De ce ai nevoie de o conexiune vpn. De ce ai nevoie de un VPN? Descrierea conexiunii și setarea corectă

În acest articol, vom răspunde cel mai mult FAQ ce este un server VPN, vă vom spune dacă un VPN vă poate crește securitatea, dacă trebuie să utilizați Double VPN și cum să verificați dacă serviciul VPN păstrează jurnalele, precum și ce tehnologii moderne există pentru a proteja informațiile personale.

VPN este o rețea privată virtuală care oferă criptare între client și serverul VPN.

Scopul principal al unui VPN este de a cripta traficul și de a schimba adresa IP.

Să vedem de ce și când este nevoie.

Pentru ce este un VPN?

Toți furnizorii de servicii de internet înregistrează activitățile clienților lor pe Internet. Adică, furnizorul de internet știe ce site-uri ați vizitat. Acest lucru este necesar pentru a oferi toate informațiile despre infractor în cazul solicitărilor din partea poliției, precum și pentru a elibera orice răspundere legală pentru acțiunile utilizatorului.

Există multe situații în care un utilizator trebuie să își protejeze datele personale pe Internet și să câștige libertatea de comunicare.

Exemplul 1. Există o afacere și este necesar să transferați date confidențiale prin Internet pentru ca nimeni să nu o poată intercepta. Majoritatea companiilor folosesc tehnologia VPN pentru a transfera informații între sucursalele companiei.

Exemplul 2. Multe servicii de pe Internet funcționează pe principiul geo-referinței la locație și interzic accesul utilizatorilor din alte țări.

De exemplu, serviciul Yandex Music funcționează numai pentru adrese IP din Rusia și țările fostului CSI. În consecință, întreaga populație de limbă rusă care trăiește în alte țări nu are acces la acest serviciu.

Exemplul 3. Blocarea anumitor site-uri din birou și din țară. Adesea, birourile blochează accesul la rețelele sociale pentru ca angajații să nu cheltuiască timp de lucru pentru comunicare.

De exemplu, China a blocat multe servicii Google. Dacă un rezident al Chinei lucrează cu o companie din Europa, atunci este nevoie să folosești servicii precum Google Disk.

Exemplul 4. Ascundeți site-urile vizitate de la ISP. Există momente când trebuie să ascundeți lista de site-uri vizitate de la furnizorul de internet. Tot traficul va fi criptat.

Cu criptarea traficului, ISP-ul dumneavoastră nu va ști ce site-uri ați vizitat pe Internet. În acest caz, adresa dvs. IP de pe Internet va aparține țării serverului VPN.

Când vă conectați la un VPN, este creat un canal securizat între computerul dvs. și serverul VPN. Toate datele din acest canal sunt criptate.

Datorită unui VPN, veți avea libertatea de a comunica și de a vă proteja datele personale.

În jurnalele furnizorului de internet va exista un set personaje diferite. Imaginea de mai jos prezintă analiza datelor obținute printr-un program special.

În antetul HTTP, puteți vedea imediat ce site vă conectați. Aceste date sunt înregistrate de furnizorii de servicii de internet.

Următoarea imagine arată antetul HTTP atunci când utilizați un VPN. Datele sunt criptate și este imposibil să știi ce site-uri ai vizitat.

Cum să vă conectați la un VPN

Există mai multe moduri de a vă conecta la o rețea VPN.

• PPTP este un protocol învechit. Majoritatea sistemelor de operare moderne l-au exclus din lista celor acceptate. Contra PPTP - stabilitate scăzută a conexiunii. Conexiunea se poate întrerupe și datele nesecurizate se pot scurge pe Internet.
• Conexiunea L2TP (IPSec) este mai fiabilă. De asemenea, integrat în majoritatea sistemelor de operare (Windows, Mac OS, Linux, iOS, Android, Windows Phone și multe altele). Are o fiabilitate mai bună decât conexiunea PPTP.
• Conexiunea SSTP a fost dezvoltată relativ recent. Este acceptat doar pe Windows, deci nu este utilizat pe scară largă.
• IKEv2 este un protocol modern bazat pe IPSec. Acest protocol a înlocuit protocolul PPTP și este acceptat de toate sistemele de operare populare.
• Conexiunea OpenVPN este considerată cea mai fiabilă. Această tehnologie poate fi configurată flexibil, iar atunci când conexiunea scade, OpenVPN blochează trimiterea de date neprotejate către Internet.

Există 2 protocoale de transfer de date pentru tehnologia OpenVPN:

• Protocol UDP - operare rapidă (recomandat pentru telefonie VoiP, Skype, jocuri online)
• Protocolul TCP - caracterizat prin fiabilitatea datelor transmise (necesită confirmarea primirii pachetului). Funcționează puțin mai lent decât UDP.

Cum să configurați un VPN

Configurarea unei conexiuni VPN durează câteva minute și diferă prin metoda de conectare VPN.

În serviciul nostru folosim conexiuni PPTP și OpenVPN.

Securitate VPN

Vom vorbi mereu despre abordare integrată pentru siguranță. Securitatea utilizatorului nu constă numai în conexiunea VPN în sine. Este important ce program folosiți pentru a vă conecta la serverul VPN.

În prezent, serviciile oferă clienți VPN convenabil - acestea sunt programe care facilitează configurarea unei conexiuni VPN. Noi înșine oferim un client VPN convenabil. Datorită unor astfel de programe, configurarea unei conexiuni VPN nu durează mai mult de 1 minut.

Când am început să furnizăm servicii VPN în 2006, toți utilizatorii noștri au configurat aplicația oficială OpenVPN. Este open source. Desigur, configurarea clientului oficial OpenVPN necesită mai mult timp. Dar haideți să vedem ce este mai bine să folosiți în ceea ce privește anonimatul.

Anonimitatea clientului VPN

Vedem pericolul în utilizarea unor astfel de programe. Chestia este că codul sursă al unor astfel de programe este proprietatea companiei și pentru a păstra unicitatea programului său, nimeni nu îl publică.

Utilizatorii nu pot afla ce date colectează programul despre tine în absența codului sursă deschisă.

Programul VPN vă poate identifica ca un anumit utilizator chiar și atunci când jurnalele sunt dezactivate pe server.

Orice program poate avea funcționalitatea de a înregistra site-urile pe care le-ați vizitat, adresa dvs. IP reală. Și din moment ce dvs. introduceți datele de conectare în program, este în general imposibil să vorbiți despre anonimatul utilizării programului.

Dacă activitatea dumneavoastră are nevoie nivel inalt anonimat, vă recomandăm să renunțați la aceste VPN-uri și să utilizați versiunea oficială open source a OpenVPN.

