Prečo potrebujete pripojenie vpn. Prečo potrebujete VPN? Popis pripojenia a správne nastavenie

V tomto článku odpovieme na najviac FAQčo je server VPN, povieme vám, či môže VPN zvýšiť vašu bezpečnosť, či potrebujete použiť Double VPN a ako skontrolovať, či služba VPN uchováva protokoly, ako aj čo moderné technológie existujú na ochranu osobných údajov.

VPN je virtuálna súkromná sieť, ktorá poskytuje šifrovanie medzi klientom a serverom VPN.

Hlavným účelom VPN je šifrovanie prevádzky a zmena IP adresy.

Pozrime sa, prečo a kedy je to potrebné.

Na čo je VPN?

Všetci poskytovatelia internetových služieb zaznamenávajú aktivity svojich zákazníkov na internete. To znamená, že poskytovateľ internetu vie, aké stránky ste navštívili. Je to potrebné na poskytnutie všetkých informácií o páchateľovi v prípade žiadostí polície, ako aj na zbavenie právnej zodpovednosti za konanie používateľa.

Situácií, kedy používateľ potrebuje chrániť svoje osobné údaje na internete a získať slobodu komunikácie, je veľa.

Príklad 1. Existuje obchod a je potrebné preniesť dôverné údaje cez internet, aby ich nikto nemohol zachytiť. Väčšina spoločností využíva technológiu VPN na prenos informácií medzi pobočkami spoločnosti.

Príklad 2. Mnohé služby na internete fungujú na princípe georeferencovania na lokalitu a zakazujú prístup používateľom z iných krajín.

Napríklad služba Yandex Music funguje iba pre IP adresy z Ruska a krajín bývalého SNŠ. Celá rusky hovoriaca populácia žijúca v iných krajinách teda nemá prístup k tejto službe.

Príklad 3. Blokovanie určitých stránok v kancelárii a v krajine. Často úrady blokujú prístup na sociálne siete, aby zamestnanci neutrácali pracovný čas na komunikáciu.

Napríklad Čína mnohé zablokovala služby Google. Ak obyvateľ Číny spolupracuje so spoločnosťou z Európy, potom je potrebné použiť služby ako Google Disk.

Príklad 4. Skryť navštívené stránky pred ISP. Sú chvíle, keď potrebujete skryť zoznam navštívených stránok pred poskytovateľom internetu. Všetka prevádzka bude šifrovaná.

Vďaka šifrovaniu prenosu váš ISP nebude vedieť, aké stránky ste na internete navštívili. V tomto prípade bude vaša IP adresa na internete patriť do krajiny servera VPN.

Keď sa pripojíte k sieti VPN, medzi počítačom a serverom VPN sa vytvorí zabezpečený kanál. Všetky údaje v tomto kanáli sú šifrované.

Vďaka VPN budete mať slobodu komunikovať a chrániť svoje osobné údaje.

V denníkoch poskytovateľa internetu bude súbor rôzne postavy. Na obrázku nižšie je znázornená analýza údajov získaných špeciálnym programom.

V hlavičke HTTP hneď vidíte, na ktorú stránku sa pripájate. Tieto údaje zaznamenávajú poskytovatelia internetových služieb.

Nasledujúci obrázok zobrazuje hlavičku HTTP pri používaní VPN. Údaje sú šifrované a nie je možné zistiť, ktoré stránky ste navštívili.

Ako sa pripojiť k sieti VPN

Existuje niekoľko spôsobov, ako sa pripojiť k sieti VPN.

• PPTP je zastaraný protokol. Väčšina moderných operačných systémov ho vylúčila zo zoznamu podporovaných. Nevýhody PPTP - nízka stabilita pripojenia. Pripojenie môže prepadnúť a nezabezpečené dáta môžu uniknúť na internet.
• Pripojenie L2TP (IPSec) je spoľahlivejšie. Tiež zabudované do väčšiny operačných systémov (Windows, Mac OS, Linux, iOS, Android, Windows Phone a ďalšie). Má lepšiu spoľahlivosť ako pripojenie PPTP.
• Pripojenie SSTP bolo vyvinuté relatívne nedávno. Je podporovaný iba v systéme Windows, takže nie je široko používaný.
• IKEv2 je moderný protokol založený na IPSec. Tento protokol nahradil protokol PPTP a podporujú ho všetky populárne operačné systémy.
• Pripojenie OpenVPN sa považuje za najspoľahlivejšie. Túto technológiu je možné flexibilne konfigurovať a pri výpadku spojenia OpenVPN zablokuje odosielanie nechránených dát do internetu.

Pre technológiu OpenVPN existujú 2 protokoly prenosu údajov:

• UDP protokol - rýchla prevádzka (odporúča sa pre VoiP telefóny, Skype, online hry)
• TCP protokol - charakterizovaný spoľahlivosťou prenášaných dát (vyžaduje potvrdenie prijatia paketu). Funguje trochu pomalšie ako UDP.

Ako nastaviť VPN

Nastavenie pripojenia VPN trvá niekoľko minút a líši sa v spôsobe pripojenia VPN.

V našej službe používame pripojenia PPTP a OpenVPN.

Zabezpečenie VPN

Vždy sa o tom budeme rozprávať integrovaný prístup do bezpečia. Bezpečnosť používateľa nespočíva len v samotnom VPN pripojení. Je dôležité, aký program používate na pripojenie k serveru VPN.

V súčasnosti služby ponúkajú pohodlných VPN klientov – sú to programy, ktoré uľahčujú nastavenie VPN pripojenia. My sami ponúkame pohodlného klienta VPN. Vďaka takýmto programom nastavenie pripojenia VPN netrvá dlhšie ako 1 minútu.

Keď sme prvýkrát začali poskytovať služby VPN v roku 2006, všetci naši používatelia si nastavili oficiálnu aplikáciu OpenVPN. Je to open source. Samozrejme, nastavenie oficiálneho klienta OpenVPN zaberie viac času. Pozrime sa však, čo je lepšie použiť z hľadiska anonymity.

Anonymita klienta VPN

V používaní takýchto programov vidíme nebezpečenstvo. Ide o to, že zdrojový kód takýchto programov je majetkom firmy a v záujme zachovania jedinečnosti jej programu ho nikto nezverejňuje.

Používatelia nemôžu zistiť, aké údaje o vás program zhromažďuje, ak nemáte otvorený zdrojový kód.

Program VPN vás môže identifikovať ako konkrétneho používateľa, aj keď sú protokoly na serveri vypnuté.

Každý program môže mať funkciu zaznamenávania stránok, ktoré ste navštívili, vašej skutočnej IP adresy. A keďže svoje prihlasovacie údaje do programu zadávate sami, vo všeobecnosti nemožno hovoriť o anonymite používania programu.

Ak to vaša činnosť vyžaduje vysoký stupeň anonymite, odporúčame vám zrušiť tieto siete VPN a použiť oficiálnu verziu OpenVPN s otvoreným zdrojom.

Spočiatku vám to bude nepríjemné. Časom si ale zvyknete, ak je pre vás faktor bezpečnosti a anonymity na prvom mieste.

Garantujeme, že Secure Kit o vás neukladá žiadne údaje. Ale musíme vás varovať, že takéto programy vás môžu špehovať.

Ďalší nápad ako zvýšiť svoju bezpečnosť prišiel z pohľadu geografickej polohy serverov. Na internete sa nazýva offshore VPN.

Čo je to offshore VPN

Rôzne krajiny majú rôzne úrovne legislatívy. Sú silné štáty so silnými zákonmi. A sú malé krajiny, ktorých úroveň rozvoja neumožňuje informačnú ochranu údajov v ich krajine.

Pôvodne sa pojem offshore používal na označenie krajiny, v ktorej je daňová politika uvoľnená. Takéto krajiny majú veľmi nízke dane z podnikania. Globálne spoločnosti sa začali zaujímať o legálne daňové úniky vo svojej krajine a offshore bankové účty na Kajmanských ostrovoch sa stali veľmi populárnymi.

V súčasnosti už v mnohých krajinách sveta platia zákazy používania bankových účtov v offshore krajinách.

Väčšina offshore krajín sú malé štáty nachádzajúce sa v odľahlých kútoch planéty. Servery v takýchto krajinách sa hľadajú ťažšie a sú drahšie kvôli chýbajúcej rozvinutej internetovej infraštruktúre. Servery VPN v takýchto krajinách sa začali nazývať offshore.

Ukazuje sa, že slovo offshore VPN neznamená anonymnú VPN, ale hovorí len o územnej príslušnosti k offshore štátu.

Mali by ste používať offshore VPN?

Offshore VPN predstavuje ďalšie výhody z hľadiska anonymity.

Myslíte si, že je oveľa jednoduchšie napísať formálnu žiadosť:

• na policajné oddelenie v Nemecku
• alebo na policajné oddelenie na ostrovoch v Antigua Barbuda

Offshore VPN je ďalšou vrstvou ochrany. Je dobré používať offshore server ako súčasť reťazca Double VPN.

Nie je potrebné používať iba 1 offshore server VPN a myslieť si, že je úplne bezpečný. K svojej bezpečnosti a anonymite na internete musíte pristupovať z rôznych uhlov pohľadu.

Použite offshore VPN ako prepojenie na vašu anonymitu.

A je čas odpovedať na najčastejšie kladené otázky. Môže anonymná služba VPN viesť záznamy? A ako zistiť, či služba uchováva denníky?

