Koncept virtuálnej siete. VPN - čo to je a prečo to potrebujete

Internet sa čoraz viac využíva ako prostriedok komunikácie medzi počítačmi, pretože ponúka efektívnu a nenákladnú komunikáciu. Internet je však verejná sieť a na zabezpečenie bezpečnej komunikácie cez ňu je potrebný nejaký mechanizmus, ktorý spĺňa minimálne tieto úlohy:

    dôvernosť informácií;

    integrita údajov;

    dostupnosť informácií;

Tieto požiadavky spĺňa mechanizmus nazývaný VPN (Virtual Private Network – virtuálna privátna sieť) – zovšeobecnený názov pre technológie, ktoré umožňujú poskytovať jedno alebo viac sieťových pripojení (logickej siete) cez inú sieť (napríklad internet) pomocou kryptografie. nástroje (šifrovanie, autentifikácia, verejné kľúče infraštruktúry, prostriedky na ochranu pred opakovaním a zmenou správ prenášaných cez logickú sieť).

Vytvorenie VPN si nevyžaduje ďalšie investície a umožňuje vám prestať používať prenajaté linky. V závislosti od použitých protokolov a účelu môže VPN poskytovať tri typy pripojení: hostiteľ-hostiteľ, hostiteľ-sieť a sieť-sieť.

Pre názornosť si predstavme nasledujúci príklad: podnik má niekoľko územne vzdialených pobočiek a „mobilných“ zamestnancov pracujúcich doma alebo na cestách. Je potrebné zjednotiť všetkých zamestnancov podniku do jednej siete. Najjednoduchšie je dať do každej pobočky modemy a organizovať komunikáciu podľa potreby. Takéto riešenie však nie je vždy pohodlné a ziskové - niekedy potrebujete neustále pripojenie a veľkú šírku pásma. Aby ste to dosiahli, musíte buď položiť vyhradenú linku medzi pobočkami, alebo si ich prenajať. Obe sú dosť drahé. A tu môžete ako alternatívu pri budovaní jedinej zabezpečenej siete použiť VPN pripojenia všetkých pobočiek spoločnosti cez internet a nakonfigurovať nástroje VPN na hostiteľoch siete.

Ryža. 6.4. pripojenie VPN typu site-to-site

Ryža. 6.5. Pripojenie hostiteľa k sieti VPN

V tomto prípade je veľa problémov vyriešených - pobočky môžu byť umiestnené kdekoľvek na svete.

Nebezpečenstvo je v tom, že po prvé otvorená sieť k dispozícii pre útoky votrelcov z celého sveta. Po druhé, všetky údaje sa prenášajú cez internet v čistote a útočníci, ktorí hacknú sieť, budú mať všetky informácie prenášané cez sieť. A po tretie, údaje sa dajú nielen zachytiť, ale aj nahradiť počas prenosu cez sieť. Útočník môže napríklad ohroziť integritu databáz tým, že bude konať v mene klientov jednej z dôveryhodných pobočiek.

Aby sa tomu zabránilo, riešenia VPN používajú nástroje, ako je šifrovanie údajov na zabezpečenie integrity a dôvernosti, autentifikácia a autorizácia na overenie používateľských práv a umožnenie prístupu k virtuálnej súkromnej sieti.

Pripojenie VPN vždy pozostáva z prepojenia bod-bod, známeho aj ako tunel. Tunel je vytvorený v nezabezpečenej sieti, ktorou je najčastejšie internet.

Tunelovanie alebo zapuzdrenie je spôsob prenosu užitočných informácií prostredníctvom medziľahlej siete. Takouto informáciou môžu byť rámce (alebo pakety) iného protokolu. Pri zapuzdrení sa rámec neprenáša tak, ako ho vygeneroval odosielajúci hostiteľ, ale je vybavený dodatočnou hlavičkou obsahujúcou smerovacie informácie, ktoré umožňujú zapuzdreným paketom prejsť cez medziľahlú sieť (Internet). Na konci tunela sú rámce de-zapuzdrené a prenesené do príjemcu. Typicky je tunel vytvorený dvoma okrajovými zariadeniami umiestnenými na vstupných bodoch do verejnej siete. Jednou zo zjavných výhod tunelovania je, že táto technológia umožňuje zašifrovať celý pôvodný paket vrátane hlavičky, ktorá môže obsahovať údaje obsahujúce informácie, ktoré útočníci využívajú na hacknutie siete (napríklad IP adresy, počet podsietí atď.). ).

Aj keď je medzi dvoma bodmi vytvorený tunel VPN, každý hostiteľ môže vytvoriť ďalšie tunely s inými hostiteľmi. Napríklad, keď tri vzdialené stanice potrebujú kontaktovať rovnakú kanceláriu, vytvoria sa tri samostatné VPN tunely do tejto kancelárie. Pre všetky tunely môže byť uzol na strane kancelárie rovnaký. Je to možné vďaka skutočnosti, že uzol môže šifrovať a dešifrovať údaje v mene celej siete, ako je znázornené na obrázku:

Ryža. 6.6. Vytvorte VPN tunely pre viaceré vzdialené miesta

Používateľ vytvorí pripojenie k bráne VPN, po ktorom má používateľ prístup do vnútornej siete.

V rámci súkromnej siete k samotnému šifrovaniu nedochádza. Dôvodom je, že táto časť siete je považovaná za bezpečnú a pod priamou kontrolou, na rozdiel od internetu. Platí to aj pri pripájaní kancelárií pomocou brán VPN. Šifrovanie je teda zaručené iba pre informácie, ktoré sa medzi úradmi prenášajú cez nezabezpečený kanál.

Je ich veľa rôzne riešenia na budovanie virtuálnych privátnych sietí. Najznámejšie a najpoužívanejšie protokoly sú:

    PPTP (Point-to-Point Tunneling Protocol) - tento protokol sa stal pomerne populárnym vďaka jeho začleneniu do operačných systémov Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - kombinuje protokol L2F (Layer 2 Forwarding) a protokol PPTP. Zvyčajne sa používa v spojení s IPSec.

    IPSec (Internet Protocol Security) je oficiálny internetový štandard vyvinutý komunitou IETF (Internet Engineering Task Force).

Uvedené protokoly sú podporované zariadeniami D-Link.

Protokol PPTP je primárne určený pre virtuálne privátne siete založené na dial-up pripojeniach. Protokol vám umožňuje organizovať vzdialený prístup, aby používatelia mohli nadviazať telefonické pripojenie s poskytovateľmi internetu a vytvoriť bezpečný tunel do svojich podnikových sietí. Na rozdiel od IPSec nebol protokol PPTP pôvodne určený na organizovanie tunelov medzi lokálnymi sieťami. PPTP rozširuje možnosti protokolu PPP, protokolu dátového spojenia, ktorý bol pôvodne navrhnutý na zapuzdrenie dát a ich doručovanie cez spojenia bod-bod.

Protokol PPTP umožňuje vytvárať zabezpečené kanály na výmenu dát pomocou rôznych protokolov - IP, IPX, NetBEUI atď. Dáta týchto protokolov sú zabalené do rámcov PPP, zapuzdrené pomocou protokolu PPTP do paketov protokolu IP. Potom sú prenášané pomocou IP v šifrovanej forme cez akúkoľvek sieť TCP/IP. Prijímací uzol extrahuje PPP rámce z IP paketov a následne ich spracuje štandardným spôsobom, t.j. extrahuje paket IP, IPX alebo NetBEUI z rámca PPP a odošle ho cez lokálnu sieť. Protokol PPTP teda vytvára spojenie bod-bod v sieti a prenáša dáta cez vytvorený bezpečný kanál. Hlavnou výhodou zapuzdrených protokolov, ako je PPTP, je ich multiprotokolový charakter. Tie. ochrana údajov na vrstve dátového spojenia je transparentná pre protokoly sieťovej a aplikačnej vrstvy. Preto v rámci siete možno ako prenos použiť protokol IP (ako v prípade VPN založenej na IPSec) alebo akýkoľvek iný protokol.

V súčasnosti je protokol PPTP z dôvodu ľahkej implementácie široko používaný na získanie spoľahlivého bezpečného prístupu do podnikovej siete a na prístup k sieťam ISP, keď klient potrebuje vytvoriť spojenie PPTP s ISP, aby sa dostal na internet.

Metóda šifrovania použitá v PPTP je špecifikovaná na vrstve PPP. Zvyčajne je to PPP klient stolný počítač s operačným systémom Microsoft a ako šifrovací protokol sa používa protokol Microsoft Point-to-Point Encryption (MPPE). Tento protokol je založený na štandarde RSA RC4 a podporuje 40 alebo 128 bitové šifrovanie. Pre mnohé aplikácie tejto úrovne šifrovania je použitie tohto algoritmu postačujúce, hoci sa považuje za menej bezpečný ako množstvo iných šifrovacích algoritmov, ktoré ponúka IPSec, najmä 168-bitový Triple-Data Encryption Standard (3DES).

Ako sa vytvorí spojeniePPTP?

PPTP zapuzdruje IP pakety na prenos cez IP sieť. Klienti PPTP vytvoria pripojenie na riadenie tunela, ktoré udržiava prepojenie nažive. Tento proces sa vykonáva na transportnej vrstve modelu OSI. Po vytvorení tunela si klientsky počítač a server začnú vymieňať servisné pakety.

Okrem riadiaceho pripojenia PPTP sa vytvorí pripojenie na odosielanie údajov cez tunel. Zapuzdrenie údajov pred ich odoslaním do tunela zahŕňa dva kroky. Najprv sa vytvorí informačná časť rámca PPP. Dáta prúdia zhora nadol, z aplikačnej vrstvy OSI do spojovacej vrstvy. Prijaté dáta sú potom odoslané do modelu OSI a zapuzdrené protokolmi vyššej vrstvy.

