Neden bir vpn bağlantısına ihtiyacınız var? Neden bir VPN'e ihtiyacınız var? Bağlantı açıklaması ve doğru ayar

Bu yazıda en çok cevaplayacağız SSS VPN sunucusu nedir, size bir VPN'in güvenliğinizi artırıp artıramayacağını, Double VPN kullanmanız gerekip gerekmediğini ve VPN hizmetinin günlükleri tutup tutmadığını nasıl kontrol edeceğinizi ve ayrıca neleri anlatacağız? modern teknolojiler kişisel bilgileri korumak için var.

VPN, istemci ile VPN sunucusu arasında şifreleme sağlayan sanal bir özel ağdır.

Bir VPN'nin temel amacı trafiği şifrelemek ve IP adresini değiştirmektir.

Neden ve ne zaman gerekli olduğunu görelim.

VPN ne içindir?

Tüm ISP'ler, müşterilerinin faaliyetlerini İnternet'te günlüğe kaydeder. Yani, İnternet sağlayıcısı hangi siteleri ziyaret ettiğinizi bilir. Bu, polisten gelen taleplerde fail hakkında tüm bilgilerin verilmesi ve ayrıca kullanıcının eylemleriyle ilgili tüm yasal sorumluluğun ortadan kaldırılması için gereklidir.

Bir kullanıcının internette kişisel verilerini koruması ve iletişim özgürlüğü kazanması gereken birçok durum vardır.

Örnek 1. Bir işletme var ve gizli verilerin kimsenin müdahale etmemesi için İnternet üzerinden aktarılması gerekiyor. Çoğu şirket, şirket şubeleri arasında bilgi aktarımı için VPN teknolojisini kullanır.

Örnek 2. İnternetteki birçok hizmet, konuma coğrafi referans verme ilkesiyle çalışır ve diğer ülkelerden kullanıcıların erişimini yasaklar.

Örneğin, Yandex Müzik hizmeti yalnızca Rusya'dan ve eski BDT ülkelerinden gelen IP adresleri için çalışır. Buna göre, diğer ülkelerde yaşayan Rusça konuşan nüfusun tamamı bu hizmete erişememektedir.

Örnek 3. Ofiste ve ülkede belirli sitelerin engellenmesi. Çoğu zaman ofisler, çalışanların harcama yapmaması için sosyal ağlara erişimi engeller. çalışma zamanı iletişim için.

Örneğin, Çin birçok kişiyi engelledi Google hizmetleri. Çin'de ikamet eden biri Avrupa'dan bir şirketle çalışıyorsa, Google Disk gibi hizmetleri kullanmaya ihtiyaç vardır.

Örnek 4. Ziyaret edilen siteleri ISP'den gizleyin. Ziyaret edilen sitelerin listesini İnternet sağlayıcısından gizlemeniz gereken zamanlar vardır. Tüm trafik şifrelenecektir.

Trafik şifreleme ile, İSS'niz İnternette hangi siteleri ziyaret ettiğinizi bilmeyecektir. Bu durumda, internetteki IP adresiniz VPN sunucusunun bulunduğu ülkeye ait olacaktır.

Bir VPN'ye bağlandığınızda, bilgisayarınız ile VPN sunucusu arasında güvenli bir kanal oluşturulur. Bu kanaldaki tüm veriler şifrelenmiştir.

Bir VPN sayesinde iletişim kurma ve kişisel verilerinizi koruma özgürlüğüne sahip olacaksınız.

İnternet sağlayıcısının günlüklerinde bir set olacak farklı karakterler. Aşağıdaki resim, özel bir program tarafından elde edilen verilerin analizini göstermektedir.

HTTP başlığında, hangi siteye bağlandığınızı hemen görebilirsiniz. Bu veriler İnternet servis sağlayıcıları tarafından kaydedilir.

Aşağıdaki resim, bir VPN kullanırken HTTP başlığını göstermektedir. Veriler şifrelenir ve hangi siteleri ziyaret ettiğinizi bilmek imkansızdır.

Bir VPN'e nasıl bağlanılır

Bir VPN ağına bağlanmanın birkaç yolu vardır.

• PPTP eski bir protokoldür. Çoğu modern işletim sistemi, onu desteklenenler listesinden çıkarmıştır. Eksileri PPTP - düşük bağlantı kararlılığı. Bağlantı kesilebilir ve güvenli olmayan veriler İnternet'e sızabilir.
• L2TP (IPSec) bağlantısı daha güvenilirdir. Ayrıca çoğu işletim sisteminde yerleşiktir (Windows, Mac OS, Linux, iOS, Android, Windows Phone ve daha fazlası). PPTP bağlantısından daha güvenilirdir.
• SSTP bağlantısı nispeten yakın zamanda geliştirilmiştir. Yalnızca Windows'ta desteklenir, bu nedenle yaygın olarak kullanılmaz.
• IKEv2, IPSec tabanlı modern bir protokoldür. Bu protokol, PPTP protokolünün yerini almıştır ve tüm popüler işletim sistemleri tarafından desteklenmektedir.
• OpenVPN bağlantısı en güvenilir olarak kabul edilir. Bu teknoloji esnek bir şekilde yapılandırılabilir ve bağlantı kesildiğinde, OpenVPN korumasız verilerin İnternete gönderilmesini engeller.

OpenVPN teknolojisi için 2 veri aktarım protokolü vardır:

• UDP protokolü - hızlı çalışma (VoiP telefon, Skype, çevrimiçi oyunlar için önerilir)
• TCP protokolü - iletilen verilerin güvenilirliği ile karakterize edilir (paketin alındığının onaylanmasını gerektirir). UDP'den biraz daha yavaş çalışır.

VPN nasıl kurulur

Bir VPN bağlantısının kurulması birkaç dakika sürer ve VPN bağlantı yönteminde farklılık gösterir.

Hizmetimizde PPTP ve OpenVPN bağlantıları kullanıyoruz.

VPN Güvenliği

hakkında her zaman konuşacağız entegre bir yaklaşım güvenlik. Kullanıcı güvenliği yalnızca VPN bağlantısının kendisinden oluşmaz. VPN sunucusuna bağlanmak için hangi programı kullandığınız önemlidir.

Şu anda hizmetler, uygun VPN istemcileri sunmaktadır - bunlar, bir VPN bağlantısı kurmayı kolaylaştıran programlardır. Biz kendimiz uygun bir VPN istemcisi sunuyoruz. Bu tür programlar sayesinde VPN bağlantısı kurmak 1 dakikadan fazla sürmüyor.

2006'da VPN hizmetleri sunmaya ilk başladığımızda, tüm kullanıcılarımız resmi OpenVPN uygulamasını kurdu. Açık kaynaktır. Tabii ki, resmi OpenVPN istemcisini kurmak daha fazla zaman alıyor. Ama anonimlik açısından neyin daha iyi olduğunu görelim.

VPN istemcisi anonimliği

Bu tür programları kullanmanın tehlikesini görüyoruz. Mesele şu ki, bu tür programların kaynak kodu şirketin malıdır ve programının benzersizliğini korumak için kimse onu yayınlamaz.

Kullanıcılar, açık kaynak kodunun yokluğunda programın sizin hakkınızda hangi verileri topladığını öğrenemezler.

VPN programı, sunucuda günlükler kapalı olsa bile sizi belirli bir kullanıcı olarak tanımlayabilir.

Herhangi bir program, ziyaret ettiğiniz siteleri, gerçek IP adresinizi kaydetme işlevine sahip olabilir. Ve programa giriş bilgilerinizi kendiniz girdiğiniz için, programı kullanmanın herhangi bir anonimliğinden bahsetmek genellikle imkansızdır.

Faaliyetinizin ihtiyacı varsa yüksek seviye anonimlik, bu VPN'leri bir kenara bırakmanızı ve OpenVPN'in resmi açık kaynak sürümünü kullanmanızı öneririz.

İlk başta, bunu rahatsız edici bulacaksınız. Ancak zamanla, güvenlik ve anonimlik faktörünün sizin için ilk sırada yer almasına alışacaksınız.

Secure Kit'in sizinle ilgili hiçbir veriyi kaydetmediğini garanti ediyoruz. Ancak bu tür programların sizi gözetleyebileceği konusunda sizi uyarmalıyız.

Güvenliğinizi nasıl artıracağınıza dair başka bir fikir, sunucuların coğrafi konumu açısından geldi. İnternette buna offshore VPN denir.

Offshore VPN nedir?

Farklı ülkelerde farklı mevzuat düzeyleri vardır. Güçlü yasaları olan güçlü devletler vardır. Ve gelişme düzeyi, ülkelerindeki verilerin bilgi korumasına izin vermeyen küçük ülkeler var.

Başlangıçta offshore kavramı, vergi politikasının gevşetildiği bir ülkeye atıfta bulunmak için kullanıldı. Bu tür ülkelerde ticaret vergileri çok düşüktür. Küresel şirketler, ülkelerinde yasal vergi kaçakçılığıyla ilgilenmeye başladı ve Cayman Adaları'ndaki offshore banka hesapları çok popüler hale geldi.

Şu anda, dünyanın birçok ülkesinde, denizaşırı ülkelerde banka hesaplarının kullanımına ilişkin yasaklar zaten var.

Çoğu açık deniz ülkesi, gezegenin ücra köşelerinde bulunan küçük devletlerdir. Bu tür ülkelerde sunucu bulmak daha zordur ve gelişmiş bir İnternet altyapısı olmadığından daha pahalıdır. Bu tür ülkelerdeki VPN sunucularına denizaşırı denilmeye başlandı.

Offshore VPN kelimesinin anonim VPN anlamına gelmediği, yalnızca bir offshore devletine ait topraklardan bahsettiği ortaya çıktı.

Offshore VPN kullanmalı mıyım?

Bir offshore VPN, anonimlik açısından ek avantajlar sunar.

Resmi bir istek yazmanın çok daha kolay olduğunu düşünüyor musunuz:

• Almanya'daki polis departmanına
• veya Antigua Barbuda'daki adalardaki polis departmanına

Offshore VPN, ekstra bir koruma katmanıdır. Double VPN zincirinin bir parçası olarak bir denizaşırı sunucu kullanmak iyidir.

Sadece 1 offshore VPN sunucusu kullanmanıza ve bunun tamamen güvenli olduğunu düşünmenize gerek yok. İnternetteki güvenliğinize ve anonimliğinize farklı açılardan yaklaşmanız gerekir.

