Концепція віртуальної мережі. VPN - що це і навіщо потрібно

Інтернет все частіше використовується як засіб комунікації між комп'ютерами, оскільки він пропонує ефективний і недорогий зв'язок. Однак Інтернет є мережею загального користування і для того, щоб забезпечувати безпечну комунікацію через нього, потрібен якийсь механізм, що задовольняє як мінімум наступним завданням:

    конфіденційність інформації;

    цілісність даних;

    доступність інформації;

Цим вимогам задовольняє механізм, названий VPN (Virtual Private Network – віртуальна приватна мережа) – узагальнена назва технологій, що дозволяють забезпечити одне або кілька мережевих з'єднань (логічну мережу) поверх іншої мережі (наприклад, Інтернет) з використанням засобів криптографії (шифрування, аутентифікації, інфраструктури) відкритих ключів, засобів для захисту від повторів і змін повідомлень, що передаються по логічній мережі).

Створення VPN не вимагає додаткових інвестицій і дозволяє відмовитись від використання виділених ліній. Залежно від застосовуваних протоколів та призначення, VPN може забезпечувати з'єднання трьох видів: хост-хост, хост-мережа та мережа-мережа.

Для наочності представимо наступний приклад: підприємство має кілька територіально віддалених філій та "мобільних" співробітників, які працюють удома або в роз'їзді. Необхідно об'єднати всіх працівників підприємства на єдину мережу. Найпростіший спосіб - це поставити модеми в кожній філії та організовувати зв'язок у міру необхідності. Таке рішення, однак, не завжди зручне і вигідне - часом потрібний постійний зв'язок і велика пропускна здатність. Для цього доведеться або прокладати виділену лінію між філіями або орендувати їх. І те, й інше досить дорого. І тут як альтернатива при побудові єдиної захищеної мережі можна застосовувати VPN-підключення всіх філій фірми через Інтернет та настроювання VPN-засобів на хостах мережі.

Рис. 6.4. VPN-з'єднання типу мережа-мережа

Рис. 6.5. VPN-з'єднання типу хост-мережа

У цьому випадку вирішуються багато проблем - філії можуть розташовуватися де завгодно по всьому світу.

Небезпека тут у тому, що, по-перше, відкрита мережадоступна для атак із боку зловмисників усього світу. По-друге, по Інтернету всі дані передаються у відкритому вигляді, і зловмисники, зламавши мережу, будуть мати всю інформацію, що передається по мережі. І, по-третє, дані можуть бути не лише перехоплені, а й замінені у процесі передачі через мережу. Зловмисник може, наприклад, порушити цілісність баз даних, діючи від імені клієнтів однієї з довірених філій.

Щоб цього не сталося, у рішеннях VPN використовуються такі засоби, як шифрування даних для забезпечення цілісності та конфіденційності, автентифікація та авторизація для перевірки прав користувача та дозволу доступу до віртуальної приватної мережі.

З'єднання VPN завжди складається з каналу типу точка-точка, також відомого під назвою тунель. Тунель створюється в незахищеній мережі, якою найчастіше виступає Інтернет.

Тунелювання (tunneling) чи інкапсуляція (encapsulation) – це спосіб передачі корисної інформації через проміжну мережу. Такою інформацією може бути кадри (або пакети) іншого протоколу. При інкапсуляції кадр не передається у тому вигляді, в якому він був згенерований хостом-відправником, а забезпечується додатковим заголовком, що містить інформацію про маршрут, що дозволяє інкапсульованих пакетів проходити через проміжну мережу (Інтернет). На кінці тунелю кадри деінкапсулюються та передаються одержувачу. Як правило, тунель створюється двома прикордонними пристроями, які розміщені в точках входу в публічну мережу. Одним з явних переваг тунелювання є те, що дана технологія дозволяє зашифрувати вихідний пакет повністю, включаючи заголовок, в якому можуть знаходитися дані, що містять інформацію, яку зловмисники використовують для злому мережі (наприклад, IP-адреси, кількість підмереж і т.д.) .

Хоча VPN тунель встановлюється між двома точками, кожен вузол може встановлювати додаткові тунелі з іншими вузлами. Наприклад, коли трьом віддаленим станціям необхідно зв'язатися з тим самим офісом, буде створено три окремих VPN-тунелі до цього офісу. Для всіх тунелів вузол на стороні офісу може бути одним і тим самим. Це можливо завдяки тому, що вузол може шифрувати та розшифровувати дані від імені всієї мережі, як це показано на малюнку:

Рис. 6.6.Створення VPN-тунелів для кількох віддалених точок

Користувач встановлює з'єднання з VPN-шлюзом, після чого користувачеві відкривається доступ до внутрішньої мережі.

Усередині приватної мережі самого шифрування немає. Причина в тому, що ця частина мережі вважається безпечною та перебуває під безпосереднім контролем у протилежність до Інтернету. Це справедливо і при з'єднанні офісів за допомогою VPN-шлюзів. Таким чином, гарантується шифрування тільки інформації, яка передається по небезпечному каналу між офісами.

Існує безліч різних рішень для побудови приватних віртуальних мереж. Найбільш відомі та широко використовувані протоколи – це:

    PPTP (Point-to-Point Tunneling Protocol) – цей протокол став досить популярним завдяки його включенню до операційних систем фірми Microsoft.

    L2TP (Layer-2 Tunneling Protocol) – поєднує у собі протокол L2F (Layer 2 Forwarding) і PPTP. Як правило, використовується в парі з IPSec.

    IPSec (Internet Protocol Security) – офіційний Інтернет-стандарт, розроблений спільнотою IETF (Internet Engineering Task Force).

Перелічені протоколи підтримуються пристроями D-Link.

Протокол PPTP, в першу чергу, призначений для приватних віртуальних мереж, заснованих на комутованих з'єднаннях. Протокол дозволяє організувати віддалений доступ, завдяки чому користувачі можуть встановлювати з'єднання з Інтернет-провайдерами, що комутуються, і створювати захищений тунель до своїх корпоративних мереж. На відміну від IPSec, протокол PPTP спочатку не призначався для організації тунелів між локальними мережами. PPTP розширює можливості PPP - протоколу, розташованого на канальному рівні, який спочатку був розроблений для інкапсуляції даних та їх доставки за з'єднаннями типу точка-точка.

Протокол PPTP дозволяє створювати захищені канали обмінюватись даними з різних протоколів – IP, IPX, NetBEUI та інших. Дані цих протоколів упаковуються у кадри PPP, інкапсулюються з допомогою протоколу PPTP в пакети протоколу IP. Далі вони переносяться за допомогою IP у зашифрованому вигляді через будь-яку мережу TCP/IP. Приймаючий вузол витягує з пакетів IP кадри PPP, та був обробляє їх стандартним способом, тобто. витягує з кадру PPP пакет IP, IPX або NetBEUI та відправляє його через локальну мережу. Таким чином, протокол PPTP створює з'єднання точка-точка в мережі і створеним захищеним каналом передає дані. Основна перевага таких інкапсулюючих протоколів, як PPTP – це їхня багатопротокольність. Тобто. захист даних на канальному рівні є прозорим для протоколів мережного та прикладного рівнів. Тому всередині мережі як транспорт можна використовувати як протокол IP (як у випадку VPN, заснованого на IPSec), так і будь-який інший протокол.

В даний час за рахунок легкості реалізації протокол PPTP широко використовується як для отримання надійного захищеного доступу до корпоративної мережі, так і для доступу до мереж Інтернет-провайдерів, коли клієнту потрібно встановити з'єднання PPTP з Інтернет-провайдером для отримання доступу в Інтернет.

Метод шифрування, який застосовується в PPTP, специфікується лише на рівні PPP. Зазвичай як клієнт PPP виступає настільний комп'ютерз операційною системою Microsoft, а як протокол шифрування використовується протокол Microsoft Point-to-Point Encryption (MPPE). Цей протокол ґрунтується на стандарті RSA RC4 і підтримує 40- або 128-розрядне шифрування. Для багатьох програм такого рівня шифрування використання даного алгоритму цілком достатньо, хоча він і вважається менш надійним, ніж ряд інших алгоритмів шифрування, запропонованих IPSec, зокрема, 168-розрядний Triple-Data Encryption Standard (3DES).

Як відбувається встановлення з'єднанняPPTP?

PPTP інкапсулює пакети IP для передачі через IP-мережі. Клієнти PPTP створюють з'єднання, що керує тунелем, яке забезпечує працездатність каналу. Цей процес виконується на транспортному рівні моделі OSI. Після створення тунелю комп'ютер-клієнт та сервер розпочинають обмін службовими пакетами.

На додачу до керуючого з'єднання PPTP створюється з'єднання для пересилання даних тунелю. Інкапсуляція даних перед відправкою тунель включає два етапи. Спершу створюється інформаційна частина PPP-кадра. Дані проходять зверху донизу, від прикладного рівня OSI до канального. Потім отримані дані відправляються вгору моделі OSI і інкапсулюються протоколами верхніх рівнів.