Dáta z linkovej vrstvy sa dostanú do transportnej vrstvy. Informácie však nemožno odoslať na miesto určenia, pretože za to zodpovedá linková vrstva OSI. Preto PPTP zašifruje pole užitočného zaťaženia paketu a prevezme funkcie druhej úrovne, ktoré zvyčajne patria k PPP, t. j. do paketu PPTP pridá hlavičku PPP (hlavičku) a koniec (upútavku). Tým sa dokončí vytvorenie rámca vrstvy odkazu. Ďalej PPTP zapuzdrí rámec PPP do paketu GRE (Generic Routing Encapsulation), ktorý patrí do sieťovej vrstvy. GRE zapuzdruje protokoly sieťovej vrstvy, ako sú IP, IPX, aby ich bolo možné prenášať cez siete IP. Použitie samotného protokolu GRE však nezabezpečí vytvorenie relácie a bezpečnosť údajov. Toto využíva schopnosť PPTP vytvoriť prepojenie na riadenie tunela. Použitie GRE ako metódy zapuzdrenia obmedzuje rozsah PPTP iba ​​na siete IP.

Potom, čo bol rámec PPP zapuzdrený do rámca s hlavičkou GRE, je zapuzdrený do rámca s hlavičkou IP. Hlavička IP obsahuje adresu odosielateľa a príjemcu paketu. Nakoniec PPTP pridá hlavičku a koniec PPP.

Zapnuté ryža. 6.7 zobrazuje dátovú štruktúru pre presmerovanie cez tunel PPTP:

Ryža. 6.7.Štruktúra údajov na preposielanie cez tunel PPTP

Nastavenie VPN založenej na PPTP si nevyžaduje veľké náklady a zložité nastavenia: stačí nainštalovať PPTP server v centrále (riešenia PPTP existujú pre platformy Windows aj Linux) a vykonať potrebné nastavenia na klientskych počítačoch. Ak potrebujete skombinovať niekoľko pobočiek, potom namiesto nastavenia PPTP na všetkých klientskych staniciach je lepšie použiť internetový smerovač alebo firewall s podporou PPTP: nastavenia sa vykonávajú iba na hraničnom smerovači (firewalle) pripojenom na internet, pre užívateľov je všetko úplne transparentné. Príkladmi takýchto zariadení sú multifunkčné internetové smerovače DIR/DSR a firewally série DFL.

GRE-tunely

Generic Routing Encapsulation (GRE) je protokol na zapuzdrenie sieťových paketov, ktorý poskytuje tunelovanie prevádzky cez siete bez šifrovania. Príklady použitia GRE:

    prenos prevádzky (vrátane vysielania) prostredníctvom zariadenia, ktoré nepodporuje špecifický protokol;

    tunelovanie prevádzky IPv6 cez sieť IPv4;

    prenos dát cez verejné siete na implementáciu bezpečného pripojenia VPN.

Ryža. 6.8. Príklad tunela GRE

Medzi dvoma smerovačmi A a B ( ryža. 6.8) existuje niekoľko smerovačov, tunel GRE umožňuje zabezpečiť spojenie medzi lokálnymi sieťami 192.168.1.0/24 a 192.168.3.0/24, ako keby boli smerovače A a B pripojené priamo.

L2 TP

Protokol L2TP sa objavil ako výsledok zlúčenia protokolov PPTP a L2F. Hlavnou výhodou protokolu L2TP je, že umožňuje vytvárať tunel nielen v sieťach IP, ale aj v sieťach ATM, X.25 a Frame relay. L2TP používa UDP ako prenos a používa rovnaký formát správy pre správu tunela aj preposielanie údajov.

Rovnako ako v prípade PPTP, L2TP začína zostavovať paket na prenos do tunela pridaním hlavičky PPP a potom hlavičky L2TP do informačného dátového poľa PPP. Takto prijatý paket je zapuzdrený pomocou UDP. V závislosti od typu zvolenej bezpečnostnej politiky IPSec môže L2TP šifrovať správy UDP a pridať hlavičku a koniec Encapsulating Security Payload (ESP), ako aj koniec overenia IPSec (pozri časť „L2TP cez IPSec“). Potom je zapuzdrený v IP. Pridá sa hlavička IP obsahujúca adresy odosielateľa a príjemcu. Nakoniec L2TP vykoná druhé zapuzdrenie PPP, aby pripravil dáta na prenos. Zapnuté ryža. 6.9 zobrazuje dátovú štruktúru, ktorá sa má odoslať cez tunel L2TP.

Ryža. 6.9.Štruktúra údajov na preposielanie cez tunel L2TP

Prijímajúci počítač prijme údaje, spracuje hlavičku a ukončenie PPP a odstráni hlavičku IP. IPSec Authentication overuje pole s informáciami o IP a hlavička IPSec ESP pomáha dešifrovať paket.

Počítač potom spracuje hlavičku UDP a na identifikáciu tunela použije hlavičku L2TP. Paket PPP teraz obsahuje iba užitočné zaťaženie, ktoré sa spracováva alebo posiela určenému príjemcovi.

IPsec (skratka pre IP Security) je súbor protokolov na zabezpečenie dát prenášaných cez IP internetový protokol, umožňujúci autentifikáciu a/alebo šifrovanie IP paketov. IPsec obsahuje aj protokoly na bezpečnú výmenu kľúčov na internete.

Bezpečnosť IPSec je dosiahnutá prostredníctvom dodatočných protokolov, ktoré pridávajú do IP paketu vlastné hlavičky – zapuzdrenie. Pretože IPSec je internetový štandard, potom preň existujú dokumenty RFC:

    RFC 2401 (Security Architecture for the Internet Protocol) je bezpečnostná architektúra pre protokol IP.

    RFC 2402 (IP Authentication header) - IP autentifikačná hlavička.

    RFC 2404 (Použitie HMAC-SHA-1-96 v rámci ESP a AH) – Použitie algoritmu hash SHA-1 na vytvorenie overovacej hlavičky.

    RFC 2405 (Šifrovací algoritmus ESP DES-CBC s explicitným IV) - Použitie šifrovacieho algoritmu DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - Šifrovanie dát.

    RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) je rozsah protokolu správy kľúčov.

    RFC 2408( internetová bezpečnosť Association and Key Management Protocol (ISAKMP) - správa kľúčov a autentifikátorov zabezpečených spojení.

    RFC 2409 (Internet Key Exchange (IKE)) – výmena kľúčov.

    RFC 2410 (NULL šifrovací algoritmus a jeho použitie s IPsec) - NULL šifrovací algoritmus a jeho použitie.

    RFC 2411 (IP Security Document Roadmap) je ďalším vývojom štandardu.

    RFC 2412 (OAKLEY Key Determination Protocol) – Kontrola pravosti kľúča.

IPsec je neoddeliteľnou súčasťou internetového protokolu IPv6 a voliteľným rozšírením verzie IPv4 internetového protokolu.

Mechanizmus IPSec vykonáva nasledujúce úlohy:

    overovanie používateľov alebo počítačov počas inicializácie zabezpečeného kanála;

    šifrovanie a overovanie údajov prenášaných medzi koncovými bodmi zabezpečeného kanála;

    automatické zásobovanie koncových bodov kanála tajnými kľúčmi potrebnými na fungovanie protokolov autentifikácie a šifrovania údajov.

Komponenty IPSec

Protokol AH (Authentication Header) je protokol identifikácie hlavičky. Zabezpečuje integritu overením, že počas prenosu neboli zmenené žiadne bity v chránenej časti paketu. Ale používanie AH môže spôsobiť problémy, napríklad keď paket prechádza cez NAT zariadenie. NAT zmení IP adresu paketu, aby umožnil prístup na Internet z uzavretého miestna adresa. Pretože v tomto prípade sa paket zmení, potom sa kontrolný súčet AH stane nesprávnym (na odstránenie tohto problému bol vyvinutý protokol NAT-Traversal (NAT-T), ktorý poskytuje prenos ESP cez UDP a pri svojej práci používa port UDP 4500). Za zmienku tiež stojí, že AH bol navrhnutý len pre integritu. Nezaručuje dôvernosť zašifrovaním obsahu balíka.

Protokol ESP (Encapsulation Security Payload) zabezpečuje nielen integritu a autentifikáciu prenášaných dát, ale aj šifrovanie dát, ako aj ochranu proti falšovaniu paketov.

Protokol ESP je zapuzdrený bezpečnostný protokol, ktorý poskytuje integritu aj dôvernosť. V transportnom režime je hlavička ESP medzi pôvodnou hlavičkou IP a hlavičkou TCP alebo UDP. V tunelovom režime je hlavička ESP umiestnená medzi novú hlavičku IP a plne zašifrovaný pôvodný paket IP.

Pretože oba protokoly - AH aj ESP - pridávajú svoje vlastné hlavičky IP, každý z nich má svoje vlastné číslo protokolu (ID), podľa ktorého môžete určiť, čo bude nasledovať po hlavičke IP. Každý protokol má podľa IANA (Internet Assigned Numbers Authority – organizácia zodpovedná za adresný priestor internetu) svoje vlastné číslo (ID). Napríklad pre TCP je toto číslo 6 a pre UDP je to 17. Preto je veľmi dôležité pri práci cez firewall nakonfigurovať filtre tak, aby prechádzali pakety s ID AH a/alebo ESP protokolu.

Protokol ID 51 je nastavený tak, aby indikoval, že AH je prítomný v hlavičke IP, a 50 pre ESP.

POZOR: ID protokolu nie je rovnaké ako číslo portu.

Protokol IKE (Internet Key Exchange) je štandardný protokol IPsec používaný na zabezpečenie komunikácie vo virtuálnych privátnych sieťach. Účelom IKE je bezpečné vyjednávanie a doručenie identifikovaného materiálu do bezpečnostnej asociácie (SA).

SA je termín IPSec pre pripojenie. Zavedená SA (zabezpečený kanál nazývaný „zabezpečené priradenie“ alebo „bezpečnostné pridruženie“ – Security Association, SA) obsahuje zdieľaný tajný kľúč a súbor kryptografických algoritmov.

Protokol IKE vykonáva tri hlavné úlohy:

    poskytuje prostriedky autentifikácie medzi dvoma koncovými bodmi VPN;

    vytvorí nové prepojenia IPSec (vytvorí pár SA);

    riadi existujúce vzťahy.

IKE používa port UDP číslo 500. Pri použití funkcie NAT Traversal, ako už bolo spomenuté, protokol IKE používa port UDP s číslom 4500.

Výmena dát v IKE prebieha v 2 fázach. V prvej fáze vzniká združenie SA IKE. Zároveň sa overia koncové body kanála a vyberú sa parametre ochrany údajov, ako je šifrovací algoritmus, kľúč relácie atď.

V druhej fáze sa SA IKE používa na vyjednávanie protokolu (zvyčajne IPSec).