La început, veți găsi acest lucru inconfortabil. Dar cu timpul, te vei obișnui cu asta dacă factorul de securitate și anonimat este pe primul loc pentru tine.

Vă garantăm că Secure Kit nu salvează nicio dată despre dvs. Dar trebuie să vă avertizăm că astfel de programe vă pot spiona.

O altă idee despre cum să vă creșteți securitatea a venit din punctul de vedere al locației geografice a serverelor. Pe Internet, se numește VPN offshore.

Ce este un VPN offshore

Diferite țări au niveluri diferite de legislație. Sunt state puternice cu legi puternice. Și există țări mici al căror nivel de dezvoltare nu permite protecția informațiilor datelor în țara lor.

Inițial, conceptul de offshore a fost folosit pentru a face referire la o țară în care politica fiscală este relaxată. Astfel de țări au taxe foarte mici pe afaceri. Companiile globale au devenit interesate de evaziunea fiscală legală în țara lor, iar conturile bancare offshore din Insulele Cayman au devenit foarte populare.

În prezent, în multe țări ale lumii există deja interdicții privind utilizarea conturilor bancare în țările offshore.

Majoritatea țărilor offshore sunt state mici situate în colțuri îndepărtate ale planetei. Serverele din astfel de țări sunt mai greu de găsit și sunt mai scumpe din cauza lipsei unei infrastructuri de internet dezvoltate. Serverele VPN din astfel de țări au început să fie numite offshore.

Se pare că cuvântul VPN offshore nu înseamnă VPN anonim, ci vorbește doar despre apartenența teritorială la un stat offshore.

Ar trebui să utilizați un VPN offshore?

Un VPN offshore prezintă beneficii suplimentare în ceea ce privește anonimatul.

Crezi că este mult mai ușor să scrii o cerere oficială:

• la departamentul de poliție din Germania
• sau la departamentul de poliție de pe insulele din Antigua Barbuda

Un VPN offshore este un strat suplimentar de protecție. Este bine să folosiți un server offshore ca parte a lanțului Double VPN.

Nu este nevoie să utilizați doar 1 server VPN offshore și să credeți că este complet sigur. Trebuie să vă abordați securitatea și anonimatul pe Internet din diferite unghiuri.

Utilizați un VPN offshore ca link către anonimatul dvs.

Și este timpul să răspundem la cea mai frecventă întrebare. Poate un serviciu VPN anonim să păstreze jurnalele? Și cum să determinați dacă serviciul păstrează jurnalele?

Serviciu VPN anonim și jurnalele. Cum să fii?

Un serviciu VPN anonim nu ar trebui să păstreze jurnalele. Altfel, nu mai poate fi numit anonim.

Am întocmit o listă de întrebări, datorită căreia puteți determina cu exactitate dacă serviciul păstrează jurnalele.

Acum aveți informații complete despre conexiunile VPN. Aceste cunoștințe sunt suficiente pentru a vă face anonim pe Internet și pentru a face transferul datelor cu caracter personal în siguranță.

Noi tehnologii VPN

Există noi tendințe în domeniul VPN?

Am vorbit deja despre avantajele și dezavantajele cascadării în serie a serverelor VPN (Duble, Triple, Quad VPN).

Pentru a evita dezavantajele tehnologiei Double VPN, puteți face o cascadă paralelă de lanțuri. L-am numit Parallel VPN.

Ce este Parallel VPN

Esența VPN paralelă este direcționarea traficului către un canal de date paralel.

Dezavantajul tehnologiei în cascadă secvenţială (VPN dublu, triplu, cvadru) este că fiecare server decriptează canalul şi îl criptează în următorul canal. Datele sunt criptate secvenţial.

Nu există o astfel de problemă în tehnologia Parallel VPN, deoarece toate datele sunt criptate dublu paralel. Adică, imaginați-vă o ceapă care are mai multe coji. În același mod, datele trec pe un canal care este dublu criptat.

Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:

confidențialitatea informațiilor;

integritatea datelor;

disponibilitatea informațiilor;

Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network - virtual private network) - un nume generalizat pentru tehnologii care vă permit să furnizați una sau mai multe conexiuni de rețea (rețea logică) printr-o altă rețea (de exemplu, Internet) folosind criptografia instrumente (criptare, autentificare, chei publice de infrastructură, mijloace de protecție împotriva repetății și modificării mesajelor transmise prin rețeaua logică).

Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii închiriate. În funcție de protocoalele utilizate și de scop, un VPN poate oferi trei tipuri de conexiuni: gazdă-gazdă, gazdă-rețea și rețea-rețea.

Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate teritorial și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să puneți modemuri în fiecare ramură și să organizați comunicarea după cum este necesar. O astfel de soluție, însă, nu este întotdeauna convenabilă și profitabilă - uneori aveți nevoie de o conexiune constantă și de o lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiunile VPN ale tuturor sucursalelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.

Orez. 6.4. conexiune VPN de la site la site

Orez. 6.5. Conexiune VPN gazdă la rețea

În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.

Pericolul aici este că, în primul rând, rețeaua deschisă este deschisă atacurilor de la intruși din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în mod clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și, în al treilea rând, datele pot fi nu numai interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator poate, de exemplu, să compromită integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.

Pentru a preveni acest lucru, soluțiile VPN folosesc instrumente precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la o rețea privată virtuală.

O conexiune VPN constă întotdeauna într-o legătură punct la punct, cunoscută și sub numele de tunel. Tunelul este creat într-o rețea nesigură, care este cel mai adesea Internet.

Tunnelarea sau încapsularea este o modalitate de a transfera informații utile printr-o rețea intermediară. Astfel de informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda care trimite, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine situate la punctele de intrare în rețeaua publică. Unul dintre avantajele evidente ale tunelului este că această tehnologie vă permite să criptați întregul pachet original, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).

Deși un tunel VPN este stabilit între două puncte, fiecare gazdă poate stabili tuneluri suplimentare cu alte gazde. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acest birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil datorită faptului că nodul poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:

Orez. 6.6. Creați tuneluri VPN pentru mai multe locații la distanță

Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.

În cadrul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Astfel, criptarea este garantată doar pentru informațiile care sunt transmise pe un canal nesecurizat între birouri.

Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:

PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în OS Firma Microsoft.

L2TP (Layer-2 Tunneling Protocol) - combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.

IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).

Protocoalele enumerate sunt acceptate de dispozitivele D-Link.

Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul vă permite să organizați accesul la distanță, astfel încât utilizatorii să poată stabili conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, protocolul PPTP nu a fost inițial destinat să organizeze tuneluri între rețelele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.

Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date folosind diferite protocoale - IP, IPX, NetBEUI etc. Datele acestor protocoale sunt împachetate în cadre PPP, încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transportate folosind IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadrele PPP din pachetele IP și apoi le procesează în modul standard, adică. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca în cazul unui VPN bazat pe IPSec), cât și orice alt protocol poate fi folosit ca transport.

În prezent, datorită ușurinței de implementare, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la o rețea corporativă, cât și pentru accesarea rețelelor ISP atunci când un client trebuie să stabilească o conexiune PPTP cu un ISP pentru a accesa Internetul.

Metoda de criptare utilizată în PPTP este specificată la nivelul PPP. De obicei, clientul PPP este un computer desktop care rulează un sistem de operare Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este suficientă, deși este considerat mai puțin sigur decât o serie de alți algoritmi de criptare oferiti de IPSec, în special, Standardul de criptare a datelor triple pe 168 de biți (3DES).

Cum se stabilește legăturaPPTP?

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține legătura vie. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.

Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a trimite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea informațională a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de nivel al doilea care aparțin de obicei PPP, adică adaugă un antet PPP (antet) și un final (trailer) pachetului PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE) care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP doar la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, acesta este încapsulat într-un cadru cu antet IP. Antetul IP conține adresele expeditorului și destinatarului pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Pe orez. 6.7 arată structura de date pentru redirecționarea printr-un tunel PPTP:

Orez. 6.7. Structura de date pentru redirecționarea printr-un tunel PPTP

Configurarea unui VPN bazat pe PPTP nu necesită cheltuieli mari și setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să faceți setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de Internet sau un firewall cu suport PPTP: setările se fac numai pe un router de frontieră (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de Internet multifuncționale DIR/DSR și firewall-urile din seria DFL.

GRE-tunele

Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă trafic tunel prin rețele fără criptare. Exemple de utilizare a GRE:

transmiterea traficului (inclusiv broadcast) prin echipamente care nu suportă un protocol anume;

tunelarea traficului IPv6 printr-o rețea IPv4;

transmiterea datelor prin rețele publice pentru a implementa o conexiune VPN sigură.

Orez. 6.8. Un exemplu de tunel GRE

Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.

L2 TP

Protocolul L2TP a apărut ca urmare a fuziunii protocoalelor PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru gestionarea tunelului, cât și pentru redirecționarea datelor.

Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmisie la tunel adăugând mai întâi antetul PPP, apoi antetul L2TP, la câmpul de date de informații PPP. Pachetul astfel primit este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec aleasă, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Se adaugă un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date care trebuie trimisă printr-un tunel L2TP.

Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP

Calculatorul care primește datele, prelucrează antetul și finalul PPP și dezactivează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.

Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar sarcina utilă care este procesată sau redirecționată către destinatarul specificat.

IPsec (prescurtare pentru IP Security) este un set de protocoale pentru securizarea datelor transmise prin IP Internet Protocol, permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei pe Internet.

Securitatea IPSec se realizează prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. Deoarece IPSec este un standard de internet, apoi există documente RFC pentru el:

RFC 2401 (Arhitectura de securitate pentru protocolul Internet) este arhitectura de securitate pentru protocolul IP.

RFC 2402 (antet de autentificare IP) - antet de autentificare IP.

RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) - Utilizarea algoritmului hash SHA-1 pentru a crea un antet de autentificare.

RFC 2405 (Algoritmul de criptare ESP DES-CBC cu IV explicit) - Utilizarea algoritmului de criptare DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - Criptarea datelor.

RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de gestionare a cheilor.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Managementul cheilor și a autentificatorului pentru conexiuni sigure.

RFC 2409 (Internet Key Exchange (IKE)) - Schimb de chei.

RFC 2410 (Algoritmul de criptare NULL și utilizarea acestuia cu IPsec) - Algoritmul de criptare NULL și utilizarea acestuia.

RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.

RFC 2412 (Protocolul de determinare a cheii OAKLEY) - Verificarea autenticității unei chei.

IPsec este o parte integrantă a protocolului de internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului de internet.

Mecanismul IPSec îndeplinește următoarele sarcini:

autentificarea utilizatorilor sau a computerelor în timpul inițializării canalului securizat;

criptarea și autentificarea datelor transmise între punctele finale ale unui canal securizat;

furnizarea automată a punctelor finale de canal cu chei secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.

Componente IPSec

Protocolul AH (Authentication Header) este un protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din partea protejată a pachetului nu a fost modificat în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. Deoarece în acest caz, pachetul se modifică, apoi suma de control AH devine incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în activitatea sa). De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.

Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva falsificării pachetelor.

Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP este între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.

Deoarece ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), prin care puteți determina ce va urma antetul IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese al Internetului), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, este foarte important atunci când lucrați printr-un firewall să configurați filtrele în așa fel încât să treacă pachetele cu ID AH și/sau ESP ale protocolului.

ID-ul de protocol 51 este setat pentru a indica faptul că AH este prezent în antetul IP și 50 pentru ESP.

ATENŢIE: ID-ul protocolului nu este același cu numărul portului.

Protocolul IKE (Internet Key Exchange) este un protocol IPsec standard utilizat pentru a securiza comunicațiile în rețelele private virtuale. Scopul IKE este negocierea și livrarea în siguranță a materialului identificat către o asociație de securitate (SA).

SA este termenul IPSec pentru o conexiune. Un SA stabilit (un canal securizat numit „asociere sigură” sau „asociere de securitate” - Asociația de securitate, SA) include o cheie secretă partajată și un set de algoritmi criptografici.

Protocolul IKE îndeplinește trei sarcini principale:

oferă un mijloc de autentificare între două puncte finale VPN;

stabilește noi legături IPSec (creează o pereche de SA);

gestionează relațiile existente.

IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.

Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează asociația SA IKE. În același timp, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi algoritmul de criptare, cheia de sesiune etc.

În a doua fază, SA IKE este utilizat pentru negocierea protocolului (de obicei IPSec).

Cu un tunel VPN configurat, se creează o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, ca fiecare SA este o conexiune unidirecțională, iar datele trebuie trimise în două direcții. Perechile SA primite sunt stocate pe fiecare nod.

Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index) sau Security Parameter Index.

SA stocat într-o bază de date (DB) TRIST(Baza de date Asociația de Securitate).

Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) - Baza de date cu politici de securitate. Conține politica de gazdă configurată. Majoritatea soluțiilor VPN vă permit să creați mai multe politici cu combinații de algoritmi adecvați pentru fiecare gazdă la care doriți să vă conectați.

Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe modalități de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. Cu toate acestea, grupul de lucru IETF a definit un set de bază de caracteristici și algoritmi acceptați care trebuie implementați în același mod în toate produsele IPSec activate. Mecanismele AH și ESP pot fi utilizate cu diverse scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie funcția unidirecțională MD5, fie funcția unidirecțională SHA-1, iar criptarea se face folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.