Дані канального рівня досягають транспортного рівня. Однак інформація не може бути надіслана за призначенням, оскільки відповідає канальний рівень OSI. Тому PPTP шифрує поле корисного навантаження пакета і бере на себе функції другого рівня, що зазвичай належать PPP, тобто додає до PPTP-пакету PPP-заголовок (header) та закінчення (trailer). У цьому створення кадру канального рівня закінчується. Далі PPTP інкапсулює PPP-кадр у пакет Generic Routing Encapsulation (GRE), який належить мережному рівню. GRE інкапсулює протоколи мережного рівня, наприклад IP, IPX, щоб забезпечити можливість їх передачі через IP-мережі. Проте застосування лише GRE-протоколу не забезпечить встановлення сесії та безпеку даних. Для цього використовується здатність PPTP створювати з'єднання для керування тунелем. Застосування GRE як метод інкапсуляції обмежує поле дії PPTP лише мережами IP.

Після того як кадр PPP був інкапсульований у кадр із заголовком GRE, виконується інкапсуляція у кадр з IP-заголовком. IP-заголовок містить адреси відправника та одержувача пакета. На закінчення PPTP додає PPP заголовок та закінчення.

На Рис. 6.7показана структура даних для пересилання тунелем PPTP:

Рис. 6.7.Структура даних для пересилки тунелем PPTP

Для організації VPN на основі PPTP не потрібні великі витрати та складні налаштування: достатньо встановити в центральному офісі сервер PPTP (рішення PPTP існують як для Windows, так і для Linux платформ), а на клієнтських комп'ютерах виконати необхідні налаштування. Якщо ж потрібно об'єднати кілька філій, то замість налаштування PPTP на всіх станціях клієнтів краще скористатися Інтернет-маршрутизатором або міжмережевим екраном з підтримкою PPTP: налаштування здійснюються тільки на прикордонному маршрутизаторі (міжмережевому екрані), підключеному до Інтернету, для користувачів все абсолютно прозоро. Прикладом таких пристроїв можуть бути багатофункціональні Інтернет-маршрутизатори серії DIR/DSR та міжмережеві екрани серії DFL.

GRE-тунелі

Generic Routing Encapsulation (GRE) – протокол інкапсуляції мережевих пакетів, що забезпечує тунелювання трафіку через мережі без шифрування. Приклади використання GRE:

    передача трафіку (у тому числі широкомовного) через обладнання, що не підтримує певного протоколу;

    тунелювання IPv6-трафіку через мережу IPv4;

    передача даних через громадські мережі для реалізації захищеного VPN-з'єднання.

Рис. 6.8.Приклад роботи GRE-тунелю

Між двома маршрутизаторами A та B ( Рис. 6.8) знаходиться кілька маршрутизаторів, GRE-тунель дозволяє забезпечити з'єднання між локальними мережами 192.168.1.0/24 і 192.168.3.0/24 так, як якщо маршрутизатори A і B були підключені безпосередньо.

L2 TP

Протокол L2TP з'явився об'єднання протоколів PPTP і L2F. Головне достоїнство протоколу L2TP у цьому, що дозволяє створювати тунель у мережах IP, а й у мережах ATM, X.25 і Frame relay. L2TP застосовує як транспорт протокол UDP і використовує однаковий формат повідомлень як для управління тунелем, так і для пересилання даних.

Як і у випадку з PPTP, L2TP починає складання пакета для передачі в тунель з того, що до поля інформаційних даних PPP додається спочатку заголовок PPP, потім заголовок L2TP. Отриманий у такий спосіб пакет інкапсулюється UDP. Залежно від вибраного типу політики безпеки IPSec, L2TP може шифрувати UDP-повідомлення та додавати до них заголовок та закінчення Encapsulating Security Payload (ESP), а також закінчення IPSec Authentication (див. розділ "L2TP over IPSec"). Потім проводиться інкапсуляція в ІР. Додається IP-заголовок, що містить адреси відправника та одержувача. На завершення L2TP виконує другу PPP-інкапсуляцію для підготовки даних до передачі. На Рис. 6.9показана структура даних для пересилання тунелем L2TP.

Рис. 6.9.Структура даних для пересилання тунелем L2TP

Комп'ютер-одержувач приймає дані, обробляє заголовок та закінчення PPP, прибирає заголовок IP. За допомогою IPSec Authentication проводиться автентифікація інформаційного поля IP, а ESP-заголовок IPSec допомагає розшифрувати пакет.

Далі комп'ютер обробляє заголовок UDP та використовує заголовок L2TP для ідентифікації тунелю. Пакет PPP тепер містить лише корисні дані, які обробляються або надсилаються вказаному одержувачу.

IPsec (скорочення від IP Security) – набір протоколів для забезпечення захисту даних, що передаються міжсетевим протоколом IP, дозволяє здійснювати підтвердження справжності та/або шифрування IP-пакетів. IPsec також включає протоколи для захищеного обміну ключами в мережі Інтернет.

Безпека IPSec досягається рахунок додаткових протоколів, додають до IP-пакету власні заголовки – інкапсуляції. Т.к. IPSec – стандарт Інтернет, то для нього є документи RFC:

    RFC 2401 (Security Architecture for the Internet Protocol) – архітектура захисту протоколу IP.

    RFC 2402 (IP Authentication header) – автентифікаційний заголовок IP.

    RFC 2404 (The Use of HMAC-SHA-1-96 with ESP and AH) – використання алгоритму хешування SHA-1 для створення аутентифікаційного заголовка.

    RFC 2405 (ESP DES-CBC Cipher Algorithm With Explicit IV) – використання алгоритму шифрування DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - Шифрування даних.

    RFC 2407 (Internet Internet Security Domain of Interpretation for ISAKMP) – область застосування протоколу управління ключами.

    RFC 2408 ( Internet Security Association and Key Management Protocol (ISAKMP) – керування ключами та автентифікаторами захищених з'єднань.

    RFC 2409 (ІКЕ) - обмін ключами.

    RFC 2410 - нульовий алгоритм шифрування та його використання.

    RFC 2411 (IP Security Document Roadmap) - розвиток стандарту.

    RFC 2412 (The OAKLEY Key Determination Protocol) – перевірка автентичності ключа.

IPsec є невід'ємною частиною Інтернет-протоколу IPv6 та необов'язковим розширенням версії Інтернет-протоколу IPv4.

Механізм IPSec вирішує такі завдання:

    аутентифікацію користувачів або комп'ютерів під час ініціалізації захищеного каналу;

    шифрування та автентифікацію даних, що передаються між кінцевими точками захищеного каналу;

    автоматичне постачання кінцевих точок каналу секретними ключами, необхідними роботи протоколів аутентифікації і шифрування даних.

Компоненти IPSec

Протокол AH (Authentication Header) – протокол ідентифікації заголовка. Забезпечує цілісність шляхом перевірки того, що жоден біт в частині пакета, що захищається, не був змінений під час передачі. Але використання AH може викликати проблеми, наприклад, при проходженні пакета через пристрій NAT. NAT змінює IP-адресу пакета, щоб дозволити доступ до Інтернету із закритої локальної адреси. Т.к. пакет у такому разі зміниться, то контрольна сума AH стане невірною (для усунення цієї проблеми розроблено протокол NAT-Traversal (NAT-T), що забезпечує передачу ESP через UDP та використовує у своїй роботі порт UDP 4500). Також слід зазначити, що AH розроблявся лише задля забезпечення цілісності. Він не гарантує конфіденційності шляхом шифрування вмісту пакета.

Протокол ESP (Encapsulation Security Payload) забезпечує не тільки цілісність і аутентифікацію даних, що передаються, але ще й шифрування даних, а також захист від помилкового відтворення пакетів.

Протокол ESP – інкапсулюючий протокол безпеки, який забезпечує цілісність і конфіденційність. У режимі транспорту ESP-заголовок знаходиться між вихідним IP-заголовком та заголовком TCP або UDP. У режимі тунелю ESP-заголовок розміщується між новим IP-заголовком та повністю зашифрованим вихідним IP-пакетом.

Т.к. обидва протоколи - AH і ESP - додають власні заголовки IP, кожен з них має свій номер (ID) протоколу, за яким можна визначити, що слідує за IP-заголовком. Кожен протокол, згідно з IANA (Internet Assigned Numbers Authority – організація, відповідальна за адресний простір мережі Інтернет), має власний номер (ID). Наприклад, для TCP цей номер дорівнює 6, а для UDP – 17. Тому дуже важливо під час роботи через міжмережевий екран налаштувати фільтри таким чином, щоб пропускати пакети з ID AH та/або ESP протоколу.

Щоб вказати, що у заголовку IP присутній AH, встановлюється ID протоколу 51, а ESP – номер 50.

УВАГА: ID протоколу не те саме, що номер порту.

Протокол IKE (Internet Key Exchange) – стандартний протокол IPsec, який використовується для забезпечення безпеки взаємодії у приватних віртуальних мережах. Призначення IKE – захищене узгодження та доставка ідентифікованого матеріалу для асоціації безпеки (SA).

SA – це термін IPSec для позначення з'єднання. Встановлений SA (захищений канал, званий "безпечною асоціацією" або "асоціацією безпеки" - Security Association, SA) включає секретний ключ і набір криптографічних алгоритмів.

Протокол IKE виконує три основні завдання:

    забезпечує засоби аутентифікації між двома кінцевими точками VPN;

    встановлює нові зв'язки IPSec (створює пару SA);

    керує існуючими зв'язками.

