VPN статия. Какво е VPN: защо е необходим и как работи. Как VPN се различава от анонимизатора

VPN (Virtual Private Networks) - виртуални частни мрежи. VPN е една такава технология, за която не се знае откъде са дошли. Когато обаче подобни технологии се вкореняват в инфраструктурата на една компания, всички се учудват как са се справяли без тях. VPN мрежите ви позволяват да използвате интернет като своя собствена частна мрежа. По този начин разпространението на VPN е свързано с развитието на Интернет. Самата технология използва стека от протоколи TCP/IP като основа за своята работа.

За да разберете какво е VPN, трябва да разберете две концепции: криптиране и виртуалност.

Шифроването е обратима трансформация на съобщение, за да се скрие от неупълномощени лица.

Виртуалността е обект или състояние, което реално не съществува, но може да възникне при определени условия.

Шифроването преобразува съобщение от един вид, например "Здравей!" в друга форма “* & 878hJf7 * & 8723”. От друга страна има и обратна трансформация, която се нарича декриптиране, т.е. преобразуване на съобщението “* & 878hJf7 * & 8723” в съобщението “Здравей!”. Подходът за сигурност на VPN предполага, че никой друг освен предвидения получател не може да извърши декриптирането.

Понятието „виртуалност“ се отнася до ситуацията „сякаш“. Например ситуация, при която имате достъп до отдалечен компютър с помощта на таблет. В този случай таблетът симулира работата на отдалечен компютър.

VPN има точна дефиниция:

VPN е криптиран или капсулиран комуникационен процес, който сигурно прехвърля данни от една точка в друга; сигурността на тези данни се осигурява от силна технология за криптиране и предаваните данни преминават през отворена, незащитена, маршрутизирана мрежа.

Тъй като VPN е криптиран, комуникацията между възлите, данните се предават сигурно и тяхната цялост е гарантирана. Данните пътуват през отворена, незащитена, маршрутизирана мрежа, така че могат да имат множество пътища до крайната си дестинация, когато се предават по споделена линия. По този начин VPN може да се разглежда като процес на изпращане на криптирани данни от една точка до друга през Интернет.

Капсулирането е процесът на поставяне на пакет данни в IP пакет. Капсулирането ви позволява да добавите допълнителен слой защита. Капсулирането ви позволява да създавате VPN тунели и да прехвърляте данни през мрежа с други протоколи. Най-разпространеният начин за създаване на VPN тунели е да се капсулират мрежови протоколи (IP, IPX, AppleTalk и т.н.) в PPP и след това да се капсулират получените пакети в протоколи за тунелиране. Последният най-често е IP протоколът, въпреки че в редки случаи могат да се използват и протоколи ATM и Frame Relay. Този подход се нарича Layer 2 Tunneling, тъй като пътникът е самият Layer 2 Protocol (PPP).

Алтернативен подход за капсулиране на пакети на мрежовия протокол директно в протокол за тунелиране (като VTP) се нарича тунелиране на слой 3.

По предназначение VPN мрежите са разделени на три типа:

1. Интранет се използва за обединяване на няколко разпределени клона на една организация в единна защитена мрежа, обмен на данни по отворени комуникационни канали.
2. Екстранет – Използва се за мрежи, към които се свързват външни потребители (като клиенти или клиенти). Поради факта, че нивото на доверие в такива потребители е по-ниско, отколкото в служителите на компанията, е необходима специална защита, за да се предотврати достъпът на външни потребители до особено ценна информация.
3. Отдалечен достъп - създава се между централни корпоративни офиси и отдалечени мобилни потребители. Със софтуер за криптиране, зареден на отдалечения лаптоп, отдалеченият потребител установява криптиран тунел с VPN устройството в централата на компанията.

Има много опции за внедряване на VPN. Когато решавате как да внедрите VPN, трябва да вземете предвид факторите на производителност на VPN системите. Например, ако рутерът работи на границата на мощността на своя процесор, тогава добавянето на още VPN тунели и прилагането на криптиране/декриптиране може да доведе до спиране на работата на цялата мрежа, тъй като рутерът няма да може да се справи с нормалния трафик.

Опции за внедряване на VPN:

1. VPN, базиран на защитни стени. Защитната стена (firewall) е софтуерен или хардуерно-софтуерен елемент на компютърна мрежа, който следи и филтрира мрежовия трафик, преминаващ през нея в съответствие с определени правила. Защитните стени на повечето доставчици днес поддържат тунелиране и криптиране на данни. Всички подобни продукти се основават на факта, че трафикът, преминаващ през защитната стена, е криптиран.
2. VPN базиран на рутери. Тъй като цялата информация, идваща от локалната мрежа, първо отива към рутера, препоръчително е да му зададете функции за криптиране. Рутерите на Cisco например поддържат L2TP, IPSec протоколи за криптиране. В допълнение към простото криптиране, те поддържат и други VPN функции, като удостоверяване на връзката и обмен на ключове.
3. VPN базирана на мрежова операционна система. В Linux VPN връзките обикновено се правят с помощта на технологии като OpenVPN, OpenConnect или NetworkManager. Windows VPN използва PPTP, който е интегриран в Windows.

Предлагаме услуги за ремонт и конфигуриране на компютри, смартфони, таблети, wi-fi рутери, модеми, IP-TV, принтери. Високо качество и евтино. Имате проблем? Попълнете формата по-долу и ние ще ви се обадим.

Организацията на канали между отдалечени мрежи чрез VPN връзка е една от най-популярните теми на нашия сайт. В същото време, както показва отговорът на читателя, най-голямата трудност е правилната конфигурация на маршрутизиране, въпреки че специално обърнахме внимание на този момент. След като анализирахме най-често задаваните въпроси, решихме да посветим отделна статия на темата за маршрутизиране. Имате въпроси? Надяваме се, че след като прочетете този материал, те ще бъдат по-малко.

Първо, нека разберем какво е маршрутизиране... Маршрутизацията е процесът на определяне на маршрута на информацията в комуникационните мрежи. Нека бъдем честни, тази тема е много дълбока и изисква солиден багаж от теоретични познания, така че в рамките на тази статия умишлено ще опростим картината и ще се докоснем до теорията точно до степента, в която ще бъде достатъчно, за да разберем текущи процеси и получаване на практически резултати.

Да вземем произволна работна станция, свързана към мрежата, как тя определя къде да изпрати този или онзи пакет? За тази цел е предназначен таблица за маршрутизиране, който съдържа списък с правила за всички възможни адреси на местоназначение. Въз основа на тази таблица хостът (или рутерът) решава кой интерфейс и адрес на местоназначение да изпрати пакет, адресиран до конкретен получател.

Печат на маршрута

В резултат на това ще видим следната таблица:

Всичко е много просто, ние се интересуваме от раздела IPv4 маршрутна таблица, първите две колони съдържат адреса на дестинацията и мрежовата маска, последвани от шлюза - възелът, към който трябва да бъдат препратени пакетите за посочената дестинация, интерфейса и метриката. Ако колоната Порталпосочено On-linkтогава това означава, че адресът на дестинацията е в същата мрежа като хоста и е достъпен без маршрутизиране. Метрикаопределя приоритета на правилата за маршрутизиране, ако адресът на дестинацията има няколко правила в таблицата с маршрути, тогава се използва това с по-нисък показател.