Anonymná služba VPN a protokoly. Ako byť?

Anonymná služba VPN by nemala uchovávať denníky. Inak sa to už nedá nazvať anonymným.

Zostavili sme zoznam otázok, vďaka ktorým môžete presne určiť, či služba vedie denníky.

Teraz máte úplné informácie o pripojeniach VPN. Tieto znalosti stačia na to, aby ste sa na internete stali anonymnými a prenos osobných údajov bol bezpečný.

Nové technológie VPN

Existujú nejaké nové trendy v oblasti VPN?

Už sme hovorili o výhodách a nevýhodách sériového kaskádovania serverov VPN (Double, Triple, Quad VPN).

Aby ste sa vyhli nevýhodám technológie Double VPN, môžete vytvoriť paralelnú kaskádu reťazcov. Nazvali sme to Paralelná VPN.

Čo je paralelná VPN

Podstatou paralelnej VPN je nasmerovať prevádzku na paralelný dátový kanál.

Nevýhodou sekvenčnej kaskádovej technológie (Double, Triple, Quad VPN) je, že každý server dešifruje kanál a zašifruje ho do ďalšieho kanála. Údaje sú postupne šifrované.

V technológii Parallel VPN takýto problém neexistuje, pretože všetky údaje sú dvojito paralelne šifrované. To znamená, predstavte si cibuľu, ktorá má niekoľko šupiek. Rovnakým spôsobom údaje prechádzajú kanálom, ktorý je dvakrát šifrovaný.

Internet sa čoraz viac využíva ako prostriedok komunikácie medzi počítačmi, pretože ponúka efektívnu a nenákladnú komunikáciu. Internet je však verejná sieť a na zabezpečenie bezpečnej komunikácie cez ňu je potrebný nejaký mechanizmus, ktorý spĺňa minimálne tieto úlohy:

dôvernosť informácií;

integrita údajov;

dostupnosť informácií;

Tieto požiadavky spĺňa mechanizmus nazývaný VPN (Virtual Private Network – virtuálna privátna sieť) – zovšeobecnený názov pre technológie, ktoré umožňujú poskytovať jedno alebo viac sieťových pripojení (logickej siete) cez inú sieť (napríklad internet) pomocou kryptografie. nástroje (šifrovanie, autentifikácia, verejné kľúče infraštruktúry, prostriedky na ochranu pred opakovaním a zmenou správ prenášaných cez logickú sieť).

Vytvorenie VPN si nevyžaduje ďalšie investície a umožňuje vám prestať používať prenajaté linky. V závislosti od použitých protokolov a účelu môže VPN poskytovať tri typy pripojení: hostiteľ-hostiteľ, hostiteľ-sieť a sieť-sieť.

Pre názornosť si predstavme nasledujúci príklad: podnik má niekoľko územne vzdialených pobočiek a „mobilných“ zamestnancov pracujúcich doma alebo na cestách. Je potrebné zjednotiť všetkých zamestnancov podniku do jednej siete. Najjednoduchšie je dať do každej pobočky modemy a organizovať komunikáciu podľa potreby. Takéto riešenie však nie je vždy pohodlné a ziskové - niekedy potrebujete neustále pripojenie a veľkú šírku pásma. Aby ste to dosiahli, musíte buď položiť vyhradenú linku medzi pobočkami, alebo si ich prenajať. Obe sú dosť drahé. A tu môžete ako alternatívu pri budovaní jedinej zabezpečenej siete použiť VPN pripojenia všetkých pobočiek spoločnosti cez internet a nakonfigurovať nástroje VPN na hostiteľoch siete.

Ryža. 6.4. pripojenie VPN typu site-to-site

Ryža. 6.5. Pripojenie hostiteľa k sieti VPN

V tomto prípade je veľa problémov vyriešených - pobočky môžu byť umiestnené kdekoľvek na svete.

Nebezpečenstvo je v tom, že po prvé, otvorená sieť je otvorená útokom votrelcov z celého sveta. Po druhé, všetky údaje sa prenášajú cez internet v čistote a útočníci, ktorí hacknú sieť, budú mať všetky informácie prenášané cez sieť. A po tretie, údaje sa dajú nielen zachytiť, ale aj nahradiť počas prenosu cez sieť. Útočník môže napríklad ohroziť integritu databáz tým, že bude konať v mene klientov jednej z dôveryhodných pobočiek.

Aby sa tomu zabránilo, riešenia VPN používajú nástroje, ako je šifrovanie údajov na zabezpečenie integrity a dôvernosti, autentifikácia a autorizácia na overenie používateľských práv a umožnenie prístupu k virtuálnej súkromnej sieti.

Pripojenie VPN vždy pozostáva z prepojenia bod-bod, známeho aj ako tunel. Tunel je vytvorený v nezabezpečenej sieti, ktorou je najčastejšie internet.

Tunelovanie alebo zapuzdrenie je spôsob prenosu užitočných informácií prostredníctvom medziľahlej siete. Takouto informáciou môžu byť rámce (alebo pakety) iného protokolu. Pri zapuzdrení sa rámec neprenáša tak, ako ho vygeneroval odosielajúci hostiteľ, ale je vybavený dodatočnou hlavičkou obsahujúcou smerovacie informácie, ktoré umožňujú zapuzdreným paketom prejsť cez medziľahlú sieť (Internet). Na konci tunela sú rámce de-zapuzdrené a prenesené do príjemcu. Typicky je tunel vytvorený dvoma okrajovými zariadeniami umiestnenými na vstupných bodoch do verejnej siete. Jednou zo zjavných výhod tunelovania je, že táto technológia umožňuje zašifrovať celý pôvodný paket vrátane hlavičky, ktorá môže obsahovať údaje obsahujúce informácie, ktoré útočníci využívajú na hacknutie siete (napríklad IP adresy, počet podsietí atď.). ).

Aj keď je medzi dvoma bodmi vytvorený tunel VPN, každý hostiteľ môže vytvoriť ďalšie tunely s inými hostiteľmi. Napríklad, keď tri vzdialené stanice potrebujú kontaktovať rovnakú kanceláriu, vytvoria sa tri samostatné VPN tunely do tejto kancelárie. Pre všetky tunely môže byť uzol na strane kancelárie rovnaký. Je to možné vďaka skutočnosti, že uzol môže šifrovať a dešifrovať údaje v mene celej siete, ako je znázornené na obrázku:

Ryža. 6.6. Vytvorte VPN tunely pre viaceré vzdialené miesta

Používateľ vytvorí pripojenie k bráne VPN, po ktorom má používateľ prístup do vnútornej siete.

V rámci súkromnej siete k samotnému šifrovaniu nedochádza. Dôvodom je, že táto časť siete je považovaná za bezpečnú a pod priamou kontrolou, na rozdiel od internetu. Platí to aj pri pripájaní kancelárií pomocou brán VPN. Šifrovanie je teda zaručené iba pre informácie, ktoré sa medzi úradmi prenášajú cez nezabezpečený kanál.

Existuje mnoho rôznych riešení na budovanie virtuálnych privátnych sietí. Najznámejšie a najpoužívanejšie protokoly sú:

PPTP (Point-to-Point Tunneling Protocol) - tento protokol sa stal pomerne populárnym vďaka jeho začleneniu do OS Spoločnosť Microsoft.

L2TP (Layer-2 Tunneling Protocol) - kombinuje protokol L2F (Layer 2 Forwarding) a protokol PPTP. Zvyčajne sa používa v spojení s IPSec.

IPSec (Internet Protocol Security) je oficiálny internetový štandard vyvinutý komunitou IETF (Internet Engineering Task Force).

Uvedené protokoly sú podporované zariadeniami D-Link.

Protokol PPTP je primárne určený pre virtuálne privátne siete založené na dial-up pripojeniach. Protokol vám umožňuje organizovať vzdialený prístup, aby používatelia mohli nadviazať telefonické pripojenie s poskytovateľmi internetu a vytvoriť bezpečný tunel do svojich podnikových sietí. Na rozdiel od IPSec nebol protokol PPTP pôvodne určený na organizovanie tunelov medzi lokálnymi sieťami. PPTP rozširuje možnosti protokolu PPP, protokolu dátového spojenia, ktorý bol pôvodne navrhnutý na zapuzdrenie dát a ich doručovanie cez spojenia bod-bod.

Protokol PPTP umožňuje vytvárať zabezpečené kanály na výmenu dát pomocou rôznych protokolov - IP, IPX, NetBEUI atď. Dáta týchto protokolov sú zabalené do rámcov PPP, zapuzdrené pomocou protokolu PPTP do paketov protokolu IP. Potom sú prenášané pomocou IP v šifrovanej forme cez akúkoľvek sieť TCP/IP. Prijímací uzol extrahuje PPP rámce z IP paketov a následne ich spracuje štandardným spôsobom, t.j. extrahuje paket IP, IPX alebo NetBEUI z rámca PPP a odošle ho cez lokálnu sieť. Protokol PPTP teda vytvára spojenie bod-bod v sieti a prenáša dáta cez vytvorený bezpečný kanál. Hlavnou výhodou zapuzdrených protokolov, ako je PPTP, je ich multiprotokolový charakter. Tie. ochrana údajov na vrstve dátového spojenia je transparentná pre protokoly sieťovej a aplikačnej vrstvy. Preto v rámci siete možno ako prenos použiť protokol IP (ako v prípade VPN založenej na IPSec) alebo akýkoľvek iný protokol.