IKE використовує порт UDP з номером 500. При використанні функції NAT Traversal, як згадувалося раніше, протокол IKE використовує порт UDP з номером 4500.

Обмін даними в IKE відбувається у 2 фази. У першій фазі встановлюється асоціація SA IKE. При цьому виконується аутентифікація кінцевих точок каналу та вибираються параметри захисту даних, такі як алгоритм шифрування, сесійний ключ та ін.

У другій фазі SA IKE використовується узгодження протоколу (зазвичай IPSec).

При настроєному VPN-туннелі для кожного протоколу створюється одна пара SA. SA створюються парами, т.к. кожна SA – це односпрямоване з'єднання, а дані необхідно передавати у двох напрямках. Отримані пари SA зберігаються кожному вузлі.

Оскільки кожен вузол здатний встановлювати кілька тунелів коїться з іншими вузлами, кожен SA має унікальний номер, що дозволяє визначити, якого вузла він належить. Цей номер називається SPI (Security Parameter Index) або індекс параметра безпеки.

SA зберігатися у базі даних (БД) SAD(Security Association Database).

Кожен вузол IPSec також має другу БД – SPD(Security Policy Database) - БД політики безпеки. Вона містить налаштовану політику вузла. Більшість VPN-рішень дозволяють створення кількох політик з комбінаціями відповідних алгоритмів для кожного вузла, з яким необхідно встановити з'єднання.

Гнучкість IPSec полягає в тому, що для кожного завдання пропонується кілька способів її вирішення, і методи, вибрані для одного завдання, зазвичай не залежать від методів реалізації інших завдань. Разом з тим, робоча група IETF визначила базовий набір підтримуваних функцій та алгоритмів, який має бути однотипно реалізований у всіх продуктах, що підтримують IPSec. Механізми AH та ESP можуть використовуватися з різними схемами аутентифікації та шифрування, деякі з яких є обов'язковими. Наприклад, IPSec визначається, що пакети аутентифікуються або за допомогою односторонньої функції MD5, або за допомогою односторонньої функції SHA-1, а шифрування здійснюється з використанням алгоритму DES. Виробники продуктів, в яких працює IPSec, можуть додавати інші алгоритми аутентифікації та шифрування. Наприклад, деякі продукти підтримують такі алгоритми шифрування, як 3DES, Blowfish, Cast, RC5 та ін.

Для шифрування даних IPSec може бути застосований будь-який симетричний алгоритм шифрування, що використовує секретні ключі.

Протоколи захисту потоку, що передається (AH і ESP) можуть працювати у двох режимах – в транспортному режиміі в режимі тунелювання. Працюючи у транспортному режимі IPsec працює лише з інформацією транспортного рівня, тобто. шифрується лише поле даних пакета, що містить протоколи TCP/UDP (заголовок IP-пакету не змінюється (не шифрується)). Транспортний режим зазвичай використовується для встановлення з'єднання між хостами.

У режимі тунелювання шифрується весь IP пакет, включаючи заголовок мережного рівня. Щоб його можна було передати по мережі, він поміщається в інший IP-пакет. Фактично, це захищений IP-тунель. Тунельний режим може використовуватися для підключення віддалених комп'ютерів до приватної віртуальної мережі (схема підключення "хост-мережа") або для організації безпечної передачі даних через відкриті канали зв'язку (наприклад, Інтернет) між шлюзами для об'єднання різних частин віртуальної приватної мережі (схема підключення "мережа") -мережа").

Режими IPsec є взаємовиключними. На тому самому вузлі деякі SA можуть використовувати транспортний режим, інші – тунельний.

На фазі автентифікації обчислюється контрольна сума пакета ICV (Integrity Check Value). При цьому передбачається, що обидва вузли знають секретний ключ, який дозволяє одержувачу обчислити ICV і порівняти з результатом, надісланим відправником. Якщо порівняння ICV пройшло успішно, вважається, що відправник пакета автентифікований.

В режимі транспортуAH

    весь IP-пакет, за винятком деяких полів у заголовку IP, які можуть бути змінені під час передачі. Ці поля, значення яких для розрахунку ICV дорівнюють 0, можуть бути частиною служби (Type of Service, TOS), прапорами, зміщенням фрагмента, часом життя (TTL), а також заголовком контрольної суми;

    всі поля в AH;

    корисні дані пакетів IP.

AH у режимі транспорту захищає IP-заголовок (за винятком полів, для яких дозволені зміни) та корисні дані у вихідному IP-пакеті (рис. 3.39).

У тунельному режимі вихідний пакет міститься у новий IP-пакет, і передача даних виконується виходячи з заголовка нового IP-пакета.

Для тунельного режимуAHпри виконанні розрахунку контрольну суму ICV включаються такі компоненти:

    всі поля зовнішнього заголовка IP, крім деяких полів у заголовку IP, які можуть бути змінені під час передачі. Ці поля, значення яких для розрахунку ICV дорівнюють 0, можуть бути частиною служби (Type of Service, TOS), прапорами, зміщенням фрагмента, часом життя (TTL), а також заголовком контрольної суми;

    всі поля AH;

    вихідний IP-пакет.

Як видно з наступної ілюстрації, режим тунелювання AH захищає весь вихідний IP-пакет за рахунок додаткового зовнішнього заголовка, який в режимі транспорту AH не використовується:

Рис. 6.10.Тунельний та транспортний режими роботи протоколу АН

В режимі транспортуESPаутентифікує не весь пакет, а забезпечує захист лише корисних даних IP. Заголовок ESP в режимі транспорту ESP додається в IP-пакет відразу після заголовка IP, а закінчення ESP (ESP Trailer) відповідно додається після даних.

Режим транспорту ESP шифрує такі частини пакету:

    корисні дані IP;

Алгоритм шифрування, який використовує режим шифрування ланцюга блоків (Cipher Block Chaining, CBC), має незашифроване поле між заголовком ESP і корисним навантаженням. Це поле називається вектором ініціалізації IV (Initialization Vector) для розрахунку CBC, яке виконується на одержувачі. Оскільки це поле використовується для початку процесу розшифровки, воно не може бути зашифрованим. Незважаючи на те, що зловмисник має можливість перегляду IV, він ніяк не зможе розшифрувати зашифровану частину пакета без ключа шифрування. Для запобігання зловмисникам зміни вектора ініціалізації він охороняється контрольною сумою ICV. У цьому випадку ICV виконує такі розрахунки:

    всі поля у заголовку ESP;

    корисні дані, включаючи відкритий текст IV;

    всі поля в ESP Trailer, за винятком поля даних автентифікації.

Тунельний режим ESP інкапсулює весь вихідний IP-пакет у заголовок нового IP, заголовок ESP та ESP Trailer. Для того щоб вказати, що в заголовку IP є ESP, встановлюється ідентифікатор протоколу IP 50, причому вихідний заголовок IP і корисні дані залишаються без змін. Як і у випадку з тунельним режимом AH, зовнішній IP-заголовок базується на конфігурації тунелю IPSec. У разі використання тунельного режиму ESP область автентифікації IP-пакету показує, де було поставлено підпис, що засвідчує його цілісність та справжність, а зашифрована частина показує, що інформація є захищеною та конфіденційною. Вихідний заголовок міститься після заголовка ESP. Після того як зашифрована частина інкапсулюється в новий тунельний заголовок, який не зашифровується, здійснюється передача IP-пакета. При надсиланні через загальнодоступну мережу такий пакет маршрутизується на IP-адресу шлюзу мережі, а вже шлюз розшифровує пакет і відкидає заголовок ESP з використанням вихідного заголовка IP для подальшої маршрутизації пакета на комп'ютер, що знаходиться у внутрішній мережі. Режим тунелювання ESP шифрує такі частини пакета:

    вихідний IP-пакет;

  • Для тунельного режиму ESP розрахунок ICV проводиться так:

    всі поля у заголовку ESP;

    вихідний IP пакет, включаючи відкритий текст IV;

    всі поля заголовка ESP, за винятком поля даних автентифікації.

Рис. 6.11.Тунельний та транспортний режим протоколу ESP

Рис. 6.12.Порівняння протоколів ESP та AH

Резюме щодо застосування режимівIPSec:

    Протокол – ESP (AH).

    Режим – тунельний (транспортний).

    Спосіб обміну ключами – IKE (ручний).

    Режим IKE - main (aggressive).

    Ключ DH – group 5 (group 2, group 1) – номер групи на вибір динамічно створюваних ключів сеансу, довжина групи.

    Аутентифікація – SHA1 (SHA, MD5).

    Шифрування – DES (3DES, Blowfish, AES).

При створенні політики, як правило, можливе створення впорядкованого списку алгоритмів і груп Diffie-Hellman. Diffie-Hellman (DH) – протокол шифрування, який використовується для встановлення спільних секретних ключів для IKE, IPSec та PFS (Perfect Forward Secrecy – досконала пряма секретність). У такому випадку буде використано першу позицію, що збіглася на обох вузлах. Дуже важливо, щоб все в безпеці дозволяло досягти цього збігу. Якщо за винятком однієї частини політики решта збігається, вузли все одно не зможуть встановити з'єднання VPN. При настроюванні VPN-тунелю між різними системамиПотрібно з'ясувати, які алгоритми підтримуються кожною стороною, щоб була можливість вибору найбезпечнішої політики з усіх можливих.