Anonimliğinize bağlantı olarak bir offshore VPN kullanın.

Ve en sık sorulan soruyu cevaplamanın zamanı geldi. Anonim bir VPN hizmeti günlük tutabilir mi? Ve hizmetin günlükleri tutup tutmadığı nasıl belirlenir?

Anonim VPN hizmeti ve günlükleri. Nasıl olunur?

Anonim bir VPN hizmeti günlük tutmamalıdır. Aksi takdirde, artık anonim olarak adlandırılamaz.

Hizmetin günlükleri tutup tutmadığını doğru bir şekilde belirleyebileceğiniz bir soru listesi derledik.

Artık VPN bağlantıları hakkında eksiksiz bilgiye sahipsiniz. Bu bilgi, kendinizi internette anonim hale getirmek ve kişisel verilerin güvenli bir şekilde aktarılmasını sağlamak için yeterlidir.

Yeni VPN Teknolojileri

VPN alanında yeni trendler var mı?

VPN sunucularının (Çift, Üçlü, Dörtlü VPN) seri basamaklandırılmasının artıları ve eksileri hakkında zaten konuştuk.

Double VPN teknolojisinin dezavantajlarından kaçınmak için paralel bir zincir dizisi oluşturabilirsiniz. Buna Paralel VPN adını verdik.

Paralel VPN Nedir?

Paralel VPN'nin özü, trafiği paralel bir veri kanalına yönlendirmektir.

Ardışık basamaklı teknolojinin (Çift, Üçlü, Dörtlü VPN) dezavantajı, her sunucunun kanalın şifresini çözmesi ve bir sonraki kanala şifrelemesidir. Veriler sırayla şifrelenir.

Paralel VPN teknolojisinde tüm veriler çift paralel şifreli olduğu için böyle bir sorun yoktur. Yani, birkaç kabuğu olan bir soğan hayal edin. Aynı şekilde veriler çift şifreli bir kanaldan geçer.

İnternet, verimli ve ucuz iletişim sunduğu için bilgisayarlar arasında iletişim aracı olarak giderek daha fazla kullanılıyor. Bununla birlikte, İnternet halka açık bir ağdır ve onun üzerinden güvenli iletişim sağlamak için en azından aşağıdaki görevleri yerine getiren bazı mekanizmalara ihtiyaç vardır:

bilgilerin gizliliği;

veri bütünlüğü;

bilginin mevcudiyeti;

Bu gereksinimler, kriptografi kullanarak başka bir ağ (örneğin İnternet) üzerinden bir veya daha fazla ağ bağlantısı (mantıksal ağ) sağlamanıza izin veren teknolojilerin genelleştirilmiş adı olan VPN (Sanal Özel Ağ - sanal özel ağ) adlı bir mekanizma tarafından karşılanır. araçlar (şifreleme, kimlik doğrulama, altyapı ortak anahtarları, mantıksal ağ üzerinden iletilen mesajların tekrarına ve değiştirilmesine karşı koruma araçları).

VPN oluşturmak ek yatırım gerektirmez ve kiralık hatları kullanmayı bırakmanıza olanak tanır. Kullanılan protokollere ve amaca bağlı olarak, bir VPN üç tür bağlantı sağlayabilir: host-host, host-ağ ve ağ-ağ.

Anlaşılır olması için şu örneği hayal edelim: Bir kuruluşun bölgesel olarak uzak birkaç şubesi ve evde veya yolda çalışan "mobil" çalışanları vardır. İşletmenin tüm çalışanlarını tek bir ağda birleştirmek gerekir. En kolay yol, her şubeye modemler koymak ve iletişimi gerektiği gibi organize etmektir. Bununla birlikte, böyle bir çözüm her zaman uygun ve karlı değildir - bazen sürekli bir bağlantıya ve büyük bir bant genişliğine ihtiyacınız vardır. Bunun için ya şubeler arasında özel bir hat çekmeniz ya da kiralamanız gerekecek. Her ikisi de oldukça pahalıdır. Ve burada alternatif olarak, tek bir güvenli ağ oluştururken, İnternet üzerinden tüm şirket şubelerinin VPN bağlantılarını kullanabilir ve ağ ana bilgisayarlarında VPN araçlarını yapılandırabilirsiniz.

Pirinç. 6.4. siteden siteye VPN bağlantısı

Pirinç. 6.5. VPN ana bilgisayardan ağa bağlantı

Bu durumda birçok sorun çözülür - şubeler dünyanın herhangi bir yerinde bulunabilir.

Buradaki tehlike, ilk olarak, açık ağın dünyanın her yerinden izinsiz giriş yapanların saldırılarına açık olmasıdır. İkincisi, tüm veriler İnternet üzerinden net bir şekilde iletilir ve ağı hackleyen saldırganlar, ağ üzerinden iletilen tüm bilgilere sahip olur. Ve üçüncüsü, veriler yalnızca ele geçirilemez, aynı zamanda ağ üzerinden aktarım sırasında da değiştirilebilir. Örneğin bir saldırgan, güvenilir dallardan birinin istemcileri adına hareket ederek veritabanlarının bütünlüğünü tehlikeye atabilir.

Bunun olmasını önlemek için VPN çözümleri, bütünlüğü ve gizliliği sağlamak için veri şifreleme, kullanıcı haklarını doğrulamak ve sanal bir özel ağa erişime izin vermek için kimlik doğrulama ve yetkilendirme gibi araçlar kullanır.

Bir VPN bağlantısı her zaman tünel olarak da bilinen noktadan noktaya bir bağlantıdan oluşur. Tünel, çoğunlukla İnternet olan güvensiz bir ağda oluşturulur.

Tünel oluşturma veya kapsülleme, yararlı bilgileri bir ara ağ üzerinden aktarmanın bir yoludur. Bu tür bilgiler, başka bir protokolün çerçeveleri (veya paketleri) olabilir. Kapsülleme ile çerçeve, gönderen ana bilgisayar tarafından üretildiği gibi iletilmez, ancak kapsüllenmiş paketlerin ara ağdan (İnternet) geçmesine izin veren yönlendirme bilgilerini içeren ek bir başlık sağlanır. Tünelin sonunda, çerçeveler kapsülden çıkarılır ve alıcıya iletilir. Tipik olarak, bir tünel, genel ağa giriş noktalarında bulunan iki uç cihaz tarafından oluşturulur. Tünel oluşturmanın bariz avantajlarından biri, bu teknolojinin, saldırganların ağı hacklemek için kullandığı bilgileri (örneğin, IP adresleri, alt ağ sayısı vb.) ) .

İki nokta arasında VPN tüneli kurulmasına rağmen her host diğer hostlar ile ek tüneller kurabilir. Örneğin, üç uzak istasyonun aynı ofise bağlanması gerektiğinde, bu ofise üç ayrı VPN tüneli oluşturulacaktır. Tüm tüneller için ofis tarafındaki düğüm aynı olabilir. Bu, şekilde gösterildiği gibi, düğümün tüm ağ adına verileri şifreleyebilmesi ve şifresini çözebilmesi nedeniyle mümkündür:

Pirinç. 6.6. Birden çok uzak konum için VPN tünelleri oluşturun

Kullanıcı, VPN ağ geçidiyle bir bağlantı kurar ve bundan sonra kullanıcı dahili ağa erişebilir.

Özel bir ağ içinde şifrelemenin kendisi gerçekleşmez. Bunun nedeni, ağın bu kısmının İnternet'in aksine güvenli ve doğrudan kontrol altında kabul edilmesidir. Bu, ofisleri VPN ağ geçitleri kullanarak bağlarken de geçerlidir. Bu nedenle, yalnızca ofisler arasında güvenli olmayan bir kanal üzerinden iletilen bilgiler için şifreleme garanti edilir.

Sanal özel ağlar oluşturmak için birçok farklı çözüm vardır. En ünlü ve yaygın olarak kullanılan protokoller şunlardır:

PPTP (Noktadan Noktaya Tünel Protokolü) - bu protokol, dahil edilmesi nedeniyle oldukça popüler hale geldi. işletim sistemi Microsoft firması.

L2TP (Katman-2 Tünel Protokolü) - L2F (Katman 2 Yönlendirme) protokolünü ve PPTP protokolünü birleştirir. Genellikle IPSec ile birlikte kullanılır.

IPSec (İnternet Protokolü Güvenliği), IETF (İnternet Mühendisliği Görev Gücü) topluluğu tarafından geliştirilen resmi bir İnternet standardıdır.

Listelenen protokoller D-Link cihazları tarafından desteklenir.

PPTP protokolü, öncelikle çevirmeli bağlantılara dayalı sanal özel ağlar için tasarlanmıştır. Protokol, kullanıcıların İnternet sağlayıcıları ile çevirmeli bağlantılar kurabilmeleri ve kurumsal ağlarına güvenli bir tünel oluşturabilmeleri için uzaktan erişimi organize etmenize olanak tanır. IPSec'ten farklı olarak, PPTP protokolünün başlangıçta yerel ağlar arasında tüneller düzenlemesi amaçlanmamıştı. PPTP, orijinal olarak verileri kapsüllemek ve noktadan noktaya bağlantılar üzerinden iletmek için tasarlanmış bir veri bağlantısı protokolü olan PPP'nin yeteneklerini genişletir.

PPTP protokolü, çeşitli protokolleri (IP, IPX, NetBEUI, vb.) Daha sonra herhangi bir TCP/IP ağı üzerinden IP kullanılarak şifrelenmiş biçimde taşınırlar. Alıcı düğüm, PPP çerçevelerini IP paketlerinden çıkarır ve ardından bunları standart bir şekilde işler; PPP çerçevesinden bir IP, IPX veya NetBEUI paketi çıkarır ve bunu yerel ağ üzerinden gönderir. Böylece PPTP protokolü ağda noktadan noktaya bir bağlantı oluşturur ve verileri oluşturulan güvenli kanal üzerinden iletir. PPTP gibi kapsülleme protokollerinin ana avantajı, çoklu protokol yapılarıdır. Onlar. veri bağlantısı katmanındaki veri koruması, ağ ve uygulama katmanı protokolleri için şeffaftır. Bu nedenle, ağ içinde hem IP protokolü (IPSec tabanlı bir VPN durumunda olduğu gibi) hem de başka herhangi bir protokol aktarım olarak kullanılabilir.