V súčasnosti je protokol PPTP z dôvodu ľahkej implementácie široko používaný na získanie spoľahlivého bezpečného prístupu do podnikovej siete a na prístup k sieťam ISP, keď klient potrebuje vytvoriť spojenie PPTP s ISP, aby sa dostal na internet.

Metóda šifrovania použitá v PPTP je špecifikovaná na vrstve PPP. Klientom PPP je zvyčajne stolný počítač s operačným systémom Microsoft a šifrovacím protokolom je Microsoft Point-to-Point Encryption (MPPE). Tento protokol je založený na štandarde RSA RC4 a podporuje 40 alebo 128 bitové šifrovanie. Pre mnohé aplikácie tejto úrovne šifrovania je použitie tohto algoritmu postačujúce, hoci sa považuje za menej bezpečný ako množstvo iných šifrovacích algoritmov, ktoré ponúka IPSec, najmä 168-bitový Triple-Data Encryption Standard (3DES).

Ako sa vytvorí spojeniePPTP?

PPTP zapuzdruje IP pakety na prenos cez IP sieť. Klienti PPTP vytvoria pripojenie na riadenie tunela, ktoré udržiava prepojenie nažive. Tento proces sa vykonáva na transportnej vrstve modelu OSI. Po vytvorení tunela si klientsky počítač a server začnú vymieňať servisné pakety.

Okrem riadiaceho pripojenia PPTP sa vytvorí pripojenie na odosielanie údajov cez tunel. Zapuzdrenie údajov pred ich odoslaním do tunela zahŕňa dva kroky. Najprv sa vytvorí informačná časť rámca PPP. Dáta prúdia zhora nadol, z aplikačnej vrstvy OSI do spojovacej vrstvy. Prijaté dáta sú potom odoslané do modelu OSI a zapuzdrené protokolmi vyššej vrstvy.

Dáta z linkovej vrstvy sa dostanú do transportnej vrstvy. Informácie však nemožno odoslať na miesto určenia, pretože za to zodpovedá linková vrstva OSI. Preto PPTP zašifruje pole užitočného zaťaženia paketu a prevezme funkcie druhej úrovne, ktoré zvyčajne patria k PPP, t. j. do paketu PPTP pridá hlavičku PPP (hlavičku) a koniec (upútavku). Tým sa dokončí vytvorenie rámca vrstvy odkazu. Ďalej PPTP zapuzdrí rámec PPP do paketu GRE (Generic Routing Encapsulation), ktorý patrí do sieťovej vrstvy. GRE zapuzdruje protokoly sieťovej vrstvy, ako sú IP, IPX, aby ich bolo možné prenášať cez siete IP. Použitie samotného protokolu GRE však nezabezpečí vytvorenie relácie a bezpečnosť údajov. Toto využíva schopnosť PPTP vytvoriť prepojenie na riadenie tunela. Použitie GRE ako metódy zapuzdrenia obmedzuje rozsah PPTP iba ​​na siete IP.

Potom, čo bol rámec PPP zapuzdrený do rámca s hlavičkou GRE, je zapuzdrený do rámca s hlavičkou IP. Hlavička IP obsahuje adresu odosielateľa a príjemcu paketu. Nakoniec PPTP pridá hlavičku a koniec PPP.

Zapnuté ryža. 6.7 zobrazuje dátovú štruktúru pre presmerovanie cez tunel PPTP:

Ryža. 6.7.Štruktúra údajov na preposielanie cez tunel PPTP

Nastavenie VPN založenej na PPTP si nevyžaduje veľké náklady a zložité nastavenia: stačí nainštalovať PPTP server v centrále (riešenia PPTP existujú pre platformy Windows aj Linux) a vykonať potrebné nastavenia na klientskych počítačoch. Ak potrebujete skombinovať niekoľko pobočiek, potom namiesto nastavenia PPTP na všetkých klientskych staniciach je lepšie použiť internetový smerovač alebo firewall s podporou PPTP: nastavenia sa vykonávajú iba na hraničnom smerovači (firewalle) pripojenom na internet, pre užívateľov je všetko úplne transparentné. Príkladmi takýchto zariadení sú multifunkčné internetové smerovače DIR/DSR a firewally série DFL.

GRE-tunely

Generic Routing Encapsulation (GRE) je protokol na zapuzdrenie sieťových paketov, ktorý poskytuje tunelovanie prevádzky cez siete bez šifrovania. Príklady použitia GRE:

prenos prevádzky (vrátane vysielania) prostredníctvom zariadenia, ktoré nepodporuje špecifický protokol;

tunelovanie prevádzky IPv6 cez sieť IPv4;

prenos dát cez verejné siete na implementáciu bezpečného pripojenia VPN.

Ryža. 6.8. Príklad tunela GRE

Medzi dvoma smerovačmi A a B ( ryža. 6.8) existuje niekoľko smerovačov, tunel GRE umožňuje zabezpečiť spojenie medzi lokálnymi sieťami 192.168.1.0/24 a 192.168.3.0/24, ako keby boli smerovače A a B pripojené priamo.

L2 TP

Protokol L2TP sa objavil ako výsledok zlúčenia protokolov PPTP a L2F. Hlavnou výhodou protokolu L2TP je, že umožňuje vytvárať tunel nielen v sieťach IP, ale aj v sieťach ATM, X.25 a Frame relay. L2TP používa UDP ako prenos a používa rovnaký formát správy pre správu tunela aj preposielanie údajov.

Rovnako ako v prípade PPTP, L2TP začína zostavovať paket na prenos do tunela pridaním hlavičky PPP a potom hlavičky L2TP do informačného dátového poľa PPP. Takto prijatý paket je zapuzdrený pomocou UDP. V závislosti od typu zvolenej bezpečnostnej politiky IPSec môže L2TP šifrovať správy UDP a pridať hlavičku a koniec Encapsulating Security Payload (ESP), ako aj koniec overenia IPSec (pozri časť „L2TP cez IPSec“). Potom je zapuzdrený v IP. Pridá sa hlavička IP obsahujúca adresy odosielateľa a príjemcu. Nakoniec L2TP vykoná druhé zapuzdrenie PPP, aby pripravil dáta na prenos. Zapnuté ryža. 6.9 zobrazuje dátovú štruktúru, ktorá sa má odoslať cez tunel L2TP.

Ryža. 6.9.Štruktúra údajov na preposielanie cez tunel L2TP

Prijímajúci počítač prijme údaje, spracuje hlavičku a ukončenie PPP a odstráni hlavičku IP. IPSec Authentication overuje pole s informáciami o IP a hlavička IPSec ESP pomáha dešifrovať paket.

Počítač potom spracuje hlavičku UDP a na identifikáciu tunela použije hlavičku L2TP. Paket PPP teraz obsahuje iba užitočné zaťaženie, ktoré sa spracováva alebo posiela určenému príjemcovi.

IPsec (skratka pre IP Security) je súbor protokolov na zabezpečenie dát prenášaných cez IP internetový protokol, umožňujúci autentifikáciu a/alebo šifrovanie IP paketov. IPsec obsahuje aj protokoly na bezpečnú výmenu kľúčov na internete.

Bezpečnosť IPSec je dosiahnutá prostredníctvom dodatočných protokolov, ktoré pridávajú do IP paketu vlastné hlavičky – zapuzdrenie. Pretože IPSec je internetový štandard, potom preň existujú dokumenty RFC:

RFC 2401 (Security Architecture for the Internet Protocol) je bezpečnostná architektúra pre protokol IP.

RFC 2402 (IP Authentication header) - IP autentifikačná hlavička.

RFC 2404 (Použitie HMAC-SHA-1-96 v rámci ESP a AH) – Použitie algoritmu hash SHA-1 na vytvorenie overovacej hlavičky.

RFC 2405 (Šifrovací algoritmus ESP DES-CBC s explicitným IV) - Použitie šifrovacieho algoritmu DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - Šifrovanie dát.

RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) je rozsah protokolu správy kľúčov.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – Key and Authenticator Management for Secure Connections.

RFC 2409 (Internet Key Exchange (IKE)) – výmena kľúčov.

RFC 2410 (NULL šifrovací algoritmus a jeho použitie s IPsec) - NULL šifrovací algoritmus a jeho použitie.

RFC 2411 (IP Security Document Roadmap) je ďalším vývojom štandardu.

RFC 2412 (OAKLEY Key Determination Protocol) – Kontrola pravosti kľúča.

IPsec je neoddeliteľnou súčasťou internetového protokolu IPv6 a voliteľným rozšírením verzie IPv4 internetového protokolu.

Mechanizmus IPSec vykonáva nasledujúce úlohy:

overovanie používateľov alebo počítačov počas inicializácie zabezpečeného kanála;

šifrovanie a overovanie údajov prenášaných medzi koncovými bodmi zabezpečeného kanála;

automatické zásobovanie koncových bodov kanála tajnými kľúčmi potrebnými na fungovanie protokolov autentifikácie a šifrovania údajov.

Komponenty IPSec

Protokol AH (Authentication Header) je protokol identifikácie hlavičky. Zabezpečuje integritu overením, že počas prenosu neboli zmenené žiadne bity v chránenej časti paketu. Ale používanie AH môže spôsobiť problémy, napríklad keď paket prechádza cez NAT zariadenie. NAT zmení IP adresu paketu, aby umožnil prístup na internet zo súkromnej lokálnej adresy. Pretože v tomto prípade sa paket zmení, potom sa kontrolný súčet AH stane nesprávnym (na odstránenie tohto problému bol vyvinutý protokol NAT-Traversal (NAT-T), ktorý poskytuje prenos ESP cez UDP a pri svojej práci používa port UDP 4500). Za zmienku tiež stojí, že AH bol navrhnutý len pre integritu. Nezaručuje dôvernosť zašifrovaním obsahu balíka.