Основні налаштування, які включає політика безпеки:

    Симетричні алгоритми шифрування/дешифрування даних.

    Криптографічні контрольні суми для перевірки цілісності даних.

    Спосіб ідентифікації вузла. Найпоширеніші способи – це встановлені ключі (pre-shared secrets) або сертифікати СА.

    Використовувати режим тунелю або транспорт.

    Яку використовувати групу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).

    Чи використовувати AH, ESP, або обидва разом.

    Чи використовувати PFS.

Обмеженням IPSec і те, що він підтримує лише передачу даних лише на рівні протоколу IP.

Існують дві основні схеми застосування IPSec, що відрізняються роллю вузлів, що утворюють захищений канал.

У першій схемі захищений канал утворюється між кінцевими хостами мережі. У цій схемі протокол IPSec захищає той вузол, на якому виконується:

Рис. 6.13.Створення захищеного каналу між двома кінцевими точками

У другій схемі захищений канал встановлюється між двома безпековими шлюзами. Ці шлюзи приймають дані від кінцевих хостів, підключених до мереж, що розташовані за шлюзами. Кінцеві хости в цьому випадку не підтримують протокол IPSec, трафік, що спрямовується до публічної мережі, проходить через шлюз безпеки, який захищає від свого імені.

Рис. 6.14.Створення захищеного каналу між двома шлюзами

Для хостів, що підтримують IPSec, можливе використання як транспортного, так і тунельного режимів. Для шлюзів дозволяється використовувати лише тунельний режим.

Встановлення та підтримкаVPN

Як згадувалося вище, встановлення та підтримка VPN-тунелю виконується у два етапи. На першому етапі (фазі) два вузли домовляються про метод ідентифікації, алгоритм шифрування, хеш-алгоритм і групу Diffie-Hellman. Вони також ідентифікують одне одного. Все це може пройти в результаті обміну трьома нешифрованими повідомленнями (так званий агресивний режим, Aggressive mode) або шістьма повідомленнями, з обміном зашифрованою інформацією про ідентифікацію (стандартний режим, Main mode).

У режимі Main Mode забезпечується можливість узгодження всіх параметрів конфігурації пристроїв відправника та одержувача, у той час як у режимі Aggressive Mode такої можливості немає, і деякі параметри (група Diffie-Hellman, алгоритми шифрування та аутентифікації, PFS) повинні бути заздалегідь однаково налаштовані на кожному пристрої. Однак, у цьому режимі менше і кількість обмінів, і кількість пакетів, що при цьому пересилаються, в результаті чого потрібно менше часу для установки сеансу IPSec.

Рис. 6.15.Обмін повідомленнями у стандартному (а) та агресивному (б) режимах

Припускаючи, що операція завершилася успішно, створюється SA першої фази. Phase 1 SA(також званий IKESA) і процес переходить до другої фази.

На другому етапі генеруються дані ключів, вузли домовляються про політику, що використовується. Цей режим, також званий швидким режимом (Quick mode), відрізняється від першої фази тим, що може встановити тільки після першого етапу, коли всі пакети другої фази шифруються. Правильне завершення другої фази призводить до появи Phase 2 SAабо IPSecSAі на цьому встановлення тунелю вважається завершеним.

Спочатку на вузол прибуває пакет з адресою призначення в іншій мережі, і вузол ініціює першу фазу з вузлом, який відповідає за іншу мережу. Допустимо, тунель між вузлами був успішно встановлений і чекає на пакети. Однак вузлам необхідно переідентифікувати один одного і порівняти політику за певний період часу. Цей період називається час життя Phase One або IKE SA lifetime.

Вузли також повинні змінити ключ для шифрування даних через час, який називається часом життя Phase Two або IPSec SA lifetime.

Phase Two lifetime коротше, ніж першої фази, т.к. ключ необхідно міняти частіше. Потрібно встановити однакові параметри часу життя для обох вузлів. Якщо цього не виконати, то можливий варіант, коли спочатку тунель буде встановлено успішно, але після першого неузгодженого проміжку часу життя зв'язок перерветься. Проблеми можуть виникнути і в тому випадку, коли час життя першої фази менший за аналогічний параметр другої фази. Якщо налаштований раніше тунель припиняє роботу, то перше, що потребує перевірки – це час життя на обох вузлах.

Ще слід зазначити, що при зміні політики на одному з вузлів зміни набудуть чинності лише за наступу настання першої фази. Щоб зміни набули чинності негайно, треба забрати SA для цього тунелю з бази даних SAD. Це призведе до перегляду угоди між вузлами з новими настройками політики безпеки.

Іноді при настроюванні IPSec-тунелю між обладнанням різних виробників виникають труднощі, пов'язані з узгодженням параметрів при встановленні першої фази. Слід звернути увагу на такий параметр, як Local ID – унікальний ідентифікатор кінцевої точки тунелю (відправника та одержувача). Особливо це важливо при створенні кількох тунелів та використанні протоколу NAT Traversal.

DeadPeerDetection

У процесі роботи VPN, за відсутності трафіку між кінцевими точками тунелю, або при зміні вихідних даних віддаленого вузла (наприклад, зміна динамічно призначеної IP-адреси), може виникнути ситуація, коли тунель по суті таким уже не є, стаючи ніби тунелем-примарою . Для того, щоб підтримувати постійну готовність до обміну даними у створеному IPSec-тунелі, механізм IKE (описаний у RFC 3706) дозволяє контролювати наявність трафіку від віддаленого вузла тунелю, і у разі його відсутності протягом встановленого часу посилається hello-повідомлення (у міжмережевих екранах D-Link надсилається повідомлення "DPD-R-U-THERE"). За відсутності відповіді на це повідомлення протягом певного часу, у міжмережевих екранах D-Link заданого налаштуваннями "DPD Expire Time", тунель демонтується. Міжмережевий екран D-Link після цього, використовуючи налаштування "DPD Keep Time" ( Рис. 6.18), автоматично намагаються відновити тунель.

ПротоколNATTraversal

IPsec-трафік може маршрутизуватися за тими самими правилами, як і інші IP-протоколи, але оскільки маршрутизатор який завжди може отримати інформацію, характерну для протоколів транспортного рівня, то проходження IPsec через NAT-шлюзи неможливо. Як згадувалося раніше, для вирішення цієї проблеми IETF визначила спосіб інкапсуляції ESP в UDP, який отримав назву NAT-T (NAT Traversal).

Протокол NAT Traversal інкапсулює трафік IPSec та одночасно створює пакети UDP, які NAT коректно пересилає. Для цього NAT-T містить додатковий заголовок UDP перед пакетом IPSec, щоб він у всій мережі оброблявся як звичайний пакет UDP і хост одержувача не проводив жодних перевірок цілісності. Після надходження пакета за місцем призначення заголовок UDP видаляється і пакет даних продовжує свій подальший шлях як інкапсульований пакет IPSec. Таким чином, за допомогою механізму NAT-T можливе встановлення зв'язку між клієнтами IPSec у захищених мережах та загальнодоступними хостами IPSec через міжмережові екрани.

При налаштуванні міжмережевих екранів D-Link у пристрої-одержувачі слід зазначити два пункти:

    в полях Remote Network та Remote Endpoint вказати мережу та IP-адресу віддаленого пристрою-відправника. Необхідно дозволити перетворення IP-адреси ініціатора (відправника) за допомогою технології NAT (рис. 3.48).

    При використанні спільних ключів з декількома тунелями, підключеними до одного віддаленого міжмережевого екрану, які були перетворені за допомогою NAT в ту саму адресу, важливо переконатися в тому, що Local ID є унікальним для кожного тунелю.

Local IDможе бути одним з:

    Auto– як локальний ідентифікатор використовується IP-адреса інтерфейсу вихідного трафіку.

    IP– IP-адреса WAN-порту віддаленого міжмережевого екрану

    DNS– DNS-адреса

    Віртуальні приватні мережі (VPN) привертають пильну увагу як провайдерів мережевих послугта Internet-провайдерів, так і корпоративних користувачів. Компанія Infonetics Research прогнозує, що ринок VPN зростатиме більш ніж на 100% щорічно до 2003 р., і його обсяг досягне 12 млрд. дол.

    Перш ніж розповісти вам про популярність VPN, нагадаю, що просто приватні (корпоративні) мережі даних будуються, як правило, з використанням орендованих (виділених) каналів зв'язку комутованих телефонних мереж загального користування. Протягом багатьох років такі приватні мережі проектувалися з урахуванням конкретних корпоративних вимог, що в результаті транслювалося у фірмові протоколи, що підтримують фірмові ж додатки (щоправда, останнім часом набули популярності протоколи Frame Relay та ATM). Виділені канали дозволяють забезпечити надійний захист конфіденційної інформаціїПроте зворотний бік медалі - це висока вартість експлуатації та труднощі при розширенні мережі, не кажучи вже про можливість підключення до неї мобільного користувача в непередбаченій точці. У той самий час сучасного бізнесу характерні значне розосередження і мобільність робочої сили в. Все більше користувачів потребує доступу до корпоративної інформації за допомогою комутованих каналів, збільшується також кількість працівників, які працюють вдома.