Нашата работна станция принадлежи към мрежата 192.168.31.0 и според таблицата с маршрути изпраща всички заявки към тази мрежа до интерфейса 192.168.31.175, който съответства на мрежовия адрес на тази станция. Ако адресът на местоназначението е в същата мрежа с адреса на източника, тогава доставката на информация се осъществява без използване на IP маршрутизиране (мрежов слой L3 на модела OSI), на слоя на връзката (L2). В противен случай пакетът се изпраща до възела, посочен в съответното правило на таблицата с маршрути в мрежата на местоназначението.

Ако няма такова правило, тогава пакетът се изпраща от нулев маршрут, който съдържа адреса на мрежовия шлюз по подразбиране. В нашия случай това е адресът на рутера 192.168.31.100. Този маршрут се нарича нулев, тъй като адресът на дестинацията за него е 0.0.0.0. Тази точка е много важна за по-нататъшното разбиране на процеса на маршрутизиране: всички пакети, не принадлежи към тази мрежаи нямат отделни маршрути, винагиса изпратени главен шлюзмрежи.

Какво ще направи рутерът, когато получи такъв пакет? Първо, нека да разберем как рутерът се различава от обикновената мрежова станция. Казано по изключително опростен начин, рутерът (рутерът) е мрежово устройство, което е конфигурирано да предава пакети между мрежови интерфейси. В Windows това се постига чрез активиране на услугата Маршрутизиране и отдалечен достъп, в Linux, като зададете опцията ip_forward.

Решението за прехвърляне на пакети в този случай също се взема въз основа на таблицата за маршрутизиране. Нека да видим какво съдържа тази таблица на най-често срещания рутер, например този, който описахме в статията:. В Linux системи можете да получите таблицата с маршрути с командата:

Маршрут -n

Както можете да видите, нашият рутер съдържа маршрути към познатите му мрежи 192.168.31.0 и 192.168.3.0, както и нулев маршрут към шлюза нагоре по веригата 192.168.3.1.

Адресът 0.0.0.0 в колоната Gateway показва, че адресът на местоназначението е достъпен без маршрутизиране. По този начин всички пакети с адреси на дестинация в мрежите 192.168.31.0 и 192.168.3.0 ще бъдат изпратени до съответния интерфейс, а всички останали пакети ще бъдат препратени по нулевия маршрут.

Следващият важен момент са адресите на частни (частни) мрежи, те също са "сиви", включват три диапазона:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Тези адреси могат да се използват свободно от всеки и следователно те не е маршрутизиран... Какво означава? Всеки пакет с адрес на местоназначение, принадлежащ към една от тези мрежи, ще бъде отхвърлен от рутера, ако няма отделен запис за него в таблицата за маршрутизиране. Просто казано, маршрутът по подразбиране (нулев) за такива пакети не се прилага от рутера. Трябва също да се разбере, че това правило се прилага само за маршрутизиране, т.е. при предаване на пакети между интерфейси, изходящ пакет със "сив" адрес ще бъде изпратен по нулевия маршрут, дори ако този възел сам по себе си е рутер.

Например, ако нашият рутер получи входящ пакет с дестинация, да речем, 10.8.0.1, тогава той ще бъде изхвърлен, тъй като такава мрежа е непозната за него и адресите в този диапазон не се маршрутизират. Но ако получим достъп до същия възел директно от рутера, тогава пакетът ще бъде изпратен по нулевия маршрут до шлюза 192.168.3.1 и ще бъде изхвърлен от него.

Време е да проверим как работи всичко. Нека опитаме от нашия възел 192.168.31.175 да пингуваме възела 192.168.3.106, който се намира в мрежата зад рутера. Както можете да видите, успяхме, въпреки че таблицата на маршрутите на хоста не съдържа никаква информация за мрежата 192.168.3.0.

Как стана възможно това? Тъй като изходният възел не знае нищо за мрежата на местоназначението, той ще изпрати пакет до адреса на шлюза. Шлюзът ще провери своята таблица с маршрути, ще намери там запис за мрежата 192.168.3.0 и ще изпрати пакета до подходящия интерфейс, можете лесно да проверите това, като изпълните командата trace, която ще покаже целия път на нашия пакет:

Tracert 192.168.3.106

Сега нека опитаме да пингуваме хост 192.168.31.175 от хост 192.168.3.106, т.е. в обратната посока. Не ни се получи. Защо?

Нека разгледаме отблизо таблицата за маршрутизиране. Той не съдържа никакви записи за мрежата 192.168.31.0, така че пакетът ще бъде изпратен до рутера 192.168.3.1 като основен шлюз на мрежата, който ще изхвърли този пакет, тъй като няма никаква информация за мрежата на местоназначението . Как да бъде? Очевидно трябва да изпратите пакета до възела, който съдържа необходимата информация и може да предаде пакета до местоназначението му, в нашия случай това е рутерът 192.168.31.100, който има адрес 192.168.3.108 в тази мрежа.

За да му бъдат изпратени пакети за мрежата 192.168.31.0, трябва да създадем отделен маршрут.

192.168.31.0 маска 255.255.255.0 192.168.3.108

В бъдеще ще се придържаме към такъв запис на маршрути, какво означава това? Това е просто, пакети за мрежата 192.168.31.0 с маска 255.255.255.0 трябва да се изпращат до хоста 192.168.3.108. В Windows маршрут може да се добави с командата:

Добавяне на маршрут 192.168.31.0 маска 255.255.255.0 192.168.3.108

Добавяне на маршрут -net 192.168.31.0 мрежова маска 255.255.255.0 gw 192.168.3.108

Да опитаме.

Нека анализираме резултата, в таблицата за маршрутизиране се появи маршрут и всички пакети към мрежата 192.168.31.0 вече се изпращат към рутера на тази мрежа, което може да се види от отговора на командата ping, но те не достигат до дестинация. Какъв е проблема? Време е да запомните, че една от основните задачи на рутера е не само маршрутизирането, но и функцията на защитна стена, която ясно забранява достъпа от външната мрежа вътре. Ако временно заменим това правило с разрешително, тогава всичко ще работи.

Маршрутите, добавени от горните команди, се запазват, докато възелът не се рестартира, това е удобно, дори и да объркате много, просто трябва да рестартирате, за да отмените промените. За да добавите постоянен маршрут в Windows, изпълнете командата:

Добавяне на маршрут 192.168.31.0 маска 255.255.255.0 192.168.3.108 -p

На Linux в / etc / мрежа / интерфейси, след описанието на интерфейса добавете:

Post-up route add -net 192.168.31.0 мрежова маска 255.255.255.0 gw 192.168.3.108

Между другото, това не е единственият начин за конфигуриране на достъп от мрежата 192.168.3.0 до мрежата 192.168.31.0, вместо да добавяте маршрут за всеки възел, можете да "научите" рутера да изпраща пакети правилно.

В този случай изходният възел няма никакви записи за мрежата на местоназначението и ще изпрати пакета до шлюза, последния път, когато шлюзът е изпуснал такъв пакет, но сега сме добавили необходимия маршрут към неговата таблица за маршрутизиране и той ще изпрати пакета до възела 192.168.3.108, който ще го достави до местоназначението му.

Силно ви препоръчваме сами да практикувате върху подобни примери, така че маршрутизирането вече няма да бъде черна кутия за вас и маршрутите вече няма да са китайска грамотност. След като разберете, можете да преминете към втората част на тази статия.

Сега нека разгледаме реални примери за свързване на офис мрежи чрез VPN връзка. Въпреки факта, че OpenVPN най-често се използва за тези цели и в нашите примери имаме предвид и решения, базирани на него, всичко по-горе ще важи за всякакъв тип VPN връзка.