Şu anda, uygulama kolaylığı nedeniyle, PPTP protokolü, bir müşterinin İnternet'e erişmek için bir ISP ile bir PPTP bağlantısı kurması gerektiğinde, hem kurumsal bir ağa güvenilir güvenli erişim elde etmek hem de ISP ağlarına erişmek için yaygın olarak kullanılmaktadır.

PPTP'de kullanılan şifreleme yöntemi PPP katmanında belirtilir. Tipik olarak, PPP istemcisi bir Microsoft işletim sistemi çalıştıran bir masaüstü bilgisayardır ve şifreleme protokolü Microsoft Noktadan Noktaya Şifrelemedir (MPPE). Bu protokol, RSA RC4 standardına dayalıdır ve 40 veya 128 bit şifrelemeyi destekler. IPSec tarafından sunulan diğer bazı şifreleme algoritmalarından, özellikle 168-bit Üçlü Veri Şifreleme Standardından (3DES) daha az güvenli olduğu düşünülse de, bu düzeyde şifrelemeye sahip birçok uygulama için bu algoritmanın kullanılması yeterlidir.

Bağlantı nasıl kurulur?PPTP?

PPTP, bir IP ağı üzerinden iletim için IP paketlerini kapsüller. PPTP istemcileri, bağlantıyı canlı tutan bir tünel kontrol bağlantısı oluşturur. Bu işlem, OSI modelinin taşıma katmanında gerçekleştirilir. Tünel oluşturulduktan sonra, istemci bilgisayar ve sunucu hizmet paketlerini değiş tokuş etmeye başlar.

PPTP kontrol bağlantısına ek olarak, tünel üzerinden veri göndermek için bir bağlantı oluşturulur. Verileri tünele göndermeden önce kapsüllemek iki adımı içerir. İlk olarak, PPP çerçevesinin bilgi kısmı oluşturulur. Veriler, OSI uygulama katmanından bağlantı katmanına yukarıdan aşağıya doğru akar. Alınan veriler daha sonra OSI modeline gönderilir ve üst katman protokolleri tarafından kapsüllenir.

Bağlantı katmanından gelen veriler taşıma katmanına ulaşır. Ancak, OSI bağlantı katmanı bundan sorumlu olduğu için bilgi hedefine gönderilememektedir. Bu nedenle, PPTP, paketin yük alanını şifreler ve genellikle PPP'ye ait olan ikinci seviye işlevleri devralır, yani PPTP paketine bir PPP başlığı (başlık) ve bir son (son) ekler. Bu, bağlantı katmanı çerçevesinin oluşturulmasını tamamlar. Daha sonra, PPTP, PPP çerçevesini ağ katmanına ait bir Genel Yönlendirme Kapsülleme (GRE) paketinde kapsüller. GRE, IP ağları üzerinden taşınabilmelerini sağlamak için IP, IPX gibi ağ katmanı protokollerini kapsüller. Ancak GRE protokolünün tek başına kullanılması, oturum kurulmasını ve veri güvenliğini sağlamayacaktır. Bu, PPTP'nin bir tünel kontrol bağlantısı oluşturma yeteneğini kullanır. GRE'nin bir kapsülleme yöntemi olarak kullanılması, PPTP'nin kapsamını yalnızca IP ağlarıyla sınırlar.

PPP çerçevesi, GRE başlığına sahip bir çerçevede kapsüllendikten sonra, IP başlığına sahip bir çerçevede kapsüllenir. IP başlığı, paketin gönderici ve alıcı adreslerini içerir. Son olarak, PPTP bir PPP başlığı ve bitişi ekler.

Açık pirinç. 6.7 PPTP tüneli üzerinden yönlendirme için veri yapısını gösterir:

Pirinç. 6.7. PPTP tüneli üzerinden yönlendirme için veri yapısı

PPTP'ye dayalı bir VPN kurmak, büyük masraflar ve karmaşık ayarlar gerektirmez: merkez ofise bir PPTP sunucusu kurmak (PPTP çözümleri hem Windows hem de Linux platformları için mevcuttur) ve istemci bilgisayarlarda gerekli ayarları yapmak yeterlidir. Birkaç şubeyi birleştirmeniz gerekiyorsa, tüm istemci istasyonlarında PPTP kurmak yerine, bir İnternet yönlendiricisi veya PPTP destekli bir güvenlik duvarı kullanmak daha iyidir: ayarlar yalnızca İnternete bağlı bir sınır yönlendiricisinde (güvenlik duvarı) yapılır, kullanıcılar için her şey kesinlikle şeffaftır. Bu tür cihazlara örnek olarak DIR/DSR çok işlevli İnternet yönlendiricileri ve DFL serisi güvenlik duvarları verilebilir.

YUNAN-tüneller

Genel Yönlendirme Kapsüllemesi (GRE), şifreleme olmadan ağlar üzerinden trafik tüneli sağlayan bir ağ paketi kapsülleme protokolüdür. GRE kullanımına örnekler:

belirli bir protokolü desteklemeyen ekipman aracılığıyla trafiğin (yayın dahil) iletilmesi;

IPv6 trafiğini bir IPv4 ağı üzerinden tünelleme;

güvenli bir VPN bağlantısı uygulamak için genel ağlar üzerinden veri iletimi.

Pirinç. 6.8. Bir GRE tüneli örneği

İki yönlendirici A ve B arasında ( pirinç. 6.8) birkaç yönlendirici vardır, GRE tüneli, A ve B yönlendiricileri doğrudan bağlıymış gibi 192.168.1.0/24 ve 192.168.3.0/24 yerel ağları arasında bağlantı sağlamanıza olanak tanır.

L2 TP

L2TP protokolü, PPTP ve L2F protokollerinin birleşmesi sonucunda ortaya çıktı. L2TP protokolünün en büyük avantajı sadece IP ağlarda değil, ATM, X.25 ve Frame relay ağlarda da tünel oluşturmanıza olanak sağlamasıdır. L2TP, aktarım olarak UDP'yi kullanır ve hem tünel yönetimi hem de veri iletme için aynı mesaj biçimini kullanır.

PPTP durumunda olduğu gibi, L2TP, PPP bilgi veri alanına önce PPP başlığını, ardından L2TP başlığını ekleyerek tünele iletim için bir paket oluşturmaya başlar. Bu şekilde alınan paket UDP tarafından kapsüllenir. Seçilen IPSec güvenlik ilkesinin türüne bağlı olarak L2TP, UDP mesajlarını şifreleyebilir ve bir Kapsülleyen Güvenlik Yükü (ESP) başlığı ve bitişinin yanı sıra bir IPSec Kimlik Doğrulaması bitişi ekleyebilir ("IPSec üzerinden L2TP" bölümüne bakın). Daha sonra IP'de kapsüllenir. Gönderen ve alıcı adreslerini içeren bir IP başlığı eklenir. Son olarak L2TP, verileri iletime hazırlamak için ikinci bir PPP kapsüllemesi gerçekleştirir. Açık pirinç. 6.9 L2TP tüneli üzerinden gönderilecek veri yapısını gösterir.

Pirinç. 6.9. Bir L2TP tüneli üzerinden yönlendirme için veri yapısı

Alıcı bilgisayar verileri alır, PPP başlığını ve bitişini işler ve IP başlığını çıkarır. IPSec Kimlik Doğrulaması, IP bilgi alanının kimliğini doğrular ve IPSec ESP başlığı, paketin şifresinin çözülmesine yardımcı olur.

Bilgisayar daha sonra UDP başlığını işler ve tüneli tanımlamak için L2TP başlığını kullanır. PPP paketi artık yalnızca işlenen veya belirtilen alıcıya iletilen yükü içerir.

IPsec (IP Güvenliği'nin kısaltması), IP İnternet Protokolü üzerinden iletilen verilerin güvenliğini sağlamaya yönelik bir dizi protokoldür ve IP paketlerinin kimlik doğrulamasına ve/veya şifrelenmesine olanak tanır. IPsec ayrıca İnternette güvenli anahtar değişimi için protokoller içerir.

IPSec güvenliği, kendi başlıklarını IP paketine ekleyen ek protokoller - kapsülleme yoluyla sağlanır. Çünkü IPSec bir İnternet standardıdır ve bunun için RFC belgeleri vardır:

RFC 2401 (İnternet Protokolü için Güvenlik Mimarisi), IP protokolü için güvenlik mimarisidir.

RFC 2402 (IP Kimlik Doğrulama başlığı) - IP kimlik doğrulama başlığı.

RFC 2404 (ESP ve AH içinde HMAC-SHA-1-96 Kullanımı) - Kimlik doğrulama başlığı oluşturmak için SHA-1 hash algoritmasının kullanımı.

RFC 2405 (Explicit IV ile ESP DES-CBC Cipher Algorithm) - DES şifreleme algoritmasının kullanımı.

RFC 2406 (IP Kapsülleyen Güvenlik Yükü (ESP)) - Veri Şifreleme.

RFC 2407 (ISAKMP için İnternet IP Güvenlik Yorumlama Alanı), anahtar yönetimi protokolünün kapsamıdır.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Güvenli Bağlantılar için Anahtar ve Kimlik Doğrulayıcı Yönetimi.

RFC 2409 (İnternet Anahtar Değişimi (IKE)) - Anahtar Değişimi.

RFC 2410 (NULL Şifreleme Algoritması ve IPsec ile Kullanımı) - NULL Şifreleme Algoritması ve Kullanımı.

RFC 2411 (IP Güvenlik Belgesi Yol Haritası), standardın daha da geliştirilmiş halidir.

RFC 2412 (OAKLEY Anahtar Belirleme Protokolü) - Bir Anahtarın Orijinalliğini Kontrol Etme.

IPsec, IPv6 İnternet Protokolünün ayrılmaz bir parçasıdır ve İnternet Protokolünün IPv4 sürümünün isteğe bağlı bir uzantısıdır.

IPSec mekanizması aşağıdaki görevleri gerçekleştirir:

güvenli kanal başlatma sırasında kullanıcıların veya bilgisayarların kimlik doğrulaması;

güvenli bir kanalın uç noktaları arasında iletilen verilerin şifrelenmesi ve doğrulanması;

kimlik doğrulama ve veri şifreleme protokollerinin çalışması için gerekli gizli anahtarlarla kanal uç noktalarının otomatik olarak sağlanması.