    Далі, приватні мережі не в змозі забезпечити такі ж можливості для комерційної діяльності, які надає Internet та IP-базовані додатки, наприклад, просування продукції, підтримка замовників або постійний зв'язок із постачальниками. Така взаємодія в режимі on-line вимагає об'єднання приватних мереж, які зазвичай використовують різні протоколи та додатки, різні системи управління мережею та різних постачальників послуг зв'язку.

    Таким чином, висока вартість, статичність та труднощі, що виникають при необхідності об'єднати приватні мережі, що базуються на різних технологіях, вступають у протиріччя з бізнесом, що динамічно розвивається, його прагненням до децентралізації і що виявляється останнім часом тенденцією до злиття компаній.

    У той же час паралельно існують позбавлені цих недоліків мережі передачі даних загального користування та Internet, що буквально огорнула своєю «павутиною» всю земну кулю. Щоправда, вони позбавлені й найважливішої гідності приватних мереж. надійного захистукорпоративної інформації Технологія віртуальних приватних мереж і дозволяє об'єднати гнучкість, масштабованість, низьку вартість і доступність буквально в режимі anytime anywhere Internet і мереж загального користування з безпекою, характерною для приватних мереж. По суті VPN є приватними мережами, які для передачі трафіку використовують глобальні мережі загального доступу(Internet, Frame Relay, ATM). Віртуальність виявляється в тому, що для корпоративного користувача вони представляються виділеними приватними мережами.

    СУМІСНІСТЬ

    Проблеми сумісності не виникають, якщо VPN прямо використовують служби Frame Relay і ATM, оскільки вони досить добре пристосовані для роботи в мультипротокольному середовищі і придатні як для IP-, так і для IP-додатків. Все, що потрібно в цьому випадку, так це наявність відповідної мережевої інфраструктури, що покриває необхідний географічний район. Як пристрої доступу найчастіше використовуються Frame Relay Access Device або маршрутизатори з інтерфейсами Frame Relay та ATM. Численні постійні або комутовані віртуальні канали можуть працювати (віртуально) з будь-якою сумішшю протоколів та топологій. Справа ускладнюється, якщо VPN базується на Інтернеті. У цьому випадку потрібно, щоб програми були сумісні з IP-протоколом. За умови виконання цієї вимоги для побудови VPN можна використовувати Internet як вона є, попередньо забезпечивши необхідний рівень безпеки. Але оскільки більшість приватних мереж є мультипротокольними або використовують неофіційні, внутрішні IP-адреси, вони не можуть прямо, без відповідної адаптації підключитися до Internet. Існує безліч рішень, що забезпечують сумісність. Найбільш популярними є такі:
    - Перетворення існуючих протоколів (IPX, NetBEUI, AppleTalk або інших) в IP-протокол з офіційною адресою;
    — перетворення внутрішніх IP-адрес на офіційні IP-адреси;
    - Встановлення спеціальних IP-шлюзів на сервери;
    - Використання віртуальної IP-маршрутизації;
    - Використання універсальної техніки тунелювання.
    Перший спосіб зрозумілий, тому зупинимося коротко на інших.
    Перетворення внутрішніх IP-адрес на офіційні необхідно в тому випадку, коли приватна мережа базується на IP-протоколі. Перетворення адрес для всієї корпоративної мережі не є необхідним, оскільки офіційні IP-адреси можуть співіснувати з внутрішніми в комутаторах та маршрутизаторах мережі підприємства. Іншими словами, сервер з офіційною IP-адресою, як і раніше, доступний клієнту приватної мережі через локальну інфраструктуру. Найчастіше використовують техніку поділу невеликого блоку офіційних адрес багато користувачів. Вона подібна до поділу пула модемів, оскільки також спирається на припущення, що не всі користувачі одночасно потребують доступу до Internet. Тут існують два індустріальні стандарти: протокол динамічної конфігурації хостів (Dynamic Host Configuration Protocol — DHCP) та трансляція мережевих адрес(Network Adress Translation - NAT), підходи яких трохи відрізняються. DHCP «здає» вузлу адресу в оренду на час, що визначається адміністратором мережі, тоді як NAT транслює внутрішній IP-адресу в офіційний динамічно, на час сеансу зв'язку з
    Internet.

    Іншим способом створити приватну мережу сумісної з Internet є встановлення IP-шлюзу. Шлюз транслює не IP-протоколи в IP-протоколи і навпаки. Більшість мережевих операційних систем, що використовують нативні протоколи, мають програмне забезпечення для IP-шлюзу.

    Сутність віртуальної IP-маршрутизації полягає у розширенні приватних маршрутних таблиць та адресного простору на інфраструктуру (маршрутизатори та комутатори) Internet-провайдера. Віртуальний IP-маршрутизатор є логічною частиною фізичного IP-маршрутизатора, що належить та функціонує у сервіс-провайдера. Кожен віртуальний маршрутизатор обслуговує певну групу користувачів.
    Однак, мабуть, найбільш найкращим способомзабезпечити сумісність можна з допомогою методів тунелювання. Ці методи вже давно використовуються для передачі загальної магістралі мультипротокольного потоку пакетів. В даний час ця випробувана технологія оптимізована для Internet-базованих VPN.
    Основними компонентами тунелю є:
    - Ініціатор тунелю;
    — мережа, що маршрутизується;
    - Тунельний комутатор (опціонально);
    - Один або більше тунельних термінаторів.
    Тунелювання має виконуватися на обох кінцях наскрізного каналу. Тунель повинен починатися тунельним ініціатором та завершуватися тунельним термінатором. Ініціалізація та завершення тунельних операцій може виконуватись різними мережевими пристроями та програмним забезпеченням. Наприклад, тунель може бути ініційований комп'ютером віддаленого користувача, на якому встановлено модем і необхідне VPN програмне забезпечення, фронтальним маршрутизатором філії корпорації або концентратором доступу до мережі у сервіс-провайдера.

    Для передачі по Internet пакетів, відмінних від IP мережевих протоколів, із боку джерела інкапсулюються в IP-пакети. Найбільш часто застосовуваний метод створення VPN-тунелів полягає в інкапсуляції IP-пакета в пакет PPP (Point-to-Point Protocol) з подальшою інкапсуляцією в IP-пакет. Нагадаю, що протокол PPP використовується для з'єднання типу точка-точка, наприклад, для зв'язку клієнта з сервером. Процес IP-інкапсуляції включає додавання стандартного IP-заголовка до оригінального пакету, який потім розглядається як корисна інформація. Відповідний процес на іншому кінці тунелю видаляє IP-заголовок, залишаючи незмінним оригінальний пакет. Оскільки технологія тунелювання досить проста, вона є найбільш прийнятною щодо вартості.

    БЕЗПЕКА

    Забезпечення необхідного рівня безпеки часто є основним пунктом при розгляді корпорацією можливості використання Інтернет-базованих VPN. Багато IT-менеджерів звикли до захисту приватної інформації, що спочатку властива приватним мережам, і розглядають Internet як занадто «загальнодоступний» для використання її як приватна мережа. Якщо користуватися англійською термінологією, то є три «Р», реалізація яких у сукупності забезпечує повний захист інформації. Це:
    Protection – захист ресурсів за допомогою брандмауерів (firewall);
    Proof - перевірка ідентичності (цілісності) пакета та автентифікація відправника (підтвердження права на доступ);
    Privacy — захист конфіденційної інформації за допомогою шифрування.
    Усі три «Р» однаково значимі будь-який корпоративної мережі, включаючи і VPN. У приватних мережах для захисту ресурсів і конфіденційності інформації достатньо використання досить простих паролів. Але як тільки приватна мережа підключається до загальнодоступної, жоден із трьох «Р» не може забезпечити необхідний захист. Тому для будь-якої VPN у всіх точках її взаємодії з мережею загального користування повинні бути встановлені брандмауери, а пакети повинні шифруватися та виконувати їх аутентифікацію.

    Брандмауери є істотним компонентом будь-якої VPN. Вони пропускають лише санкціонований трафік для довірених користувачів та блокують решту. Іншими словами, перетинаються всі спроби доступу невідомих чи недовірених користувачів. Ця форма захисту має бути забезпечена для кожного сайту та користувача, оскільки відсутність її в якомусь місці означає відсутність скрізь. Для безпеки віртуальних приватних мереж застосовуються спеціальні протоколи. Ці протоколи дозволяють хостам «домовитися» про техніку шифрування і цифрового підпису, що використовується, що дозволяє зберегти конфіденційність і цілісність даних і виконати автентифікацію користувача.

    Протокол Microsoft Point-to-Point Encryption (MPPE) шифрує PPP-пакети на машині клієнта, перш ніж направити їх у тунель. Сесія шифрування ініціалізується під час встановлення зв'язку з тунельним термінатором за протоколом
    PPP.

    Протоколи Secure IP (IPSec) є серією попередніх стандартів, які розробляє Група інженерних проблем Internet (Internet Engineering Task Force — IETF). Група запропонувала два протоколи: Authentication Header (AH) та Encapsulating Security Payload (ESP). Протокол AH додає цифровий підписдо заголовка, за допомогою якої виконується автентифікація користувача, та забезпечує цілісність даних, відстежуючи будь-які зміни у процесі їх передачі. Цей протокол захищає лише дані, залишаючи адресну частину IP-пакету незмінною. Протокол ESP, навпаки, може шифрувати або весь пакет (Tunnel Mode), або лише дані (Transport Mode). Ці протоколи використовуються як окремо, і у комбінації.