Protokol ESP (Encapsulation Security Payload) zabezpečuje nielen integritu a autentifikáciu prenášaných dát, ale aj šifrovanie dát, ako aj ochranu proti falšovaniu paketov.

Protokol ESP je zapuzdrený bezpečnostný protokol, ktorý poskytuje integritu aj dôvernosť. V transportnom režime je hlavička ESP medzi pôvodnou hlavičkou IP a hlavičkou TCP alebo UDP. V tunelovom režime je hlavička ESP umiestnená medzi novú hlavičku IP a plne zašifrovaný pôvodný paket IP.

Pretože oba protokoly - AH aj ESP - pridávajú svoje vlastné hlavičky IP, každý z nich má svoje vlastné číslo protokolu (ID), podľa ktorého môžete určiť, čo bude nasledovať po hlavičke IP. Každý protokol má podľa IANA (Internet Assigned Numbers Authority – organizácia zodpovedná za adresný priestor internetu) svoje vlastné číslo (ID). Napríklad pre TCP je toto číslo 6 a pre UDP je to 17. Preto je veľmi dôležité pri práci cez firewall nakonfigurovať filtre tak, aby prechádzali pakety s ID AH a/alebo ESP protokolu.

Protokol ID 51 je nastavený tak, aby indikoval, že AH je prítomný v hlavičke IP, a 50 pre ESP.

POZOR: ID protokolu nie je rovnaké ako číslo portu.

Protokol IKE (Internet Key Exchange) je štandardný protokol IPsec používaný na zabezpečenie komunikácie vo virtuálnych privátnych sieťach. Účelom IKE je bezpečné vyjednávanie a doručenie identifikovaného materiálu do bezpečnostnej asociácie (SA).

SA je IPSec termín pre pripojenie. Zavedená SA (zabezpečený kanál nazývaný „zabezpečené priradenie“ alebo „bezpečnostné pridruženie“ – Security Association, SA) obsahuje zdieľaný tajný kľúč a súbor kryptografických algoritmov.

Protokol IKE plní tri hlavné úlohy:

poskytuje prostriedky autentifikácie medzi dvoma koncovými bodmi VPN;

vytvorí nové prepojenia IPSec (vytvorí pár SA);

riadi existujúce vzťahy.

IKE používa port UDP číslo 500. Pri použití funkcie NAT Traversal, ako už bolo spomenuté, protokol IKE používa port UDP s číslom 4500.

Výmena dát v IKE prebieha v 2 fázach. V prvej fáze vzniká združenie SA IKE. Zároveň sa overia koncové body kanála a vyberú sa parametre ochrany údajov, ako je šifrovací algoritmus, kľúč relácie atď.

V druhej fáze sa SA IKE používa na vyjednávanie protokolu (zvyčajne IPSec).

S nakonfigurovaným tunelom VPN sa pre každý použitý protokol vytvorí jeden pár SA. SA sa vytvárajú v pároch, as každé SA je jednosmerné pripojenie a údaje sa musia odosielať v dvoch smeroch. Prijaté SA páry sú uložené v každom uzle.

Pretože každý uzol je schopný vytvoriť viacero tunelov s inými uzlami, každý SA má jedinečné číslo na identifikáciu, ku ktorému uzlu patrí. Toto číslo sa nazýva SPI (Security Parameter Index) alebo Security Parameter Index.

SA uložené v databáze (DB) SAD(Databáza bezpečnostných asociácií).

Každý uzol IPSec má aj druhú DB − SPD(Bezpečnostná databáza) – Databáza bezpečnostnej politiky. Obsahuje nakonfigurovanú politiku hostiteľa. Väčšina riešení VPN vám umožňuje vytvárať viaceré politiky s kombináciami vhodných algoritmov pre každého hostiteľa, ku ktorému sa chcete pripojiť.

Flexibilita IPSec spočíva v tom, že pre každú úlohu existuje niekoľko spôsobov jej riešenia a metódy zvolené pre jednu úlohu sú zvyčajne nezávislé od metód implementácie iných úloh. Pracovná skupina IETF však definovala základnú sadu podporovaných funkcií a algoritmov, ktoré musia byť implementované rovnakým spôsobom vo všetkých produktoch s podporou IPSec. Mechanizmy AH a ESP možno použiť s rôznymi schémami autentifikácie a šifrovania, z ktorých niektoré sú povinné. Napríklad IPSec špecifikuje, že pakety sa overujú pomocou jednosmernej funkcie MD5 alebo jednosmernej funkcie SHA-1 a šifrovanie sa vykonáva pomocou algoritmu DES. Výrobcovia produktov, ktoré používajú IPSec, môžu pridať ďalšie autentifikačné a šifrovacie algoritmy. Napríklad niektoré produkty podporujú šifrovacie algoritmy ako 3DES, Blowfish, Cast, RC5 atď.

Na šifrovanie údajov v IPSec možno použiť akýkoľvek symetrický šifrovací algoritmus, ktorý používa tajné kľúče.

Protokoly ochrany toku (AH a ESP) môžu fungovať v dvoch režimoch – in spôsob dopravy a v tunelový režim. Pri prevádzke v transportnom režime sa IPsec zaoberá iba informáciami transportnej vrstvy; šifrované je iba dátové pole paketu obsahujúceho protokoly TCP / UDP (hlavička IP paketu sa nemení (nešifruje)). Transportný režim sa zvyčajne používa na vytvorenie spojenia medzi hostiteľmi.

Režim tunelovania zašifruje celý IP paket vrátane hlavičky sieťovej vrstvy. Aby mohol byť prenášaný cez sieť, je umiestnený v inom IP pakete. V podstate ide o bezpečný IP tunel. Tunelový režim možno použiť na pripojenie vzdialených počítačov k virtuálnej súkromnej sieti (schéma pripojenia „hostiteľská sieť“) alebo na organizáciu bezpečného prenosu údajov prostredníctvom otvorených komunikačných kanálov (napríklad internetu) medzi bránami, aby sa skombinovali rôzne časti virtuálnej súkromnej siete. sieť ("schéma pripojenia k sieti"). -net").

Režimy IPsec sa navzájom nevylučujú. Na tom istom hostiteľovi môžu niektoré SA používať transportný režim, zatiaľ čo iné môžu používať tunelový režim.

Počas fázy autentifikácie sa vypočíta kontrolný súčet ICV (hodnota kontroly integrity) paketu. To predpokladá, že oba uzly poznajú tajný kľúč, ktorý umožňuje príjemcovi vypočítať ICV a porovnať ho s výsledkom zaslaným odosielateľom. Ak je porovnanie ICV úspešné, odosielateľ paketu sa považuje za overeného.

V režime dopravyAH

celý IP paket, okrem niektorých polí v hlavičke IP, ktoré je možné počas prenosu zmeniť. Tieto polia, ktorých hodnoty pre výpočet ICV sú 0, môžu byť súčasťou služby (Type of Service, TOS), príznaky, offset fragmentu, čas životnosti (TTL), ako aj hlavička kontrolného súčtu;

všetky polia v AH;

užitočné zaťaženie IP paketov.

AH v transportnom režime chráni hlavičku IP (okrem polí, ktoré sa môžu meniť) a užitočné zaťaženie v pôvodnom pakete IP (obrázok 3.39).

V tunelovom režime sa pôvodný paket umiestni do nového IP paketu a prenos dát sa uskutoční na základe hlavičky nového IP paketu.

Pre tunelový režimAH pri vykonávaní výpočtu sú do kontrolného súčtu ICV zahrnuté tieto zložky:

všetky polia vo vonkajšej hlavičke IP, s výnimkou niektorých polí v hlavičke IP, ktoré je možné počas prenosu zmeniť. Tieto polia, ktorých hodnoty pre výpočet ICV sú 0, môžu byť súčasťou služby (Type of Service, TOS), príznaky, offset fragmentu, čas životnosti (TTL), ako aj hlavička kontrolného súčtu;

všetky polia AH;

pôvodný IP paket.

Ako vidíte na nasledujúcom obrázku, režim tunela AH chráni celý zdrojový paket IP pomocou ďalšej vonkajšej hlavičky, ktorú režim prenosu AH nepoužíva:

Ryža. 6.10. Tunelové a transportné spôsoby prevádzky protokolu AN

V režime dopravyESP neoveruje celý paket, ale chráni iba užitočné zaťaženie IP. Hlavička ESP v transportnom režime ESP sa pridá do IP paketu hneď za hlavičku IP a za dáta sa zodpovedajúcim spôsobom pridá koncovka ESP (ESP Trailer).

Transportný režim ESP šifruje nasledujúce časti paketu:

IP užitočné zaťaženie;

Šifrovací algoritmus, ktorý používa režim šifrovania Cipher Block Chaining (CBC), má medzi hlavičkou ESP a užitočným zaťažením nezašifrované pole. Toto pole sa nazýva IV (Initialization Vector) pre výpočet CBC, ktorý sa vykonáva na prijímači. Keďže toto pole sa používa na spustenie procesu dešifrovania, nedá sa zašifrovať. Aj keď má útočník možnosť zobraziť IV, neexistuje spôsob, ako by mohol dešifrovať zašifrovanú časť paketu bez šifrovacieho kľúča. Aby útočníci nemohli zmeniť inicializačný vektor, je strážený kontrolným súčtom ICV. V tomto prípade ICV vykoná nasledujúce výpočty:

všetky polia v hlavičke ESP;

užitočné zaťaženie vrátane otvoreného textu IV;

všetky polia v ESP Trailer okrem poľa autentifikačných údajov.