Orice algoritm de criptare simetrică care utilizează chei secrete poate fi utilizat pentru a cripta datele în IPSec.

Protocoalele de protecție a fluxului (AH și ESP) pot funcționa în două moduri - în mod de transport si in modul tunel. Când operează în modul de transport, IPsec se ocupă doar de informațiile din stratul de transport; doar câmpul de date al pachetului care conține protocoalele TCP / UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili o conexiune între gazde.

Modul de tunel criptează întregul pachet IP, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, acesta este un tunel IP securizat. Modul tunel poate fi utilizat pentru a conecta computere de la distanță la o rețea privată virtuală (schemă de conexiune „rețea gazdă”) sau pentru a organiza transferul securizat de date prin canale de comunicație deschise (de exemplu, Internet) între gateway-uri pentru a combina diferite părți ale unui privat virtual. rețea („schemă de conexiune la rețea”). -net”).

Modurile IPsec nu se exclud reciproc. Pe aceeași gazdă, unele SA pot folosi modul de transport, în timp ce altele pot folosi modul tunel.

În timpul fazei de autentificare, se calculează suma de control ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să compare cu rezultatul trimis de expeditor. Dacă comparația ICV are succes, expeditorul pachetului este considerat autentificat.

În modul transportAH

întregul pachet IP, cu excepția unor câmpuri din antetul IP, care pot fi modificate în tranzit. Aceste câmpuri, ale căror valori pentru calculul ICV sunt 0, pot face parte din serviciu (Tip de serviciu, TOS), steaguri, decalaj fragment, timp de viață (TTL), precum și un antet sumă de control;

toate câmpurile din AH;

sarcina utilă a pachetelor IP.

AH în modul de transport protejează antetul IP (cu excepția câmpurilor care pot fi modificate) și încărcarea utilă din pachetul IP original (Figura 3.39).

În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transferul de date este efectuat pe baza antetului noului pachet IP.

Pentru modul tunelAH la efectuarea unui calcul, următoarele componente sunt incluse în suma de control ICV:

toate câmpurile din antetul IP exterior, cu excepția unor câmpuri din antetul IP, care pot fi modificate în timpul transmisiei. Aceste câmpuri, ale căror valori pentru calculul ICV sunt 0, pot face parte din serviciu (Tip de serviciu, TOS), steaguri, decalaj fragment, timp de viață (TTL), precum și un antet sumă de control;

toate câmpurile AH;

pachetul IP original.

După cum puteți vedea în următoarea ilustrație, modul tunel AH protejează întregul pachet IP sursă cu un antet exterior suplimentar pe care modul de transport AH nu îl folosește:

Orez. 6.10. Modurile de operare în tunel și transport ale protocolului AN

În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar finalul ESP (ESP Trailer) este adăugat după date în consecință.

Modul de transport ESP criptează următoarele părți ale pachetului:

sarcină utilă IP;

Un algoritm de criptare care utilizează modul de criptare Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC, care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate de a decripta partea criptată a pachetului fără cheia de criptare. Pentru a preveni atacatorii să schimbe vectorul de inițializare, acesta este protejat de suma de control ICV. În acest caz, ICV efectuează următoarele calcule:

toate câmpurile din antetul ESP;

sarcină utilă inclusiv text clar IV;

toate câmpurile din remorca ESP, cu excepția câmpului de date de autentificare.

Modul tunel ESP încapsulează întregul pachet IP original într-un nou antet IP, un antet ESP și un Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul utilizării modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost făcută semnătura, atestând integritatea și autenticitatea acesteia, iar partea criptată arată că informația este protejată și confidențială. Antetul original este plasat după antetul ESP. După ce partea criptată este încapsulată într-un nou antet de tunel care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, un astfel de pachet este direcționat către adresa IP a gateway-ului rețelei de primire, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer situat pe rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:

pachetul IP original;

• Pentru modul tunel ESP, ICV se calculează după cum urmează:

  toate câmpurile din antetul ESP;

  pachetul IP original, inclusiv textul simplu IV;

  toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.

Orez. 6.11. Tunelul și modul de transport al protocolului ESP

Orez. 6.12. Compararea protocoalelor ESP și AH

Rezumatul modurilor de aplicareIPSec:

Protocol - ESP (AH).

Mod - tunel (transport).

Metoda de schimb de chei - IKE (manual).

Modul IKE - principal (agresiv).

Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.

Autentificare - SHA1 (SHA, MD5).

Criptare - DES (3DES, Blowfish, AES).

La crearea unei politici, este de obicei posibilă crearea unei liste ordonate de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, se va folosi prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să vă permită să obțineți această coincidență. Dacă totul se potrivește, cu excepția unei părți a politicii, gazdele nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică dintre toate posibile.

Principalele setări pe care le include politica de securitate:

Algoritmi simetrici pentru criptarea/decriptarea datelor.

Sume de control criptografice pentru a verifica integritatea datelor.

Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.

Dacă folosiți modul tunel sau modul de transport.

Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).

Dacă să folosiți AH, ESP sau ambele.

Dacă să utilizați PFS.

O limitare a IPSec este că acceptă doar transferul de date la nivelul de protocol IP.

Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.

În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează gazda care rulează:

Orez. 6.13. Creați un canal securizat între două puncte finale

În a doua schemă, se stabilește un canal securizat între două Gateway-uri de securitate. Aceste gateway-uri primesc date de la gazdele terminale conectate la rețelele din spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec, traficul direcționat către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în nume propriu.

Orez. 6.14. Crearea unui canal securizat între două gateway-uri

Pentru gazdele care acceptă IPSec, pot fi utilizate atât modul de transport, cât și modul tunel. Pentru gateway-uri, este permis doar modul tunel.

Instalare si suportVPN

După cum am menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), cele două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică reciproc. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimb de informații de identificare criptate (mod standard, Principal modul).

În modul principal, este posibil să se negocieze toți parametrii de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv acest lucru nu este posibil, iar unii parametri (grupul Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie să fie prealabile. -configurat în același mod pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai puține, rezultând mai puțin timp pentru stabilirea unei sesiuni IPSec.

Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).

Presupunând că operațiunea s-a încheiat cu succes, se creează o primă fază SA − Fază 1 SA(numit si IKESA) iar procesul trece la a doua fază.

În a doua etapă, se generează datele cheie, nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de Faza 1 prin faptul că poate fi stabilit numai după Faza 1, când toate pachetele din Faza 2 sunt criptate. Finalizarea corectă a celei de-a doua faze duce la apariție Fază 2 SA sau IPSecSA iar pe aceasta se consideră finalizată instalarea tunelului.

