 care acceptă aproximativ 50 de tuneluri VPN

    Router Netgear DG834G și modele de router FVS318G, FVS318N, FVS336G, SRX5308

    Router Mikrotik cu funcție OpenVPN. Exemplu RouterBoard RB/2011L-IN Mikrotik

    Echipament VPN RVPN S-Terra sau VPN Gate

    Routere ASUS RT-N66U, RT-N16 și RT N-10

    Routere ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

    Rețea virtuală privată

    Cel mai adesea, pentru a crea o rețea virtuală, se utilizează încapsularea protocolului PPP într-un alt protocol - Ethernet (furnizorii de „ultimul mile” pentru a oferi acces la Internet.

    Cu nivelul corect de implementare și utilizarea unui software special, un VPN poate oferi nivel inalt criptarea informațiilor transmise. La setare corectă toate componentele Tehnologia VPN oferă anonimatul pe web.

    Structura VPN

    Un VPN este format din două părți: o rețea „internă” (controlată), dintre care pot fi mai multe, și o rețea „externă” prin care trece conexiunea încapsulată (de obicei se folosește Internetul). De asemenea, este posibil să conectați un singur computer la o rețea virtuală. Un utilizator de la distanță este conectat la VPN printr-un server de acces care este conectat atât la rețelele interne, cât și la cele externe (publice). Când se conectează un utilizator la distanță (sau când se stabilește o conexiune la o altă rețea securizată), serverul de acces necesită procesul de identificare și apoi procesul de autentificare. După finalizarea cu succes a ambelor procese, utilizatorul de la distanță ( rețea la distanță) este împuternicit să lucreze în rețea, adică are loc procesul de autorizare.

    Clasificare VPN

    Clasificare VPN

    Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

    După tipul de mediu utilizat

    • Protejat

    Cea mai comună versiune a rețelelor private virtuale. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, PPTP.

    • Încredere

    Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesar doar să se rezolve problema creării unei subrețele virtuale în cadrul rețea mai mare. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​Comutarea etichetelor multi-protocol (L2TP (Layer 2 Tunneling Protocol). (mai precis, aceste protocoale transferă sarcina de securitate către altele, de exemplu, L2TP este de obicei utilizat împreună cu IPSec).

    Pe cale de implementare

    • Sub formă de software și hardware special

    Implementarea rețelei VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, un grad înalt Securitate.

    • Ca soluție software

    Ei folosesc un computer personal cu software special care oferă funcționalitate VPN.

    • Soluție integrată

    Funcționalitatea VPN este asigurată de un complex care rezolvă și sarcinile de filtrare trafic de rețea, organizarea unui firewall si asigurarea calitatii serviciului.

    Prin programare

    Acestea sunt folosite pentru a combina mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise.

    • VPN cu acces la distanță

    Folosit pentru a crea un canal securizat între un segment de rețea corporativă (sediu central sau sucursală) și un singur utilizator care, în timp ce lucrează acasă, se conectează la resurse corporative Cu computer de acasă, laptop corporativ, smartphone sau chioșc de internet.

    • VPN extranet

    Folosit pentru rețelele la care se conectează utilizatori „externi” (de exemplu, clienți sau clienți). Nivelul de încredere în ei este mult mai scăzut decât în ​​angajații companiei, prin urmare, este necesar să se asigure „frontiere” speciale de protecție care să împiedice sau să restricționeze accesul acestora la informații deosebit de valoroase, confidențiale.

    • VPN pentru internet

    Folosit pentru a oferi acces la Internet de către furnizori.

    • VPN client/server

    Asigură protecția datelor transmise între două noduri (nu rețele) ale unei rețele corporative. Particularitatea acestei opțiuni este că VPN-ul este construit între noduri care sunt de obicei situate în același segment de rețea, de exemplu, între stație de lucru si server. O astfel de nevoie apare foarte des în cazurile în care este necesar să se creeze mai multe rețele logice. De exemplu, atunci când este necesară împărțirea traficului între departamentul financiar și departamentul de resurse umane, accesând servere situate în același segment fizic. Această opțiune este similară cu tehnologia VLAN, dar în loc să separe traficul, este criptată.