IPSec Bileşenleri

AH (Kimlik Doğrulama Başlığı) protokolü, bir başlık tanımlama protokolüdür. İletim sırasında paketin korunan kısmındaki hiçbir bitin değiştirilmediğini doğrulayarak bütünlüğü sağlar. Ancak AH kullanmak, örneğin bir paket bir NAT aygıtından geçtiğinde sorunlara neden olabilir. NAT, özel bir yerel adresten İnternet erişimine izin vermek için paketin IP adresini değiştirir. Çünkü bu durumda paket değişir, ardından AH sağlama toplamı yanlış olur (bu sorunu ortadan kaldırmak için UDP üzerinden ESP iletimi sağlayan ve çalışmasında UDP bağlantı noktası 4500'ü kullanan NAT-Traversal (NAT-T) protokolü geliştirilmiştir). AH'nin yalnızca bütünlük için tasarlandığını da belirtmek gerekir. Paket içeriğini şifreleyerek gizliliği garanti etmez.

ESP (Encapsulation Security Payload) protokolü, yalnızca iletilen verilerin bütünlüğünü ve kimlik doğrulamasını sağlamakla kalmaz, aynı zamanda veri şifrelemenin yanı sıra paket sahtekarlığına karşı koruma sağlar.

ESP protokolü, hem bütünlük hem de gizlilik sağlayan kapsülleyici bir güvenlik protokolüdür. Aktarım modunda, ESP başlığı orijinal IP başlığı ile TCP veya UDP başlığı arasındadır. Tünel modunda ESP başlığı, yeni IP başlığı ile tamamen şifrelenmiş orijinal IP paketi arasına yerleştirilir.

Çünkü her iki protokol de - AH ve ESP - kendi IP başlıklarını ekler, her birinin kendi protokol numarası (ID) vardır, bununla IP başlığını neyin izleyeceğini belirleyebilirsiniz. IANA'ya (İnternet Atanmış Numaralar Kurumu - İnternetin adres alanından sorumlu kuruluş) göre her protokolün kendi numarası (ID) vardır. Örneğin, TCP için bu sayı 6'dır ve UDP için 17'dir. Bu nedenle, bir güvenlik duvarı üzerinden çalışırken filtreleri, protokolün AH ve/veya ESP kimliğine sahip paketleri geçirecek şekilde yapılandırmak çok önemlidir.

Protokol Kimliği 51, IP başlığında AH'nin bulunduğunu ve ESP için 50'nin bulunduğunu gösterecek şekilde ayarlanmıştır.

DİKKAT: Protokol kimliği, bağlantı noktası numarasıyla aynı değil.

IKE (Internet Key Exchange) protokolü, sanal özel ağlarda iletişimi güvenli hale getirmek için kullanılan standart bir IPsec protokolüdür. IKE'nin amacı, tanımlanmış materyalin güvenli bir şekilde müzakere edilmesi ve bir güvenlik kuruluşuna (SA) teslim edilmesidir.

SA, bir bağlantı için IPSec terimidir. Yerleşik bir SA ("güvenli ilişkilendirme" veya "güvenlik ilişkilendirmesi" olarak adlandırılan güvenli bir kanal - Güvenlik Birliği, SA), paylaşılan bir gizli anahtar ve bir dizi kriptografik algoritma içerir.

IKE protokolü üç ana görevi yerine getirir:

iki VPN uç noktası arasında bir kimlik doğrulama aracı sağlar;

yeni IPSec bağlantıları kurar (bir çift SA oluşturur);

Mevcut ilişkileri yönetir.

IKE, 500 numaralı UDP bağlantı noktasını kullanır. Daha önce belirtildiği gibi, NAT Traversal özelliğini kullanırken, IKE protokolü 4500 numaralı UDP bağlantı noktasını kullanır.

IKE'de veri alışverişi 2 aşamada gerçekleşir. İlk aşamada, SA IKE birliği kurulur. Aynı zamanda, kanalın uç noktaları doğrulanır ve şifreleme algoritması, oturum anahtarı vb. gibi veri koruma parametreleri seçilir.

İkinci aşamada, protokol anlaşması için SA IKE kullanılır (genellikle IPSec).

Yapılandırılmış bir VPN tüneli ile kullanılan her protokol için bir SA çifti oluşturulur. SA'lar şu şekilde çiftler halinde oluşturulur: her SA tek yönlü bir bağlantıdır ve veriler iki yönde gönderilmelidir. Alınan SA çiftleri her düğümde saklanır.

Her düğüm, diğer düğümlerle birden çok tünel kurabildiğinden, her SA'nın hangi düğüme ait olduğunu belirlemek için benzersiz bir numarası vardır. Bu numaraya SPI (Security Parameter Index) veya Security Parameter Index denir.

Bir veritabanında (DB) saklanan SA ÜZGÜN(Güvenlik Derneği Veritabanı).

Her IPSec düğümünün ayrıca ikinci bir DB'si vardır - SPD(Güvenlik Politikası Veritabanı) - Güvenlik politikası veritabanı. Yapılandırılmış ana bilgisayar politikasını içerir. Çoğu VPN çözümü, bağlanmak istediğiniz her ana bilgisayar için uygun algoritma kombinasyonlarıyla birden çok ilke oluşturmanıza olanak tanır.

IPSec'in esnekliği, her görev için onu çözmenin birkaç yolu olması ve bir görev için seçilen yöntemlerin genellikle diğer görevleri uygulama yöntemlerinden bağımsız olması gerçeğinde yatmaktadır. Bununla birlikte, IETF Çalışma Grubu, tüm IPSec özellikli ürünlerde aynı şekilde uygulanması gereken bir dizi temel desteklenen özellik ve algoritma tanımlamıştır. AH ve ESP mekanizmaları, bazıları zorunlu olan çeşitli kimlik doğrulama ve şifreleme şemaları ile kullanılabilir. Örneğin, IPSec, paketlerin MD5 tek yönlü işlevi veya SHA-1 tek yönlü işlevi kullanılarak doğrulandığını ve şifrelemenin DES algoritması kullanılarak yapıldığını belirtir. IPSec çalıştıran ürünlerin üreticileri, başka kimlik doğrulama ve şifreleme algoritmaları ekleyebilir. Örneğin bazı ürünler 3DES, Blowfish, Cast, RC5 gibi şifreleme algoritmalarını destekler.

IPSec'te verileri şifrelemek için gizli anahtarlar kullanan herhangi bir simetrik şifreleme algoritması kullanılabilir.

Akış koruma protokolleri (AH ve ESP) iki modda çalışabilir - taşıma modu ve tünel modu. Aktarım modunda çalışırken, IPsec yalnızca aktarım katmanı bilgileriyle ilgilenir; sadece TCP / UDP protokollerini içeren paketin veri alanı şifrelenir (IP paketinin başlığı değişmez (şifrelenmez)). Taşıma modu, genellikle ana bilgisayarlar arasında bir bağlantı kurmak için kullanılır.

Tünel modu, ağ katmanı başlığı da dahil olmak üzere tüm IP paketini şifreler. Ağ üzerinden iletilebilmesi için başka bir IP paketine yerleştirilir. Temel olarak, bu güvenli bir IP tünelidir. Tünel modu, uzak bilgisayarları bir sanal özel ağa ("ana bilgisayar-ağ" bağlantı şeması) bağlamak veya sanal bir özel ağın farklı bölümlerini birleştirmek için ağ geçitleri arasında açık iletişim kanalları (örneğin İnternet) aracılığıyla güvenli veri aktarımı düzenlemek için kullanılabilir. ağ ("ağ bağlantı şeması"). -net").

IPsec modları birbirini dışlamaz. Aynı ana bilgisayarda, bazı SA'lar aktarım modunu kullanırken diğerleri tünel modunu kullanabilir.

Kimlik doğrulama aşamasında, paketin ICV sağlama toplamı (Bütünlük Kontrol Değeri) hesaplanır. Bu, her iki düğümün de alıcının ICV'yi hesaplamasına ve gönderen tarafından gönderilen sonuçla karşılaştırmasına izin veren gizli anahtarı bildiğini varsayar. ICV karşılaştırması başarılı olursa paketin göndericisinin kimliği doğrulanmış kabul edilir.

modunda UlaşımAH

IP başlığındaki geçiş sırasında değiştirilebilen bazı alanlar dışında tüm IP paketi. ICV hesaplaması için değerleri 0 olan bu alanlar, hizmetin bir parçası (Hizmet Türü, TOS), bayraklar, parça ofseti, yaşama süresi (TTL) ve ayrıca bir sağlama toplamı başlığı olabilir;

AH'deki tüm alanlar;

IP paketlerinin yükü.

Aktarım modundaki AH, IP başlığını (değişmesine izin verilen alanlar hariç) ve orijinal IP paketindeki yükü korur (Şekil 3.39).

Tünel modunda, orijinal paket yeni bir IP paketine yerleştirilir ve yeni IP paketinin başlığına göre veri aktarımı gerçekleştirilir.

İçin tünel moduAH bir hesaplama yaparken, aşağıdaki bileşenler ICV sağlama toplamına dahil edilir:

iletim sırasında değiştirilebilen IP başlığındaki bazı alanlar dışında, dış IP başlığındaki tüm alanlar. ICV hesaplaması için değerleri 0 olan bu alanlar, hizmetin bir parçası (Hizmet Türü, TOS), bayraklar, parça ofseti, yaşama süresi (TTL) ve ayrıca bir sağlama toplamı başlığı olabilir;

tüm alanlar AH;

orijinal IP paketi.

Aşağıdaki çizimde görebileceğiniz gibi, AH tünel modu, kaynak IP paketinin tamamını, AH taşıma modunun kullanmadığı ek bir dış başlık ile korur:

Pirinç. 6.10. AN protokolünün tünel ve taşıma modları

modunda UlaşımESP tüm paketin kimliğini doğrulamaz, yalnızca IP yükünü korur. ESP taşıma modundaki ESP başlığı, IP başlığından hemen sonra IP paketine eklenir ve buna göre veriden sonra ESP bitişi (ESP Fragmanı) eklenir.