S nakonfigurovaným tunelom VPN sa pre každý použitý protokol vytvorí jeden pár SA. SA sa vytvárajú v pároch, as každé SA je jednosmerné pripojenie a údaje sa musia odosielať v dvoch smeroch. Prijaté SA páry sú uložené v každom uzle.

Pretože každý uzol je schopný vytvoriť viacero tunelov s inými uzlami, každý SA má jedinečné číslo na identifikáciu, ku ktorému uzlu patrí. Toto číslo sa nazýva SPI (Security Parameter Index) alebo Security Parameter Index.

SA uložené v databáze (DB) SAD(Databáza bezpečnostných asociácií).

Každý uzol IPSec má aj druhú DB − SPD(Bezpečnostná databáza) – Databáza bezpečnostnej politiky. Obsahuje nakonfigurovanú politiku hostiteľa. Väčšina riešení VPN vám umožňuje vytvárať viaceré politiky s kombináciami vhodných algoritmov pre každého hostiteľa, ku ktorému sa chcete pripojiť.

Flexibilita IPSec spočíva v tom, že pre každú úlohu existuje niekoľko spôsobov jej riešenia a metódy zvolené pre jednu úlohu sú zvyčajne nezávislé od metód implementácie iných úloh. Pracovná skupina IETF však definovala základnú sadu podporovaných funkcií a algoritmov, ktoré musia byť implementované rovnakým spôsobom vo všetkých produktoch s podporou IPSec. Mechanizmy AH a ESP možno použiť s rôznymi schémami autentifikácie a šifrovania, z ktorých niektoré sú povinné. Napríklad IPSec špecifikuje, že pakety sa overujú pomocou jednosmernej funkcie MD5 alebo jednosmernej funkcie SHA-1 a šifrovanie sa vykonáva pomocou algoritmu DES. Výrobcovia produktov, ktoré používajú IPSec, môžu pridať ďalšie autentifikačné a šifrovacie algoritmy. Napríklad niektoré produkty podporujú šifrovacie algoritmy ako 3DES, Blowfish, Cast, RC5 atď.

Na šifrovanie údajov v IPSec možno použiť akýkoľvek symetrický šifrovací algoritmus, ktorý používa tajné kľúče.

Protokoly ochrany toku (AH a ESP) môžu fungovať v dvoch režimoch – in spôsob dopravy a v tunelový režim. Pri prevádzke v transportnom režime sa IPsec zaoberá iba informáciami transportnej vrstvy; šifrované je iba dátové pole paketu obsahujúceho protokoly TCP / UDP (hlavička IP paketu sa nemení (nešifruje)). Transportný režim sa zvyčajne používa na vytvorenie spojenia medzi hostiteľmi.

Režim tunelovania zašifruje celý IP paket vrátane hlavičky sieťovej vrstvy. Aby mohol byť prenášaný cez sieť, je umiestnený v inom IP pakete. V podstate ide o bezpečný IP tunel. Tunelový režim možno použiť na pripojenie vzdialených počítačov k virtuálnej súkromnej sieti (schéma pripojenia „hostiteľská sieť“) alebo na organizáciu bezpečného prenosu údajov prostredníctvom otvorených komunikačných kanálov (napríklad internetu) medzi bránami, aby sa skombinovali rôzne časti virtuálnej súkromnej siete. sieť ("schéma pripojenia k sieti"). -net").

Režimy IPsec sa navzájom nevylučujú. Na tom istom hostiteľovi môžu niektoré SA používať transportný režim, zatiaľ čo iné môžu používať tunelový režim.

Počas fázy autentifikácie sa vypočíta kontrolný súčet ICV (hodnota kontroly integrity) paketu. To predpokladá, že oba uzly poznajú tajný kľúč, ktorý umožňuje príjemcovi vypočítať ICV a porovnať ho s výsledkom zaslaným odosielateľom. Ak je porovnanie ICV úspešné, odosielateľ paketu sa považuje za overeného.

V režime dopravyAH

    celý IP paket, okrem niektorých polí v hlavičke IP, ktoré je možné počas prenosu zmeniť. Tieto polia, ktorých hodnoty pre výpočet ICV sú 0, môžu byť súčasťou služby (Type of Service, TOS), príznaky, offset fragmentu, čas životnosti (TTL), ako aj hlavička kontrolného súčtu;

    všetky polia v AH;

    užitočné zaťaženie IP paketov.

AH v transportnom režime chráni hlavičku IP (okrem polí, ktoré sa môžu meniť) a užitočné zaťaženie v pôvodnom pakete IP (obrázok 3.39).

V tunelovom režime sa pôvodný paket umiestni do nového IP paketu a prenos dát sa uskutoční na základe hlavičky nového IP paketu.

Pre tunelový režimAH pri vykonávaní výpočtu sú do kontrolného súčtu ICV zahrnuté tieto zložky:

    všetky polia vo vonkajšej hlavičke IP, s výnimkou niektorých polí v hlavičke IP, ktoré je možné počas prenosu zmeniť. Tieto polia, ktorých hodnoty pre výpočet ICV sú 0, môžu byť súčasťou služby (Type of Service, TOS), príznaky, offset fragmentu, čas životnosti (TTL), ako aj hlavička kontrolného súčtu;

    všetky polia AH;

    pôvodný IP paket.

Ako vidíte na nasledujúcom obrázku, režim tunela AH chráni celý zdrojový paket IP pomocou ďalšej vonkajšej hlavičky, ktorú režim prenosu AH nepoužíva:

Ryža. 6.10. Tunelové a transportné spôsoby prevádzky protokolu AN

V režime dopravyESP neoveruje celý paket, ale chráni iba užitočné zaťaženie IP. Hlavička ESP v transportnom režime ESP sa pridá do IP paketu hneď za hlavičku IP a za dáta sa zodpovedajúcim spôsobom pridá koncovka ESP (ESP Trailer).

Transportný režim ESP šifruje nasledujúce časti paketu:

    IP užitočné zaťaženie;

Šifrovací algoritmus, ktorý používa režim šifrovania Cipher Block Chaining (CBC), má medzi hlavičkou ESP a užitočným zaťažením nezašifrované pole. Toto pole sa nazýva IV (Initialization Vector) pre výpočet CBC, ktorý sa vykonáva na prijímači. Keďže toto pole sa používa na spustenie procesu dešifrovania, nedá sa zašifrovať. Aj keď má útočník možnosť zobraziť IV, neexistuje spôsob, ako by mohol dešifrovať zašifrovanú časť paketu bez šifrovacieho kľúča. Aby útočníci nemohli zmeniť inicializačný vektor, je strážený kontrolným súčtom ICV. V tomto prípade ICV vykoná nasledujúce výpočty:

    všetky polia v hlavičke ESP;

    užitočné zaťaženie vrátane otvoreného textu IV;

    všetky polia v ESP Trailer okrem poľa autentifikačných údajov.

Tunelový režim ESP zapuzdruje celý pôvodný paket IP do novej hlavičky IP, hlavičky ESP a upútavky ESP. Na označenie prítomnosti ESP v hlavičke IP sa identifikátor protokolu IP nastaví na 50, pričom pôvodná hlavička IP a užitočné zaťaženie sa ponechajú nezmenené. Rovnako ako v režime tunela AH je hlavička vonkajšej adresy IP založená na konfigurácii tunela IPSec. V prípade použitia tunelového režimu ESP oblasť autentifikácie paketu IP ukazuje, kde bol podpis vytvorený, čím sa potvrdzuje jeho integrita a pravosť, a šifrovaná časť ukazuje, že informácie sú chránené a dôverné. Pôvodná hlavička sa umiestni za hlavičku ESP. Potom, čo je šifrovaná časť zapuzdrená do novej hlavičky tunela, ktorá nie je šifrovaná, sa prenesie IP paket. Pri odoslaní cez verejnú sieť je takýto paket smerovaný na IP adresu brány prijímajúcej siete a brána dešifruje paket a zahodí hlavičku ESP pomocou pôvodnej hlavičky IP, aby potom paket smeroval do počítača umiestneného na vnútornej siete. Režim tunelovania ESP šifruje nasledujúce časti paketu:

    pôvodný IP paket;

  • Pre režim tunela ESP sa ICV vypočíta takto:

    všetky polia v hlavičke ESP;

    pôvodný IP paket vrátane otvoreného textu IV;

    všetky polia hlavičky ESP okrem poľa autentifikačných údajov.

Ryža. 6.11. Tunel a transportný režim protokolu ESP

Ryža. 6.12. Porovnanie protokolov ESP a AH

Súhrn aplikačných režimovIPSec:

    Protokol - ESP (AH).

    Režim - tunel (doprava).

    Spôsob výmeny kľúčov - IKE (manuálne).

    Režim IKE - hlavný (agresívny).

    DH kľúč – skupina 5 (skupina 2, skupina 1) – číslo skupiny pre výber dynamicky vytváraných kľúčov relácie, dĺžka skupiny.

    Autentifikácia - SHA1 (SHA, MD5).

    Šifrovanie - DES (3DES, Blowfish, AES).

Pri vytváraní politiky je zvyčajne možné vytvoriť usporiadaný zoznam algoritmov a skupín Diffie-Hellman. Diffie-Hellman (DH) je šifrovací protokol používaný na vytvorenie zdieľaných tajných kľúčov pre IKE, IPSec a PFS (Perfect Forward Secrecy). V tomto prípade sa použije prvá pozícia, ktorá sa zhoduje na oboch uzloch. Je veľmi dôležité, aby všetko v bezpečnostnej politike umožňovalo dosiahnuť túto náhodu. Ak sa všetko ostatné zhoduje okrem jednej časti politiky, hostitelia stále nebudú môcť vytvoriť pripojenie VPN. Pri nastavovaní VPN tunela medzi rôzne systémy musíte zistiť, aké algoritmy sú podporované každou stranou, aby ste si mohli zvoliť najbezpečnejšiu politiku zo všetkých možných.

Hlavné nastavenia, ktoré bezpečnostná politika zahŕňa:

    Symetrické algoritmy na šifrovanie/dešifrovanie údajov.

    Kryptografické kontrolné súčty na kontrolu integrity údajov.

    Metóda identifikácie uzla. Najbežnejšími metódami sú predzdieľané tajomstvá alebo certifikáty CA.

    Či použiť tunelový režim alebo dopravný režim.