Mai întâi, un pachet ajunge la nodul cu o adresă de destinație pe o altă rețea, iar nodul inițiază prima fază cu nodul care este responsabil pentru cealaltă rețea. Să presupunem că tunelul dintre noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește durata de viață a Fazei Unu sau durata de viață IKE SA.

Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp numită Faza a doua sau durata de viață IPSec SA.

Durata de viață a fazei a doua este mai scurtă decât prima fază, deoarece cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca inițial tunelul să fie stabilit cu succes, dar după prima perioadă inconsecventă de viață, conexiunea să fie întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă tunelul configurat anterior nu mai funcționează, atunci primul lucru de verificat este durata de viață pe ambele noduri.

De asemenea, trebuie remarcat faptul că dacă modificați politica pe unul dintre noduri, modificările vor intra în vigoare doar la următorul început al primei faze. Pentru ca modificările să intre în vigoare imediat, trebuie să eliminați SA pentru acest tunel din baza de date SAD. Acest lucru va forța o revizuire a acordului dintre noduri cu noile setări ale politicii de securitate.

Uneori, la configurarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți asociate cu coordonarea parametrilor în timpul stabilirii primei faze. Ar trebui să acordați atenție unui astfel de parametru precum Local ID - acesta este un identificator unic pentru punctul final al tunelului (expeditor și destinatar). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.

Mortegaldetectare

În timpul funcționării VPN, dacă nu există trafic între punctele terminale ale tunelului sau dacă datele inițiale ale gazdei de la distanță se modifică (de exemplu, modificarea adresei IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență așa. , devenind, parcă, un tunel fantomă . Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să controlați prezența traficului de la nodul de la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall-uri D-Link trimite un mesaj „DPD-R-U-THERE”). Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link setate de setările „DPD Expire Time”, tunelul este demontat. Firewall-uri D-Link după aceea, folosind setările „DPD Keep Time” ( orez. 6.18) încearcă automat să restabilească tunelul.

ProtocolNATTraversare

Traficul IPsec poate fi rutat după aceleași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, este imposibil ca IPsec să treacă prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).

Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP normal în întreaga rețea și gazda destinatarului să nu efectueze verificări de integritate. După ce pachetul ajunge la destinație, antetul UDP este eliminat, iar pachetul de date își continuă drumul ca un pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibilă stabilirea unei comunicații între clienții IPSec din rețelele securizate și gazdele publice IPSec prin firewall-uri.

Există două puncte de reținut atunci când configurați firewall-urile D-Link pe dispozitivul receptor:

în câmpurile Remote Network și Remote Endpoint, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (emițătorului) folosind tehnologia NAT (Figura 3.48).

Când utilizați chei partajate cu mai multe tuneluri conectate la același firewall la distanță care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.

Local ID poate fi unul dintre:

Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.

IP– adresa IP a portului WAN al firewall-ului de la distanță

DNS– adresa DNS

Tehnologia rețelei private virtuale- un nume generalizat pentru metodele de comutare între computere individuale sau alte dispozitive dintr-un alt mediu. Poate fi folosit cu diverse mijloace protecția criptografică, crescând astfel securitatea transmiterii datelor. Ceea ce este important în multe cazuri, mai ales pentru rețelele de tot felul companii mariși bănci.

Ce este VPN

Abrevierea VPN înseamnă Virtual Private Network. De fapt, acest tip de conexiune vă permite să creați o zonă dedicată într-un mediu existent. Mașinile incluse în acesta pot vedea imprimante, hard disk-uri și alte echipamente comune, ceea ce este destul de convenabil. În același timp, niciun străin nu poate intra în această zonă selectată.

Creați o conexiune

Pentru a crea și conecta mediul de tipul respectiv, trebuie să aveți cunoștințe minime despre computer și sistemul de operare Windows. Pentru a efectua această operațiune, trebuie să urmați următorii pași în ordine strictă:





1. pictograme mari;
2. icoane mici;
3. categorii;



După parcurgerea tuturor pașilor, va fi necesar să configurați VPN-ul, ținând cont de toate nuanțele posibile. Fiecare caz are propriile sale nuanțe. Toate acestea trebuie luate în considerare. Majoritatea furnizorilor de servicii de internet creează instrucțiuni pas cu pas special pentru interacțiunea cu serverul lor.

Configurare VPN

Totul este complet individual, nu numai în raport cu diferiți operatori, ci și în diferite versiuni ale sistemului de operare Microsoft Windows. Întrucât în ​​fiecare au existat diverse feluri de modificări în ceea ce privește introducerea anumitor parametri.

Video: networking într-o organizație

Windows XP

Pentru funcționarea normală a Rețelei Private Virtuale în sala de operație sistem Windows XP trebuie să urmeze pașii în ordine strictă:

• apăsați butonul „Start”, selectați „Panou de control”;

  

• se va deschide o zonă numită „New Connection Wizard”, trebuie să selectați un element numit „Conectați-vă la rețea la locul de muncă”;

  

  Fotografie: selectând „Conectează-te la o rețea la locul meu de muncă”

• în fereastra care se deschide, selectați al doilea element din partea de sus, acesta este desemnat „Conectarea la o rețea privată virtuală”;

  

  Foto: caseta de selectare „Conectați-vă la o rețea privată virtuală”

• fereastra care apare în continuare vă permite să scrieți un nume pentru viitorul mediu - puteți introduce orice în el, poate fi numele serverului, furnizorului sau orice cuvânt, expresie aleatorie;

  

• după finalizarea operațiunilor din fereastra anterioară, este necesar să înregistrați serverul cu care se va efectua operațiunea (puteți introduce o adresă IP sau faceți-o într-un alt mod);

  

• când se termină expertul, puteți crea o comandă rapidă.

  

Este adesea necesar să acordați atenție diferitelor opțiuni suplimentare pentru schimbul de date în modul normal.

Puteți face acest lucru făcând următoarele în ordine strictă:




În fiecare caz individual, totul este pur individual, există o dependență directă de un anumit server sau furnizor de Internet.

Windows 8

Pentru a vă da seama cum să creați un mediu de acest tip în sistemul de operare Windows 8, trebuie să efectuați doar câteva clicuri de mouse. Acest proces este extrem de automatizat.