ESP taşıma modu, paketin aşağıdaki kısımlarını şifreler:

IP yükü;

Cipher Block Chaining (CBC) şifreleme modunu kullanan bir şifreleme algoritması, ESP başlığı ile yük arasında şifrelenmemiş bir alana sahiptir. Alıcı üzerinde yapılan CBC hesaplaması için bu alana IV (Initialization Vector) adı verilir. Bu alan şifre çözme işlemini başlatmak için kullanıldığından şifrelenemez. Saldırganın IV'ü görüntüleme yeteneği olsa da, paketin şifrelenmiş kısmının şifresini şifreleme anahtarı olmadan çözebilmesinin hiçbir yolu yoktur. Saldırganların başlatma vektörünü değiştirmesini önlemek için ICV sağlama toplamı tarafından korunur. Bu durumda ICV aşağıdaki hesaplamaları yapar:

ESP başlığındaki tüm alanlar;

düz metin IV dahil faydalı yük;

kimlik doğrulama veri alanı dışında ESP Trailer'daki tüm alanlar.

ESP tünel modu, orijinal IP paketinin tamamını yeni bir IP başlığında, bir ESP başlığında ve bir ESP Fragmanında kapsüller. ESP'nin IP başlığında bulunduğunu belirtmek için, IP protokolü tanımlayıcısı 50'ye ayarlanır ve orijinal IP başlığı ve yükü değişmeden kalır. AH tünel modunda olduğu gibi, dış IP başlığı, IPSec tünel yapılandırmasını temel alır. ESP tünel modunun kullanılması durumunda, IP paketinin kimlik doğrulama alanı, imzanın nerede yapıldığını, bütünlüğünü ve gerçekliğini onayladığını gösterir ve şifreli kısım, bilgilerin korunduğunu ve gizli tutulduğunu gösterir. Orijinal başlık, ESP başlığından sonra yerleştirilir. Şifrelenmiş kısım, şifrelenmemiş yeni bir tünel başlığında kapsüllendikten sonra, IP paketi iletilir. Genel bir ağ üzerinden gönderildiğinde, böyle bir paket alıcı ağın ağ geçidinin IP adresine yönlendirilir ve ağ geçidi paketin şifresini çözer ve orijinal IP başlığını kullanarak ESP başlığını atarak paketi üzerinde bulunan bir bilgisayara yönlendirir. dahili ağ. ESP tünelleme modu, paketin aşağıdaki kısımlarını şifreler:

orijinal IP paketi;

• ESP tünel modu için ICV şu şekilde hesaplanır:

  ESP başlığındaki tüm alanlar;

  düz metin IV dahil olmak üzere orijinal IP paketi;

  kimlik doğrulama veri alanı hariç tüm ESP başlık alanları.

Pirinç. 6.11. ESP protokolünün tünel ve taşıma modu

Pirinç. 6.12. ESP ve AH protokollerinin karşılaştırılması

Uygulama Modlarının ÖzetiIPSec:

Protokol - ESP (AH).

Mod - tünel (ulaşım).

Anahtar değişim yöntemi - IKE (manuel).

IKE modu - ana (agresif).

DH anahtarı – grup 5 (grup 2, grup 1) – dinamik olarak oluşturulan oturum anahtarlarını seçmek için grup numarası, grup uzunluğu.

Kimlik doğrulama - SHA1 (SHA, MD5).

Şifreleme - DES (3DES, Blowfish, AES).

Bir ilke oluştururken, genellikle sıralı bir algoritmalar listesi ve Diffie-Hellman grupları oluşturmak mümkündür. Diffie-Hellman (DH), IKE, IPSec ve PFS (Mükemmel İletim Gizliliği) için paylaşılan gizli anahtarlar oluşturmak için kullanılan bir şifreleme protokolüdür. Bu durumda, her iki düğümde eşleşen ilk konum kullanılacaktır. Güvenlik politikasındaki her şeyin bu tesadüfü gerçekleştirmenize izin vermesi çok önemlidir. İlkenin bir bölümü dışında her şey eşleşirse, ana bilgisayarlar yine de bir VPN bağlantısı kuramaz. Farklı sistemler arasında bir VPN tüneli kurarken, mümkün olan en güvenli politikayı seçebilmek için her iki taraf tarafından hangi algoritmaların desteklendiğini bulmanız gerekir.

Güvenlik politikasının içerdiği ana ayarlar:

Veri şifreleme/şifre çözme için simetrik algoritmalar.

Veri bütünlüğünü kontrol etmek için kriptografik sağlama toplamları.

Düğüm tanımlama yöntemi. En yaygın yöntemler, önceden paylaşılan sırlar veya CA sertifikalarıdır.

Tünel modunun mu yoksa taşıma modunun mu kullanılacağı.

Hangi Diffie-Hellman grubunun kullanılacağı (DH grubu 1 (768 bit); DH grubu 2 (1024 bit); DH grubu 5 (1536 bit)).

AH, ESP veya her ikisinin de kullanılıp kullanılmayacağı.

PFS'nin kullanılıp kullanılmayacağı.

IPSec'in bir sınırlaması, yalnızca IP protokol katmanında veri aktarımını desteklemesidir.

IPSec'i kullanmak için, güvenli kanalı oluşturan düğümlerin rolünde farklılık gösteren iki ana şema vardır.

Birinci şemada, ağın uç ana bilgisayarları arasında güvenli bir kanal oluşturulur. Bu şemada, IPSec protokolü çalışan ana bilgisayarı korur:

Pirinç. 6.13.İki uç nokta arasında güvenli bir kanal oluşturun

İkinci şemada, iki Güvenlik Ağ Geçidi arasında güvenli bir kanal kurulur. Bu ağ geçitleri, ağ geçitlerinin arkasındaki ağlara bağlı uç ana bilgisayarlardan veri alır. Bu durumda uç ana bilgisayarlar IPSec protokolünü desteklemez, genel ağa yönlendirilen trafik, kendi adına koruma sağlayan güvenlik ağ geçidinden geçer.

Pirinç. 6.14.İki ağ geçidi arasında güvenli bir kanal oluşturma

IPSec'i destekleyen ana bilgisayarlar için hem taşıma modu hem de tünel modu kullanılabilir. Ağ geçitleri için yalnızca tünel moduna izin verilir.

Kurulum ve destekvpn

Yukarıda bahsedildiği gibi, bir VPN tüneli kurmak ve sürdürmek iki aşamalı bir süreçtir. Birinci aşamada (aşama), iki düğüm bir tanımlama yöntemi, bir şifreleme algoritması, bir hash algoritması ve bir Diffie-Hellman grubu üzerinde anlaşır. Ayrıca birbirlerini tanımlarlar. Bütün bunlar, şifrelenmemiş üç mesajın değiş tokuşunun bir sonucu olarak gerçekleşebilir (sözde agresif mod, Agresif mod) veya altı mesaj, şifreli kimlik bilgilerinin değiş tokuşu ile (standart mod, Ana mod).

Ana Modda gönderici ve alıcı cihazların tüm yapılandırma parametreleri üzerinde anlaşmak mümkündür, Agresif Modda ise bu mümkün değildir ve bazı parametreler (Diffie-Hellman grubu, şifreleme ve kimlik doğrulama algoritmaları, PFS) önceden ayarlanmalıdır. -her cihazda aynı şekilde yapılandırılmıştır. Ancak, bu modda, hem değişim sayısı hem de gönderilen paket sayısı daha azdır, bu da bir IPSec oturumu oluşturmak için daha az zaman sağlar.

Pirinç. 6.15. Standart (a) ve agresif (b) modlarında mesajlaşma

İşlemin başarıyla tamamlandığını varsayarak, bir ilk aşama SA oluşturulur - Faz 1 SA(olarak da adlandırılır IKESA) ve süreç ikinci aşamaya geçer.

İkinci adımda, anahtar veriler oluşturulur, düğümler kullanılacak politika üzerinde anlaşırlar. Hızlı mod olarak da adlandırılan bu mod, yalnızca Aşama 1'den sonra, tüm Aşama 2 paketleri şifrelendiğinde kurulabilmesi açısından Aşama 1'den farklıdır. İkinci aşamanın doğru tamamlanması görünüme yol açar Faz 2 SA veya IPSecSA ve bunun üzerine tünelin montajı tamamlanmış sayılır.

İlk olarak, başka bir ağdaki bir hedef adresi olan düğüme bir paket gelir ve düğüm, diğer ağdan sorumlu olan düğüm ile ilk aşamayı başlatır. Diyelim ki düğümler arasındaki tünel başarıyla kuruldu ve paketleri bekliyor. Ancak, düğümlerin belirli bir süre sonra birbirlerini yeniden tanımlaması ve politikaları karşılaştırması gerekir. Bu döneme Birinci Aşama ömrü veya IKE SA ömrü denir.

Düğümler ayrıca İkinci Aşama veya IPSec SA ömrü olarak adlandırılan bir sürenin ardından verileri şifrelemek için anahtarı değiştirmelidir.

İkinci Aşama ömrü, birinci aşamadan daha kısadır, çünkü anahtarın daha sık değiştirilmesi gerekiyor. Her iki düğüm için aynı ömür parametrelerini ayarlamanız gerekir. Bunu yapmazsanız, başlangıçta tünelin başarılı bir şekilde kurulması mümkündür, ancak ilk tutarsız yaşam süresinden sonra bağlantı kesilecektir. Birinci fazın ömrü ikinci fazınkinden daha az olduğunda da sorunlar ortaya çıkabilir. Önceden yapılandırılmış tünel çalışmayı durdurursa, kontrol edilmesi gereken ilk şey her iki düğümdeki kullanım ömrüdür.

Ayrıca, düğümlerden birinde politikayı değiştirirseniz, değişikliklerin yalnızca ilk aşamanın bir sonraki başlangıcında etkili olacağı unutulmamalıdır. Değişikliklerin hemen etkili olması için bu tünelin SA'sını SAD veritabanından kaldırmanız gerekir. Bu, yeni güvenlik politikası ayarlarıyla düğümler arasındaki anlaşmanın gözden geçirilmesini zorlar.

Bazen, farklı üreticilerin ekipmanları arasında bir IPSec tüneli kurarken, ilk aşamanın kurulması sırasında parametrelerin koordinasyonuyla ilgili zorluklar yaşanır. Yerel Kimlik gibi bir parametreye dikkat etmelisiniz - bu, tünel uç noktası (gönderen ve alıcı) için benzersiz bir tanımlayıcıdır. Bu, özellikle birden çok tünel oluştururken ve NAT Traversal protokolünü kullanırken önemlidir.