    După tipul de protocol

    Există implementări de rețele private virtuale sub TCP/IP, IPX și AppleTalk. Dar astăzi există o tendință spre o tranziție generală la protocolul TCP/IP, iar marea majoritate a soluțiilor VPN o acceptă.

    După nivelul protocolului de rețea

    Prin stratul de protocol de rețea, bazat pe o mapare la straturile modelului de referință de rețea ISO/OSI.

    Exemple VPN

    Mulți furnizori importanți își oferă serviciile VPN pentru clienții de afaceri.

    Literatură

    • Ivanov M. A. Metode criptografice protecția informațiilor în sisteme informaticeși rețele. - M.: KUDITS-OBRAZ, 2001. - 368 p.
    • Kulgin M. Tehnologii ale rețelelor corporative. Enciclopedie. - Sankt Petersburg: Peter, 2000. - 704 p.
    • Olifer V. G., Olifer N. A. Retele de calculatoare. Principii, tehnologii, protocoale: un manual pentru universități. - Sankt Petersburg: Peter, 2001. - 672 p.
    • Romanets Yu. V., Timofeev PA, Shangin VF Protecția informațiilor în sistemele și rețelele informatice. a 2-a ed. - M: Radio și comunicare, 2002. -328 p.
    • Stallings W. Fundamentele protecției rețelei. Aplicații și standarde = Network Security Essentials. Aplicații și standarde. - M.: „Williams”, 2002. - S. 432. - ISBN 0-13-016093-8
    • Produse de rețea privată virtuală [ Document electronic] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
    • Anita Karve Real oportunități virtuale//LAN. - 1999.- Nr. 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
    • Răspunsul Linux la MS-PPTP [document electronic] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
    • Joel Snyder VPN: o piață comună // Rețele. - 1999.- Nr. 11 http://www.citforum.ru/nets/articles/vpn.shtml
    • VPN Primer [Document electronic] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
    • PKI sau PGP? [Document electronic] / Natalya Sergeeva. - http://www.citforum.ru/security/cryptography/pki_pgp/
    • IPSec - protocol pentru protejarea traficului de rețea la nivel IP [Document electronic] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
    • Întrebări frecvente OpenVPN [Document electronic] - http://openvpn.net/faq.html
    • Scopul și structura algoritmilor de criptare [Document electronic] / Panasenko Sergey. - http://www.ixbt.com/soft/alg-encryption.shtml
    • Despre criptografia modernă [Document electronic] / V. M. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
    • Introducere în Criptografie / Ed. V. V. Iascenko. - M.: MTsNMO, 2000. - 288 de la http://www.citforum.ru/security/cryptography/yaschenko/
    • Capcane de securitate în criptografie [Document electronic] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
    • IPSec: un panaceu sau o măsură forțată? [Document electronic] / Yevgeny Patiy. - http://citforum.ru/security/articles/ipsec_standard/
    • VPN și IPSec la îndemână [Document electronic] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
    • A Framework for IP Based Virtual Private Networks [document electronic] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
    • OpenVPN și revoluția VPN SSL [document electronic] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
    • Markus Feilner New Generation Virtual Private Networks // LAN.- 2005.- Nr. 11
    • Ce este SSL [document electronic] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
    • Criptanaliză a extensiilor de autentificare PPTP de la Microsoft (MS-CHAPv2) [document electronic] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
    • Specificații tehnice Point to Point Tunneling Protocol (PPTP) [Document electronic] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
    • Ryan Norman Alegerea unui protocol VPN // Windows IT Pro. - 2001. - Nr. 7 http://www.osp.ru/win2000/2001/07/010.htm
    • MPLS: o nouă ordine în rețelele IP? [Document electronic] / Tom Nolle. - http://www.emanual.ru/get/3651/
    • Layer Two Tunneling Protocol „L2TP” [Document electronic] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
    • Alexey Lukatsky VPN necunoscut // Computer Press. - 2001. - Nr. 10 http://abn.ru/inf/compress/network4.shtml
    • Prima cărămidă din peretele VPN O prezentare generală a dispozitivelor VPN entry-level [Document electronic] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
    • Prezentare generală a hardware-ului VPN [Document electronic] - http://www.networkaccess.ru/articles/security/vpn_hardware/
    • VPN-urile pur hardware reglementează testele de înaltă disponibilitate [Document electronic] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
    • VPN: tip de VPN [document electronic] - http://www.vpn-guide.com/type_of_vpn.htm
    • Întrebări frecvente KAME [Document electronic] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
    • Caracteristicile pieței VPN din Rusia [Document electronic] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
    • Mijloace interne de construire a rețelelor private virtuale [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy
    • Sergey Petrenko Rețea privată virtuală sigură: o viziune modernă asupra protecției datelor confidențiale // Internet World. - 2001. - Nr. 2