Tunelový režim ESP zapuzdruje celý pôvodný paket IP do novej hlavičky IP, hlavičky ESP a upútavky ESP. Na označenie prítomnosti ESP v hlavičke IP sa identifikátor protokolu IP nastaví na 50, pričom pôvodná hlavička IP a užitočné zaťaženie sa ponechajú nezmenené. Rovnako ako v režime tunela AH je hlavička vonkajšej adresy IP založená na konfigurácii tunela IPSec. V prípade použitia tunelového režimu ESP oblasť autentifikácie paketu IP ukazuje, kde bol podpis vytvorený, čím sa potvrdzuje jeho integrita a pravosť, a šifrovaná časť ukazuje, že informácie sú chránené a dôverné. Pôvodná hlavička sa umiestni za hlavičku ESP. Potom, čo je šifrovaná časť zapuzdrená do novej hlavičky tunela, ktorá nie je šifrovaná, sa prenesie IP paket. Pri odoslaní cez verejnú sieť je takýto paket smerovaný na IP adresu brány prijímajúcej siete a brána dešifruje paket a zahodí hlavičku ESP pomocou pôvodnej hlavičky IP, aby potom paket smeroval do počítača umiestneného na vnútornej siete. Režim tunelovania ESP šifruje nasledujúce časti paketu:

pôvodný IP paket;

• Pre režim tunela ESP sa ICV vypočíta takto:

  všetky polia v hlavičke ESP;

  pôvodný IP paket vrátane otvoreného textu IV;

  všetky polia hlavičky ESP okrem poľa autentifikačných údajov.

Ryža. 6.11. Tunel a transportný režim protokolu ESP

Ryža. 6.12. Porovnanie protokolov ESP a AH

Súhrn aplikačných režimovIPSec:

Protokol - ESP (AH).

Režim - tunel (doprava).

Spôsob výmeny kľúčov - IKE (manuálne).

Režim IKE - hlavný (agresívny).

DH kľúč – skupina 5 (skupina 2, skupina 1) – číslo skupiny pre výber dynamicky vytváraných kľúčov relácie, dĺžka skupiny.

Autentifikácia - SHA1 (SHA, MD5).

Šifrovanie - DES (3DES, Blowfish, AES).

Pri vytváraní politiky je zvyčajne možné vytvoriť usporiadaný zoznam algoritmov a skupín Diffie-Hellman. Diffie-Hellman (DH) je šifrovací protokol používaný na vytvorenie zdieľaných tajných kľúčov pre IKE, IPSec a PFS (Perfect Forward Secrecy). V tomto prípade sa použije prvá pozícia, ktorá sa zhoduje na oboch uzloch. Je veľmi dôležité, aby všetko v bezpečnostnej politike umožňovalo dosiahnuť túto náhodu. Ak sa všetko ostatné zhoduje okrem jednej časti politiky, hostitelia stále nebudú môcť vytvoriť pripojenie VPN. Pri nastavovaní tunela VPN medzi rôznymi systémami musíte zistiť, ktoré algoritmy sú podporované každou stranou, aby ste si mohli zvoliť najbezpečnejšiu politiku zo všetkých možných.

Hlavné nastavenia, ktoré bezpečnostná politika zahŕňa:

Symetrické algoritmy na šifrovanie/dešifrovanie údajov.

Kryptografické kontrolné súčty na kontrolu integrity údajov.

Metóda identifikácie uzla. Najbežnejšími metódami sú predzdieľané tajomstvá alebo certifikáty CA.

Či použiť tunelový režim alebo dopravný režim.

Ktorú skupinu Diffie-Hellman použiť (DH skupina 1 (768-bit); DH skupina 2 (1024-bit); DH skupina 5 (1536-bit)).

Či použiť AH, ESP alebo oboje.

Či použiť PFS.

Obmedzením protokolu IPSec je, že podporuje prenos údajov iba na vrstve protokolu IP.

Existujú dve hlavné schémy používania IPSec, ktoré sa líšia úlohou uzlov, ktoré tvoria zabezpečený kanál.

V prvej schéme sa medzi koncovými hostiteľmi siete vytvorí bezpečný kanál. V tejto schéme protokol IPSec chráni hostiteľa, ktorý je spustený:

Ryža. 6.13. Vytvorte bezpečný kanál medzi dvoma koncovými bodmi

V druhej schéme je vytvorený bezpečný kanál medzi dvoma bezpečnostnými bránami. Tieto brány prijímajú údaje od koncových hostiteľov pripojených k sieťam za bránami. Koncoví hostitelia v tomto prípade nepodporujú protokol IPSec, prevádzka smerujúca do verejnej siete prechádza cez bezpečnostnú bránu, ktorá vykonáva ochranu vo svojom mene.

Ryža. 6.14. Vytvorenie bezpečného kanála medzi dvoma bránami

Pre hostiteľov, ktorí podporujú IPSec, možno použiť režim prenosu aj režim tunela. Pre brány je povolený iba tunelový režim.

Inštalácia a podporaVPN

Ako je uvedené vyššie, inštalácia a údržba tunela VPN je dvojkrokový proces. V prvej fáze (fáze) sa dva uzly dohodnú na metóde identifikácie, šifrovacom algoritme, hashovom algoritme a Diffie-Hellmanovej skupine. Tiež sa navzájom identifikujú. To všetko sa môže stať v dôsledku výmeny troch nešifrovaných správ (tzv. agresívny režim, Agresívne režim) alebo šesť správ s výmenou zašifrovaných identifikačných informácií (štandardný režim, Hlavná režim).

V hlavnom režime je možné dohodnúť všetky konfiguračné parametre zariadenia odosielateľa a príjemcu, zatiaľ čo v agresívnom režime to nie je možné a niektoré parametre (skupina Diffie-Hellman, šifrovacie a autentifikačné algoritmy, PFS) musia byť vopred nastavené. - nakonfigurované rovnakým spôsobom na každom zariadení. V tomto režime je však počet výmen aj počet odoslaných paketov nižší, čo má za následok kratší čas na vytvorenie relácie IPSec.

Ryža. 6.15. Správy v štandardnom (a) a agresívnom (b) režime

Za predpokladu úspešného dokončenia operácie sa vytvorí prvá fáza SA − Fáza 1 SA(tiež nazývaný IKESA) a proces pokračuje do druhej fázy.

V druhom kroku sa vygenerujú kľúčové dáta, uzly sa dohodnú na politike, ktorá sa má použiť. Tento režim, nazývaný aj Rýchly režim, sa líši od Fázy 1 tým, že ho možno vytvoriť až po Fáze 1, keď sú všetky pakety Fázy 2 zašifrované. Správne dokončenie druhej fázy vedie k vzhľadu Fáza 2 SA alebo IPSecSA a na tomto sa inštalácia tunela považuje za dokončenú.

Najprv do uzla dorazí paket s cieľovou adresou v inej sieti a uzol zaháji prvú fázu s uzlom, ktorý je zodpovedný za druhú sieť. Povedzme, že tunel medzi uzlami bol úspešne vytvorený a čaká na pakety. Uzly sa však po určitom čase musia navzájom znovu identifikovať a porovnať politiky. Toto obdobie sa nazýva životnosť prvej fázy alebo životnosť IKE SA.

Uzly musia tiež zmeniť kľúč na šifrovanie údajov po časovom období, ktoré sa nazýva druhá fáza alebo životnosť IPSec SA.

Životnosť fázy dva je kratšia ako prvá fáza, pretože kľúč je potrebné meniť častejšie. Pre oba uzly musíte nastaviť rovnaké parametre životnosti. Ak to neurobíte, je možné, že spočiatku sa tunel úspešne vytvorí, ale po prvom nekonzistentnom období života sa spojenie preruší. Problémy môžu nastať aj vtedy, keď je životnosť prvej fázy kratšia ako životnosť druhej fázy. Ak predtým nakonfigurovaný tunel prestane fungovať, potom prvá vec, ktorú treba skontrolovať, je životnosť na oboch uzloch.

Treba tiež poznamenať, že ak zmeníte politiku na jednom z uzlov, zmeny sa prejavia až pri ďalšom nástupe prvej fázy. Aby sa zmeny prejavili okamžite, musíte odstrániť SA pre tento tunel z databázy SAD. To si vynúti revíziu dohody medzi uzlami s novými nastaveniami bezpečnostnej politiky.

Niekedy sa pri nastavovaní IPSec tunela medzi zariadeniami od rôznych výrobcov vyskytnú ťažkosti spojené s koordináciou parametrov počas vytvárania prvej fázy. Mali by ste venovať pozornosť takému parametru, ako je Local ID - ide o jedinečný identifikátor pre koncový bod tunela (odosielateľ a príjemca). Toto je obzvlášť dôležité pri vytváraní viacerých tunelov a používaní protokolu NAT Traversal.