    Для управління безпекою застосовують індустріальний стандарт RADIUS (Remote Authentication Dial-In User Service), що є базою даних профілів користувача, які містять паролі (аутентифікація) і права доступу (авторизація).

    Засоби забезпечення безпеки не обмежуються наведеними прикладами. Багато виробників маршрутизаторів та брандмауерів пропонують свої рішення. Серед них – Ascend, CheckPoint та Cisco.

    ДОСТУПНІСТЬ

    Доступність включає три однакові важливі складові: час надання послуг, пропускну здатністьта час затримки. Час надання послуг є предметом договору з сервіс-провайдером, а дві складові відносяться до елементів якості послуг (Quality of Service — QoS). Сучасні технологіїтранспорту дозволяють побудувати VPN, що задовольняють вимоги практично всіх існуючих додатків.

    керованість

    Адміністратори мереж завжди хочуть мати можливість здійснювати наскрізне, з кінця в кінець, управління корпоративною мережею, включаючи ту частину, що відноситься до телекомунікаційної компанії. Виявляється, що VPN надають у цьому плані більше можливостей, ніж звичайні приватні мережі. Типові приватні мережі адмініструються від кордону до кордону, тобто. сервіс-провайдер управляє мережею до передніх маршрутизаторів корпоративної мережі, тоді як абонент управляє власне корпоративною мережею до пристроїв доступу до WAN. Технологія VPN дозволяє уникнути цього своєрідного поділу «сфер впливів», надаючи і провайдеру, і абоненту єдину систему управління мережею в цілому як її корпоративною частиною, так і мережевою інфраструктурою загальнодоступної мережі. Адміністратор мережі підприємства має можливість виконувати моніторинг та реконфігурацію мережі, керувати передніми пристроями доступу, визначати стан мережі в режимі реального часу.

    АРХІТЕКТУРА VPN

    Існують три моделі архітектури віртуальних приватних мереж: залежна, незалежна та гібридна як комбінація перших двох альтернатив. Приналежність до тієї чи іншої моделі визначається тим, де реалізуються чотири основні вимоги до VPN. Якщо провайдер глобальних послуг надає повне рішення для VPN, тобто. забезпечує тунелювання, безпеку, продуктивність та управління, то це робить архітектуру залежною від нього. У цьому випадку всі процеси VPN для користувача прозорі, і він бачить тільки свій нативний трафік - IP-, IPX- або NetBEUI-пакети. Перевага залежної архітектури для абонента полягає в тому, що він може використовувати існуючу мережну інфраструктуру «як вона є», додаючи лише брандмауер між VPN та приватною
    WAN/LAN.

    Незалежна архітектура реалізується у тому випадку, коли організація забезпечує все технологічні вимогина своєму обладнанні, делегуючи сервіс-провайдеру лише транспортні функції. Така архітектура коштує дорожче, проте надає користувачеві можливість повного контролю над усіма операціями.

    Гібридна архітектура включає залежні та незалежні від організації (відповідно, від сервіс-провайдера) сайти.

    Які ж пряники обіцяють VPN для корпоративних користувачів? Насамперед, за оцінками індустріальних аналітиків, це зниження витрат за всі види телекомунікацій від 30 до 80 %. А також це практично повсюдний доступ до мереж корпорації чи інших організацій; це реалізація безпечних комунікацій із постачальниками та замовниками; це покращений та розширений сервіс, недосяжний у мережах PSTN, та багато іншого. Фахівці розглядають віртуальні приватні мережі як нову генерацію мережевих комунікацій, а багато аналітиків вважають, що VPN незабаром замінять більшість приватних мереж, що базуються на лініях, що орендуються.

    З кожним роком електронний зв'язоквдосконалюється, і до інформаційного обміну пред'являються дедалі вищі вимоги швидкості, захищеності та якості обробки даних.

    І тут ми докладно розглянемо vpn підключення: що це таке, для чого потрібен vpn тунель, і як використовувати впн з'єднання.

    Цей матеріал є свого роду вступним словом до циклу статей, де ми розповімо, як створити vpn на різних ОС.

    vpn підключення що це таке?

    Отже, віртуальна приватна мережа vpn – це технологія, що забезпечує захищений (закритий від зовнішнього доступу) зв'язок логічної мережі поверх приватного або публічного за наявності високошвидкісного інтернету.

    Таке мережеве з'єднаннякомп'ютерів (географічно віддалених один від одного на солідну відстань) використовує підключення типу «крапка - крапка» (іншими словами, «комп'ютер-комп'ютер»).

    Науково такий спосіб з'єднання називається vpn тунель (або тунельний протокол). Підключитися до такого тунелю можна за наявності комп'ютера з будь-якою операційною системою, в яку інтегрований VPN-клієнт, здатний робити "прокидання" віртуальних портів з використанням протоколу TCP/IP в іншу мережу.

    Навіщо потрібен vpn?

    Основна перевага vpn полягає в тому, що сторонам, що узгоджують, необхідна платформа підключення, яка не тільки швидко масштабується, але і (в першу чергу) забезпечує конфіденційність даних, цілісність даних і аутентифікацію.

    На схемі представлено використання vpn мереж.

    Попередньо на сервері та маршрутизаторі повинні бути прописані правила для з'єднань захищеним каналом.

    Принцип роботи vpn

    Коли відбувається підключення через vpn, в заголовку повідомлення передається інформація про ip-адресу VPN-сервера та віддалений маршрут.

    Інкапсульовані дані, що проходять за загальною або публічної мережі, неможливо перехопити, оскільки вся інформація зашифрована.

    Етап VPN шифрування реалізується за відправника, а розшифровуються дані в одержувача по заголовку повідомлення (за наявності загального ключа шифрування).

    Після правильної розшифровки повідомлення між двома мережами встановлюється впн з'єднання, яке дозволяє також працювати в публічній мережі (наприклад, обмінюватися даними з клієнтом 93.88.190.5).

    Що стосується інформаційної безпеки, то інтернет є вкрай незахищеною мережею, а мережа VPN з протоколами OpenVPN, L2TP/IPSec, PPTP, PPPoE – цілком захищеним та безпечним способом передачі даних.

    Навіщо потрібен vpn канал?

    vpn тунелювання використовується:

    Усередині корпоративної мережі;

    Для об'єднання дистанційних офісів, а також дрібних відділень;

    Для обслуговування цифрової телефонії із великим набором телекомунікаційних послуг;

    Доступ до зовнішніх IT-ресурсів;

    Для побудови та реалізації відеоконференцій.

    Навіщо потрібний vpn?

    vpn з'єднання необхідно для:

    Анонімна робота в мережі інтернет;

    Завантаження програм, у разі, коли ip адреса розташована в іншій регіональній зоні країни;

    Безпечної роботи у корпоративному середовищі з використанням комунікацій;

    Простоти та зручності налаштування підключення;

    Забезпечення високої швидкості з'єднання без урвищ;

    Створення захищеного каналу без атак хакерів.

    Як користуватись vpn?

    Приклади того, як працює vpn, можна наводити нескінченно. Так, на будь-якому комп'ютері в корпоративній мережі під час встановлення захищеного vpn з'єднанняможна використовувати пошту для перевірки повідомлень, публікації матеріалів з будь-якої точки країни або завантаження файлів із torrent-мереж.

    Vpn: що це таке у телефоні?

    Доступ через vpn у телефоні (айфоні або будь-якому іншому андроїд-пристрої) дозволяє при використанні інтернету в громадських місцях зберегти анонімність, а також запобігти перехопленню трафіку та зламуванню пристрою.

    VPN-клієнт, встановлений на будь-якій ОС, дозволяє обійти багато налаштувань і правил провайдера (якщо той встановив якісь обмеження).

    Який vpn вибрати для Вашого телефону?

    Мобільні телефони та смартфони на ОС Android можуть використовувати програми з Google Playmarket:

    • - vpnRoot, droidVPN,
    • - браузер tor для серфінгу мереж, він же orbot
    • - InBrowser, orfox (firefox+tor),
    • - SuperVPN Free VPN Client
    • - OpenVPN Connect
    • - TunnelBear VPN
    • - Hideman VPN

    Більшість таких програм служать для зручності гарячої настройки системи, розміщення ярликів запуску, анонімного серфінгу інтернету, вибору типу шифрування підключення.

    Але основні завдання використання VPN у телефоні – це перевірка корпоративної пошти, створення відеоконференцій з декількома учасниками, а також проведення нарад поза організацією (наприклад, коли співробітник у відрядженні).

    Що таке vpn у айфоні?

    Розглянемо, який вибрати і як його підключити в айфоні більш докладно.

    Залежно від типу мережі, що підтримується, при першому запуску конфігурації VPN в iphone можна вибрати наступні протоколи: L2TP, PPTP і Cisco IPSec (крім того, «зробити» vpn підключення можна за допомогою сторонніх додатків).

    Усі перелічені протоколи підтримують ключі шифрування, здійснюється ідентифікація користувача за допомогою пароля та сертифікація.

    Серед додаткових функційПри налаштуванні VPN-профілю в айфоні можна відзначити: безпеку RSA, рівень шифрування та правила авторизації для підключення до сервера.