    Ktorú skupinu Diffie-Hellman použiť (DH skupina 1 (768-bit); DH skupina 2 (1024-bit); DH skupina 5 (1536-bit)).

    Či použiť AH, ESP alebo oboje.

    Či použiť PFS.

Obmedzením protokolu IPSec je, že podporuje prenos údajov iba na vrstve protokolu IP.

Existujú dve hlavné schémy používania IPSec, ktoré sa líšia úlohou uzlov, ktoré tvoria zabezpečený kanál.

V prvej schéme sa medzi koncovými hostiteľmi siete vytvorí bezpečný kanál. V tejto schéme protokol IPSec chráni hostiteľa, ktorý je spustený:

Ryža. 6.13. Vytvorte bezpečný kanál medzi dvoma koncovými bodmi

V druhej schéme je vytvorený bezpečný kanál medzi dvoma bezpečnostnými bránami. Tieto brány prijímajú údaje od koncových hostiteľov pripojených k sieťam za bránami. Koncoví hostitelia v tomto prípade nepodporujú protokol IPSec, prevádzka smerujúca do verejnej siete prechádza cez bezpečnostnú bránu, ktorá vykonáva ochranu vo svojom mene.

Ryža. 6.14. Vytvorenie bezpečného kanála medzi dvoma bránami

Pre hostiteľov, ktorí podporujú IPSec, možno použiť režim prenosu aj režim tunela. Pre brány je povolený iba tunelový režim.

Inštalácia a podporaVPN

Ako je uvedené vyššie, inštalácia a údržba tunela VPN je dvojkrokový proces. V prvej fáze (fáze) sa dva uzly dohodnú na metóde identifikácie, šifrovacom algoritme, hashovom algoritme a skupine Diffie-Hellman. Tiež sa navzájom identifikujú. To všetko sa môže stať v dôsledku výmeny troch nešifrovaných správ (tzv. agresívny režim, Agresívne režim) alebo šesť správ s výmenou zašifrovaných identifikačných informácií (štandardný režim, Hlavná režim).

V hlavnom režime je možné dohodnúť všetky konfiguračné parametre zariadenia odosielateľa a príjemcu, zatiaľ čo v agresívnom režime to nie je možné a niektoré parametre (skupina Diffie-Hellman, šifrovacie a autentifikačné algoritmy, PFS) musia byť vopred nastavené. - nakonfigurované rovnakým spôsobom na každom zariadení. V tomto režime je však počet výmen aj počet odoslaných paketov nižší, čo má za následok kratší čas na vytvorenie relácie IPSec.

Ryža. 6.15. Správy v štandardnom (a) a agresívnom (b) režime

Za predpokladu úspešného dokončenia operácie sa vytvorí prvá fáza SA − Fáza 1 SA(tiež nazývaný IKESA) a proces pokračuje do druhej fázy.

V druhom kroku sa vygenerujú kľúčové dáta, uzly sa dohodnú na politike, ktorá sa má použiť. Tento režim, nazývaný aj Rýchly režim, sa líši od Fázy 1 tým, že ho možno vytvoriť až po Fáze 1, keď sú všetky pakety Fázy 2 zašifrované. Správne dokončenie druhej fázy vedie k vzhľadu Fáza 2 SA alebo IPSecSA a na tomto sa inštalácia tunela považuje za dokončenú.

Najprv do uzla dorazí paket s cieľovou adresou v inej sieti a uzol zaháji prvú fázu s uzlom, ktorý je zodpovedný za druhú sieť. Povedzme, že tunel medzi uzlami bol úspešne vytvorený a čaká na pakety. Uzly sa však po určitom čase musia navzájom znovu identifikovať a porovnať politiky. Toto obdobie sa nazýva životnosť prvej fázy alebo životnosť IKE SA.

Uzly musia tiež zmeniť kľúč na šifrovanie údajov po časovom období, ktoré sa nazýva druhá fáza alebo životnosť IPSec SA.

Životnosť fázy dva je kratšia ako prvá fáza, pretože kľúč je potrebné meniť častejšie. Pre oba uzly musíte nastaviť rovnaké parametre životnosti. Ak to neurobíte, je možné, že spočiatku sa tunel úspešne vytvorí, ale po prvom nekonzistentnom období života sa spojenie preruší. Problémy môžu nastať aj vtedy, keď je životnosť prvej fázy kratšia ako životnosť druhej fázy. Ak predtým nakonfigurovaný tunel prestane fungovať, potom prvá vec, ktorú treba skontrolovať, je životnosť na oboch uzloch.

Treba tiež poznamenať, že ak zmeníte politiku na jednom z uzlov, zmeny sa prejavia až pri ďalšom nástupe prvej fázy. Aby sa zmeny prejavili okamžite, musíte odstrániť SA pre tento tunel z databázy SAD. To si vynúti revíziu dohody medzi uzlami s novými nastaveniami bezpečnostnej politiky.

Niekedy sa pri nastavovaní IPSec tunela medzi zariadeniami od rôznych výrobcov vyskytnú ťažkosti spojené s koordináciou parametrov počas vytvárania prvej fázy. Mali by ste venovať pozornosť takému parametru, ako je Local ID - ide o jedinečný identifikátor pre koncový bod tunela (odosielateľ a príjemca). Toto je obzvlášť dôležité pri vytváraní viacerých tunelov a používaní protokolu NAT Traversal.

Mŕtvypeerdetekcia

Počas prevádzky VPN, ak medzi koncovými bodmi tunela nie je žiadna prevádzka, alebo ak sa zmenia počiatočné údaje vzdialeného hostiteľa (napríklad zmena dynamicky pridelenej IP adresy), môže nastať situácia, keď tunel už v podstate nebude taký , ktorý sa stal akoby tunelom duchov. Pre udržanie neustálej pripravenosti na výmenu dát vo vytvorenom IPSec tuneli vám mechanizmus IKE (opísaný v RFC 3706) umožňuje kontrolovať prítomnosť prevádzky zo vzdialeného uzla tunela, a ak je neprítomná počas nastaveného času, odošle sa ahoj správa (vo firewalloch D-Link pošle správu "DPD-R-U-THERE"). Ak do určitého času nepríde žiadna odpoveď na túto správu, vo firewalloch D-Link nastavených v nastaveniach "DPD Expire Time" sa tunel demontuje. Firewally D-Link potom pomocou nastavení „DPD Keep Time“ ( ryža. 6.18) automaticky pokúsi obnoviť tunel.

ProtokolNATPrechádzanie

Prevádzka IPsec môže byť smerovaná podľa rovnakých pravidiel ako iné protokoly IP, ale keďže smerovač nemôže vždy extrahovať informácie špecifické pre protokoly transportnej vrstvy, je nemožné, aby IPsec prechádzal cez brány NAT. Ako už bolo spomenuté, na vyriešenie tohto problému IETF definovala spôsob zapuzdrenia ESP v UDP, ktorý sa nazýva NAT-T (NAT Traversal).

Protokol NAT Traversal zapuzdruje prevádzku IPSec a súčasne vytvára pakety UDP, ktoré NAT správne preposiela. Na tento účel umiestni NAT-T ďalšiu hlavičku UDP pred paket IPSec, takže sa s ním v celej sieti zaobchádza ako s normálnym paketom UDP a hostiteľ príjemcu nevykonáva žiadne kontroly integrity. Keď paket dorazí na miesto určenia, hlavička UDP sa odstráni a dátový paket pokračuje vo svojej ceste ako zapuzdrený paket IPSec. Pomocou mechanizmu NAT-T je teda možné nadviazať komunikáciu medzi IPSec klientmi v zabezpečených sieťach a verejnými IPSec hostiteľmi cez firewally.

Pri konfigurácii brány firewall D-Link na prijímacom zariadení je potrebné vziať do úvahy dva body:

    do polí Vzdialená sieť a Vzdialený koncový bod zadajte sieť a IP adresu vzdialeného odosielajúceho zariadenia. Je potrebné umožniť preklad IP adresy iniciátora (odosielateľa) pomocou technológie NAT (obrázok 3.48).

    Pri používaní zdieľaných kľúčov s viacerými tunelmi pripojenými k rovnakému vzdialenému firewallu, ktorý bol NAT prenesený na rovnakú adresu, je dôležité zabezpečiť, aby bolo lokálne ID jedinečné pre každý tunel.

Miestne ID môže byť jedným z:

    Auto– ako lokálny identifikátor sa používa adresa IP odchádzajúceho komunikačného rozhrania.

    IP– IP adresa WAN portu vzdialeného firewallu

    DNS– DNS adresa

    Virtuálnym súkromným sieťam (VPN) sa ako poskytovateľom venuje veľká pozornosť sieťové služby a internetových poskytovateľov a podnikových používateľov. Infonetics Research predpovedá, že trh VPN porastie do roku 2003 o viac ako 100 % ročne a dosiahne 12 miliárd USD.

    Predtým, ako vám poviem o popularite VPN, dovoľte mi pripomenúť, že iba súkromné ​​(firemné) dátové siete sa budujú spravidla pomocou prenajatých (vyhradených) komunikačných kanálov verejných komutovaných telefónnych sietí. Po mnoho rokov boli tieto privátne siete navrhnuté s ohľadom na špecifické firemné požiadavky, výsledkom čoho sú proprietárne protokoly, ktoré podporujú proprietárne aplikácie (avšak v poslednej dobe získali popularitu protokoly Frame Relay a ATM). Vyhradené kanály poskytujú spoľahlivú ochranu dôverné informácie Odvrátenou stranou mince sú však vysoké prevádzkové náklady a ťažkosti s rozširovaním siete, nehovoriac o možnosti mobilného používateľa pripojiť sa k nej v neúmyselnom bode. Moderné podnikanie sa zároveň vyznačuje výrazným rozptýlením a mobilitou pracovnej sily. Stále viac používateľov potrebuje prístup k podnikovým informáciám prostredníctvom dial-up kanálov a zvyšuje sa aj počet zamestnancov pracujúcich z domu.

    Okrem toho, súkromné ​​siete nie sú schopné poskytovať rovnaké obchodné príležitosti, aké poskytuje internet a aplikácie založené na IP, ako je propagácia produktov, zákaznícka podpora alebo nepretržitá komunikácia s dodávateľmi. Táto on-line interakcia si vyžaduje prepojenie súkromných sietí, ktoré zvyčajne používajú rôzne protokoly a aplikácie, rôzne systémy riadenia siete a rôznych poskytovateľov komunikačných služieb.