Mŕtvypeerdetekcia

Počas prevádzky VPN, ak medzi koncovými bodmi tunela nie je žiadna prevádzka, alebo ak sa zmenia počiatočné údaje vzdialeného hostiteľa (napríklad zmena dynamicky pridelenej IP adresy), môže nastať situácia, keď tunel už v podstate nebude taký , ktorý sa stal akoby tunelom duchov. Pre udržanie neustálej pripravenosti na výmenu dát vo vytvorenom IPSec tuneli vám mechanizmus IKE (opísaný v RFC 3706) umožňuje kontrolovať prítomnosť prevádzky zo vzdialeného uzla tunela, a ak je neprítomná počas nastaveného času, odošle sa ahoj správa (vo firewalloch D-Link pošle správu "DPD-R-U-THERE"). Ak do určitého času nepríde žiadna odpoveď na túto správu, v D-Link firewalloch nastavených v nastaveniach "DPD Expire Time" sa tunel demontuje. Firewally D-Link potom pomocou nastavení „DPD Keep Time“ ( ryža. 6.18) automaticky pokúsi obnoviť tunel.

ProtokolNATPrechádzanie

Prevádzka IPsec môže byť smerovaná podľa rovnakých pravidiel ako iné protokoly IP, ale keďže smerovač nemôže vždy extrahovať informácie špecifické pre protokoly transportnej vrstvy, je nemožné, aby IPsec prechádzal cez brány NAT. Ako už bolo spomenuté, na vyriešenie tohto problému IETF definovala spôsob zapuzdrenia ESP v UDP, ktorý sa nazýva NAT-T (NAT Traversal).

Protokol NAT Traversal zapuzdruje prevádzku IPSec a súčasne vytvára pakety UDP, ktoré NAT správne preposiela. Na tento účel umiestni NAT-T ďalšiu hlavičku UDP pred paket IPSec, takže sa s ním v celej sieti zaobchádza ako s normálnym paketom UDP a hostiteľ príjemcu nevykonáva žiadne kontroly integrity. Keď paket dorazí na miesto určenia, hlavička UDP sa odstráni a dátový paket pokračuje vo svojej ceste ako zapuzdrený paket IPSec. Pomocou mechanizmu NAT-T je teda možné nadviazať komunikáciu medzi IPSec klientmi v zabezpečených sieťach a verejnými IPSec hostiteľmi cez firewally.

Pri konfigurácii brány firewall D-Link na prijímacom zariadení je potrebné vziať do úvahy dva body:

do polí Vzdialená sieť a Vzdialený koncový bod zadajte sieť a IP adresu vzdialeného odosielajúceho zariadenia. Je potrebné umožniť preklad IP adresy iniciátora (odosielateľa) pomocou technológie NAT (obrázok 3.48).

Pri používaní zdieľaných kľúčov s viacerými tunelmi pripojenými k rovnakému vzdialenému firewallu, ktorý bol NAT prenesený na rovnakú adresu, je dôležité zabezpečiť, aby bolo lokálne ID jedinečné pre každý tunel.

Miestne ID môže byť jedným z:

Auto– ako lokálny identifikátor sa používa adresa IP odchádzajúceho komunikačného rozhrania.

IP– IP adresa WAN portu vzdialeného firewallu

DNS– DNS adresa

Technológia virtuálnej súkromnej siete- zovšeobecnený názov pre spôsoby prepínania medzi jednotlivými počítačmi alebo inými zariadeniami v rámci iného prostredia. Možno použiť s rôznymi prostriedkami kryptografická ochrana, čím sa zvyšuje bezpečnosť prenosu dát. Čo je v mnohých prípadoch dôležité, najmä pre siete všetkého druhu veľké spoločnosti a banky.

Čo je VPN

Skratka VPN znamená Virtual Private Network. V skutočnosti vám tento typ pripojenia umožňuje vytvoriť vyhradenú zónu v existujúcom prostredí. Stroje, ktoré sú v ňom zahrnuté, môžu vidieť tlačiarne, pevné disky a ďalšie bežné zariadenia, čo je celkom pohodlné. Do tejto vybranej zóny sa zároveň nemôže dostať žiadny cudzinec.

Vytvorte spojenie

Aby ste mohli vytvoriť a pripojiť prostredie daného typu, musíte mať minimálne znalosti o počítači a operačnom systéme Windows. Ak chcete vykonať túto operáciu, musíte postupovať podľa nasledujúcich krokov v prísnom poradí:





1. veľké ikony;
2. malé ikony;
3. Kategórie;



Po dokončení všetkých krokov bude potrebné nakonfigurovať VPN, berúc do úvahy všetky možné nuansy. Každý prípad má svoje vlastné nuansy. Všetky z nich treba brať do úvahy. Väčšina poskytovateľov internetových služieb vytvára podrobné pokyny špeciálne pre interakciu s ich serverom.

Nastavenie VPN

Všetko je úplne individuálne, nielen vo vzťahu k rôznym operátorom, ale aj v rôznych verziách operačného systému Microsoft Windows. Pretože v každom došlo k rôznym druhom zmien týkajúcich sa zadávania určitých parametrov.

Video: vytváranie sietí v organizácii

Windows XP

Pre normálne fungovanie virtuálnej privátnej siete na operačnej sále systém Windows XP musí postupovať podľa krokov v prísnom poradí:

• stlačte tlačidlo "Štart", vyberte "Ovládací panel";

  

• otvorí sa oblasť s názvom "Sprievodca novým pripojením", musíte vybrať položku s názvom "Pripojenie k sieti na pracovisku";

  

  Fotografia: Výber možnosti „Pripojiť sa k sieti na mojom pracovisku“

• v okne, ktoré sa otvorí, vyberte druhú položku zhora, ktorá je označená ako „Pripojenie k virtuálnej súkromnej sieti“;

  

  Fotografia: začiarkavacie políčko „Pripojiť k virtuálnej súkromnej sieti“

• okno, ktoré sa zobrazí ďalej, vám umožňuje napísať názov budúceho prostredia – môžete doň zadať čokoľvek, môže to byť názov servera, poskytovateľa alebo ľubovoľné náhodné slovo, fráza;

  

• po dokončení operácií v predchádzajúcom okne je potrebné zaregistrovať server, s ktorým bude operácia vykonaná (môžete zadať IP adresu alebo to urobiť iným spôsobom);

  

• po dokončení sprievodcu môžete vytvoriť odkaz.

  

Často je potrebné venovať pozornosť rôznym doplnkovým možnostiam výmeny dát v normálnom režime.

Môžete to urobiť nasledujúcim spôsobom v prísnom poradí:




V každom jednotlivom prípade je všetko čisto individuálne, existuje priama závislosť od konkrétneho servera alebo poskytovateľa internetu.

Windows 8

Ak chcete zistiť, ako vytvoriť prostredie tohto typu v operačnom systéme Windows 8, musíte vykonať iba niekoľko kliknutí myšou. Tento proces je vysoko automatizovaný.

Musíte to urobiť takto:

• otvorte prázdnu pracovnú plochu, nájdite ikonu stavu a kliknite na ňu pravým tlačidlom myši;

  

• v kontextovej ponuke, ktorá sa otvorí, vyberte „Centrum sietí a zdieľania“;

  

  Foto: Výber centra sietí a zdieľania

• potom vyberte ikonu podpísanú ako „Vytváranie nového pripojenia alebo siete“;

  

  Fotografia: Vytvorenie nového pripojenia alebo ikony siete

• určiť spôsob komunikácie, pre prácu musíte kliknúť na „Použiť moje internetové pripojenie“;

  

  Foto: položka používa moje internetové pripojenie

• po dokončení predchádzajúceho kroku a kliknutí na tlačidlo ďalej bude potrebné zadať internetovú adresu a názov cieľového objektu, ako aj skontrolovať ďalšie možnosti týkajúce sa poverení, používania čipových kariet.

  

Po dokončení všetkých vyššie uvedených akcií sa musíte rozhodnúť pre rôzne možnosti týkajúce sa fungovania prostredia.

Na to potrebujete:




Nastavenie všetkých parametrov je v každom prípade čisto individuálne.

Windows 7

Nastavenie príslušného pripojenia v operačnom systéme verzie 7 Microsoft Windows je pomerne jednoduché. Každý používateľ sa s jeho implementáciou vyrovná, dokonca aj s najmenšou skúsenosťou s interakciou s PC.

Po vytvorení pripojenia sa konfigurácia vykoná takto:

• otvorte zoznam kliknutím ľavým tlačidlom myši na ikonu s monitorom v pravom dolnom rohu obrazovky - otvorí sa okno, v ktorom bude tlačidlo s názvom "Pripojenie";

  

• kliknutím naň otvoríte aktivačné karty, cez ktoré máte prístup k vlastnostiam;

  

• okno, ktoré sa otvorí, vám umožňuje vykonať komplexné nastavenia, sú tu nasledujúce karty:
  

Zvyčajne je pre normálnu prevádzku potrebné starostlivé nastavenie každého parametra, inak sa spojenie vôbec nevytvorí alebo sa počas používania neustále vyskytnú problémy.

Ako nastaviť VPN v systéme Android

Ak chcete prevádzkovať zariadenie Android s virtuálnou privátnou sieťou, musíte vykonať nasledujúce jednoduché kroky v prísnom poradí:




Po dokončení všetkých vyššie uvedených krokov sa môžete pustiť do práce.

Technológia a vlastnosti

Je možné určiť, prečo je potrebné pripojenie daného typu, iba znalosťou jeho vlastností a vlastností. V prvom rade je potrebné pripomenúť, že tento typ komunikácie zahŕňa rôzne druhy oneskorení v procese spracovania prevádzky.