Trebuie să procedați astfel:

• deschiderea unui Desktop gol, găsiți pictograma de stare și faceți clic dreapta pe ea;

  

• în meniul contextual care se deschide, selectați „Centrul de rețea și partajare”;

  

  Foto: Alegerea unui centru de rețea și partajare

• apoi selectați pictograma semnată ca „Crearea unei noi conexiuni sau rețele”;

  

  Fotografie: creați o nouă conexiune sau o pictogramă de rețea

• determinați metoda de comunicare, pentru lucru trebuie să faceți clic pe „Utilizați conexiunea mea la internet”;

  

  Foto: articol folosind conexiunea mea la internet

• după parcurgerea pasului anterior și apăsând pe butonul următor, va trebui să introduceți adresa de Internet și numele obiectului de destinație, precum și să verificați alte opțiuni legate de acreditări, utilizarea cardurilor inteligente.

  

După finalizarea tuturor acțiunilor de mai sus, trebuie să decideți asupra diferitelor opțiuni privind funcționarea mediului.

Pentru asta ai nevoie de:




Setarea tuturor parametrilor este pur individuală în fiecare caz.

Windows 7

Configurarea conexiunii în cauză în sistemul de operare versiunea 7 a Microsoft Windows este destul de simplă. Orice utilizator va face față implementării sale, chiar și cu cea mai mică experiență de interacțiune cu un PC.

După ce conexiunea a fost deja creată, configurarea se realizează după cum urmează:

• deschideți lista făcând clic stânga pe pictograma cu monitorul din colțul din dreapta jos al ecranului - se va deschide o fereastră în care va apărea un buton numit „Conexiune”;

  

• faceți clic pe el pentru a deschide filele de activare prin care puteți accesa proprietățile;

  

• fereastra care se deschide în continuare vă permite să efectuați setări complete, există următoarele file:
  

De obicei, pentru funcționarea normală, este necesară o ajustare minuțioasă a fiecărui parametru, altfel conexiunea nu va fi stabilită deloc sau problemele vor apărea constant în timpul utilizării.

Cum să configurați un VPN pe Android

Pentru a opera un dispozitiv Android cu o rețea privată virtuală, trebuie să efectuați următorii pași simpli în ordine strictă:




După parcurgerea tuturor pașilor de mai sus, puteți trece la treabă.

Tehnologie și proprietăți

Este posibil să se determine de ce este necesară o conexiune de tipul în cauză doar cunoscând caracteristicile și proprietățile acesteia. În primul rând, trebuie amintit că acest tip de comunicare implică diferite tipuri de întârzieri în procesul de procesare a traficului.

Ele sunt prezente din următoarele motive:

• comunicarea este necesară;
• trebuie să criptați sau să decriptați datele;
• adăugarea de noi anteturi la pachete.



În caz contrar, diferențele față de alte metode și protocoale de lucru sunt nesemnificative. Diferențele globale există doar în tehnologie.

Are următoarele caracteristiciȘi:

• nu este nevoie de o conexiune dial-up (nu sunt necesare modemuri);
• nu sunt necesare linii dedicate.

Pentru a lucra într-un mediu securizat de orice tip, aveți nevoie doar de o conexiune la Internet și de programe speciale la ambele capete ale liniei care sunt capabile să cripteze și să decripteze datele protejate.

Operarea unei rețele private virtuale implică utilizarea tunelului (încapsulare). Această metodă de transfer de date permite pachetului de informații trimis să ajungă cu ușurință la destinația finală unde are loc dezcapsularea.

Clasificare

Compusul de tipul luat în considerare are un sistem de clasificare destul de ramificat.

Rețeaua privată virtuală este împărțită în funcție de tipul de securitate a mediului:




De asemenea, rețeaua privată virtuală este adesea clasificată în funcție de metoda de implementare.

Există următoarele soiuri:

• soluție software (se folosește software specializat);
• soluție integrată (se folosește un întreg complex de software și hardware).

Protocoale

Rețelele virtuale de acest tip pot fi implementate folosind următoarele protocoale:

• TCP/IP;
• AppleTalk.

Majoritatea rețelelor de astăzi sunt proiectate folosind TCP/IP.


De ce aveți nevoie de un VPN în primul rând? Scopul său principal este de a proteja informațiile de persoane din afară. De aceea este adesea folosit pentru comunicarea între diferiți agentii guvernamentale, precum și în alte situații în care problema protecției datelor este pe primul loc.

Pentru a înțelege ce este un VPN, este suficient să descifrezi și să traduci această abreviere. Este înțeleasă ca o „rețea privată virtuală”, care unește calculatoare individuale sau rețele locale pentru a asigura secretul și securitatea informațiilor transmise. Aceasta tehnologie presupune stabilirea unei conexiuni cu un server special bazat pe o retea publica folosind programe speciale. Ca urmare, în conexiunea existentă apare un canal, care este protejat în mod fiabil de algoritmi moderni de criptare. Cu alte cuvinte, un VPN este o conexiune punct la punct în interiorul sau peste o rețea nesigură, care este un tunel securizat pentru schimbul de informații între utilizatori și un server.

Caracteristicile fundamentale ale unui VPN

Înțelegerea a ceea ce este un VPN este incompletă fără a înțelege caracteristicile sale cheie: criptare, autentificare și controlul accesului. Aceste trei criterii disting un VPN de o rețea corporativă obișnuită care funcționează pe baza conexiunilor publice. Implementarea acestor proprietăți face posibilă protejarea computerelor utilizatorilor și a serverelor organizațiilor. Informațiile care trec prin canale neprotejate material devin invulnerabile la influența factorilor externi, este exclusă posibilitatea scurgerii și utilizării ilegale a acestora.



Tipologie VPN

După ce ați înțeles ce este un VPN, puteți continua să luați în considerare subspeciile sale, care se disting în funcție de protocoalele utilizate:

1. PPTP este un protocol de tunelare punct la punct care creează un canal securizat într-o rețea normală. Conexiunea se stabilește folosind două sesiuni de rețea: datele sunt transmise prin PPP folosind protocolul GRE, conexiunea este inițializată și gestionată prin TCP (portul 1723). Poate fi dificil de configurat pe mobil și alte rețele. Astăzi, acest tip de VPN este cel mai puțin fiabil. Nu trebuie utilizat atunci când lucrați cu date care nu ar trebui să cadă în mâinile unor terți.
2. L2TP - tunelarea stratului 2. Acest protocol avansat a fost dezvoltat din PPTP și L2F. Datorită criptării IPSec, precum și combinării canalelor principale și de control într-o singură sesiune UDP, este mult mai sigur.
3. SSTP este un tunel de socket securizat bazat pe SSL. Acest protocol creează comunicații fiabile prin HTTPS. Pentru ca protocolul să funcționeze, este necesar un port deschis 443, care să permită comunicarea din orice punct, chiar și dincolo de proxy.