Ölüakrantespit etme

VPN işlemi sırasında, tünelin uç noktaları arasında trafik yoksa veya uzak düğümün başlangıç ​​verileri değişirse (örneğin, dinamik olarak atanan IP adresinin değiştirilmesi), tünelin esasen artık olmadığı bir durum ortaya çıkabilir. böyle, adeta bir hayalet tünel haline geliyor. Oluşturulan IPSec tünelinde veri alışverişi için sürekli hazır olmayı sürdürmek amacıyla, IKE mekanizması (RFC 3706'da açıklanan), tünelin uzak düğümünden gelen trafiğin varlığını kontrol etmenizi sağlar ve eğer belirli bir süre boyunca yoksa, merhaba mesajı gönderilir (güvenlik duvarlarında D-Link "DPD-R-U-THERE" mesajı gönderir). Bu mesaja belirli bir süre içinde yanıt gelmezse D-Link güvenlik duvarlarında "DPD Expire Time" ayarları ile ayarlanan tünel demonte edilir. D-Link güvenlik duvarları bundan sonra “DPD Keep Time” ayarları kullanılarak ( pirinç. 6.18) otomatik olarak tüneli yeniden kurmaya çalışır.

ProtokolNATgeçiş

IPsec trafiği, diğer IP protokolleriyle aynı kurallara göre yönlendirilebilir, ancak yönlendirici, taşıma katmanı protokollerine özgü bilgileri her zaman çıkaramadığı için, IPsec'in NAT ağ geçitlerinden geçmesi imkansızdır. Daha önce belirtildiği gibi, bu sorunu çözmek için IETF, ESP'yi UDP'de kapsüllemek için NAT-T (NAT Traversal) adı verilen bir yol tanımlamıştır.

NAT Traversal protokolü, IPSec trafiğini kapsüller ve aynı anda NAT'ın doğru şekilde ilettiği UDP paketleri oluşturur. Bunu yapmak için NAT-T, IPSec paketinin önüne ek bir UDP başlığı yerleştirir, böylece ağ genelinde normal bir UDP paketi gibi ele alınır ve alıcı ana bilgisayar herhangi bir bütünlük denetimi gerçekleştirmez. Paket hedefine ulaştıktan sonra UDP başlığı kaldırılır ve veri paketi kapsüllenmiş bir IPSec paketi olarak yoluna devam eder. Böylece, NAT-T mekanizmasını kullanarak, güvenli ağlardaki IPSec istemcileri ile güvenlik duvarları aracılığıyla genel IPSec ana bilgisayarları arasında iletişim kurmak mümkündür.

Alıcı cihazda D-Link güvenlik duvarlarını yapılandırırken dikkat edilmesi gereken iki nokta vardır:

Uzak Ağ ve Uzak Uç Nokta alanlarında, uzak gönderen aygıtın ağ ve IP adresini belirtin. NAT teknolojisi kullanılarak başlatıcının (gönderen) IP adresinin çevrilmesine izin verilmesi gerekir (Şekil 3.48).

Aynı adrese NAT atanan aynı uzak güvenlik duvarına bağlı birden çok tünelle paylaşılan anahtarlar kullanırken, Yerel Kimliğin her tünel için benzersiz olduğundan emin olmak önemlidir.

Yerel İDşunlardan biri olabilir:

Oto– giden trafik arayüzünün IP adresi, yerel tanımlayıcı olarak kullanılır.

IP– Uzak güvenlik duvarının WAN bağlantı noktasının IP adresi

DNS– DNS adresi

Sanal Özel Ağ Teknolojisi- başka bir ortamdaki bireysel bilgisayarlar veya diğer cihazlar arasında geçiş yapma yöntemleri için genelleştirilmiş bir ad. ile kullanılabilir çeşitli araçlar kriptografik koruma, böylece veri iletiminin güvenliğini arttırır. Çoğu durumda, özellikle her türden ağ için önemlidir. büyük şirketler ve bankalar.

VPN nedir

Kısaltma VPN, Sanal Özel Ağ anlamına gelir. Aslında, bu tür bir bağlantı, mevcut bir ortamda ayrılmış bir bölge oluşturmanıza olanak tanır. İçinde bulunan makineler, oldukça uygun olan yazıcıları, sabit sürücüleri ve diğer genel ekipmanları görebilir. Aynı zamanda, seçilen bu bölgeye hiçbir yabancı giremez.

bağlantı oluştur

Söz konusu türde ortamı oluşturmak ve bağlamak için bilgisayar ve Windows işletim sistemi hakkında minimum bilgiye sahip olmanız gerekir. Bu işlemi gerçekleştirmek için aşağıdaki adımları kesin bir sırayla izlemelisiniz:





1. büyük ikonlar;
2. küçük ikonlar;
3. kategoriler;



Tüm adımları tamamladıktan sonra, olası tüm nüansları dikkate alarak VPN'yi yapılandırmanız gerekecektir. Her vakanın kendi nüansları vardır. Hepsinin dikkate alınması gerekir. Çoğu ISP, özellikle sunucularıyla etkileşime geçmek için adım adım talimatlar oluşturur.

VPN kurulumu

Yalnızca farklı operatörlerle ilgili olarak değil, aynı zamanda işletim sisteminin farklı sürümlerinde de her şey tamamen bireyseldir. Microsoft Windows. Çünkü her birinde belirli parametrelerin girişiyle ilgili çeşitli değişiklikler vardı.

Video: bir kuruluşta ağ oluşturma

Windows XP

Ameliyathanede Sanal Özel Ağın normal çalışması için Windows sistemi XP, adımları katı bir sırayla izlemelidir:

• "Başlat" düğmesine basın, "Denetim Masası"nı seçin;

  

• "Yeni Bağlantı Sihirbazı" adlı bir alan açılacak, "İşyerinde ağa bağlan" adlı bir öğe seçmelisiniz;

  

  Fotoğraf: "İş yerimdeki bir ağa bağlan" seçiliyor

• açılan pencerede üstten ikinci öğeyi seçin, "Sanal bir özel ağa bağlanılıyor" olarak belirtilir;

  

  Fotoğraf: "Sanal bir özel ağa bağlan" onay kutusu

• daha sonra görünen pencere, gelecekteki ortam için bir ad yazmanıza izin verir - içine herhangi bir şey girebilirsiniz, sunucunun, sağlayıcının adı veya herhangi bir rastgele kelime, tümcecik olabilir;

  

• önceki penceredeki işlemler tamamlandıktan sonra, işlemin gerçekleştirileceği sunucuyu kaydetmeniz gerekir (bir IP adresi girebilir veya başka bir şekilde yapabilirsiniz);

  

• Sihirbaz tamamlandığında bir kısayol oluşturabilirsiniz.

  

Normal modda veri alışverişi için çeşitli ek seçeneklere genellikle dikkat etmek gerekir.

Aşağıdakileri kesin bir sırayla yaparak bunu yapabilirsiniz:




Her bir durumda, her şey tamamen bireyseldir, belirli bir sunucuya veya İnternet sağlayıcısına doğrudan bağımlılık vardır.

Windows 8

Windows 8 işletim sisteminde bu tür bir ortamın nasıl oluşturulacağını anlamak için sadece birkaç fare tıklaması yapmanız yeterlidir. Bu süreç oldukça otomatiktir.

Bu şekilde yapmanız gerekir:

• boş bir Masaüstünü açarak durum simgesini bulun ve üzerine sağ tıklayın;

  

• açılan içerik menüsünde "Ağ ve Paylaşım Merkezi" ni seçin;

  

  Fotoğraf: Ağ ve Paylaşım Merkezi Seçimi

• ardından "Yeni bir bağlantı veya ağ oluşturuluyor" olarak işaretlenmiş simgeyi seçin;

  

  Fotoğraf: Yeni bir bağlantı veya ağ simgesi oluştur

• iletişim yöntemini belirleyin, iş için "İnternet bağlantımı kullan" seçeneğine tıklamanız gerekir;

  

  Fotoğraf: öğe internet bağlantımı kullanıyor

• önceki adımı tamamladıktan ve sonraki düğmeye tıkladıktan sonra, İnternet adresini ve hedef nesnenin adını girmeniz ve ayrıca kimlik bilgileri, akıllı kartların kullanımı ile ilgili diğer seçenekleri kontrol etmeniz gerekecektir.

  

Yukarıdaki tüm eylemleri tamamladıktan sonra, ortamın işleyişine ilişkin çeşitli seçeneklere karar vermeniz gerekir.

Bunun için ihtiyacınız var:




Tüm parametrelerin ayarı her durumda tamamen bireyseldir.

Windows 7

Söz konusu bağlantıyı Microsoft Windows'un işletim sistemi sürüm 7'de kurmak oldukça basittir. Herhangi bir kullanıcı, bir PC ile en küçük etkileşim deneyimiyle bile, uygulanmasıyla başa çıkacaktır.

Bağlantı oluşturulduktan sonra yapılandırma şu şekilde gerçekleştirilir:

• ekranın sağ alt köşesinde monitör bulunan simgeye sol tıklayarak listeyi açın - "Bağlantı" adlı bir düğmenin olacağı bir pencere açılacaktır;

  

• özelliklere erişebileceğiniz etkinleştirme sekmelerini açmak için üzerine tıklayın;

  

• daha sonra açılan pencere, kapsamlı ayarlar yapmanızı sağlar, aşağıdaki sekmeler vardır:
  

Genellikle normal çalışma için her parametrenin özenli bir şekilde ayarlanması gerekir, aksi takdirde bağlantı hiç kurulmaz veya kullanım sırasında sürekli sorunlar ortaya çıkar.

Android'de VPN nasıl kurulur?

Bir Android cihazı Sanal Özel Ağ ile çalıştırmak için aşağıdaki basit adımları kesin bir sırayla uygulamanız gerekir:




Yukarıdaki tüm adımları tamamladıktan sonra işe başlayabilirsiniz.

Teknoloji ve özellikler

Söz konusu türde bir bağlantıya neden ihtiyaç duyulduğunu ancak özelliklerini ve niteliklerini bilmekle anlamak mümkündür. Her şeyden önce, bu tür bir iletişimin trafiği işleme sürecinde çeşitli gecikmeler anlamına geldiği unutulmamalıdır.