Най-простият случай е, когато VPN сървърът (клиентът) и мрежовият рутер са разположени на един и същ хост. Помислете за диаграмата по-долу:

Тъй като, надяваме се, сте научили теорията и сте я консолидирали на практика, ние ще анализираме маршрута на пакетите от офис мрежата 192.168.31.0 до клоновата мрежа 192.168.44.0, такъв пакет ще бъде изпратен до шлюза по подразбиране, който също е VPN сървър. Този възел обаче не знае нищо за мрежата на местоназначението и ще трябва да изхвърли този пакет. В същото време вече можем да се свържем с рутера на клона на неговия адрес в VPN мрежата 10.8.0.2, тъй като тази мрежа е достъпна от офис рутера.

За достъп до клоновата мрежа трябва да предаваме пакети за тази мрежа към възел, който е част от тази мрежа или има маршрут до нея. В нашия случай това е клон рутер. Затова добавяме маршрут на офис рутера:

Сега офисният шлюз, след като получи пакета за клоновата мрежа, ще го изпрати през VPN канала до клоновия рутер, който, като хост на мрежата 192.168.44.0, ще достави пакета до местоназначението му. За достъп до офис мрежата от клоновата мрежа трябва да регистрирате подобен маршрут на рутера на клона.

Нека вземем по-сложна диаграма, когато рутерът и VPN сървърът (клиентът) са различни възли в мрежата. Тук има две опции: да изпратите необходимия пакет директно към VPN сървъра (клиента) или да принудите шлюза да го направи.

Нека първо разгледаме първия вариант.

За да могат пакетите за клоновата мрежа да влязат в VPN мрежата, трябва да добавим маршрут към VPN сървъра (клиента) за всеки клиент на мрежата, в противен случай те ще бъдат изпратени до шлюза, който ще ги изпусне:

Въпреки това, VPN сървърът не знае нищо за мрежата на клоновете, но може да изпраща пакети в рамките на VPN мрежата, където има възел на клоновата мрежа, който ни интересува, така че ние ще изпратим пакета там, като добавим маршрут на VPN сървър (клиент):

192.168.44.0 маска 255.255.255.0 10.8.0.2

Недостатъкът на тази схема е необходимостта от регистриране на маршрути във всеки мрежов възел, което не винаги е удобно. Може да се използва, ако има малко устройства в мрежата или е необходим селективен достъп. В други случаи би било по-правилно задачата за маршрутизиране да се прехвърли към главния рутер на мрежата.

В този случай мрежовите устройства на офиса не знаят нищо за клоновата мрежа и ще изпращат пакети за нея по нулевия маршрут, мрежовия шлюз. Сега задачата на шлюза е да пренасочи този пакет към VPN сървъра (клиента), това е лесно да се направи, като добавите необходимия маршрут към неговата таблица за маршрутизиране:

192.168.44.0 маска 255.255.255.0 192.168.31.101

Споменахме задачата на VPN сървъра (клиента) по-горе, той трябва да доставя пакети до VPN мрежовия възел, който е част от мрежата на местоназначението или има маршрут до него.

192.168.44.0 маска 255.255.255.0 10.8.0.2

За достъп от клоновата мрежа до офисната мрежа ще трябва да добавите съответните маршрути към мрежовите възли на клона. Това може да стане по всеки удобен начин, не непременно по същия начин, както се прави в офиса. Един прост пример от реалния свят: всички компютри в офиса на клона трябва да имат достъп до мрежата на офиса, но не всички компютри в офиса трябва да имат достъп до офиса на клона. В този случай в клона добавяме маршрут към VPN сървъра (клиента) на рутера, а в офиса го добавяме само към необходимите компютри.

Като цяло, ако имате представа как работи маршрутизирането и как се взема решението за пренасочване на пакети, а също така знаете как да прочетете таблицата за маршрутизиране, тогава конфигурирането на правилните маршрути трябва да бъде лесно. Надяваме се, че след като прочетете тази статия, и вие няма да ги имате.

• Етикети:

Моля, активирайте JavaScript, за да видите

Напоследък се наблюдава засилен интерес към виртуалната частна мрежа (VPN) в света на телекомуникациите. Това се дължи на необходимостта от намаляване на разходите за поддръжка на корпоративни мрежи поради по-евтиното свързване на отдалечени офиси и отдалечени потребители през Интернет. Всъщност, когато се сравняват разходите за свързване на няколко мрежи през Интернет, например с мрежи Frame Relay, може да се забележи значителна разлика в цената. Трябва обаче да се отбележи, че при свързване на мрежи чрез интернет веднага възниква въпросът за сигурността на предаването на данни, следователно се наложи създаването на механизми за гарантиране на поверителността и целостта на предаваната информация. Мрежите, изградени на базата на такива механизми, се наричат ​​VPN.

Освен това много често модерен човек, развиващ бизнеса си, трябва да пътува много. Това могат да бъдат пътувания до отдалечени кътчета на страната ни или до чужди страни. Често хората се нуждаят от достъп до тяхната информация, съхранявана на домашния им компютър или на фирмен компютър. Този проблем може да бъде решен чрез организиране на отдалечен достъп до него с помощта на модем и линия. Използването на телефонна линия има свои собствени характеристики. Недостатъкът на това решение е, че обаждането от друга държава струва много пари. Има и друго решение, наречено VPN. Предимствата на VPN технологията са, че организацията на отдалечен достъп се извършва не чрез телефонна линия, а чрез интернет, което е много по-евтино и по-добре. Според мен технологията. VPN има перспективата за широко разпространение по целия свят.

1. Понятието и класификацията на VPN мрежите, тяхното изграждане

1.1 Какво е VPN

VPN(на английски Virtual Private Network – виртуална частна мрежа) – логическа мрежа, създадена върху друга мрежа, например Интернет. Въпреки факта, че комуникациите се осъществяват през обществени мрежи с помощта на опасни протоколи, криптирането създава канали за обмен на информация, които са затворени от външни лица. VPN ви позволява да комбинирате, например, няколко офиса на организация в една мрежа, като използвате неконтролирани канали за комуникация между тях.

В основата си VPN има много от свойствата на наета линия, но се разгръща в публична мрежа, например. С техниката на тунелиране пакетите данни се излъчват през обществената мрежа, сякаш през нормална връзка от точка до точка. Между всяка двойка "подавател-получател на данни" се създава един вид тунел - сигурна логическа връзка, която ви позволява да капсулирате данните от един протокол в пакети на друг. Основните компоненти на тунела са:

• инициатор;
• маршрутизирана мрежа;
• тунелен превключвател;
• един или повече тунелни терминатори.

Самата VPN не е в конфликт с основните мрежови технологии и протоколи. Например, при установяване на комутируема връзка, клиентът изпраща поток от PPP пакети към сървъра. В случай на организиране на виртуални наети линии между локални мрежи, техните рутери също обменят PPP пакети. Принципно ново обаче е препращането на пакети през защитен тунел, организиран в публичната мрежа.

Тунелирането ви позволява да организирате предаването на пакети от един протокол в логическа среда, използвайки различен протокол. В резултат на това става възможно да се решат проблемите на взаимодействието на няколко различни типа мрежи, като се започне от необходимостта да се гарантира целостта и поверителността на предаваните данни и се стигне до преодоляване на несъответствията във външните протоколи или схемите за адресиране.

Съществуващата мрежова инфраструктура на корпорацията може да бъде осигурена за VPN с помощта на софтуер или хардуер. Създаването на VPN е като полагане на кабели през WAN. Обикновено директна връзка между отдалечения потребител и крайната точка на тунела се установява чрез PPP.