    To znamená, že vysoké náklady, statický charakter a ťažkosti, ktoré vznikajú, keď je potrebné kombinovať súkromné ​​siete založené na rôzne technológie, sú v rozpore s dynamicky sa rozvíjajúcim biznisom, jeho túžbou po decentralizácii a nedávnym trendom fúzií.

    Paralelne s tým existujú verejné siete na prenos dát zbavené týchto nedostatkov a internet, ktorý svojou „pavučinou“ doslova zahalil celú zemeguľu. Je pravda, že sú zbavení najdôležitejšej výhody súkromných sietí - spoľahlivú ochranu firemné informácie. Technológia virtuálnych privátnych sietí spája flexibilitu, škálovateľnosť, nízke náklady a dostupnosť internetu a verejných sietí doslova „kedykoľvek a kdekoľvek“ s bezpečnosťou privátnych sietí. Vo svojom jadre sú VPN súkromné ​​siete, ktoré používajú globálne siete verejný prístup(Internet, Frame Relay, ATM). Virtualita sa prejavuje v tom, že pre firemného používateľa sa javia ako vyhradené súkromné ​​siete.

    KOMPATIBILITA

    Problémy s kompatibilitou nevznikajú, ak VPN priamo využívajú služby Frame Relay a ATM, pretože sú celkom dobre prispôsobené na prácu v multiprotokolovom prostredí a sú vhodné pre IP aj non-IP aplikácie. Všetko, čo sa v tomto prípade vyžaduje, je dostupnosť vhodnej sieťovej infraštruktúry pokrývajúcej požadovanú geografickú oblasť. Najčastejšie používané prístupové zariadenia sú Frame Relay Access Devices alebo smerovače s rozhraním Frame Relay a ATM. Početné permanentné alebo prepínané virtuálne okruhy môžu fungovať (virtuálne) s akoukoľvek zmesou protokolov a topológií. Záležitosť sa skomplikuje, ak je VPN založená na internete. V tomto prípade sa vyžaduje, aby aplikácie boli kompatibilné s protokolom IP. Za predpokladu, že je táto požiadavka splnená, môžete použiť internet „tak, ako je“ na vytvorenie siete VPN, ktorá predtým poskytovala potrebnú úroveň zabezpečenia. Ale keďže väčšina súkromných sietí je multiprotokolových alebo používa neoficiálne interné IP adresy, nemôžu sa priamo pripojiť k internetu bez vhodnej úpravy. Existuje mnoho riešení kompatibility. Najpopulárnejšie sú nasledujúce:
    - konverzia existujúcich protokolov (IPX, NetBEUI, AppleTalk alebo iné) na IP protokol s oficiálnou adresou;
    - konverzia interných IP adries na oficiálne IP adresy;
    — inštalácia špeciálnych IP brán na servery;
    — používanie virtuálneho smerovania IP;
    — použitie univerzálnej techniky razenia tunelov.
    Prvý spôsob je jasný, tak sa v krátkosti pozrime na ostatné.
    Konverzia interných IP adries na oficiálne je nevyhnutná, keď je súkromná sieť založená na IP protokole. Preklad adries pre celú podnikovú sieť nie je potrebný, pretože oficiálne IP adresy môžu koexistovať s internými adresami na prepínačoch a smerovačoch v podnikovej sieti. Inými slovami, server s oficiálnou IP adresou je stále dostupný klientovi privátnej siete prostredníctvom lokálnej infraštruktúry. Najčastejšie používanou technikou je rozdelenie malého bloku oficiálnych adries mnohými používateľmi. Podobá sa rozdeleniu oblasti modemov v tom, že sa tiež spolieha na predpoklad, že nie všetci používatelia potrebujú prístup na internet v rovnakom čase. Existujú dva priemyselné štandardy: Dynamic Host Configuration Protocol (DHCP) a broadcast sieťové adresy(Network Address Translation - NAT), ktorých prístupy sa mierne líšia. DHCP „prenajíma“ adresu hostiteľovi na čas určený správcom siete, zatiaľ čo NAT prekladá internú IP adresu na oficiálnu dynamicky, počas trvania komunikačnej relácie s
    Internet.

    Ďalším spôsobom, ako zabezpečiť kompatibilitu súkromnej siete s internetom, je inštalácia IP brány. Brána prekladá non-IP protokoly na IP protokoly a naopak. Väčšina sieťových operačných systémov, ktoré používajú natívne protokoly, má softvér IP brány.

    Podstatou virtuálneho IP smerovania je rozšírenie súkromných smerovacích tabuliek a adresného priestoru na infraštruktúru (smerovače a prepínače) poskytovateľa internetových služieb. Virtuálny IP smerovač je logickou súčasťou fyzického IP smerovača, ktorý vlastní a prevádzkuje poskytovateľ služieb. Každý virtuálny smerovač slúži určitej skupine používateľov.
    Možno však najviac najlepšia cesta interoperabilitu možno dosiahnuť pomocou techník tunelovania. Tieto techniky sa už dlho používajú na prenos multiprotokolového toku paketov cez spoločnú chrbticu. Táto osvedčená technológia je v súčasnosti optimalizovaná pre internetové VPN.
    Hlavnými komponentmi tunela sú:
    — spúšťač tunela;
    — smerovaná sieť;
    - tunelový spínač (voliteľné);
    — jeden alebo viac ukončovacích prvkov tunela.
    Tunelovanie sa musí vykonať na oboch koncoch koncového spojenia. Tunel musí začínať iniciátorom tunela a končiť ukončovačom tunela. Inicializáciu a ukončenie operácií tunela môžu vykonávať rôzne sieťové zariadenia a softvér. Tunel môže byť napríklad iniciovaný počítačom vzdialeného používateľa, ktorý má nainštalovaný modem a potrebný softvér VPN, predradený smerovač v pobočke spoločnosti alebo koncentrátor sieťového prístupu u poskytovateľa služieb.

    Na prenos paketov iných ako IP cez internet sieťové protokoly, sú zapuzdrené do IP paketov zo strany zdroja. Najbežnejšie používanou metódou na vytváranie tunelov VPN je zapuzdrenie paketu iného typu než IP do paketu PPP (Point-to-Point Protocol) a jeho následné zapuzdrenie do paketu IP. Pripomínam, že protokol PPP sa používa na spojenie typu point-to-point, napríklad na komunikáciu klient-server. Proces zapuzdrenia IP zahŕňa pridanie štandardnej hlavičky IP do pôvodného paketu, s ktorým sa potom zaobchádza ako s užitočné informácie. Zodpovedajúci proces na druhom konci tunela odstráni hlavičku IP a ponechá pôvodný paket nezmenený. Keďže technológia tunelovania je pomerne jednoduchá, je aj cenovo najdostupnejšia.

    BEZPEČNOSŤ

    Zabezpečenie požadovanej úrovne zabezpečenia je často prvoradým hľadiskom, keď spoločnosť zvažuje použitie internetových VPN. Mnoho IT manažérov je zvyknutých na prirodzené súkromie súkromných sietí a internet vnímajú ako príliš „verejný“ na to, aby sa dal používať ako privátna sieť. Ak používate anglickú terminológiu, potom existujú tri „P“, ktorých implementácia spolu poskytuje úplnú ochranu informácií. toto:
    Ochrana - ochrana zdrojov pomocou firewallov (firewall);
    Doklad - overenie identity (neporušenosti) balíka a autentifikácia odosielateľa (potvrdenie práva na prístup);
    Súkromie – ochrana dôverných informácií pomocou šifrovania.
    Všetky tri P sú rovnako dôležité pre akúkoľvek podnikovú sieť vrátane VPN. V prísne súkromných sieťach na ochranu zdrojov a dôvernosti informácií stačí použiť celkom jednoduché heslá. Ale akonáhle je súkromná sieť pripojená k verejnej, žiadne z troch P nemôže poskytnúť potrebnú ochranu. Preto pre každú VPN musia byť na všetkých miestach jej interakcie s verejnou sieťou nainštalované firewally a pakety musia byť šifrované a overené.

    Firewally sú základným komponentom každej VPN. Povoľujú iba autorizovanú komunikáciu pre dôveryhodných používateľov a blokujú všetko ostatné. Inými slovami, všetky pokusy o prístup neznámych alebo nedôveryhodných používateľov sú skrížené. Táto forma ochrany musí byť zabezpečená pre každú stránku a používateľa, keďže nemať ju nikde znamená nemať ju všade. Na zaistenie bezpečnosti virtuálnych privátnych sietí sa používajú špeciálne protokoly. Tieto protokoly umožňujú hostiteľom „vyjednať si“ techniku ​​šifrovania a digitálneho podpisu, ktorá sa má použiť, a tým zachovať dôvernosť a integritu údajov a autentifikovať používateľa.

    Microsoft Point-to-Point Encryption Protocol (MPPE) šifruje pakety PPP na klientskom počítači pred ich odoslaním do tunela. Šifrovacia relácia sa inicializuje počas nadviazania komunikácie s ukončovačom tunela pomocou protokolu
    PPP.

    Protokoly Secure IP (IPSec) sú sériou predbežných štandardov, ktoré vyvinula skupina IETF (Internet Engineering Task Force). Skupina navrhla dva protokoly: Authentication Header (AH) a Encapsulating Security Payload (ESP). AH protokol pridáva digitálny podpis hlavička, ktorá overuje používateľa a zabezpečuje integritu údajov tým, že sleduje všetky zmeny počas prenosu. Tento protokol chráni iba dáta, pričom časť adresy IP paketu zostáva nezmenená. Na druhej strane protokol ESP dokáže zašifrovať buď celý paket (Tunnel Mode) alebo len dáta (Transport Mode). Tieto protokoly sa používajú samostatne aj v kombinácii.

    Na riadenie bezpečnosti sa používa priemyselný štandard RADIUS (Remote Authentication Dial-In User Service), čo je databáza užívateľských profilov, ktorá obsahuje heslá (autentifikácia) a prístupové práva (autorizácia).

    Bezpečnostné prvky sa zďaleka neobmedzujú len na uvedené príklady. Mnoho výrobcov smerovačov a firewallov ponúka svoje vlastné riešenia. Medzi nimi sú Ascend, CheckPoint a Cisco.