Caracteristici VPN

ÎN secțiunile anterioare am vorbit despre ce este un VPN din punct de vedere tehnic. Acum ar trebui să priviți această tehnologie prin ochii utilizatorilor și să vă dați seama ce beneficii specifice aduce:

1. Siguranță. Nici unui utilizator de internet nu-i va plăcea dacă pagina lui de pe o rețea de socializare este piratată sau, și mai rău, parolele de la cardurile bancare și portofelele virtuale sunt furate. VPN protejează în mod eficient datele personale. Atât fluxurile de informații de ieșire, cât și cele de intrare sunt transmise prin tunel în formă criptată. Nici măcar ISP-ul nu le poate accesa. Acest articol este deosebit de important pentru cei care se conectează adesea la rețea în cafenele internet și în alte puncte cu Wi-Fi nesecurizat. Dacă nu utilizați un VPN în astfel de locuri, atunci nu numai informațiile transmise, ci și dispozitivul conectat vor fi în pericol.
2. Anonimat. VPN elimină problemele legate de ascunderea și modificarea adreselor IP, deoarece nu arată niciodată IP-ul real al utilizatorului resurselor pe care le vizitează. Întregul flux de informații trece printr-un server securizat. Conectarea prin proxy anonimi nu implică criptare, activitatea utilizatorului nu este un secret pentru furnizor, iar IP-ul poate deveni proprietatea resursei utilizate. VPN în acest caz își va emite propriul IP ca cel al utilizatorului.
3. Acces nelimitat. Multe site-uri sunt blocate la nivel de state sau rețele locale: de exemplu, nu sunt disponibile la birourile firmelor serioase social media. Dar este mai rău când nu poți ajunge la site-ul tău preferat nici de acasă. VPN, înlocuind IP-ul utilizatorului cu al său, își schimbă automat locația și deschide calea către toate site-urile blocate.



Aplicații VPN

VPN-urile sunt cel mai frecvent utilizate pentru:

1. Furnizorii și administratorii de sistem ai companiilor să ofere acces securizat la rețeaua globală. În același timp, se folosesc diferite setări de securitate pentru a funcționa în rețeaua locală și pentru a intra la nivelul general.
2. Administratorii să restricționeze accesul la rețeaua privată. Acest caz este clasic. Cu ajutorul VPN, diviziile întreprinderilor sunt unite și este oferită și posibilitatea conectării de la distanță a angajaților.
3. Administratori de agregare de rețea diverse niveluri. De regulă, rețelele corporative sunt pe mai multe niveluri și fiecare nivel următor este prevăzut cu protecție sporită. VPN în acest caz oferă o fiabilitate mai mare decât o simplă conexiune.



Principalele nuanțe la configurarea unui VPN

Utilizatorii care știu deja ce conexiune VPN este adesea stabiliți să o configureze singuri. Instrucțiuni pas cu pas despre configurarea rețelelor securizate pentru diverse sisteme de operare pot fi găsite peste tot, dar nu menționează întotdeauna unul punct important. Cu o conexiune VPN standard, gateway-ul principal este specificat pentru rețeaua VPN, drept urmare utilizatorul pierde Internetul sau se conectează printr-o rețea la distanță. Acest lucru creează inconveniente și uneori duce la costuri suplimentare pentru plata traficului dublu. Pentru a evita probleme, trebuie să faceți următoarele: în setările de rețea, găsiți proprietățile TCP / IPv4 și în fereastra de setări avansate, debifați caseta care permite utilizarea gateway-ului principal în rețeaua la distanță.

VPN nu este altceva decât tehnologia rețelei private virtuale. Și dacă este tradus aproximativ în dialectul rus, va fi așa: o rețea privată virtuală.

Toată această tehnologie este concepută pur și simplu pentru a combina anumite computere (interconectarea lor) într-un mediu de rețea securizat: de exemplu, pentru a oferi proprietarilor acestor computere un canal criptat și acces anonim la resursele de rețea terță parte.

Adică, să spunem, ceva de genul unei rețele în cadrul unei rețele, dar utilizarea tehnologiilor VPN oferă o conexiune mai sigură a tuturor computerelor conectate. Astfel, calculatoarele pot fi amplasate în diferite părți ale lumii (distanța nu este critică), iar utilizatorii lor pot schimba ușor și în siguranță documente „secrete”:

Dar să mergem în ordine:

cum funcționează VPN

Text cu paragraf:

Rețea privată virtuală - rețea privată virtuală - principiu general tehnologii care facilitează furnizarea uneia sau mai multor conexiuni de rețea (un fel de rețea logică locală) în cadrul rețelei principale - de exemplu, Internetul.

Rețelele private virtuale sunt realizate prin așa-numitele tuneluri, care sunt stabilite între „unul sau două” computere și servere la distanță.

Toate datele transmise prin acest tunel (sau aproape toate)) vor fi criptate - adică criptate.

Ei bine, pentru un exemplu fundamental: imaginați-vă un anume lac (o să-l avem ca pe internet) pe deasupra căruia merg tot felul de bărci cu pânze, iahturi, bărci... utilizatorii rețelei. Puteți urmări cu ușurință tot acest surfing! ..

Totuși, ruta (tunelul) VPN în această performanță va acționa ca un submarin care trece sub apă prin anumite canale criptate închise (tunele) și, după cum înțelegeți, toate informațiile plasate în interiorul acestui submarin al nostru vor fi informațiile noastre, dar ascuns de privirile indiscrete și transmis cu cea mai mare contaminare posibilă între puncte (un astfel de exemplu - jocul de cuvinte este scos).

Același lucru este prezentat în imaginea de mai jos:

poza de pe site-ul altcuiva (s-a pierdut adresa, dar mi-a placut foarte mult)

pentru ce poate fi folosit un VPN de către un utilizator obișnuit

1. Un anumit site este blocat (fără acces) dar ești disperat, trebuie să-l vizitezi... o descriere a unei alte modalități de a rezolva problema vizitei unui site blocat.
2. Dacă folosim adesea servicii bancare online și trebuie să ne securizăm cumva tranzacțiile.
3. ... sau o anumită resursă (site-ul web) este „difuzată” numai pentru țările europene și, din nou, nu știți... trebuie să citiți „o” sau să vizionați filme...
4. Nu doriți ca site-urile pe care le vizitați să vă urmărească (și, eventual, să fure) datele dvs.!
5. Sau, de exemplu, nu aveți un router de loțiune, totuși, este posibil să conectați câteva computere în retea locala, oferind astfel acces la Internet ambelor computere.

Ei bine, pentru a te bucura de tot acest beneficiu al VPN-ului este suficient să ai: rețeaua în sine, un computer (tabletă) și un server la distanță.

vpn și principiul de funcționare a criptării arată așa

Se creează un mediu de rețea virtuală între computerul utilizatorului și server cu software-ul VPN instalat. Ei bine, de exemplu Openvpn.