Най-често срещаният метод за създаване на VPN тунели е да се капсулират мрежови протоколи (IP, IPX, AppleTalk и т.н.) в PPP и след това да се капсулират получените пакети в протокол за тунелиране. Обикновено последното е IP или (много по-рядко) ATM и Frame Relay. Този подход се нарича Layer 2 Tunneling, тъй като „пътникът“ тук е протоколът Layer 2.

Алтернативен подход за капсулиране на пакети на мрежовия протокол директно в протокол за тунелиране (като VTP) се нарича тунелиране на слой 3.

Без значение какви протоколи се използват или какви цели се преследват при организиране на тунел, остава основната техникапрактически непроменен. Обикновено единият протокол се използва за установяване на връзка с отдалечен сайт, а другият се използва за капсулиране на данни и служебна информация за предаване през тунела.

1.2 Класификация на VPN мрежи

VPN решенията могат да бъдат класифицирани според няколко основни параметъра:

1. По вида на използваната среда:

• Защитени VPN мрежи. Най-често срещаният вариант на частни частни мрежи. С негова помощ е възможно да се създаде надеждна и сигурна подмрежа, базирана на ненадеждна мрежа, обикновено интернет. Примери за защитени VPN мрежи са: IPSec, OpenVPN и PPTP.
• Доверени VPN мрежи. Използват се в случаите, когато предавателната среда може да се счита за надеждна и е необходимо само да се реши проблемът със създаването на виртуална подмрежа в рамките на по-голяма мрежа. Проблемите със сигурността стават неуместни. Примери за такива VPN решения са: MPLS и L2TP. По-правилно би било да се каже, че тези протоколи прехвърлят задачата за осигуряване на сигурност на други, например L2TP, като правило, се използва във връзка с IPSec.

2. По начин на изпълнение:

• VPN мрежи под формата на специален софтуер и хардуер. VPN мрежата се реализира с помощта на специален набор от софтуер и хардуер. Тази реализация осигурява висока производителност и, като правило, висока степен на сигурност.
• VPN мрежи като софтуерно решение. Използвайте персонален компютър със специален софтуер, за да осигурите VPN функционалност.
• VPN мрежи с интегрирано решение. VPN функционалността предоставя комплекс, който също така решава проблемите с филтрирането на мрежовия трафик, организирането на защитна стена и осигуряването на качество на услугата.

3. С уговорка:

• Интранет VPN. Те се използват за комбиниране на няколко разпределени клона на една организация в една защитена мрежа, обмен на данни чрез отворени комуникационни канали.
• VPN за отдалечен достъп. Те се използват за създаване на защитен канал между сегмент от корпоративна мрежа (централен офис или клон) и един потребител, който, докато работи от вкъщи, се свързва с корпоративни ресурси от домашен компютър или, докато е в командировка, се свързва с корпоративни ресурси с помощта на лаптоп.
• Екстранет VPN. Използва се за мрежи, към които се свързват „външни“ потребители (като клиенти или клиенти). Нивото на доверие в тях е много по-ниско, отколкото в служителите на компанията, следователно е необходимо да се осигурят специални "линии" на защита, предотвратяване или ограничаване на достъпа на последните до особено ценна, поверителна информация.

4. По вид на протокола:

• Има реализации на виртуални частни мрежи за TCP/IP, IPX и AppleTalk. Но днес има тенденция към общ преход към TCP / IP протокола и по-голямата част от VPN решенията го поддържат.

5. По ниво на мрежовия протокол:

• Чрез слой на мрежовия протокол, базиран на картографиране към слоевете на референтния модел на мрежата ISO / OSI.

1.3. Изграждане на VPN

Има различни опции за изграждане на VPN. Когато избирате решение, трябва да вземете предвид факторите на производителност на вашия VPN конструктор. Например, ако рутерът вече работи с максималния си капацитет, тогава добавянето на VPN тунели и прилагането на криптиране / декриптиране на информация може да спре работата на цялата мрежа поради факта, че този рутер няма да може да се справи с обикновен трафик, да не говорим за VPN. Опитът показва, че е най-добре да използвате специализирано оборудване за изграждане на VPN, но ако има ограничени средства, тогава можете да обърнете внимание на чисто софтуерно решение. Нека разгледаме някои опции за изграждане на VPN.

• VPN, базиран на защитни стени. Защитните стени на повечето производители поддържат тунелиране и криптиране на данни. Всички подобни продукти се основават на факта, че трафикът, преминаващ през защитната стена, е криптиран. Към действителния софтуер на защитната стена е добавен модул за криптиране. Недостатъкът на този метод е, че производителността зависи от хардуера, който работи със защитната стена. Когато използвате компютърни защитни стени, имайте предвид, че това решение може да се използва само за малки мрежи с малък трафик.
• VPN базиран на рутери. Друг начин за изграждане на VPN е да използвате рутери за създаване на защитени канали. Тъй като цялата информация, изходяща от локалната мрежа, преминава през рутера, препоръчително е да зададете задачите за криптиране на този рутер.Пример за оборудване за изграждане на VPN на рутери е оборудване от Cisco Systems. Започвайки с IOS Software Release 11.3, маршрутизаторите на Cisco поддържат L2TP и IPSec. В допълнение към простото криптиране на предаваната информация, Cisco поддържа и други VPN функции, като удостоверяване при установяване на тунелна връзка и обмен на ключове.Допълнителен ESA модул за криптиране може да се използва за подобряване на производителността на рутера. В допълнение, Cisco System пусна специално VPN устройство, наречено Cisco 1720 VPN Access Router за малки и средни предприятия и големи клонове.
• базиран на VPN софтуер. Следващият подход за изграждане на VPN е чисто софтуерни решения. При внедряването на подобно решение се използва специализиран софтуер, който работи на специален компютър и в повечето случаи действа като прокси сървър. Компютър с такъв софтуер може да бъде разположен зад защитна стена.
• VPN базирана на мрежова ОС.Ще разгледаме решения, базирани на мрежова операционна система, като използваме примера на операционната система Windows на Microsoft. За да създаде VPN, Microsoft използва PPTP, който е интегриран в системата на Windows. Това решение е много привлекателно за организации, които използват Windows като корпоративна операционна система. Трябва да се отбележи, че цената на такова решение е значително по-ниска от цената на други решения. Базирана на Windows VPN използва потребителска база, съхранена на основния контролер на домейн (PDC). Когато се свързва към PPTP сървър, потребителят се удостоверява чрез PAP, CHAP или MS-CHAP. Изпратените пакети са капсулирани в GRE/PPTP пакети. За криптиране на пакети се използва нестандартен протокол за шифроване от точка до точка на Microsoft с 40 или 128 битов ключ, получен в момента на установяване на връзката. Недостатъците на тази система са липсата на проверка на целостта на данните и невъзможността за смяна на ключовете по време на връзката. Положителните страни са лесната интеграция с Windows и ниската цена.
• VPN базиран на хардуер. Опцията за изграждане на VPN на специални устройства може да се използва в мрежи, които изискват висока производителност. Пример за такова решение е IPro-VPN продуктът на Radguard. Този продукт използва хардуерно криптиране на предаваната информация, способно да предава поток от 100 Mbps. IPro-VPN поддържа протокол IPSec и механизъм за управление на ключове ISAKMP / Oakley. Наред с други неща, това устройство поддържа средствата за превод на мрежови адреси и може да бъде допълнено със специална карта, която добавя функции на защитната стена

2. VPN протоколи

VPN мрежите са изградени с помощта на протоколи за тунелиране на данни през публичния интернет, като протоколите за тунелиране криптират данни и ги прехвърлят от край до край между потребителите. Като правило днес за изграждане на VPN мрежи се използват протоколи от следните нива:

• Връзков слой
• Мрежов слой
• Транспортен слой.