    Rețeaua privată virtuală este o rețea privată virtuală care este utilizată pentru a oferi conectivitate sigură în cadrul conexiunilor corporative și acces la Internet. Principalul avantaj al VPN este securitatea ridicată datorită criptării traficului intern, care este importantă la transferul de date.

    Ce este o conexiune VPN

    Mulți oameni, când se confruntă cu această abreviere, întreabă: VPN - ce este și de ce este nevoie? Această tehnologie deschide posibilitatea de a crea o conexiune de rețea peste alta. VPN funcționează în mai multe moduri:

    • nod-rețea;
    • rețea-rețea;
    • nod-nod.

    Organizarea unei rețele virtuale private la niveluri de rețea permite utilizarea protocoalelor TCP și UDP. Toate datele care trec prin computere sunt criptate. Aceasta este o protecție suplimentară pentru conexiunea dvs. Există multe exemple care explică ce este o conexiune VPN și de ce ar trebui să o folosești. Mai jos vor fi detaliate această întrebare.

    De ce aveți nevoie de un VPN

    Fiecare furnizor poate furniza, la cererea autorităților relevante, jurnalele activităților utilizatorilor. Compania dvs. de Internet înregistrează toate activitățile pe care le-ați efectuat în rețea. Acest lucru ajută la eliberarea furnizorului de orice responsabilitate pentru acțiunile efectuate de client. Există multe situații în care trebuie să vă protejați datele și să obțineți libertate, de exemplu:

    1. Serviciul VPN este folosit pentru a trimite date confidențiale ale companiei între filiale. Acest lucru ajută la protejare Informații importante de la interceptare.
    2. Dacă trebuie să ocoliți legarea serviciului în funcție de zonă geografică. De exemplu, serviciul Yandex Music este disponibil numai pentru rezidenții Rusiei și rezidenții din fostele țări CSI. Dacă sunteți un rezident vorbitor de limbă rusă al Statelor Unite, atunci nu veți putea asculta înregistrările. Un serviciu VPN vă va ajuta să ocoliți această interdicție prin înlocuirea adresei de rețea cu una rusă.
    3. Ascundeți vizitele pe site de la furnizor. Nu fiecare persoană este pregătită să-și împărtășească activitățile pe Internet, așa că își vor proteja vizitele cu ajutorul VPN.

    Cum funcționează un VPN

    Când utilizați un alt canal VPN, IP-ul dvs. va aparține țării în care se află această rețea securizată. Când vă conectați, va fi creat un tunel între serverul VPN și computerul dvs. După aceea, în jurnalele (înregistrările) furnizorului va exista un set personaje de neînțeles. Analiza datelor program special nu va da rezultate. Dacă nu utilizați această tehnologie, atunci protocolul HTTP va indica imediat ce site vă conectați.

    Structura VPN

    Această conexiune constă din două părți. Prima se numește rețea „internă”, puteți crea mai multe dintre acestea. Al doilea este cel „extern”, prin care are loc conexiunea încapsulată, de regulă, se utilizează Internetul. De asemenea, este posibil să conectați un singur computer la rețea. Utilizatorul este conectat la un anumit VPN printr-un server de acces conectat simultan la rețelele externe și interne.

    Când un program VPN conectează un utilizator de la distanță, serverul necesită două procese importante de parcurs: mai întâi identificarea, apoi autentificarea. Acest lucru este necesar pentru a obține drepturi de utilizare a acestei conexiuni. Dacă ai trecut cu succes aceste două etape, rețeaua ta este împuternicită, ceea ce deschide posibilitatea de a lucra. În esență, acesta este procesul de autorizare.