    Для телефону iPhone з магазину appstore варто вибрати:

    • - безкоштовний додаток Tunnelbear, за допомогою якого можна підключатися до серверів VPN будь-якої країни.
    • - OpenVPN connect – це один із найкращих VPN-клієнтів. Тут для запуску програми необхідно попередньо імпортувати rsa-ключі через itunes у телефон.
    • - Cloak – це умовно безкоштовна програма, оскільки деякий час продукт можна «юзати» безкоштовно, але для використання програми після закінчення демо-строку її доведеться купити.

    Створення VPN: вибір та налаштування обладнання

    Для корпоративного зв'язку у великих організаціях або об'єднання віддалених один від одного офісів використовують апаратне обладнання, яке здатне підтримувати безперервну, захищену роботу в мережі.

    Для реалізації vpn-технологій у ролі мережевого шлюзу можуть бути: сервера Unix, сервера Windows, мережевий маршрутизатор і мережевий шлюз на якому піднято VPN.

    Сервер або пристрій, що використовується для створення vpn мережі підприємства або vpn каналуміж віддаленими офісами має виконувати складні технічні завдання та забезпечувати весь спектр послуг користувачам як на робочих станціях, так і на мобільних пристроях.

    Будь-який роутер або vpn маршрутизатор повинен забезпечувати надійну роботу в мережі без зависання. А вбудована функція впн дозволяє змінювати конфігурацію мережі для роботи вдома, в організації або у віддаленому офісі.

    Налаштування vpn на роутері

    Загалом налаштування впн на роутері здійснюється за допомогою веб-інтерфейсу маршрутизатора. На "класичних" пристроях для організації vpn потрібно зайти до розділу "settings" або "network settings", де вибрати розділ VPN, вказати тип протоколу, внести налаштування адреси вашої підмережі, маски та вказати діапазон ip-адрес для користувачів.

    Крім того, для безпеки з'єднання потрібно вказати алгоритми кодування, методи аутентифікації, згенерувати ключі узгодження та вказати сервери DNS WINS. У параметрах «Gateway» потрібно вказати ip-адресу шлюзу (свій ip) та заповнити дані на всіх мережевих адаптерах.

    Якщо в мережі кілька маршрутизаторів необхідно заповнити таблицю vpn маршрутизації для всіх пристроїв VPN тунелі.

    Наведемо список апаратного обладнання, що використовується при побудові VPN-мереж:

    Маршрутизатори компанії Dlink: DIR-320, DIR-620, DSR-1000 з новими прошивками або Роутер D-Link DI808HV.

    Маршрутизатори Cisco PIX 501, Cisco 871-SEC-K9

    Роутер Linksys Rv082 з підтримкою близько 50 VPN-тунелів

    Netgear маршрутизатор DG834G та роутери моделей FVS318G, FVS318N, FVS336G, SRX5308

    Маршрутизатор Mikrotik із функцією OpenVPN. Приклад RouterBoard RB/2011L-ІN Mikrotik

    Vpn обладнання RVPN S-Terra або VPN Gate

    Маршрутизатори ASUS моделей RT-N66U, RT-N16 та RT N-10

    ZyXel маршрутизатори ZyWALL 5, ZyWALL P1, ZyWALL USG

    Віртуальна приватна мережа

    Найчастіше для створення віртуальної мережі використовується інкапсуляція протоколу PPP в якийсь інший протокол – Ethernet (провайдерами «останньої милі» для надання виходу в Інтернет).

    За належного рівня реалізації та використання спеціального програмного забезпечення мережа VPN може забезпечити високий рівеньшифрування переданої інформації. При правильному налаштуваннівсіх компонентів технологія VPNзабезпечує анонімність у Мережі.

    Структура VPN

    VPN складається з двох частин: «внутрішня» (підконтрольна) мережа, яких може бути кілька, та «зовнішня» мережа, якою проходить інкапсульоване з'єднання (зазвичай використовується Інтернет). Можливе також підключення до віртуальної мережі окремого комп'ютера. Підключення віддаленого користувача до VPN здійснюється за допомогою сервера доступу, який підключений як до внутрішньої, так і зовнішньої (загальнодоступної) мережі. При підключенні віддаленого користувача (або під час встановлення з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації , а потім процесу аутентифікації . Після успішного проходження обох процесів, віддалений користувач ( віддалена мережа) наділяється повноваженнями до роботи у мережі, тобто відбувається процес авторизації .

    Класифікація VPN

    Класифікація VPN

    Класифікувати VPN рішення можна за кількома основними параметрами:

    За типом використовуваного середовища

    • Захищені

    Найпоширеніший варіант віртуальних приватних мереж. З його допомогою можна створити надійну та захищену підмережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, PPTP.

    • Довірчі

    Використовуються у випадках, коли передавальне середовище можна вважати надійним і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами таких VPN рішень є: Multi-protocol label switching (L2TP (Layer 2 Tunnelling Protocol). (точніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec).

    За способом реалізації

    • У вигляді спеціального програмно-апаратного забезпечення

    Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий рівеньзахищеності.

    • У вигляді програмного рішення

    Використовують персональний комп'ютер із спеціальним програмним забезпеченням, що забезпечує функціональність VPN.

    • Інтегроване рішення

    Функціональність VPN забезпечує комплекс, який вирішує також завдання фільтрації. мережевого трафіку, організації мережевого екрана та забезпечення якості обслуговування.

    По призначенню

    Використовують для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, що обмінюються даними відкритими каналами зв'язку.

    • Remote Access VPN

    Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) та одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсівз домашнього комп'ютера, корпоративного ноутбука, смартфона або інтернет-кіоску.

    • Extranet VPN

    Використовують для мереж, до яких підключаються зовнішні користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижчий, ніж до співробітників компанії, тому потрібне забезпечення спеціальних «рубежів» захисту, що запобігають чи обмежують доступ останніх до особливо цінної, конфіденційної інформації.

    • Internet VPN

    Використовується для надання доступу до Інтернету провайдерами.

    • Client/Server VPN

    Він забезпечує захист даних між двома вузлами (не мережами) корпоративної мережі. Особливість цього варіанта в тому, що VPN будується між вузлами, що знаходяться, як правило, в одному сегменті мережі, наприклад, між робочою станцієюта сервером. Така необхідність дуже часто виникає у тих випадках, коли в одній фізичній мережі необхідно створити кілька логічних мереж. Наприклад, коли потрібно розділити трафік між фінансовим департаментом та відділом кадрів, що звертаються до серверів, що знаходяться в одному фізичному сегменті. Цей варіант схожий на технологію VLAN, але замість поділу трафіку використовується його шифрування.

    За типом протоколу

    Існують реалізації віртуальних приватних мереж під TCP/IP, IPX та AppleTalk. Але на сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP/IP, і абсолютна більшість рішень VPN підтримує саме його.

    За рівнем мережевого протоколу

    За рівнем мережевого протоколу з урахуванням зіставлення з рівнями еталонної мережевої моделі ISO/OSI.

    Приклади VPN

    Багато великих провайдерів пропонують свої послуги з організації VPN-мереж для бізнес-клієнтів.