2.1 Връзков слой

В слоя на връзката за данни могат да се използват протоколите за тунелиране на данни L2TP и PPTP, които използват оторизация и удостоверяване.

PPTP.

В момента най-разпространеният VPN протокол е протоколът за тунелиране от точка до точка - PPTP. Той е разработен от 3Com и Microsoft с цел осигуряване на защитен отдалечен достъп до корпоративни мрежи през Интернет. PPTP използва съществуващите отворени TCP/IP стандарти и разчита в голяма степен на наследения PPP протокол от точка до точка. На практика PPP остава комуникационният протокол на сесията за PPTP връзка. PPTP създава тунел през мрежата до NT сървъра на получателя и предава PPP пакети на отдалечения потребител през него. Сървърът и работната станция използват VPN и не обръщат внимание на това колко сигурен или достъпен е WAN между тях. Инициирано от сървъра прекратяване на сесия на връзка, за разлика от специализираните сървъри за отдалечен достъп, позволява на администраторите на локална мрежа да държат отдалечени потребители извън системата за сигурност на Windows Server.

Въпреки че обхватът на PPTP протокола се простира само до устройства, работещи с Windows, той предоставя на компаниите възможността да взаимодействат със съществуващите мрежови инфраструктури, без да компрометират собствените си системи за сигурност. По този начин отдалечен потребител може да се свърже с интернет с локален интернет доставчик през аналогова телефонна линия или ISDN и да установи връзка към NT сървъра. В същото време компанията не трябва да харчи големи суми за организиране и поддържане на пул от модеми, които предоставят услуги за отдалечен достъп.

Освен това се разглежда работата на RRTP. PPTP капсулира IP пакети за предаване през IP мрежа. PPTP клиентите използват порта на местоназначението, за да установят връзка за управление на тунела. Този процес се извършва на транспортния слой на OSI модела. След като тунелът е създаден, клиентският компютър и сървърът започват да обменят сервизни пакети. В допълнение към PPTP контролната връзка, за да поддържа връзката жива, се създава връзка за препращане на тунел за данни. Капсулирането на данни, преди да бъдат изпратени през тунела, е малко по-различно от нормалното предаване. Капсулирането на данни преди изпращането им в тунела включва две стъпки:

1. Първо се създава информационната част за ПЧП. Данните протичат отгоре надолу, от слоя на приложението OSI към слоя за връзка за данни.
2. След това получените данни се изпращат нагоре по OSI модела и се капсулират от протоколи на горния слой.

Така по време на второто преминаване данните достигат до транспортния слой. Информацията обаче не може да бъде изпратена до местоназначението си, тъй като слоят за връзка за данни OSI е отговорен за това. Следователно, PPTP криптира полето за полезен товар на пакета и поема функциите на втория слой, обикновено притежавани от PPP, т.е. добавя PPP заглавка и край към PPTP пакета. Това завършва създаването на рамката на свързващия слой.

На следващо място, PPTP капсулира PPP рамката в пакет Generic Routing Encapsulation (GRE), който принадлежи на мрежовия слой. GRE капсулира протоколи на мрежовия слой като IPX, AppleTalk, DECnet, за да им позволи да бъдат транспортирани през IP мрежи. GRE обаче няма способността да установява сесии и да защитава данните от натрапници. Той използва способността на PPTP за създаване на връзка за управление на тунела. Използването на GRE като метод за капсулиране ограничава полето на действие на PPTP само до IP мрежи.

След като PPP рамката е капсулирана в GRE заглавна рамка, тя се капсулира в IP заглавна рамка. IP заглавката съдържа адресите на подателя и получателя на пакета. И накрая, PPTP добавя PPP заглавка и край.

Системата на изпращача изпраща данни през тунела. Приемащата система премахва всички горни заглавки, оставяйки само PPP данни.

L2TP

В близко бъдеще се очаква увеличаване на броя на VPN мрежите, внедрени на базата на новия Layer 2 Tunneling Protocol - L2TP.

L2TP е резултат от комбинацията от протоколи PPTP и L2F (Layer 2 Forwarding). PPTP ви позволява да тунелирате PPP пакети и L2F пакети SLIP и PPP. За да се избегне объркване и проблеми с оперативната съвместимост на телекомуникационния пазар, Internet Engineering Task Force (IETF) препоръча Cisco Systems да обедини PPTP и L2F. По всички сметки L2TP включва най-добрите характеристики на PPTP и L2F. Основното предимство на L2TP е, че този протокол ви позволява да създавате тунел не само в IP мрежи, но и в такива мрежи като ATM, X.25 и Frame Relay. За съжаление, реализацията на Windows 2000 L2TP поддържа само IP.

L2TP използва UDP като своя транспорт и използва същия формат на съобщение както за управление на тунели, така и за трансфер на данни. L2TP в реализацията на Microsoft използва UDP пакети, съдържащи криптирани PPP пакети като контролни съобщения. Надеждността на доставката се гарантира от контрола на последователността на пакетите.

Функционалността на PPTP и L2TP е различна. L2TP може да се използва не само в IP мрежи, служебните съобщения използват същия формат и протоколи за създаване на тунел и изпращане на данни през него. PPTP може да се използва само в IP мрежи и се нуждае от отделна TCP връзка за създаване и използване на тунела. L2TP през IPSec предлага повече слоеве на сигурност от PPTP и може да гарантира почти 100 процента сигурност за критични за бизнеса данни. Характеристиките на L2TP го правят много обещаващ протокол за изграждане на виртуални мрежи.

L2TP и PPTP се различават от протоколите за тунелиране на слой 3 по няколко начина:

1. Предоставяне на корпорациите възможност самостоятелно да избират как да удостоверяват потребителите и да проверяват техните идентификационни данни - на собствена "територия" или с доставчик на интернет услуги. Чрез обработка на тунелирани PPP пакети, сървърите в корпоративната мрежа получават цялата информация, от която се нуждаят, за да идентифицират потребителите.
2. Поддръжка за превключване на тунели - прекратяване на един тунел и иницииране на друг към един от многото потенциални терминатори. Тунелното превключване позволява, така да се каже, да се разшири PPP връзката до необходимата крайна точка.
3. Позволете на системните администратори на корпоративната мрежа да прилагат стратегии за присвояване на права за достъп на потребителите директно на защитната стена и сървърите на задния край. Тъй като тунелните терминатори получават PPP пакети, съдържащи потребителска информация, те могат да прилагат политики за сигурност, формулирани от администраторите, към индивидуален потребителски трафик. (Тунелирането на слой 3 не прави разлика между пакетите, идващи от доставчика, така че филтрите на политиката за сигурност трябва да се прилагат на крайни работни станции и мрежови устройства.) Освен това, в случай на използване на тунелен комутатор, става възможно да се организира "продължение “ на тунела второ ниво за директно излъчване на трафик на индивидуалнипотребители към съответните вътрешни сървъри. На такива сървъри може да се възложи допълнително филтриране на пакети.

MPLS

Също така, на слоя за връзка за данни, за организиране на тунели, MPLS технология (От английското Multiprotocol Label Switching - мулти-протоколно превключване на етикети - механизъм за пренос на данни, който емулира различни свойства на мрежи с комутация на вериги през мрежи с комутация на пакети). MPLS работи на слой, който може да бъде разположен между слоя на връзката и третия мрежов слой на модела OSI и затова обикновено се нарича протокол за слой връзка-мрежа. Той е проектиран да предоставя универсална услуга за данни както за клиенти с комутация на вериги, така и за пакетни клиенти. MPLS може да пренася голямо разнообразие от трафик като IP пакети, ATM, SONET и Ethernet рамки.