În programele de servicii, este generată o cheie (parolă) - care servește la criptarea (la ieșire) și la decriptare (la intrare) către client (tu și eu)

Și cu un astfel de pachet securizat, computerul creează o solicitare - care este criptată folosind cheia creată anterior.

Ei bine, nu merită să spunem că toată această „criptare” este transmisă prin tunel către serverul care conectează computerele.

După ce datele au ajuns cu succes prin tunel către server, acestea sunt decriptate și cererea este „activată”: trimiterea unui fișier (document), începerea să asculte cu urechea unui cântec etc...))

Serverul, pe de altă parte, pregătește un răspuns la cerere și îl trimite clientului: criptează toate acestea și - comandate de la tine și „top secret”.

Cu toate acestea, pentru ca fișierele să fie primite de dvs. în mod curat și lizibil, computerul dvs. decriptează datele cu cheia creată anterior (generată).

Ce e amuzant:

dispozitivele incluse într-o rețea privată virtuală pot fi localizate la orice distanță unele de altele (adică nu sunt legate de restricții geografice)

cum și unde puteți utiliza tehnologia VPN

Inventatorii unui astfel de miracol sfătuiesc să folosești vpn pentru a transfera orice date (aceasta este în mod ideal), astfel încât acestea să nu ajungă în mâinile unor terțe sau patra părți: ei bine, înțelegi - tot felul de parole, autentificări ... numere de carduri , corespondență amoroasă etc...

În special, această tehnologie economisește atunci când tu și cu mine folosim puncte de acces Wi-Fi deschise undeva în cafenele, parcuri de distracție și porturi aerospațiale...

Tehnologia le va veni la îndemână și acelor camarazi care doresc să acceseze liber orice site-uri/servicii de urmărire a site-urilor, inclusiv cele blocate de un anumit furnizor, sau resurse care au limitat cercul utilizatorilor lor.

unele diferențe între VPN și TOR, proxy și anonimizatori

VPN funcționează la nivel global și redirecționează activitatea întregii rețele prin tunelul de sistem. software instalat pe un computer.

Orice solicitare - printr-un browser, chat, client de stocare în cloud, cum ar fi dropbox - înainte de a ajunge la destinatar, trece rapid prin tunel și este criptată. „Mașinile” intermediare, precum Susanin, confundă urmele „datelor tale”, criptează și decriptează doar înainte de a le trimite destinatarului final: adică tu și eu. Ce!

Și ca urmare a unui sens minunat - destinația finală a cererii, de exemplu, un site unde nu am dori să ne lăsăm amprenta)) captează nu datele utilizatorului (ale noastre), nu ale noastre poziție geografică si tot asa si asa mai departe... DAR!! Datele serverului VPN.

adică teoretic este dificil de urmărit ce site-uri este interesat (și vizitează) utilizatorul și pentru ce lucrează acolo (interesele noastre sunt secrete)).

Într-o anumită măsură, anonimizatorii, proxy-urile și TOR pot fi considerate pe bună dreptate analogi ale VPN-urilor, cu toate acestea, toate aceste bunătăți enumerate pierd în anumite privințe și sunt inferioare rețelelor private virtuale - VPN-urile.

Prin urmare, să vedem ce:

Care este diferența dintre VPN și TOR

Foarte asemănătoare cu un VPN, tehnologia TOR criptează cererile și le transferă de la utilizator la server. Și, în consecință, invers. Numai că aici este o captură minunată - sistemul TOR nu creează tuneluri permanente !! modalitățile de transmitere/primire a datelor utilizatorului se modifică cu fiecare cerere (cerere), iar acest lucru, după cum înțelegeți, reduce șansele de a intercepta pachete de date valoroase. Cu toate acestea, trebuie spus: procesarea/crearea constantă a „cifrurilor” are un efect puternic asupra vitezei de livrare a pachetelor de date în sine.

Alegerea este a noastră.

TOR - întreținut de pasionați. Absolut gratuit! și în acest caz, „gratis” să se aștepte la unele funcționare stabilă Nu trebuie să.

care este diferența dintre un VPN și un proxy

Nu criptare, doar...

Proxy, ca VPN, redirecționează cererea de la site la site (calculatorul utilizatorului) și în mod similar transmite această solicitare prin unele servere intermediare (situate undeva departe).

Cu toate acestea, cârligul ascuns te face să te întrebi!! - nu este dificil să interceptați cererile organizate prin proxy, - schimbul de informații se face fără nici o criptare, chiar simplă.

Alex nu va veni la Eustace))

care este diferența dintre VPN și anonimizat

Este suficient să spunem că anonimizatorul este o versiune castrată (decapată) a proxy-ului, capabilă de muncă mai mult sau mai puțin decentă doar în fereastra unei file de browser deschise (limitată de browser).

Prin intermediul anonimizatorului, este posibil să puteți accesa pagina dorită, dar nu veți putea niciodată să utilizați majoritatea funcțiilor (omologii ei descriși mai sus).

Merită să adăugați că nu este nimic de vorbit despre vreun fel de criptare...

În ceea ce privește viteza de schimb de date, desigur, proxy-ul va câștiga, deoarece criptarea canalului nu este utilizată.

Până acum, VPN s-a stabilit ferm pe locul doi, deoarece este capabil să ofere în mod clar nu numai anonimatul, ci și protecție asupra unui „canal/tunel criptat”.

Locul al treilea a fost capturat de către anonimizator, deși se limitează la lucrul într-o fereastră deschisă de browser (browser).

TOR scade atunci când nu există timp, dorință sau oportunitate de a vă conecta la un VPN. După cum înțelegeți din cele de mai sus, nu trebuie să vă bazați pe procesarea de mare viteză a cererilor noastre.

Desigur, acestea sunt calcule foarte aproximative de farmece și viteze, dar - fundamental aproape! deoarece multe depind de volumul de lucru al serverelor World utilizate. Sau din legile acceptate ale acestei țări sau aceleia din această lume.

…ce trebuie să știi când alegi

Un articol la modă în vremurile moderne despre asta - pentru că, chiar dacă rămân în urma Telegramului, cu siguranță vor rămâne pe alt site !! Deci este util să ai cunoștințe la îndemână! și cunoștințe în articolul de la link...

(folosind NordVPN ca exemplu)...

... și în sfârșit, să vedem

cum să vă conectați la internet prin vpn

Segmentul ru oferă o mulțime și o mulțime de modalități și servicii de a oferi acces la VPN. Și multe alte variante pentru a vă conecta la VPN în lume!

Serviciile sunt platite! - lăsați-le libere din paranteze.

De la câțiva dolari la câteva zeci/sute de dolari pe lună/an.




Dacă ceva nu este clar și aveți întrebări, împărtășiți-le în comentarii...