Sú prítomné z nasledujúcich dôvodov:

• vyžaduje sa komunikácia;
• potreba šifrovať alebo dešifrovať údaje;
• pridávanie nových hlavičiek do paketov.



Inak sú rozdiely od iných metód a protokolov práce nepatrné. Globálne rozdiely existujú iba v technológii.

Má nasledujúce vlastnosti a:

• nie je potrebné telefonické pripojenie (nie sú potrebné žiadne modemy);
• nie sú potrebné žiadne špeciálne linky.

Na prácu v bezpečnom prostredí akéhokoľvek typu potrebujete iba internetové pripojenie a špeciálne programy na oboch koncoch linky, ktoré sú schopné šifrovať a dešifrovať chránené dáta.

Prevádzka virtuálnej súkromnej siete zahŕňa použitie tunelovania (zapuzdrenia). Tento spôsob prenosu dát umožňuje odosielanému paketu informácií ľahko dosiahnuť konečné miesto určenia, kde dochádza k deenkapsulácii.

Klasifikácia

Zlúčenina uvažovaného typu má pomerne rozvetvený klasifikačný systém.

Virtuálna privátna sieť je rozdelená podľa typu zabezpečenia prostredia:




Virtuálna privátna sieť je tiež často klasifikovaná podľa spôsobu implementácie.

Existujú nasledujúce odrody:

• softvérové ​​riešenie (používa sa špecializovaný softvér);
• integrované riešenie (využíva sa celý komplex softvéru a hardvéru).

Protokoly

Virtuálne siete tohto typu je možné implementovať pomocou nasledujúcich protokolov:

• TCP/IP;
• AppleTalk.

Väčšina dnešných sietí je navrhnutá pomocou TCP/IP.


Prečo potrebujete VPN na prvom mieste? Jeho hlavným účelom je chrániť informácie pred cudzincami. Preto sa často používa na komunikáciu medzi rôznymi vládne agentúry, ako aj v iných situáciách, kde je otázka ochrany údajov na prvom mieste.

Aby sme pochopili, čo je to VPN, stačí túto skratku rozlúštiť a preložiť. Je chápaná ako „virtuálna privátna sieť“, ktorá spája jednotlivé počítače alebo lokálne siete s cieľom zabezpečiť utajenie a bezpečnosť prenášaných informácií. Táto technológia zahŕňa nadviazanie spojenia so špeciálnym serverom na báze verejnej siete špeciálne programy. Výsledkom je, že v existujúcom pripojení sa objaví kanál, ktorý je spoľahlivo chránený modernými šifrovacími algoritmami. Inými slovami, VPN je spojenie bod-bod v rámci alebo cez nezabezpečenú sieť, čo je bezpečný tunel na výmenu informácií medzi používateľmi a serverom.

Základné vlastnosti VPN

Pochopenie toho, čo je VPN, je neúplné bez pochopenia jej kľúčových funkcií: šifrovanie, autentifikácia a riadenie prístupu. Práve tieto tri kritériá odlišujú VPN od bežnej firemnej siete, ktorá funguje na báze verejných pripojení. Implementácia týchto vlastností umožňuje chrániť počítače používateľov a servery organizácií. Informácie, ktoré prechádzajú materiálne nechránenými kanálmi, sa stávajú nezraniteľnými voči vplyvom vonkajších faktorov, možnosť ich úniku a nezákonného použitia je vylúčená.



Typológia VPN

Po pochopení toho, čo je VPN, môžete pristúpiť k zváženiu jej poddruhov, ktoré sa rozlišujú na základe použitých protokolov:

1. PPTP je tunelový protokol typu point-to-point, ktorý vytvára bezpečný kanál cez normálnu sieť. Spojenie je nadviazané pomocou dvoch sieťových relácií: dáta sa prenášajú cez PPP pomocou protokolu GRE, spojenie sa inicializuje a riadi cez TCP (port 1723). Na mobilných a niektorých iných sieťach môže byť ťažké nastaviť. Dnes je tento typ VPN najmenej spoľahlivý. Nemal by sa používať pri práci s údajmi, ktoré by sa nemali dostať do rúk tretích strán.
2. L2TP - tunelovanie vrstvy 2. Tento pokročilý protokol bol vyvinutý z PPTP a L2F. Vďaka šifrovaniu IPSec, ako aj spojeniu hlavného a riadiaceho kanála do jedinej relácie UDP, je oveľa bezpečnejší.
3. SSTP je zabezpečené tunelovanie soketov založené na SSL. Tento protokol vytvára spoľahlivú komunikáciu cez HTTPS. Aby protokol fungoval, je potrebný otvorený port 443, ktorý umožňuje komunikáciu z akéhokoľvek bodu, dokonca aj mimo proxy.



Funkcie VPN

IN predchádzajúce časti hovoril o tom, čo je VPN z technického hľadiska. Teraz by ste sa mali pozrieť na túto technológiu očami používateľov a zistiť, aké konkrétne výhody prináša:

1. Bezpečnosť. Nejednému používateľovi internetu sa bude páčiť, ak jeho stránku na sociálnej sieti niekto hackne, alebo ešte horšie, ukradnú heslá z bankových kariet a virtuálnych peňaženiek. VPN efektívne chráni osobné údaje. Odchádzajúce aj prichádzajúce informačné toky sa prenášajú tunelom v šifrovanej forme. Ani ISP k nim nemá prístup. Táto položka je obzvlášť dôležitá pre tých, ktorí sa často pripájajú k sieti v internetových kaviarňach a iných bodoch s nezabezpečeným Wi-Fi. Ak na takýchto miestach nepoužívate VPN, ohrozené budú nielen prenášané informácie, ale aj pripojené zariadenie.
2. anonymita. VPN odstraňuje problémy so skrývaním a zmenou IP adries, pretože nikdy neukazuje skutočnú IP používateľa zdrojom, ktoré navštevuje. Celý tok informácií prechádza cez zabezpečený server. Pripojenie cez anonymné proxy neznamená šifrovanie, aktivita používateľa nie je pre poskytovateľa tajomstvom a IP sa môže stať majetkom použitého zdroja. VPN v tomto prípade vydá svoju vlastnú IP ako užívateľskú.
3. Neobmedzený prístup. Mnohé stránky sú blokované na úrovni štátov alebo miestnych sietí: napríklad nie sú dostupné v kanceláriách serióznych firiem sociálne médiá. Horšie však je, keď sa na svoju obľúbenú stránku nedostanete ani z domu. VPN, ktorá nahradí IP používateľa svojou vlastnou, automaticky zmení svoju polohu a otvorí cestu na všetky blokované stránky.



Aplikácie VPN

VPN sa najčastejšie používajú na:

1. Poskytovatelia a správcovia systémov spoločností poskytujú bezpečný prístup do globálnej siete. Súčasne sa na prácu v rámci lokálnej siete a na vstup do všeobecnej úrovne používajú rôzne nastavenia zabezpečenia.
2. Administrátori na obmedzenie prístupu do súkromnej siete. Tento prípad je klasický. Pomocou VPN sa zjednocujú divízie podnikov a poskytuje sa aj možnosť vzdialeného pripojenia zamestnancov.
3. Administrátori sieťovej agregácie rôzne úrovne. Firemné siete sú spravidla viacúrovňové a každá ďalšia úroveň je vybavená zvýšenou ochranou. VPN v tomto prípade poskytuje väčšiu spoľahlivosť ako jednoduché pripojenie.



Hlavné nuansy pri nastavovaní VPN

Používatelia, ktorí už vedia, čo je pripojenie VPN, sa často rozhodnú nastaviť ho sami. Pokyny krok za krokom o nastavení bezpečných sietí pre rôzne operačné systémy možno nájsť všade, no nie vždy sa o nich zmieňuje dôležitý bod. Pri štandardnom pripojení VPN je hlavná brána určená pre sieť VPN, v dôsledku čoho používateľ stratí internet alebo sa pripojí cez vzdialenú sieť. To spôsobuje nepríjemnosti a niekedy to vedie k dodatočným nákladom za platbu za dvojnásobnú návštevnosť. Aby ste predišli problémom, musíte urobiť nasledovné: v nastaveniach siete nájdite vlastnosti TCP / IPv4 a v okne rozšírených nastavení zrušte začiarknutie políčka, ktoré umožňuje použitie hlavnej brány vo vzdialenej sieti.

VPN nie je nič iné ako technológia virtuálnej súkromnej siete. A ak sa to preloží približne do ruského dialektu, bude to takto: virtuálna súkromná sieť.

Celá táto technológia je jednoducho navrhnutá tak, aby skombinovala určité počítače (ich vzájomné prepojenie) v bezpečnom sieťovom prostredí: napríklad aby vlastníkom týchto počítačov poskytovala šifrovaný kanál a anonymný prístup k sieťovým zdrojom tretích strán.

Teda povedzme niečo ako sieť v rámci siete, no využitie technológií VPN poskytuje bezpečnejšie spojenie všetkých pripojených počítačov. Počítačové stroje tak môžu byť umiestnené v rôznych častiach sveta (vzdialenosť nie je kritická) a ich používatelia si môžu jednoducho a bezpečne vymieňať „tajné“ dokumenty:

Ale poďme pekne po poriadku:

ako funguje VPN

Text po odseku:

Virtual Private Network - virtuálna súkromná sieť - všeobecný princíp technológie, ktoré celkom jednoducho uľahčujú poskytovanie jedného alebo viacerých sieťových pripojení (akýsi druh lokálnej logickej siete) v rámci hlavnej siete – napríklad internetu.