VPN решенията на ниво връзка имат доста ограничен обхват, обикновено в рамките на домейна на доставчика.

2.2 Мрежов слой

Мрежов слой (IP слой). Използва се протоколът IPSec, който реализира криптиране и конфиденциалност на данните, както и удостоверяване на абонатите. Използването на протокола IPSec позволява пълнофункционален достъп, еквивалентен на физическа връзка с корпоративната мрежа. За да създаде VPN, всеки участник трябва да конфигурира определени IPSec параметри, т.е. всеки клиент трябва да има софтуер, който внедрява IPSec.

IPSec

Естествено, никоя компания не би искала открито да се прехвърли Интернет финансова или друга поверителна информация. VPN каналите са защитени от мощни алгоритми за криптиране, вградени в стандартите на протокола за сигурност IPsec. IPSec или Internet Protocol Security - стандартът, избран от международната общност, групата IETF - Internet Engineering Task Force, създава основата за сигурност на интернет протокола (IP / IPSec протоколът осигурява сигурност на мрежовия слой и изисква поддръжка на IPSec само от устройства общуване помежду си и на двете. Всички други устройства между тях просто осигуряват IP пакетен трафик.

Методът на взаимодействие между лицата, използващи технологията IPSec, обикновено се дефинира с термина "сигурна асоциация" - Security Association (SA). Сигурната асоциация функционира въз основа на споразумение между страните, които използват IPSec за защита на информацията, предавана един на друг. Това споразумение урежда няколко параметъра: IP адреси на подателя и получателя, криптографски алгоритъм, ред за обмен на ключове, размери на ключове, живот на ключа, алгоритъм за удостоверяване.

IPSec е последователен набор от отворени стандарти с ядро, което може лесно да бъде разширено с нови функции и протоколи. Ядрото на IPSec се състои от три протокола:

· ANили Authentication Header - заглавка за удостоверяване - гарантира целостта и автентичността на данните. Основната цел на AN протокола е, че позволява на получаващата страна да се увери, че:

• пакетът е изпратен от страна, с която е установена сигурна връзка;
• съдържанието на пакета не е подправено по време на предаването му по мрежата;
• пакетът не е дубликат на вече получен пакет.

Първите две функции са задължителни за протокола AH, а последната е по избор при установяване на асоциация. Протоколът AN използва специален хедър за изпълнение на тези функции. Структурата му се разглежда, както следва:

1. Следващото поле на заглавието показва кода на протокола от по-високия слой, тоест протокола, чието съобщение е поставено в полето за данни на IP пакета.
2. Полето за дължина на полезния товар съдържа дължината на AH заглавката.
3. Индексът на параметрите на сигурността (SPI) се използва за свързване на пакет с неговата защитена асоциация.
4. Полето Sequence Number (SN) указва поредния номер на пакета и се използва за защита срещу фалшиво възпроизвеждане (когато трета страна се опита да използва повторно заснетите защитени пакети, изпратени от истински удостоверен подател).
5. Полето за данни за удостоверяване, което съдържа така наречената стойност за проверка на целостта (ICV), се използва за удостоверяване и проверка на целостта на пакета. Тази стойност, наричана още обобщена информация, се изчислява с помощта на една от двете необратими в изчислението функции MD5 или SAH-1, които AH трябва да поддържа, но може да се използва всяка друга функция.

· ESP или Encapsulating Security Payload- Капсулиране на криптирани данни - криптира предадените данни, като гарантира поверителността, може също да поддържа автентификация и целостта на данните;

Протоколът ESP решава две групи проблеми.

1. Първият включва задачи, подобни на тези на протокола AN - това е да се осигури удостоверяване и целостта на данните въз основа на обобщението,
2. Вторият - предаваните данни чрез криптирането им от неоторизирано гледане.

Заглавката е разделена на две части, разделени от поле за данни.

1. Първата част, наречена действителна ESP заглавка, се формира от две полета (SPI и SN), чиято цел е подобна на едноименните полета в протокола AH и се поставя преди полето за данни.
2. Останалите служебни полета на ESP протокола, наречени ESP трейлър, се намират в края на пакета.

Двете полета за трейлър - следващото заглавие и данните за удостоверяване - са подобни на полетата на заглавката AH. Полето данни за удостоверяване не присъства, ако асоциацията за сигурност е настроена да не използва възможностите за целостта на ESP. В допълнение към тези полета, трейлърът съдържа две допълнителни полета - заместител и дължина на място.

Протоколите AH и ESP могат да защитават данните в два режима:

1. в транспорта - предаването се извършва с оригинални IP-заглавки;
2. в тунел - оригиналният пакет се поставя в нов IP пакет и предаването се извършва с нови заглавия.

Използването на този или онзи режим зависи от изискванията за защита на данните, както и от ролята, която играе в мрежата възелът, който прекратява защитения канал. Например, възел може да бъде хост (краен възел) или шлюз (междинен възел).

Съответно има три схеми за използване на протокола IPSec:

1. хост хост;
2. шлюз-шлюз;
3. хост шлюз.

Възможностите на протоколите AH и ESP частично се припокриват: протоколът AH е отговорен само за гарантиране на целостта и удостоверяването на данните, протоколът ESP може да криптира данни и освен това да изпълнява функциите на протокола AH (в съкратена форма) . ESP може да поддържа функции за криптиране и удостоверяване/интегритет във всяка комбинация, тоест или цялата група функции, или само удостоверяване/интегритет, или само криптиране.

· IKE или Internet Key Exchange – обмен на интернет ключове – решава спомагателния проблем за автоматично осигуряване на крайните точки със защитен канал на секретните ключове, необходими за работата на протоколите за удостоверяване и криптиране на данни.

2.3 Транспортен слой

Транспортният слой използва SSL / TLS или Secure Socket Layer / Transport Layer Security, който реализира криптиране и удостоверяване между транспортните слоеве на приемника и предавателя. SSL / TLS може да се използва за защита на TCP трафик, не може да се използва за защита на UDP трафик. За да функционира VPN, базиран на SSL / TLS, не е необходимо да се внедрява специален софтуер, тъй като всеки браузър и имейл клиент е оборудван с тези протоколи. Тъй като SSL / TLS е внедрен на транспортния слой, се установява сигурна връзка от край до край.

Протоколът TLS е базиран на протокола Netscape SSL версия 3.0 и се състои от две части - TLS Record Protocol и TLS Handshake Protocol. Разликите между SSL 3.0 и TLS 1.0 са незначителни.

SSL / TLS има три основни фази:

1. Диалог между страните, чиято цел е избор на алгоритъм за криптиране;
2. Обмен на ключове на базата на криптосистеми с публичен ключ или удостоверяване, базирано на сертификат;
3. Прехвърляне на данни, криптирани с помощта на симетрични алгоритми за криптиране.

2.4 Внедряване на VPN: IPSec или SSL / TLS?

Често ръководителите на ИТ отдели са изправени пред въпроса: кой от протоколите да изберат за изграждане на корпоративна VPN? Отговорът не е очевиден, тъй като всеки подход има както плюсове, така и минуси. Ще се опитаме да проведем и идентифицираме кога е необходимо да се използва IPSec и кога SSL / TLS. Както се вижда от анализа на характеристиките на тези протоколи, те не са взаимозаменяеми и могат да функционират както поотделно, така и паралелно, определяйки функционалните характеристики на всяка една от внедрените VPN.