    DOSTUPNOSŤ

    Dostupnosť zahŕňa tri rovnako dôležité zložky: čas poskytovania služby, priepustnosť a čas oneskorenia. Čas poskytovania služby je predmetom zmluvy s poskytovateľom služby a ďalšie dve zložky súvisia s prvkami kvality služby (Quality of Service - QoS). Moderné technológie transport vám umožňuje vybudovať VPN, ktorá spĺňa požiadavky takmer všetkých existujúcich aplikácií.

    OVLÁDAteľnosť

    Správcovia siete vždy chcú mať možnosť vykonávať end-to-end, end-to-end správu podnikovej siete, vrátane časti, ktorá sa týka telekomunikačnej spoločnosti. Ukazuje sa, že VPN poskytujú v tomto smere viac možností ako bežné súkromné ​​siete. Typické privátne siete sú spravované „od hranice k hranici“, t.j. poskytovateľ služby spravuje sieť až po predné smerovače podnikovej siete, zatiaľ čo predplatiteľ spravuje samotnú podnikovú sieť až po prístupové zariadenia WAN. Technológia VPN sa vyhýba takémuto rozdeleniu „sfér vplyvu“, pričom poskytuje poskytovateľa aj predplatiteľa jednotný systém riadenie siete ako celku, tak jej podnikovej časti, ako aj sieťovej infraštruktúry verejnej siete. Správca podnikovej siete má možnosť monitorovať a rekonfigurovať sieť, spravovať zariadenia s predným prístupom a určovať stav siete v reálnom čase.

    ARCHITEKTÚRA VPN

    Existujú tri modely architektúry virtuálnej súkromnej siete: závislá, nezávislá a hybridná ako kombinácia prvých dvoch alternatív. Príslušnosť ku konkrétnemu modelu je určená tým, kde sú implementované štyri hlavné požiadavky na VPN. Ak globálny poskytovateľ sieťových služieb poskytuje kompletné riešenie VPN, t.j. poskytuje tunelovanie, bezpečnosť, výkon a správu, robí na ňom závislú architektúru. V tomto prípade sú všetky procesy VPN pre používateľa transparentné a používateľ vidí iba svoju natívnu prevádzku — pakety IP, IPX alebo NetBEUI. Výhodou závislej architektúry pre predplatiteľa je, že môže využívať existujúcu sieťovú infraštruktúru „tak, ako je“, pričom medzi VPN a privátnu sieť pridá iba firewall.
    WAN/LAN.

    Nezávislá architektúra sa implementuje vtedy, keď organizácia poskytuje všetko technologické požiadavky na svojom zariadení, pričom na poskytovateľa služby deleguje iba prepravné funkcie. Táto architektúra je drahšia, ale dáva užívateľovi plnú kontrolu nad všetkými operáciami.

    Hybridná architektúra zahŕňa lokality závislé a nezávislé od organizácie (resp. od poskytovateľa služieb).

    Aké sú sľuby VPN pre podnikových používateľov? V prvom rade ide podľa priemyselných analytikov o zníženie nákladov pre všetky druhy telekomunikácií o 30 až 80 %. A tiež je to takmer všadeprítomný prístup do sietí korporácií alebo iných organizácií; je to implementácia bezpečnej komunikácie s dodávateľmi a zákazníkmi; je to vylepšená a vylepšená služba, ktorá nie je dostupná v sieťach PSTN a oveľa viac. Špecialisti vidia VPN ako novú generáciu sieťovej komunikácie a mnohí analytici sa domnievajú, že VPN čoskoro nahradia väčšinu súkromných sietí založených na prenajatých linkách.

    Z roka na rok elektronická komunikácia sa zdokonaľuje a na výmenu informácií sa kladú čoraz vyššie požiadavky na rýchlosť, bezpečnosť a kvalitu spracovania údajov.

    A tu sa bližšie pozrieme na pripojenie vpn: čo to je, na čo slúži vpn tunel a ako používať pripojenie vpn.

    Tento materiál je akýmsi úvodným slovom k sérii článkov, v ktorých vám povieme, ako vytvoriť vpn na rôznych operačných systémoch.

    vpn pripojenie čo to je?

    Virtuálna súkromná sieť vpn je teda technológia, ktorá poskytuje bezpečné (uzavreté pred vonkajším prístupom) pripojenie logickej siete cez súkromnú alebo verejnú sieť za prítomnosti vysokorýchlostného internetu.

    Takéto sieťové pripojenie počítače (geograficky vzdialené od seba v značnej vzdialenosti) používa spojenie bod-bod (inými slovami „počítač-počítač“).

    Vedecky sa tento spôsob pripojenia nazýva tunel vpn (alebo tunelový protokol). K takémuto tunelu sa môžete pripojiť, ak máte počítač s akýmkoľvek operačným systémom, ktorý má integrovaného klienta VPN, ktorý dokáže „preposielať“ virtuálne porty pomocou protokolu TCP / IP do inej siete.

    Na čo slúži vpn?

    Hlavnou výhodou vpn je, že vyjednávači potrebujú platformu pripojenia, ktorá sa nielen rýchlo škáluje, ale tiež (predovšetkým) poskytuje dôvernosť údajov, integritu údajov a autentifikáciu.

    Diagram jasne ukazuje použitie vpn sietí.

    Pravidlá pre pripojenia cez zabezpečený kanál musia byť vopred napísané na serveri a smerovači.

    ako funguje vpn

    Keď dôjde k pripojeniu vpn, v hlavičke správy sa prenesú informácie o IP adrese servera VPN a vzdialenej ceste.

    Zapuzdrené dáta prechádzajúce cez spoločnú resp verejná sieť, nie je možné zachytiť, pretože všetky informácie sú šifrované.

    Fáza šifrovania VPN je implementovaná na strane odosielateľa a údaje príjemcu sú dešifrované hlavičkou správy (ak existuje spoločný šifrovací kľúč).

    Po správnom dešifrovaní správy sa medzi oboma sieťami vytvorí vpn spojenie, ktoré umožňuje aj prácu vo verejnej sieti (napríklad výmena dát s klientom 93.88.190.5).

    Čo sa týka informačná bezpečnosť, potom je internet extrémne nezabezpečená sieť a sieť VPN s protokolmi OpenVPN, L2TP / IPSec, PPTP, PPPoE je úplne bezpečný a bezpečný spôsob prenosu údajov.

    Na čo slúži vpn kanál?

    Používa sa tunelovanie vpn:

    Vo vnútri podnikovej siete;

    Zjednotiť vzdialené kancelárie, ako aj malé pobočky;

    Obsluhovať digitálnu telefóniu so širokou škálou telekomunikačných služieb;

    Prístup k externým IT zdrojom;

    Vytvoriť a implementovať videokonferencie.

    Prečo potrebujete vpn?

    vpn pripojenie je potrebné pre:

    Anonymná práca na internete;

    Sťahovanie aplikácií v prípade, že sa IP adresa nachádza v inej regionálnej zóne krajiny;

    Bezpečná práca v podnikovom prostredí s využitím komunikácie;

    Jednoduchosť a pohodlie nastavenia pripojenia;

    Poskytovanie vysokorýchlostného pripojenia bez prestávok;

    Vytvorenie bezpečného kanála bez útokov hackerov.

    Ako používať vpn?

    Príkladov toho, ako vpn funguje, je neúrekom. Takže na akomkoľvek počítači v podnikovej sieti, pri inštalácii zabezpečený vpn pripojenia poštu môžete použiť na kontrolu správ, publikovanie materiálov odkiaľkoľvek v krajine alebo sťahovanie súborov z torrentových sietí.

    Vpn: čo je v telefóne?

    Prístup cez vpn na vašom telefóne (iPhone alebo akomkoľvek inom zariadení so systémom Android) vám umožňuje zostať v anonymite pri používaní internetu na verejných miestach, ako aj zabrániť odpočúvaniu premávky a hackovaniu zariadení.

    Klient VPN nainštalovaný na ľubovoľnom OS vám umožňuje obísť mnohé nastavenia a pravidlá poskytovateľa (ak nastavil nejaké obmedzenia).

    Ktorú vpn si vybrať pre telefón?

    Mobilné telefóny a smartfóny so systémom Android môžu používať aplikácie z trhu Google Play:

    • - vpnRoot, droidVPN,
    • - prehliadač tor na surfovanie po sieťach, známy ako orbot
    • - InBrowser, orfox (firefox+tor),
    • - SuperVPN Bezplatná sieť VPN zákazník
    • - Otvorte pripojenie VPN
    • - Tunnel Bear VPN
    • - Hideman VPN

    Väčšina týchto programov slúži na pohodlie „horúcej“ konfigurácie systému, umiestňovania skratiek spustenia, anonymného surfovania po internete a výberu typu šifrovania pripojenia.

    Hlavnými úlohami používania VPN v telefóne sú však kontrola firemnej pošty, vytváranie videokonferencií s viacerými účastníkmi, ako aj organizovanie stretnutí mimo organizácie (napríklad, keď je zamestnanec na služobnej ceste).

    Čo je to vpn na iphone?

    Zvážte, ktoré vpn si vybrať a ako ho pripojiť k iPhone podrobnejšie.

    V závislosti od typu siete, ktorú podporuje, si pri prvom spustení konfigurácie VPN na iphone môžete vybrať nasledujúce protokoly: L2TP, PPTP a Cisco IPSec(okrem toho môžete „vytvoriť“ pripojenie vpn pomocou aplikácií tretích strán).

    Všetky tieto protokoly podporujú šifrovacie kľúče, identifikáciu používateľa heslom a certifikáciu.

    Medzi pridané vlastnosti pri nastavovaní profilu VPN na iPhone si môžete všimnúť: zabezpečenie RSA, úroveň šifrovania a pravidlá autorizácie pre pripojenie k serveru.

    Pre telefón iphone z obchodu s aplikáciami by ste si mali vybrať:

    • - bezplatná aplikácia Tunnelbear, pomocou ktorého sa môžete pripojiť k serverom VPN v ktorejkoľvek krajine.
    • - OpenVPN connect je jedným z najlepších klientov VPN. Ak chcete spustiť aplikáciu, musíte najprv importovať kľúče rsa cez itunes do telefónu.
    • - Cloak je sharewarová aplikácia, pretože nejaký čas je možné produkt „používať“ zadarmo, ale ak chcete program používať po uplynutí obdobia ukážky, budete si ho musieť kúpiť.