Aşağıdaki nedenlerle bulunurlar:

• iletişim gereklidir;
• veri şifreleme veya şifre çözme gereklidir;
• paketlere yeni başlıklar eklemek.



Aksi takdirde, diğer çalışma yöntemlerinden ve protokollerinden farklar önemsizdir. Küresel farklılıklar sadece teknolojide mevcuttur.

Aşağıdaki özelliklere sahiptir Ve:

• çevirmeli bağlantıya gerek yok (modem gerekmez);
• özel hat gerekmez.

Herhangi bir türden güvenli bir ortamda çalışmak için yalnızca bir İnternet bağlantısına ve hattın her iki ucunda da korunan verileri şifreleme ve şifresini çözme yeteneğine sahip özel programlara ihtiyacınız vardır.

Bir Sanal Özel Ağın çalışması, tünelleme (kapsülleme) kullanımını içerir. Bu veri aktarım yöntemi, gönderilen bilgi paketinin, kapsülden çıkarmanın gerçekleştiği nihai hedefe kolayca ulaşmasını sağlar.

sınıflandırma

İncelenmekte olan türün bileşiği, oldukça dallanmış bir sınıflandırma sistemine sahiptir.

Sanal Özel Ağ, ortam güvenliği türüne göre ayrılır:




Ayrıca, Sanal Özel Ağ genellikle uygulama yöntemine göre sınıflandırılır.

Aşağıdaki çeşitler vardır:

• yazılım çözümü (özel yazılım kullanılır);
• entegre çözüm (bütün bir yazılım ve donanım kompleksi kullanılır).

protokoller

Bu türdeki sanal ağlar, aşağıdaki protokoller kullanılarak uygulanabilir:

• TCP/IP;
• AppleTalk.

Günümüzde ağların çoğu TCP/IP kullanılarak tasarlanmaktadır.


Öncelikle neden bir VPN'e ihtiyacınız var? Ana amacı, bilgileri yabancılardan korumaktır. Bu nedenle genellikle farklı kişiler arasındaki iletişim için kullanılır. Devlet kurumları, yanı sıra veri koruma konusunun önce geldiği diğer durumlarda.

Bir VPN'in ne olduğunu anlamak için bu kısaltmayı deşifre etmek ve tercüme etmek yeterlidir. İletilen bilgilerin gizliliğini ve güvenliğini sağlamak için ayrı bilgisayarları veya yerel ağları birleştiren bir "sanal özel ağ" olarak anlaşılmaktadır. Bu teknoloji, aşağıdakileri kullanarak genel bir ağa dayalı özel bir sunucuyla bağlantı kurmayı içerir: özel programlar. Sonuç olarak, mevcut bağlantıda modern şifreleme algoritmaları tarafından güvenilir bir şekilde korunan bir kanal belirir. Başka bir deyişle VPN, kullanıcılar ve bir sunucu arasında bilgi alışverişi için güvenli bir tünel olan güvensiz bir ağ içinde veya üzerinden noktadan noktaya bir bağlantıdır.

Bir VPN'nin temel özellikleri

Şifreleme, kimlik doğrulama ve erişim kontrolü gibi temel özelliklerini anlamadan bir VPN'nin ne olduğunu anlamak eksik kalır. Bir VPN'i genel bağlantılar temelinde çalışan sıradan bir kurumsal ağdan ayıran bu üç kriterdir. Bu özelliklerin uygulanması, kullanıcıların bilgisayarlarını ve kuruluşların sunucularını korumayı mümkün kılar. Maddi olarak korumasız kanallardan geçen bilgiler, dış etkenlerin etkisine karşı savunmasız hale gelir, sızma ve yasa dışı kullanım olasılığı ortadan kalkar.



VPN tipolojisi

Bir VPN'in ne olduğunu anladıktan sonra, kullanılan protokollere göre ayırt edilen alt türlerini düşünmeye devam edebilirsiniz:

1. PPTP, normal bir ağ üzerinden güvenli bir kanal oluşturan noktadan noktaya bir tünel protokolüdür. Bağlantı, iki ağ oturumu kullanılarak kurulur: veriler, GRE protokolü kullanılarak PPP aracılığıyla iletilir, bağlantı, TCP (port 1723) aracılığıyla başlatılır ve yönetilir. Mobil ve diğer bazı ağlarda kurulum yapmak zor olabilir. Bugün, bu tür VPN en az güvenilir olanıdır. Üçüncü şahısların eline geçmemesi gereken verilerle çalışırken kullanılmamalıdır.
2. L2TP - katman 2 tünelleme. Bu gelişmiş protokol, PPTP ve L2F'den geliştirilmiştir. IPSec şifrelemesi ve ana ve kontrol kanallarını tek bir UDP oturumunda birleştirmenin yanı sıra çok daha güvenlidir.
3. SSTP, SSL tabanlı güvenli yuva tünellemedir. Bu protokol, HTTPS üzerinden güvenilir iletişim oluşturur. Protokolün çalışması için, proxy'nin ötesinde bile herhangi bir noktadan iletişime izin veren açık bir bağlantı noktası 443 gereklidir.



VPN özellikleri

İÇİNDE önceki bölümler teknik açıdan bir VPN'in ne olduğundan bahsetti. Şimdi bu teknolojiye kullanıcıların gözünden bakmalı ve ne gibi özel faydalar sağladığını anlamalısınız:

1. Emniyet. Tek bir İnternet kullanıcısı, bir sosyal ağdaki sayfasının saldırıya uğramasından veya daha da kötüsü banka kartlarından ve sanal cüzdanlardan şifrelerin çalınmasından hoşlanmayacaktır. VPN, kişisel verileri etkili bir şekilde korur. Tünel üzerinden hem giden hem de gelen bilgi akışları şifreli biçimde iletilir. ISP bile bunlara erişemez. Bu öğe, İnternet kafelerde ve güvenli olmayan Wi-Fi ile diğer noktalarda ağa sık sık bağlananlar için özellikle önemlidir. Bu tür yerlerde bir VPN kullanmazsanız, yalnızca iletilen bilgiler değil, aynı zamanda bağlı cihaz da risk altında olacaktır.
2. anonimlik VPN, kullanıcının gerçek IP'sini ziyaret ettiği kaynaklara asla göstermediği için IP adreslerini gizleme ve değiştirme sorunlarını ortadan kaldırır. Tüm bilgi akışı güvenli bir sunucudan geçer. Anonim proxy'ler aracılığıyla bağlantı, şifreleme anlamına gelmez, kullanıcı etkinliği sağlayıcı için bir sır değildir ve IP, kullanılan kaynağın mülkü olabilir. Bu durumda VPN, kullanıcının IP'si olarak kendi IP'sini verecektir.
3. Sınırsız erişim. Birçok site, eyaletler veya yerel ağlar düzeyinde engellenir: örneğin, ciddi firmaların ofislerinde bulunmazlar. sosyal medya. Ancak en sevdiğiniz siteye evden bile gidememeniz daha da kötüdür. Kullanıcının IP'sini kendisininkiyle değiştiren VPN, konumunu otomatik olarak değiştirir ve engellenen tüm sitelerin yolunu açar.



VPN uygulamaları

VPN'ler en yaygın olarak şunlar için kullanılır:

1. Küresel ağa güvenli erişim sağlamak için şirketlerin sağlayıcıları ve sistem yöneticileri. Aynı zamanda yerel ağ içerisinde çalışmak ve genel seviyeye geçmek için farklı güvenlik ayarları kullanılmaktadır.
2. Yöneticiler, özel ağa erişimi kısıtlamak için. Bu durum klasiktir. VPN sayesinde işletmelerin bölümleri birleştirilir ve çalışanların uzaktan bağlantı kurma imkanı da sağlanır.
3. Ağ toplama yöneticileri çeşitli seviyeler. Kural olarak, kurumsal ağlar çok seviyelidir ve sonraki her bir seviyeye daha fazla koruma sağlanır. Bu durumda VPN, basit bir bağlantıdan daha fazla güvenilirlik sağlar.



Bir VPN kurarken ana nüanslar

Bir VPN bağlantısının ne olduğunu zaten bilen kullanıcılar, genellikle kendi başlarına kurmak için yola çıkarlar. Adım adım talimatlarçeşitli işletim sistemleri için güvenli ağlar kurma konusunda her yerde bulunabilir, ancak her zaman birinden bahsetmezler. önemli nokta. Standart bir VPN bağlantısıyla, VPN ağı için ana ağ geçidi belirtilir, bunun sonucunda kullanıcı İnternet'i kaybeder veya uzak bir ağ üzerinden bağlanır. Bu rahatsızlık yaratır ve bazen çift trafik için ödeme yapmak için ekstra maliyetlere yol açar. Sorun yaşamamak için aşağıdakileri yapmanız gerekir: ağ ayarlarında TCP / IPv4 özelliklerini bulun ve gelişmiş ayarlar penceresinde uzak ağda ana ağ geçidinin kullanılmasına izin veren kutunun işaretini kaldırın.

VPN, Sanal Özel Ağ teknolojisinden başka bir şey değildir. Ve yaklaşık olarak Rus lehçesine çevrilirse, şöyle olacaktır: sanal bir özel ağ.

Tüm bu teknoloji, belirli bilgisayarları (ara bağlantılarını) güvenli bir ağ ortamında birleştirmek için tasarlanmıştır: örneğin, bu bilgisayarların sahiplerine şifreli bir kanal ve üçüncü taraf ağ kaynaklarına anonim erişim sağlamak için.

Yani, ağ içinde ağ gibi bir şey diyelim, ancak VPN teknolojilerinin kullanılması, bağlı tüm bilgisayarların daha güvenli bir bağlantısını sağlar. Böylece bilgisayar makineleri dünyanın farklı yerlerinde bulunabilir (mesafe kritik değildir) ve kullanıcıları "gizli" belgeleri kolayca ve güvenli bir şekilde değiş tokuş edebilir:

Ama sırayla gidelim:

VPN nasıl çalışır?

Paragrafa göre metin:

Sanal Özel Ağ - sanal özel ağ - Genel prensip ana ağ - örneğin İnternet - içinde bir veya daha fazla ağ bağlantısı (bir tür yerel mantıksal ağ) sağlamayı oldukça kolaylaştıran teknolojiler.

Sanal özel ağlar, "bir veya iki" bilgisayar ve uzak sunucular arasında kurulan sözde tüneller aracılığıyla oluşturulur.