Изборът на протокол за изграждане на корпоративна VPN мрежа може да се извърши по следните критерии:

· Типът достъп, необходим за VPN потребителите.

1. Пълнофункционална постоянна връзка с корпоративната мрежа. Препоръчителният избор е IPSec.
2. Временната връзка, например, на мобилен потребител или потребител, използващ обществен компютър, за да получи достъп до определени услуги, като имейл или база данни. Препоръчителният избор е SSL / TLS, който ви позволява да настроите VPN за всяка отделна услуга.

· Дали потребителят е служител на компанията.

1. Ако потребителят е служител на компанията, устройството, което използва за достъп до корпоративната мрежа чрез IPSec VPN, може да бъде конфигурирано по някакъв специфичен начин.
2. Ако потребителят не е служител на компанията, която осъществява достъп до корпоративната мрежа, се препоръчва използването на SSL / TLS. Това ще ограничи достъпа на гостите само до определени услуги.

· Какво е нивото на сигурност на корпоративната мрежа.

1. Високо. Препоръчителният избор е IPSec. Всъщност нивото на сигурност, предлагано от IPSec, е много по-високо от нивото на сигурност, предлагано от протокола SSL / TLS поради използването на конфигурируем софтуер от страна на потребителя и шлюз за сигурност от страна на компанията.
2. Средно аритметично. Препоръчителният избор е SSL / TLS, който позволява достъп от всеки терминал.

· Нивото на сигурност на данните, предавани от потребителя.

1. Високо, например, управление на компанията. Препоръчителният избор е IPSec.
2. Среден, като партньор. Препоръчителният избор е SSL / TLS.

Средно до високо в зависимост от услугата. Препоръчителният избор е комбинация от IPSec (за услуги, изискващи високо ниво на сигурност) и SSL / TLS (за услуги, изискващи средно ниво на сигурност).

· По-важното е бързото внедряване на VPN или бъдеща мащабируемост.

1. Бързо внедряване на VPN при минимални разходи. Препоръчителният избор е SSL / TLS. В този случай няма нужда от внедряване на специален софтуер от страна на потребителя, както в случая с IPSec.
2. VPN мащабируемост - добавяне на достъп до различни услуги. Препоръчителният избор е протоколът IPSec, който позволява достъп до всички услуги и ресурси на корпоративната мрежа.
3. Бързо внедряване и мащабируемост. Препоръчителният избор е комбинация от IPSec и SSL / TLS: използване на SSL / TLS като първа стъпка за достъп до услугите, от които се нуждаете, и след това внедряване на IPSec.

3. Методи за внедряване на VPN мрежи

VPN се основава на три метода за внедряване:

· Тунелиране;

· Криптиране;

· Удостоверяване.

3.1 Тунелиране

Тунелирането осигурява трансфер на данни между две точки - краищата на тунела - по такъв начин, че цялата мрежова инфраструктура, лежаща между тях, е скрита за източника и приемника на данни.

Тунелната транспортна среда, подобно на пара, улавя пакетите от използвания мрежов протокол на входа на тунела и ги доставя непроменени до изхода. Тунелирането е достатъчно за свързване на два мрежови възела, така че от гледна точка на софтуера, работещ върху тях, те да изглеждат свързани към една и съща (локална) мрежа. Не трябва обаче да забравяме, че всъщност „парата“ с данни преминава през множество междинни възли (рутери) на отворената публична мрежа.

Това състояние на нещата е изпълнено с два проблема. Първата е, че информацията, предавана през тунела, може да бъде прихвана от натрапници. Ако е поверителен (номера на банкови карти, финансови отчети, лична информация), тогава заплахата от компрометирането му е съвсем реална, което вече е неприятно само по себе си. По-лошото е, че нападателите имат способността да променят данните, предавани през тунела, така че получателят да не може да провери валидността им. Последствията могат да бъдат ужасни. Предвид гореизложеното, стигаме до извода, че тунелът в чист вид е подходящ само за някои видове мрежови компютърни игри и не може да претендира за по-сериозно приложение. И двата проблема се решават със съвременни средства за криптографска защита на информацията. За предотвратяване на неоторизирани промени в пакета данни по пътя му през тунела се използва методът на електронен цифров подпис (). Същността на метода е, че всеки предаван пакет се доставя с допълнителен блок информация, който се генерира в съответствие с асиметричен криптографски алгоритъм и е уникален за съдържанието на пакета и секретния ключ на EDS на подателя. Този блок от информация е EDS на пакета и ви позволява да удостоверите данните от получателя, който знае публичния EDS ключ на подателя. Защитата на предаваните през тунела данни от неоторизирано гледане се постига чрез използването на силни алгоритми за криптиране.

3.2 Удостоверяване

Сигурността е основна функция на VPN. Всички данни от клиентските компютри преминават през Интернет към VPN сървъра. Такъв сървър може да бъде разположен на голямо разстояние от клиентския компютър, а данните по пътя към мрежата на организацията преминават през оборудването на много доставчици. Как да се уверите, че данните не са прочетени или променени? За това се използват различни методи за удостоверяване и криптиране.

PPTP може да използва всеки от PPP протоколите за удостоверяване на потребители

• EAP или Extensible Authentication Protocol;
• MSCHAP или Microsoft Challenge Handshake Authentication Protocol (версии 1 и 2);
• CHAP или Challenge Handshake Authentication Protocol;
• SPAP или протокол за удостоверяване на парола Shiva;
• PAP или Протокол за удостоверяване на парола.

Най-добрите протоколи са MSCHAP версия 2 и Transport Layer Security (EAP-TLS), защото осигуряват взаимно удостоверяване, т.е. VPN сървърът и клиентът се идентифицират взаимно. Във всички останали протоколи само сървърът удостоверява клиентите.

Въпреки че PPTP осигурява разумна степен на сигурност, L2TP през IPSec е по-надежден. L2TP през IPSec осигурява удостоверяване на ниво потребител и компютър, както и удостоверяване и криптиране на данни.

Удостоверяването се извършва или чрез отворен тест (парола с ясен текст), или чрез схема за предизвикателство/отговор. С директен текст всичко е ясно. Клиентът изпраща парола на сървъра. Сървърът сравнява това с еталон и или отказва достъп, или казва "добре дошли". Отворено удостоверяване почти не се среща.

Схемата за заявка/отговор е много по-напреднала. Като цяло изглежда така:

• клиентът изпраща заявка до сървъра за удостоверяване;
• сървърът връща произволен отговор (предизвикателство);
• клиентът премахва хеш от паролата си (хешът е резултат от хеш функция, която преобразува масив от входни данни с произволна дължина в изходен битов низ с фиксирана дължина), криптира отговора с него и го изпраща на сървъра;
• сървърът прави същото, като сравнява получения резултат с отговора на клиента;
• ако криптираният отговор съвпада, удостоверяването е успешно;

В първата стъпка на удостоверяване на VPN клиенти и сървъри, L2TP през IPSec използва локални сертификати, получени от сертифициращия орган. Клиентът и сървърът обменят сертификати и създават защитена ESP SA (сигурна асоциация). След като L2TP (през IPSec) завърши процеса на удостоверяване на компютъра, се извършва удостоверяване на ниво потребител. Всеки протокол може да се използва за удостоверяване, дори PAP, който предава потребителското име и паролата в чист текст. Това е доста сигурно, тъй като L2TP през IPSec криптира цялата сесия. Въпреки това, удостоверяването на потребителя с MSCHAP, който използва различни ключове за криптиране за удостоверяване на компютъра и потребителя, може да подобри сигурността.