    Vytvorenie VPN: výber a konfigurácia zariadenia

    Pre firemnú komunikáciu vo veľkých organizáciách alebo konsolidáciu kancelárií vzdialených od seba využívajú hardvérové ​​vybavenie, ktoré dokáže podporovať neprerušované, bezpečné sieťovanie.

    Na implementáciu technológií vpn môžu ako sieťová brána fungovať nasledovné: Unixové servery, Windows server, sieťový smerovač a sieťová brána, na ktorej je vytvorená VPN.

    Server alebo zariadenie používané na vytvorenie podnikovej siete vpn alebo kanála vpn medzi vzdialenými pobočkami musí vykonávať zložité technické úlohy a poskytovať používateľom na pracovných staniciach aj na mobilných zariadeniach celý rad služieb.

    Každý smerovač alebo smerovač vpn by mal poskytovať spoľahlivú sieťovú prevádzku bez „zamrznutia“. A vstavaná funkcia vpn vám umožňuje zmeniť konfiguráciu siete pre prácu doma, v organizácii alebo vzdialenej kancelárii.

    nastavenie vpn na smerovači

    Vo všeobecnom prípade sa konfigurácia VPN na smerovači vykonáva pomocou webového rozhrania smerovača. Na „klasických“ zariadeniach na organizáciu vpn musíte prejsť do sekcie „nastavenia“ alebo „nastavenia siete“, kde vyberiete sekciu VPN, špecifikujete typ protokolu, zadáte nastavenia adresy podsiete, masky a určíte rozsah IP adresy pre používateľov.

    Okrem toho, pre bezpečnosť pripojenia, budete musieť špecifikovať kódovacie algoritmy, metódy autentifikácie, generovať vyjednávacie kľúče a špecifikovať DNS servery VYHRÁVA. V parametroch "Gateway" je potrebné zadať ip-adresu brány (vaša ip) a vyplniť údaje o všetkých sieťových adaptéroch.

    Ak je v sieti viacero smerovačov, je potrebné vyplniť smerovaciu tabuľku vpn pre všetky zariadenia vo VPN tuneli.

    Tu je zoznam hardvérového vybavenia používaného pri budovaní sietí VPN:

    Smerovače Dlink: DIR-320, DIR-620, DSR-1000 s novým firmvérom alebo smerovač D-Link DI808HV.

    Smerovače Cisco PIX 501, Cisco 871-SEC-K9

    Router Linksys Rv082 s podporou asi 50 VPN tunelov

    Router Netgear DG834G a modely smerovačov FVS318G, FVS318N, FVS336G, SRX5308

    Router Mikrotik s funkciou OpenVPN. Príklad RouterBoard RB/2011L-IN Mikrotik

    Vpn zariadenie RVPN S-Terra alebo VPN Gate

    Smerovače ASUS RT-N66U, RT-N16 a RT N-10

    Smerovače ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

    Virtuálna súkromná sieť

    Najčastejšie vytvárať virtuálna sieť používa sa zapuzdrenie protokolu PPP do iného protokolu – Ethernet (poskytovatelia „poslednej míle“ na poskytovanie prístupu na internet.

    So správnou úrovňou implementácie a použitím špeciálneho softvéru môže VPN poskytnúť vysoký stupeňšifrovanie prenášaných informácií. O správne nastavenie všetky komponenty Technológia VPN poskytuje anonymitu na webe.

    Štruktúra VPN

    VPN sa skladá z dvoch častí: „vnútorná“ (riadená) sieť, ktorých môže byť niekoľko a „externá“ sieť, cez ktorú prechádza zapuzdrené pripojenie (zvyčajne sa využíva internet). Do virtuálnej siete je možné pripojiť aj jeden počítač. Vzdialený používateľ je pripojený k VPN cez prístupový server, ktorý je pripojený k internej aj externej (verejnej) sieti. Pri pripájaní vzdialeného používateľa (alebo pri vytváraní pripojenia k inej zabezpečenej sieti) vyžaduje prístupový server proces identifikácie a následne proces autentifikácie. Po úspešnom dokončení oboch procesov vzdialený používateľ ( vzdialenej sieti) je oprávnená pracovať v sieti, to znamená, že prebieha proces autorizácie.

    Klasifikácia VPN

    Klasifikácia VPN

    Riešenia VPN možno klasifikovať podľa niekoľkých hlavných parametrov:

    Podľa typu použitého prostredia

    • Chránené

    Najbežnejšia verzia virtuálnych privátnych sietí. S jeho pomocou je možné vytvoriť spoľahlivú a bezpečnú podsieť založenú na nespoľahlivej sieti, zvyčajne na internete. Príklady bezpečných sietí VPN sú: IPSec, PPTP.

    • Dôvera

    Používajú sa v prípadoch, keď prenosové médium možno považovať za spoľahlivé a je potrebné len vyriešiť problém vytvorenia virtuálnej podsiete v rámci väčšia sieť. Bezpečnostné otázky sa stávajú irelevantnými. Príklady takýchto VPN riešení sú: Multi-protocol label switching (L2TP (Layer 2 Tunneling Protocol) (presnejšie tieto protokoly presúvajú bezpečnostnú úlohu na iné, napr. L2TP sa zvyčajne používa v spojení s IPSec).

    Spôsobom implementácie

    • Vo forme špeciálneho softvéru a hardvéru

    Implementácia siete VPN sa vykonáva pomocou špeciálnej sady softvéru a hardvéru. Táto implementácia poskytuje vysoký výkon a spravidla vysoký stupeň bezpečnosť.

    • Ako softvérové ​​riešenie

    Používajú osobný počítač so špeciálnym softvérom, ktorý poskytuje funkčnosť VPN.

    • Integrované riešenie

    Funkcionalitu VPN zabezpečuje komplex, ktorý rieši aj úlohy filtrovania sieťová prevádzka, organizovanie firewallu a zabezpečenie kvality služieb.

    Podľa dohody

    Používajú sa na spojenie niekoľkých distribuovaných pobočiek jednej organizácie do jednej zabezpečenej siete, pričom si vymieňajú údaje prostredníctvom otvorených komunikačných kanálov.

    • Vzdialený prístup VPN

    Používa sa na vytvorenie zabezpečeného kanála medzi segmentom podnikovej siete (centrálna kancelária alebo pobočka) a jedným používateľom, ktorý sa pri práci doma pripája k podnikových zdrojov s domáci počítač, firemný notebook, smartfón alebo internetový kiosk.

    • Extranet VPN

    Používa sa pre siete, ku ktorým sa pripájajú „externí“ používatelia (napríklad zákazníci alebo klienti). Úroveň dôvery v nich je oveľa nižšia ako u zamestnancov spoločnosti, preto je potrebné poskytnúť špeciálne „hranice“ ochrany, ktoré im bránia alebo obmedzujú prístup k obzvlášť cenným dôverným informáciám.

    • Internet VPN

    Používa sa na poskytovanie prístupu na internet poskytovateľmi.

    • Klient/Server VPN

    Zabezpečuje ochranu prenášaných dát medzi dvoma uzlami (nie sieťami) podnikovej siete. Zvláštnosťou tejto možnosti je, že VPN je postavená medzi uzlami, ktoré sa zvyčajne nachádzajú v rovnakom segmente siete, napríklad medzi pracovná stanica a server. Takáto potreba veľmi často vzniká v prípadoch, keď je potrebné vytvoriť niekoľko logické siete. Napríklad, keď je potrebné rozdeliť prevádzku medzi finančné oddelenie a oddelenie ľudských zdrojov, prístup k serverom umiestneným v rovnakom fyzickom segmente. Táto možnosť je podobná technológii VLAN, ale namiesto oddelenia prevádzky je šifrovaná.

    Podľa typu protokolu

    Existujú implementácie virtuálnych privátnych sietí pod TCP/IP, IPX a AppleTalk. Dnes však existuje trend k všeobecnému prechodu na protokol TCP / IP a veľká väčšina riešení VPN ho podporuje.

    Podľa úrovne sieťového protokolu

    Podľa vrstvy sieťového protokolu na základe mapovania na vrstvy referenčného modelu siete ISO/OSI.

    Príklady VPN

    Mnoho významných poskytovateľov ponúka svoje služby VPN pre firemných zákazníkov.