Bu tünelden iletilen tüm veriler (veya hemen hemen tümü) şifrelenecektir - yani şifrelenecektir.

Pekala, temel bir örnek için: Üzerine her türden yelkenli, yat, tekne ... ağ kullanıcılarının gittiği belirli bir göl (İnternet gibi sahip olacağız) hayal edin. Tüm bu sörfü rahatlıkla izleyebilirsiniz!..

Ancak bu performanstaki VPN rotası (tünel), belirli kapalı şifreli kanallardan (tünellerden) su altına giren bir denizaltı gibi davranacak ve anladığınız gibi bu denizaltımızın içine yerleştirilen tüm bilgiler bizim bilgilerimiz olacak, ancak meraklı gözlerden gizlenir ve noktalar arasında mümkün olan maksimum kirlenme ile iletilir (böyle bir örnek - kelime oyunu çıktı).

Aynısı aşağıdaki resimde gösterilmiştir:

başkasının sitesinden resim (adres kayıp ama gerçekten beğendim)

VPN sıradan bir kullanıcı tarafından ne için kullanılabilir?

1. Belirli bir site engellendi (erişim yok) ancak çaresizsiniz, onu ziyaret etmeniz gerekiyor ... engellenen bir siteyi ziyaret etme sorununu çözmenin başka bir yolunun açıklaması.
2. Sık sık çevrimiçi bankacılık kullanıyorsak ve işlemlerimizi bir şekilde güvence altına almamız gerekiyorsa.
3. ... veya bazı kaynaklar (web sitesi) yalnızca Avrupa ülkeleri için "yayınlanıyor" ve yine bilmiyorsunuz ... "onu" okumanız veya film izlemeniz gerekiyor ...
4. Ziyaret ettiğiniz sitelerin verilerinizi izlemesini (ve muhtemelen çalmasını) istemezsiniz!
5. Veya, örneğin, bir losyon yönlendiriciniz yok, ancak birkaç bilgisayarı birbirine bağlamak mümkündür. yerel ağ, böylece her iki bilgisayara da İnternet erişimi sağlar.

Pekala, VPN'in tüm bu avantajlarından yararlanmak için şunlara sahip olmak yeterlidir: ağın kendisi, bir bilgisayar (tablet) ve bir uzak sunucu.

vpn ve şifreleme çalışma prensibi şu şekildedir

VPN yazılımı yüklenmiş olarak kullanıcının bilgisayarı ile sunucu arasında sanal bir ağ ortamı oluşturulur. Peki, örneğin Openvpn.

Hizmet programlarında, istemciye (siz ve ben) şifreleme (çıktıda) ve şifresini (girişte) çözmeye yarayan bir anahtar (şifre) oluşturulur.

Ve böyle güvenli bir paketle, bilgisayar önceden oluşturulmuş anahtar kullanılarak şifrelenmiş bir istek oluşturur.

Pekala, tüm bu "şifrelemenin" tünel aracılığıyla bilgisayarları birbirine bağlayan sunucuya iletildiğini söylemeye değmez.

Veriler tünelden sunucuya başarıyla ulaştıktan sonra, şifresi çözülür ve istek "açılır": bir dosya (belge) göndermek, bir şarkıyı dinlemeye başlamak, vb ...))

Sunucu ise talebe bir yanıt hazırlar ve bunu müşteriye gönderir: tüm bunları şifreler ve - sizden sipariş edilir ve "çok gizli".

Ancak dosyaların tarafınıza temiz ve okunaklı bir şekilde ulaşması için bilgisayarınız daha önce oluşturulmuş (üretilmiş) anahtar ile verilerin şifresini çözmektedir.

Komik olan ne:

sanal bir özel ağa dahil olan cihazlar birbirinden herhangi bir mesafede bulunabilir (yani coğrafi kısıtlamalara bağlı değildir)

VPN teknolojisini nasıl ve nerede kullanabilirsiniz?

Böyle bir mucizenin mucitleri, üçüncü veya dördüncü şahısların eline geçmemeleri için herhangi bir veriyi (bu ideal olarak) aktarmak için vpn kullanılmasını tavsiye eder: peki, anlıyorsunuz - her türlü şifre, oturum açma ... kart numaraları , aşk yazışmaları, vb ...

Özellikle bu teknoloji, kafelerde, eğlence parklarında ve hava-uzay limanlarında bir yerlerde açık Wi-Fi erişim noktalarını kullandığımızda tasarruf sağlıyor ...

Teknoloji, belirli bir sağlayıcı tarafından engellenenler veya kullanıcı çevresini sınırlayan kaynaklar da dahil olmak üzere herhangi bir site / site izleme hizmetine serbestçe erişmek isteyen yoldaşlar için de kullanışlı olacaktır.

VPN ve TOR, proxy ve anonimleştiriciler arasındaki bazı farklar

VPN küresel olarak çalışır ve tüm ağın çalışmasını sistem tüneli üzerinden yönlendirir. yazılım bazı bilgisayarlarda yüklü.

Herhangi bir istek - bir tarayıcı, sohbet, dropbox gibi bir bulut depolama istemcisi aracılığıyla - alıcıya ulaşmadan önce tünelden geçer ve şifrelenir. Susanin gibi ara "makineler", "verilerinizin" izlerini karıştırır, yalnızca nihai muhataba, yani size ve bana göndermeden önce şifreler ve şifresini çözer. Ne!

Ve harika bir anlamın sonucu olarak - talebin nihai hedefi, örneğin, izimizi bırakmak istemeyeceğimiz bir site)) kullanıcının verilerini (bizimkini), bizim değil coğrafi konum vesaire vesaire... AMA!! VPN sunucusu verileri.

yani kullanıcının hangi sitelerle ilgilendiğini (ve ziyaret ettiğini) ve orada ne için çalıştığını (ilgi alanlarımız gizli) takip etmek teorik olarak zordur.

Bir dereceye kadar, anonimleştiriciler, proxy'ler ve TOR, haklı olarak VPN'lerin analogları olarak kabul edilebilir, ancak, listelenen tüm bu güzellikler bazı yönlerden kaybeder ve sanal özel ağlardan - VPN'lerden daha düşüktür.

Bu nedenle, ne olduğunu görelim:

VPN ve TOR arasındaki fark nedir

Bir VPN'e çok benzeyen TOR teknolojisi, istekleri şifreler ve bunları kullanıcıdan sunucuya aktarır. Ve buna göre, tam tersi. Sadece burada hoş bir yakalama var - TOR sistemi kalıcı tüneller oluşturmaz !! kullanıcı verilerini iletme / alma yolları her istekle (istek) değişir ve bu, anladığınız gibi, değerli veri paketlerini ele geçirme şansını azaltır. Bununla birlikte, "şifrelerin" sürekli işlenmesi / oluşturulmasının, veri paketlerinin kendilerinin teslim hızı üzerinde güçlü bir etkisi olduğu söylenmelidir.

Seçim bizim.

TOR - meraklıları tarafından korunur. Tamamen ücretsiz! ve bu durumda, bazılarını beklemek için "bedava şeyler" kararlı çalışma zorunda olmamak.

VPN ve proxy arasındaki fark nedir

Şifreleme değil, sadece...

Proxy, VPN gibi, isteği siteden siteye (kullanıcının bilgisayarı) yönlendirir ve benzer şekilde bu isteği bazı aracı sunucular (uzaklarda bir yerde bulunan) aracılığıyla iletir.

Ancak, gizli aksama sizi meraklandırıyor!! - vekil sunucu tarafından organize edilen istekleri yakalamak zor değildir, - bilgi alışverişi basit bir şifreleme bile olmadan yapılır.

Alex, Eustace'e gelmeyecek))

VPN ve anonimleştirici arasındaki fark nedir

Anonimleştiricinin, proxy'nin hadım edilmiş (soyulmuş) bir versiyonu olduğunu ve yalnızca açık bir tarayıcı sekmesinin penceresinde (tarayıcı tarafından sınırlandırılmış) aşağı yukarı düzgün çalışma yeteneğine sahip olduğunu söylemek yeterlidir.

Anonimleştirici aracılığıyla, istediğiniz sayfaya erişebilirsiniz, ancak özelliklerin çoğunu (yukarıda açıklanan benzerleri) asla kullanamayacaksınız.

Herhangi bir şifreleme hakkında konuşacak bir şey olmadığını eklemeye değer mi ...

Veri alışverişi hızı açısından, kanal şifreleme kullanılmadığı için elbette proxy kazanacaktır.

Şimdiye kadar VPN, yalnızca anonimlik sağlamakla kalmayıp, aynı zamanda bir "şifreli kanal / tünel" üzerinden koruma da sağlayabildiği için kendisini ikinci sırada sağlam bir şekilde kurdu.

Üçüncülük, açık bir tarayıcı (tarayıcı) penceresinde çalışmakla sınırlı olmasına rağmen, anonimleştirici tarafından ele geçirildi.

Bir VPN'e bağlanmak için zaman, istek veya fırsat olmadığında TOR devreye girer. Yukarıdakilerden anladığınız gibi, taleplerimizin yüksek hızda işlenmesine güvenmemelisiniz.

Tabii ki, bunlar çok yaklaşık cazibe ve hız hesaplamalarıdır, ancak - temelde yakın! çünkü çok şey kullanılan Dünya sunucularının iş yüküne bağlıdır. Veya bu dünyanın şu veya bu ülkesinin kabul edilmiş yasalarından.

…seçim yaparken bilmeniz gerekenler

Bununla ilgili modern zamanlarda moda olan bir makale, çünkü Telegram'ın gerisinde kalsalar bile kesinlikle başka bir siteye bağlı kalacaklar !! Bu yüzden elinizin altında bilgi sahibi olmakta fayda var! ve bağlantıdaki makaledeki bilgi ...

(örnek olarak NordVPN kullanılarak)…

... ve son olarak, görelim

vpn ile internete nasıl bağlanılır

Ru segmenti, VPN'ye erişim sağlamak için birçok yol ve hizmet sunar. Ve dünyadaki vpn'ye bağlanmak için daha birçok varyasyon!

Hizmetler ücretlidir! - ücretsiz olanları parantezin dışında bırakın.

Ayda/yılda birkaç dolardan birkaç on/yüz dolara.




Bir şey net değilse ve sorularınız varsa, bunları yorumlarda paylaşın ...