Virtuálne privátne siete sú vybudované prostredníctvom takzvaných tunelov, ktoré sú vytvorené medzi „jedným alebo dvoma“ počítačmi a vzdialenými servermi.

Všetky dáta prenášané týmto tunelom (alebo takmer všetky)) budú šifrované – teda zašifrované.

No, pre základný príklad: predstavte si určité jazero (budeme to mať ako internet), na ktoré chodia všelijaké plachetnice, jachty, člny... užívatelia siete. Všetko toto surfovanie môžete ľahko sledovať! ..

Cesta VPN (tunel) v tomto výkone sa však bude správať ako ponorka, ktorá sa dostane pod vodu cez určité uzavreté šifrované kanály (tunely), a ako viete, všetky informácie umiestnené vo vnútri tejto našej ponorky budú našimi informáciami, ale skryté pred zvedavými očami a prenášané s maximálnou možnou kontamináciou medzi bodmi (taký príklad - slovná hračka je mimo).

To isté je znázornené na obrázku nižšie:

obrázok z cudzej stránky (adresa sa stratila, ale veľmi sa mi páčil)

na čo môže VPN použiť bežný používateľ

1. Určitá stránka je zablokovaná (bez prístupu), ale ste zúfalý, musíte ju navštíviť ... popis iného spôsobu, ako vyriešiť problém s návštevou zablokovanej stránky.
2. Ak často využívame online bankovníctvo a potrebujeme nejako zabezpečiť svoje transakcie.
3. ... alebo nejaký zdroj (webová stránka) je „vysielaný“ len pre európske krajiny a opäť neviete ... musíte si „to“ prečítať alebo pozrieť filmy ...
4. Nechcete, aby stránky, ktoré navštívite, sledovali (a možno aj kradli) vaše údaje!
5. Alebo napríklad nemáte lotion router, ale je možné pripojiť niekoľko počítačov lokálna sieť, čím poskytuje prístup na internet obom počítačom.

Aby ste mohli využívať všetky tieto výhody VPN, stačí mať: samotnú sieť, počítač (tablet) a vzdialený server.

vpn a princíp práce šifrovania vyzerá takto

Medzi počítačom používateľa a serverom s nainštalovaným softvérom VPN sa vytvorí prostredie virtuálnej siete. Napríklad Openvpn.

V servisných programoch sa generuje kľúč (heslo) - ktorý slúži na šifrovanie (na výstupe) a dešifrovanie (na vstupe) klientovi (vy a ja)

A pri takto zabezpečenom zväzku počítač vytvorí požiadavku – ktorá je zašifrovaná pomocou predtým vytvoreného kľúča.

Sotva stojí za to povedať, že všetko toto „šifrovanie“ sa prenáša cez tunel na server spájajúci počítače.

Keď dáta úspešne dorazia tunelom na server, sú dešifrované a požiadavka je „zapnutá“: odoslanie súboru (dokumentu), začatie odpočúvania skladby, atď...))

Server na druhej strane pripraví odpoveď na požiadavku a odošle ju klientovi: toto všetko zašifruje a - objedná od vás a „prísne tajné“.

Avšak, aby ste dostali súbory čisté a čitateľné, váš počítač dešifruje dáta pomocou predtým vytvoreného (vygenerovaného) kľúča.

Čo je smiešne:

zariadenia zahrnuté vo virtuálnej súkromnej sieti môžu byť umiestnené v akejkoľvek vzdialenosti od seba (t. j. nie sú viazané na geografické obmedzenia)

ako a kde môžete využívať technológie VPN

Vynálezcovia takéhoto zázraku radia používať vpn na prenos akýchkoľvek údajov (to je ideálne), aby neskončili v rukách tretích alebo štvrtých strán: dobre, chápete - všetky druhy hesiel, prihlasovacích údajov ... čísla kariet , milostná korešpondencia atď.

Najmä táto technológia šetrí, keď vy a ja používame otvorené prístupové body Wi-Fi niekde v kaviarňach, zábavných parkoch a leteckých prístavoch ...

Táto technológia bude užitočná aj pre tých súdruhov, ktorí chcú mať voľný prístup k akýmkoľvek službám na sledovanie stránok / stránok, vrátane tých, ktoré sú blokované určitým poskytovateľom, alebo k zdrojom, ktoré obmedzili okruh ich používateľov.

niektoré rozdiely medzi VPN a TOR, proxy a anonymizátormi

VPN funguje globálne a presmeruje prácu celej siete cez systémový tunel. softvér nainštalovaný na nejakom počítači.

Akákoľvek požiadavka – prostredníctvom prehliadača, chatu, klienta cloudového úložiska, ako je napríklad schránka – pred príchodom k adresátovi prebehne tunelom a je zašifrovaná. Stredné „stroje“, ako je Susanin, zamieňajú stopy „vašich údajov“, šifrujú a dešifrujú ich iba pred ich odoslaním konečnému adresátovi: teda vám a mne. Čo!

A ako výsledok úžasného významu - konečný cieľ požiadavky, napríklad stránka, kde by sme nechceli zanechať svoju značku)) nezachytáva údaje používateľa (naše), nie naše geografická poloha a tak ďalej a tak ďalej... ALE!! Údaje servera VPN.

t.j. je teoreticky ťažké sledovať, o ktoré stránky sa používateľ zaujíma (a navštevuje) a pre čo tam pracuje (naše záujmy sú tajné).

Do určitej miery možno anonymizátory, proxy a TOR oprávnene považovať za analógy VPN, všetky tieto uvedené dobroty však v niektorých ohľadoch strácajú a sú horšie ako virtuálne súkromné ​​siete - VPN.

Preto sa pozrime, čo:

Aký je rozdiel medzi VPN a TOR

Technológia TOR, ktorá je veľmi podobná sieti VPN, šifruje požiadavky a prenáša ich od používateľa na server. A podľa toho aj naopak. Len tu je krásny háčik - TOR systém nevytvára trvalé tunely!! spôsoby prenosu / prijímania používateľských údajov sa menia s každou požiadavkou (požiadavkou), a to, ako viete, znižuje šance na zachytenie cenných dátových paketov. Treba však povedať: neustále spracovávanie / vytváranie „šifrov“ má silný vplyv na rýchlosť doručovania samotných dátových paketov.

Voľba je na nás.

TOR - udržiavaný nadšencami. Úplne zadarmo! a v takom prípade "zadarmo" očakávať nejaké stabilná prevádzka nemusíš.

aký je rozdiel medzi VPN a proxy

Nie šifrovanie, len...

Proxy, podobne ako VPN, presmeruje požiadavku z lokality na lokalitu (počítač používateľa) a podobne odošle túto požiadavku cez niektoré sprostredkujúce servery (nachádzajúce sa niekde ďaleko).

Skrytý háčik vás však čuduje!! - nie je ťažké zachytiť požiadavky organizované prostredníctvom proxy, - informácie sa vymieňajú bez akéhokoľvek, dokonca aj jednoduchého šifrovania.

Alex nepríde do Eustace))

aký je rozdiel medzi VPN a anonymizátorom

Stačí povedať, že anonymizátor je kastrovaná (odstránená) verzia proxy, ktorá je schopná viac-menej slušnej práce iba v okne otvorenej karty prehliadača (obmedzená prehliadačom).

Prostredníctvom anonymizátora sa možno dostanete na požadovanú stránku, ale nikdy nebudete môcť používať väčšinu funkcií (jeho náprotivky opísané vyššie).

Stojí za to dodať, že nie je čo hovoriť o žiadnom druhu šifrovania ...

Z hľadiska rýchlosti výmeny dát samozrejme vyhrá proxy, pretože sa nepoužíva šifrovanie kanálov.

VPN sa zatiaľ pevne etablovala na druhom mieste, pretože dokáže jednoznačne poskytnúť nielen anonymitu, ale aj ochranu cez „šifrovaný kanál / tunel“.

Tretie miesto obsadil anonymizátor, aj keď je obmedzený na prácu v otvorenom okne prehliadača (prehliadača).

TOR klesá, keď nie je čas, túžba alebo príležitosť pripojiť sa k sieti VPN. Ako ste z vyššie uvedeného pochopili, nemali by ste sa spoliehať na rýchle spracovanie našich požiadaviek.

Samozrejme, toto sú veľmi približné výpočty kúziel a rýchlostí, ale - zásadne blízko! pretože veľa závisí od pracovného zaťaženia použitých svetových serverov. Alebo z prijatých zákonov tej či onej krajiny tohto sveta.

...čo potrebujete vedieť pri výbere

Módny článok v modernej dobe o tom, pretože aj keď zaostávajú za Telegramom, určite sa budú držať nejakej inej stránky!! Preto je užitočné mať vedomosti po ruke! a poznatky v článku na odkaze...

(ako príklad použite NordVPN)…

... a nakoniec, uvidíme

ako sa pripojiť na internet cez vpn

Segment ru ponúka veľa a veľa spôsobov a služieb na poskytovanie prístupu k VPN. A mnoho ďalších variácií na pripojenie k vpn na svete!

Služby sú platené! - tie voľné vynechajte zo zátvoriek.

Od pár dolárov až po niekoľko desiatok/stoviek dolárov mesačne/rok.




Ak vám niečo nie je jasné a máte otázky, podeľte sa o ne v komentároch...