    Literatúra

    • Ivanov M. A. Kryptografické metódy ochrana informácií v počítačové systémy a siete. - M.: KUDITS-OBRAZ, 2001. - 368 s.
    • Kulgin M. Technológie podnikových sietí. Encyklopédia. - Petrohrad: Peter, 2000. - 704 s.
    • Oliver V. G., Olifer N. A. Počítačové siete. Princípy, technológie, protokoly: Učebnica pre vysoké školy. - Petrohrad: Peter, 2001. - 672 s.
    • Romanets Yu. V., Timofeev PA, Shangin VF Ochrana informácií v počítačových systémoch a sieťach. 2. vyd. - M: Rádio a komunikácia, 2002. -328 s.
    • Stallingy V. Základy ochrany siete. Aplikácie a štandardy = Základy bezpečnosti siete. Aplikácie a normy. - M.: "Williams", 2002. - S. 432. - ISBN 0-13-016093-8
    • Produkty virtuálnej súkromnej siete [ Elektronický dokument] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
    • Anita Karve Real virtuálne príležitosti//LAN. - 1999.- č. 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
    • Odpoveď Linuxu na MS-PPTP [elektronický dokument] / Peter Gutmann. – http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
    • Joel Snyder VPN: zdieľaný trh // Siete. - 1999.- č. 11 http://www.citforum.ru/nets/articles/vpn.shtml
    • VPN Primer [elektronický dokument] – www.xserves.com/downloads/anexgate/VPNPrimer.pdf
    • PKI alebo PGP? [Elektronický dokument] / Natalya Sergeeva. - http://www.citforum.ru/security/cryptography/pki_pgp/
    • IPSec - protokol na ochranu sieťovej prevádzky na úrovni IP [Elektronický dokument] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
    • OpenVPN FAQ [elektronický dokument] - http://openvpn.net/faq.html
    • Účel a štruktúra šifrovacích algoritmov [Elektronický dokument] / Panasenko Sergey. - http://www.ixbt.com/soft/alg-encryption.shtml
    • O modernej kryptografii [Elektronický dokument] / V. M. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
    • Úvod do kryptografie / Ed. V. V. Jaščenko. - M.: MTsNMO, 2000. - 288 z http://www.citforum.ru/security/cryptography/yaschenko/
    • Bezpečnostné úskalia v kryptografii [Elektronický dokument] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
    • IPSec: všeliek alebo nútené opatrenie? [Elektronický dokument] / Jevgenij Patij. - http://citforum.ru/security/articles/ipsec_standard/
    • VPN a IPSec na dosah ruky [Elektronický dokument] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
    • Rámec pre virtuálne súkromné ​​siete založené na IP [elektronický dokument] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
    • OpenVPN a revolúcia SSL VPN [elektronický dokument] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
    • Markus Feilner Virtuálne privátne siete novej generácie // LAN.- 2005.- č. 11
    • Čo je SSL [Elektronický dokument] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
    • Kryptoanalýza rozšírení overovania PPTP od spoločnosti Microsoft (MS-CHAPv2) [elektronický dokument] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
    • Technické špecifikácie protokolu Point to Point Tunneling Protocol (PPTP) [Elektronický dokument] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. – http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
    • Ryan Norman Výber protokolu VPN // Windows IT Pro. - 2001. - č. 7 http://www.osp.ru/win2000/2001/07/010.htm
    • MPLS: nový poriadok v sieťach IP? [Elektronický dokument] / Tom Nolle. - http://www.emanual.ru/get/3651/
    • Layer Two Tunneling Protocol "L2TP" [Elektronický dokument] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
    • Alexey Lukatsky Neznáma VPN // Computer Press. - 2001. - č. 10 http://abn.ru/inf/compress/network4.shtml
    • Prvá tehla v stene Prehľad VPN zariadenia VPN základnej úrovne [Elektronický dokument] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
    • Prehľad hardvéru VPN [elektronický dokument] – http://www.networkaccess.ru/articles/security/vpn_hardware/
    • Čisto hardvérové ​​VPN riadia testy vysokej dostupnosti [elektronický dokument] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
    • VPN: Typ VPN [elektronický dokument] – http://www.vpn-guide.com/type_of_vpn.htm
    • KAME FAQ [elektronický dokument] – http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
    • Vlastnosti ruského trhu VPN [elektronický dokument] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
    • Domáce prostriedky budovania virtuálnych privátnych sietí [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenicyn, S. Seleznev, D. Shepelyavy
    • Sergey Petrenko Bezpečná virtuálna privátna sieť: moderný pohľad na ochranu dôverných údajov // Internet World. - 2001. - č.2

    Virtuálna privátna sieť je virtuálna privátna sieť, ktorá sa používa na zabezpečenie bezpečného pripojenia v rámci podnikových pripojení a prístupu na internet. Hlavnou výhodou VPN je vysoká bezpečnosť vďaka šifrovaniu internej prevádzky, čo je dôležité pri prenose dát.

    Čo je pripojenie VPN

    Mnoho ľudí sa pri konfrontácii s touto skratkou pýta: VPN - čo to je a prečo je to potrebné? Táto technológia otvára možnosť vytvoriť sieťové pripojenie nad druhým. VPN funguje v niekoľkých režimoch:

    • uzol-sieť;
    • sieť-sieť;
    • uzol-uzol.

    Organizácia privátnej virtuálnej siete na úrovniach siete umožňuje použitie protokolov TCP a UDP. Všetky údaje, ktoré prechádzajú počítačmi, sú šifrované. Ide o dodatočnú ochranu vášho pripojenia. Existuje veľa príkladov, ktoré vysvetľujú, čo je pripojenie VPN a prečo by ste ho mali používať. Nižšie bude podrobne popísaný táto otázka.

    Prečo potrebujete VPN

    Každý poskytovateľ je schopný poskytnúť na požiadanie príslušných orgánov protokoly o aktivitách používateľov. Vaša internetová spoločnosť zaznamenáva všetky aktivity, ktoré ste vykonali v sieti. To pomáha zbaviť poskytovateľa akejkoľvek zodpovednosti za úkony, ktoré klient vykonal. Existuje mnoho situácií, v ktorých musíte chrániť svoje údaje a získať slobodu, napríklad:

    1. Služba VPN sa používa na odosielanie dôverných firemných údajov medzi pobočkami. To pomáha chrániť dôležitá informácia z odpočúvania.
    2. Ak potrebujete obísť viazanie služby podľa geografickej oblasti. Napríklad služba Yandex Music je dostupná iba pre obyvateľov Ruska a obyvateľov bývalých krajín SNŠ. Ak ste rusky hovoriaci obyvateľ Spojených štátov, nebudete môcť počúvať nahrávky. Služba VPN vám pomôže obísť tento zákaz nahradením sieťovej adresy ruskou.
    3. Skryť návštevy stránok od poskytovateľa. Nie každý je pripravený zdieľať svoje aktivity na internete, a tak si svoje návštevy ochráni pomocou VPN.

    Ako funguje VPN

    Keď použijete iný kanál VPN, vaša IP adresa bude patriť do krajiny, kde sa nachádza táto zabezpečená sieť. Po pripojení sa medzi serverom VPN a vaším počítačom vytvorí tunel. Potom bude v protokoloch (záznamoch) poskytovateľa súbor nezrozumiteľné postavy. Analýza dát špeciálny program neprinesie výsledky. Ak túto technológiu nepoužívate, protokol HTTP okamžite označí, na ktorú stránku sa pripájate.

    Štruktúra VPN

    Toto spojenie pozostáva z dvoch častí. Prvá sa nazýva „interná“ sieť, môžete si ich vytvoriť niekoľko. Druhým je „externý“, prostredníctvom ktorého dochádza k zapuzdrenému pripojeniu, spravidla sa používa internet. Do siete je možné pripojiť aj jeden počítač. Používateľ je pripojený ku konkrétnej VPN cez prístupový server pripojený súčasne k externej a internej sieti.

    Keď program VPN pripojí vzdialeného používateľa, server vyžaduje, aby prešiel dvoma dôležitými procesmi: najprv identifikácia, potom autentifikácia. Je to potrebné na získanie práv na používanie tohto pripojenia. Ak ste úspešne prešli týmito dvoma fázami, vaša sieť je posilnená, čo otvára možnosti práce. V podstate ide o autorizačný proces.

    Klasifikácia VPN

    Existuje niekoľko typov virtuálnych privátnych sietí. Existujú možnosti pre stupeň zabezpečenia, spôsob implementácie, úroveň práce podľa modelu ISO / OSI, príslušný protokol. Môžete použiť platený prístup alebo bezplatnú službu VPN od spoločnosti Google. Na základe stupňa zabezpečenia môžu byť kanály „zabezpečené“ alebo „dôveryhodné“. Tieto sú potrebné, ak má samotné pripojenie požadovanú úroveň ochrany. Na usporiadanie prvej možnosti by sa mali použiť tieto technológie:

    • PPTP
    • OpenVPN;
    • IPSec.

    Ako vytvoriť server VPN

    Pre všetkých používateľov počítačov existuje spôsob, ako pripojiť VPN sami. Nižšie je uvedená možnosť pre operačný systém Windows. Táto príručka neposkytuje informácie o použití dodatočného softvéru. Nastavenie sa vykonáva nasledovne:

    1. Ak chcete vytvoriť nové pripojenie, musíte otvoriť panel zobrazenia prístup k sieti. Začnite písať do vyhľadávania slová "Sieťové pripojenia".
    2. Stlačte tlačidlo "Alt", kliknite na sekciu "Súbor" v ponuke a vyberte "Nové prichádzajúce pripojenie".
    3. Potom nastavte používateľa, ktorému bude udelené pripojenie VPN k tomuto počítaču (ak máte iba jedno účtu na PC si preň musíte vytvoriť heslo). Nainštalujte vtáka a kliknite na tlačidlo "Ďalej".
    4. Ďalej budete vyzvaní na výber typu pripojenia, môžete nechať začiarknutie pred "Internet".
    5. Ďalším krokom je povoliť sieťové protokoly, ktoré budú fungovať na tejto VPN. Začiarknite všetky políčka okrem druhého. V IPv4 môžete voliteľne nastaviť konkrétnu IP, DNS brány a porty, ale je jednoduchšie nechať automatické priraďovanie.
    6. Keď kliknete na tlačidlo „Povoliť prístup“, operačný systém sám vytvorí server a zobrazí okno s názvom počítača. Budete ho potrebovať na pripojenie.
    7. Tým sa dokončí vytvorenie domáceho servera VPN.

    Ako nastaviť VPN v systéme Android

    Vyššie opísaná metóda bola, ako vytvoriť pripojenie VPN osobný počítač. Mnohí však už dlho vykonávajú všetky akcie pomocou telefónu. Ak neviete, čo je to VPN v systéme Android, potom všetky vyššie uvedené fakty tento typ pripojenia platia aj pre smartfón. Konfigurácia moderných zariadení poskytuje pohodlné používanie internetu pri vysokej rýchlosti. V niektorých prípadoch (na spúšťanie hier, otváranie stránok) používajú proxy substitúciu alebo anonymizátory, ale pre stabilné a rýchle VPN pripojenia sedí lepšie.

    Ak už chápete, čo je sieť VPN v telefóne, môžete prejsť priamo k vytvoreniu tunela. Môžete to urobiť na akomkoľvek zariadení so systémom Android. Spojenie sa vykonáva takto:

    1. Prejdite do sekcie nastavení, kliknite na sekciu "Sieť".
    2. Vyhľadajte položku s názvom " Ďalšie nastavenia“ a prejdite do sekcie „VPN“. Ďalej budete potrebovať PIN kód alebo heslo, ktoré odomkne možnosť vytvorenia siete.
    3. Ďalším krokom je pridanie pripojenia VPN. Zadajte názov do poľa "Server", názov do poľa "používateľské meno", nastavte typ pripojenia. Klepnite na tlačidlo „Uložiť“.
    4. Potom sa v zozname zobrazí nové pripojenie, ktoré môžete použiť na zmenu štandardného pripojenia.
    5. Na obrazovke sa zobrazí ikona označujúca, že pripojenie je dostupné. Ak naň klepnete, zobrazí sa vám štatistika prijatých/prenesených údajov. Tu môžete tiež vypnúť pripojenie VPN.

    Video: Bezplatná služba VPN



Načítava...
Hore