    Література

    • Іванов М. А. Криптографічні методи захисту інформації в комп'ютерні системита мережах. – М.: КУДИЦЬ-ОБРАЗ, 2001. – 368 с.
    • Кульгін М. Технології корпоративних мереж. Енциклопедія. – СПб.: Пітер, 2000. – 704 с.
    • Оліфер В. Г., Оліфер Н. А. Комп'ютерні мережі. Принципи, технології, протоколи: Підручник для вишів. – СПб.: Пітер, 2001. – 672 с.
    • Романець Ю. В.. Тимофєєв П. А., Шаньгін В. Ф. Захист інформації в комп'ютерних системах та мережах. 2-ге вид. - М: Радіо та зв'язок, 2002. −328 с.
    • Столінгс Ст.Основи захисту мереж. Програми та стандарти = Network Security Essentials. Applications and Standards. - М: «Вільямс», 2002. - С. 432. - ISBN 0-13-016093-8
    • Продукти для приватних віртуальних мереж [ Електронний документ] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
    • Аніта Карве Реальні віртуальні можливості// LAN. - 1999. - № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
    • Linux's answer to MS-PPTP [Електронний документ] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
    • Джоул Снайдер VPN: поділений ринок // Мережі. – 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
    • VPN Primer [Електронний документ] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
    • PKI чи PGP? [Електронний документ]/Наталія Сергєєва. - http://www.citforum.ru/security/cryptography/pki_pgp/
    • IPSec – протокол захисту мережевого трафіку на IP-рівні [Електронний документ] / Станіслав Коротигін. - http://www.ixbt.com/comm/ipsecure.shtml
    • OpenVPN FAQ [Електронний документ] - http://openvpn.net/faq.html
    • Призначення та структура алгоритмів шифрування [Електронний документ] / Панасенко Сергій. - http://www.ixbt.com/soft/alg-encryption.shtml
    • Про сучасну криптографію [Електронний документ]/В. М. Сидельников. - http://www.citforum.ru/security/cryptography/crypto/
    • Введення у криптографію / За ред. В. В. Ященко. – М.: МЦНМО, 2000. – 288 з http://www.citforum.ru/security/cryptography/yaschenko/
    • Підводне каміння безпеки в криптографії [Електронний документ] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
    • IPSec: панацея чи вимушений захід? [Електронний документ]/Євген Патій. - http://citforum.ru/security/articles/ipsec_standard/
    • VPN та IPSec на пальцях [Електронний документ] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
    • A Framework for IP Based Virtual Private Networks [Електронний документ] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
    • OpenVPN and the SSL VPN Revolution [Електронний документ] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
    • Маркус Файльнер Віртуальні приватні мережі нового покоління // LAN.- 2005.- № 11
    • Що таке SSL [Електронний документ]/Максим Дрогайцев. - http://www.ods.com.ua/win/ukr/security/ssl.html
    • Cryptanalysis of Microsoft PPTP Authentication Extensions (MS-CHAPv2) [Електронний документ] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
    • Point to Point Tunneling Protocol (PPTP) Technical Specifications [Електронний документ] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
    • Райан Норманн Вибираємо протокол VPN // Windows IT Pro. - 2001. - №7 http://www.osp.ru/win2000/2001/07/010.htm
    • MPLS: новий порядок у мережах IP? [Електронний документ]/Том Нолле. - http://www.emanual.ru/get/3651/
    • Layer Two Tunneling Protocol L2TP [Електронний документ] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
    • Олексій Лукацький Невідома VPN // Комп'ютер Прес.- 2001.- № 10 http://abn.ru/inf/compress/network4.shtml
    • Перша цегла у стіні VPN Огляд пристроїв VPN початкового рівня [Електронний документ] / Валерій Лукін. - http://www.ixbt.com/comm/vpn1.shtml
    • Огляд обладнання VPN [Електронний документ] - http://www.networkaccess.ru/articles/security/vpn_hardware/
    • Pure hardware VPNs rule high-availability tests [Електронний документ] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
    • VPN: Type of VPN [Електронний документ] - http://www.vpn-guide.com/type_of_vpn.htm
    • KAME FAQ [Електронний документ] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
    • Особливості російського ринку VPN [Електронний документ] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
    • Вітчизняні засоби побудови віртуальних приватних мереж [?] / І. Гвоздєв, В. Зайчиков, Н. Мошак, М. Пеленіцин, С. Селезньов, Д. Шепелявий
    • Сергій Петренко Захищена віртуальна приватна мережа: сучасний погляд захисту конфіденційних даних // Світ Internet. – 2001. – № 2

    Virtual Private Network – це віртуальна приватна мережа, яка використовується для забезпечення захищеного підключення всередині корпоративних з'єднань та доступу до Інтернету. Головний плюс ВПН – висока безпека за рахунок шифрування внутрішнього трафіку, що є важливим при передачі даних.

    Що таке VPN-підключення

    Багато людей, коли стикаються з цією абревіатурою, запитують: VPN - що це і навіщо потрібно? Дана технологіявідкриває можливість створити мережеве з'єднання поверх іншого. Працює ВПН у кількох режимах:

    • вузол-мережа;
    • мережа-мережа;
    • вузол-вузол.

    Організація приватної віртуальної мережі на мережевих рівнях дозволяє використовувати TCP та UDP протоколи. Усі дані, які проходять через комп'ютери, шифруються. Це додатковий захист для підключення. Існує безліч прикладів, які пояснюють, що таке VPN-з'єднання і навіщо його потрібно використовувати. Нижче буде детально освітлено це питання.

    Навіщо потрібний VPN

    Кожен провайдер здатний надати на запит відповідних органів логи діяльності користувачів. Ваша інтернет-компанія записує всі дії, які ви робили в мережі. Це допомагає зняти провайдеру відповідальність за дії, які проводив клієнт. Існує багато ситуацій, за яких потрібно захистити свої дані та отримати свободу, наприклад:

    1. ВПН-сервіс використовується для надсилання конфіденційних даних компанії між філіями. Це допомагає захистити важливу інформаціювід перехоплення.
    2. Якщо вам потрібно обійти прив'язку сервісу по географічній місцевості. Наприклад, сервіс «Яндекс Музика» доступний лише жителям Росії та жителям колишніх країн СНД. Якщо ви російськомовний житель США, послухати записи у вас не вийде. VPN-сервіс допоможе обійти цю заборону, замінюючи адресу мережі на російську.
    3. Сховати від провайдера відвідування сайтів. Не кожна людина готова ділитися своєю діяльністю в інтернеті, тому захищатиме свої відвідування за допомогою ВПН.

    Як працює VPN

    Коли ви використовуєте інший VPN-канал, ваш IP буде належати країні, де знаходиться захищена мережа. При підключенні буде створено тунель між ВПН-сервером та комп'ютером. Після цього у логах (записах) провайдера буде набір незрозумілих символів. Аналіз даних спеціальною програмоюне дасть результатів. Якщо не використовувати цю технологію, то протока HTTP відразу вкаже, до якого сайту ви підключаєтеся.

    Структура VPN

    Складається це підключення із двох частин. Перша називається "внутрішня" мережа, можна створити кілька таких. Друга – «зовнішня», через яку відбувається інкапсульоване з'єднання, як правило, використовується інтернет. Існує можливість під'єднатися до мережі окремого комп'ютера. З'єднання користувача до конкретного VPN через сервер доступу, підключений одночасно до зовнішньої та внутрішньої мережі.

    Коли програма VPN підключає віддаленого користувача, сервер вимагає проходження двох важливих процесів: спочатку ідентифікації, потім аутентифікації. Це необхідно для отримання прав користуватися цією сполукою. Якщо ви повністю пройшли успішно ці два етапи, ваша мережа наділяється повноваженнями, що відкривають можливість роботи. По суті це процес авторизації.

    Класифікація VPN

    Є кілька видів віртуальних приватних мереж. Існують варіанти за ступенем захищеності, способом реалізації, рівнем роботи за моделлю ISO/OSI, задіяним протоколом. Ви можете використовувати платний доступ або безкоштовний VPN-сервіс від Google. Виходячи зі ступеня захищеності, канали можуть бути захищеними або довірчими. Останні потрібні, якщо саме собою з'єднання має необхідний рівень захисту. Для організації першого варіанта слід використовувати такі технології:

    • PPTP;
    • OpenVPN;
    • IPSec.

    Як створити VPN-сервер

    Для всіх користувачів комп'ютера є спосіб, як підключити VPN самостійно. Нижче буде розглянуто варіант на операційній системіВіндовс. Ця інструкція не передбачає використання додаткового програмного забезпечення. Налаштування проводиться таким чином:

    1. Щоб зробити нове підключення, потрібно відкрити панель перегляду мережевих доступів. Почніть вбивати у пошуку слова « Мережевих підключень».
    2. Натисніть кнопку «Alt», у меню натисніть на розділ «Файл» і виберіть пункт «Нове вхідне підключення».
    3. Потім виставте користувача, якому буде надано з'єднання з цим комп'ютером через VPN (якщо у вас лише одна обліковий записна ПК, то необхідно створити обов'язково пароль для неї). Встановіть пташку та натисніть «Далі».
    4. Далі буде запропоновано вибрати тип підключення, можна залишити галочку напроти «Інтернет».
    5. Наступним кроком стане включення мережевих протоколів, які на цьому ВПН працюватимуть. Виставте галочки на всіх пунктах, крім другого. За бажанням можна встановити конкретний IP, шлюзи DNS та порти в протоколі IPv4, але легше залишити автоматичне призначення.
    6. Коли натисніть кнопку «Дозволити доступ», операційна система самостійно створить сервер, відобразить вікно з ім'ям комп'ютера. Воно знадобиться для з'єднання.
    7. На цьому створення домашнього VPN-сервера завершено.

    Як налаштувати VPN на Андроїді

    Вище було описано спосіб створення VPN-підключення на персональному комп'ютері. Однак багато хто вже давно виконує всі дії за допомогою телефону. Якщо не знаєте, що таке VPN на Андроїд, то всі вищеописані факти про даному типіпідключення справедливе і для смартфона. Конфігурація сучасних апаратів забезпечує комфортне користування інтернетом на високій швидкості. У деяких випадках (для запуску ігор, відкриття сайтів) використовують заміну проксі або анонімайзери, але для стабільного та швидкого підключення VPN підходить краще.

    Якщо вам вже зрозуміло, що таке VPN у телефон, можна перейти безпосередньо до створення тунелю. Виконати це можна на будь-якому пристрої з підтримкою Андроїд. Здійснюється підключення таким чином:

    1. Зайдіть у розділ з налаштуваннями, натисніть розділ «Мережа».
    2. Знайдіть пункт під назвою « Додаткові налаштування» та перейдіть до розділу «VPN». Далі буде потрібно пін-код або пароль, який розблокує можливість створення мережі.
    3. Наступний крок – додати з'єднання VPN. Вкажіть назву в полі Server, ім'я в полі username, встановіть тип підключення. Натисніть на кнопку «Зберегти».
    4. Після цього у списку з'явиться нове підключення, яке можна використовувати для зміни стандартного з'єднання.
    5. На екрані з'явиться піктограма, яка вказуватиме на наявність підключення. Якщо по ньому тапнути, вам буде надано статистику отриманих/переданих даних. Тут можна вимкнути з'єднання VPN.

    Відео: безкоштовний VPN-сервіс



Завантаження...
Top