    Clasificare VPN

    Există mai multe tipuri de rețele private virtuale. Există opțiuni pentru gradul de securitate, metoda de implementare, nivelul de lucru conform modelului ISO/OSI, protocolul implicat. Puteți utiliza accesul plătit sau un serviciu VPN gratuit de la Google. În funcție de gradul de securitate, canalele pot fi „securizate” sau „de încredere”. Acestea din urmă sunt necesare dacă conexiunea în sine are nivelul de protecție dorit. Pentru a organiza prima opțiune, ar trebui utilizate următoarele tehnologii:

    • PPTP
    • OpenVPN;
    • IPSec.

    Cum se creează un server VPN

    Pentru toți utilizatorii de computere, există o modalitate de a vă conecta un VPN. Mai jos este o opțiune pentru sistem de operare Windows. Acest manual nu prevede utilizarea de software suplimentar. Setarea se realizează după cum urmează:

    1. Pentru a realiza o nouă conexiune, trebuie să deschideți panoul de vizualizare acces la retea. Începeți să tastați în căutarea cuvintelor „Conexiuni de rețea”.
    2. Apăsați butonul „Alt”, faceți clic pe secțiunea „Fișier” din meniu și selectați „Nouă conexiune de intrare”.
    3. Apoi setați utilizatorul căruia i se va acorda o conexiune VPN la acest computer (dacă aveți doar unul Cont pe un PC, trebuie să creați o parolă pentru acesta). Instalați pasărea și faceți clic pe „Următorul”.
    4. În continuare, vi se va solicita să selectați tipul de conexiune, puteți lăsa o bifă în fața „Internet”.
    5. Următorul pas este să activați protocoalele de rețea care vor funcționa pe acest VPN. Bifați toate casetele, cu excepția celei de-a doua. Opțional, puteți seta anumite IP, gateway-uri DNS și porturi în IPv4, dar este mai ușor să părăsiți atribuirea automată.
    6. Când faceți clic pe butonul „Permiteți accesul”, sistemul de operare va crea singur serverul, va afișa o fereastră cu numele computerului. Veți avea nevoie de el pentru a vă conecta.
    7. Acest lucru completează crearea unui server VPN de acasă.

    Cum să configurați un VPN pe Android

    Metoda descrisă mai sus a fost cum să creați o conexiune VPN calculator personal. Cu toate acestea, mulți au efectuat de mult timp toate acțiunile folosind telefonul. Dacă nu știți ce este un VPN pe Android, atunci toate faptele de mai sus despre acest tip conexiunile sunt valabile și pentru un smartphone. Configurarea dispozitivelor moderne oferă o utilizare confortabilă a Internetului la viteză mare. În unele cazuri (pentru lansarea jocurilor, deschiderea site-urilor) folosesc înlocuirea proxy sau anonimizatoare, dar pentru stabil și rapid conexiuni VPN se potriveste mai bine.

    Dacă înțelegeți deja ce este un VPN pe un telefon, atunci puteți trece direct la crearea unui tunel. Puteți face acest lucru pe orice dispozitiv Android. Conexiunea se face astfel:

    1. Accesați secțiunea de setări, faceți clic pe secțiunea „Rețea”.
    2. Căutați un articol numit " Setari aditionale" și accesați secțiunea "VPN". Apoi, veți avea nevoie de un cod PIN sau o parolă care deblochează capacitatea de a crea o rețea.
    3. Următorul pas este să adăugați o conexiune VPN. Specificați numele în câmpul „Server”, numele în câmpul „nume utilizator”, setați tipul de conexiune. Atingeți butonul „Salvați”.
    4. După aceea, va apărea o nouă conexiune în listă, pe care o puteți utiliza pentru a vă schimba conexiunea standard.
    5. Pe ecran va apărea o pictogramă care indică faptul că este disponibilă o conexiune. Dacă apăsați pe el, vi se vor furniza statistici ale datelor primite/transmise. De asemenea, puteți dezactiva aici conexiunea VPN.

    Video: Serviciu VPN gratuit



Se încarcă...
Top