3.3. Криптиране

PPTP криптирането гарантира, че никой няма достъп до данни, когато се изпращат по интернет. Понастоящем се поддържат два метода за криптиране:

• Протоколът за криптиране MPPE или Microsoft Point-to-Point Encryption е съвместим само с MSCHAP (версии 1 и 2);
• EAP-TLS и е в състояние автоматично да избира дължината на ключа за криптиране при договаряне на параметри между клиента и сървъра.

MPPE поддържа 40, 56 или 128 битови ключове. По-старите операционни системи Windows поддържат само криптиране с дължина 40-битов ключ, така че в смесена среда на Windows изберете минималната дължина на ключа.

PPTP променя стойността на ключа за криптиране след всеки получен пакет. MMPE е проектиран за връзки от точка до точка, в които пакетите се предават последователно и има много малка загуба на данни. В тази ситуация стойността на ключа за следващия пакет зависи от резултатите от декриптирането на предишния пакет. При изграждане на виртуални мрежи чрез мрежи за публичен достъп тези условия не могат да бъдат спазени, тъй като пакетите с данни често пристигат при получателя в грешната последователност, в която са били изпратени. Следователно PPTP използва последователни номера на пакети, за да промени ключа за криптиране. Това позволява декриптирането да се извършва независимо от предишните получени пакети.

И двата протокола се изпълняват както в Microsoft Windows, така и извън него (например в BSD); VPN алгоритмите могат да се различават значително.

По този начин пакетът "тунелиране + удостоверяване + криптиране" ви позволява да прехвърляте данни между две точки през публична мрежа, симулирайки работата на частна (локална) мрежа. С други думи, разглежданите инструменти ви позволяват да изградите виртуална частна мрежа.

Допълнителен приятен ефект от VPN връзката е възможността (и дори необходимостта) да се използва системата за адресиране, приета в локалната мрежа.

Внедряването на виртуална частна мрежа на практика е както следва. В локалната мрежа на офиса на фирмата е инсталиран VPN сървър. Отдалеченият потребител (или рутер, ако са свързани два офиса) с помощта на VPN клиентския софтуер инициира връзката със сървъра. Извършва се удостоверяване на потребителя - първата фаза на установяване на VPN връзка. В случай на потвърждение на оторизацията започва втората фаза - между клиента и сървъра се договарят детайлите за осигуряване на сигурността на връзката. След това се организира VPN връзка, която осигурява обмена на информация между клиента и сървъра във формата, когато всеки пакет с данни преминава през процедурите за криптиране/декриптиране и проверка на целостта - удостоверяване на данни.

Основният проблем с VPN е липсата на добре установени стандарти за удостоверяване и обмен на криптирана информация. Тези стандарти все още са в процес на разработка и следователно продукти от различни производители не могат да установяват VPN връзки и автоматично да обменят ключове. Този проблем води до забавяне на разпространението на VPN, тъй като е трудно да се принудят различни компании да използват продуктите на един и същ производител и следователно процесът на комбиниране на мрежите на партньорските компании в така наречените екстранет мрежи е труден.

Предимствата на VPN технологията са, че организацията на отдалечен достъп се извършва не чрез телефонна линия, а чрез интернет, което е много по-евтино и по-добре. Недостатъкът на VPN технологията е, че инструментите за изграждане на VPN не са пълни инструменти за откриване и блокиране на атаки. Те могат да предотвратят редица неоторизирани действия, но не всички възможности, които могат да се използват за проникване в корпоративна мрежа. Но въпреки всичко това VPN технологията има перспективи за по-нататъшно развитие.

И така, какво можете да очаквате по отношение на развитието на VPN технологията в бъдеще? Без съмнение ще бъде разработен и одобрен единен стандарт за изграждане на такива мрежи. Най-вероятно основата на този стандарт ще бъде вече доказаният протокол IPSec. След това доставчиците ще се съсредоточат върху подобряването на производителността на своите продукти и създаването на удобни за потребителя VPN контроли. Най-вероятно развитието на инструменти за изграждане на VPN ще върви в посока на VPN, базирани на рутери, тъй като това решение съчетава доста висока производителност, VPN интеграция и маршрутизиране в едно устройство. Въпреки това, евтините решения за малки организации също ще се развиват. В заключение трябва да се каже, че въпреки че VPN технологията е все още много млада, тя има голямо бъдеще пред себе си.

Оставете своя коментар!

Нека да опознаем малко VPN, да разберем основните въпроси и да използваме тези три букви в наша полза.

Вижте как тече информацията между моя лаптоп и смартфона до него, така нареченото трасиране на маршрута. И винаги има слаба връзка, където данните могат да бъдат прихванати.

За какво е VPN?

За организиране на мрежи в мрежи и тяхната защита. Нека разберем, че VPN е добър. Защо? Защото вашите данни ще бъдат по-сигурни. Ние строим защитена мрежапрез интернет или друга мрежа. Това е като бронирана кола за транспортиране на пари по улицата от банка до друга банка. Можете да изпращате пари в обикновена кола или в бронирана кола. На всеки път парите в бронирана кола са по-безопасни. Образно VPN е бронирана кола за ваша информация. А VPN сървърът е агенция за предоставяне на бронирани автомобили. Накратко казано, VPN е добър.

Сигурност на данните:

Използвайте виртуална частна мрежа (VPN връзка)
С VPN връзка можете ефективно да използвате технологии за криптиране на данни, докато те пътуват през мрежата, когато сте свързани към обществена Wi-Fi мрежа. Това може да попречи на киберпрестъпниците, които наблюдават мрежата, да прихващат вашите данни.

Все още не сте убедени? Ето например заглавието на една от офертите:

Предоставяне на услуги за предоставяне на комуникационни канали, използващи VPN технология за организиране на пренос на данни между отдели на Дирекцията на Министерството на вътрешните работи на Русия в Казан

Полицията е загрижена за тяхната безопасност, държавните компании и корпорации са загрижени за това и изискват наличието на такива канали, а защо сме по-зле? Ние сме още по-добри, защото няма да харчим бюджетни средства, а ще настроим всичко бързо, просто и безплатно.

Така че да тръгваме. Ние защитаваме акаунти, пароли, използвайки VPN, когато използваме отворени Wi-Fi мрежи. Това обикновено е най-слабото звено. Разбира се, разузнавателните агенции по целия свят, престъпните групи могат да си позволят оборудване, което замества и прихваща трафик не само от Wi-Fi мрежи, но и от сателитни и мобилни комуникационни мрежи. Това е друго ниво и излиза извън обхвата на тази публикация.
Най-добрият вариант е, когато имате собствен VPN сървър. Ако не, тогава трябва да разчитате на честността на тези, които ви предоставят тези услуги. И така, има платени версии на VPN и безплатни. Да преминем през втория. Да, VPN сървър може да бъде конфигуриран на домашен компютър, но повече за това в отделна публикация.

Как да настроите VPN

Обмисли Безплатна VPN за Androidна примера на Opera VPN - Unlimited VPN.

Изтегляне на безплатен VPN клиент. Настройките са минимални и се свеждат до включване на VPN, избор на държава, по подразбиране - близка, единица за тестване на мрежата. Има и настройки за поддържане на VPN включен.

След инсталиране на приложението, VPN елементът се появява в менюто с настройки на Android. Този превключвател извежда главния екран на Opera VPN (ако имате само един метод за VPN връзка).

За да контролирате прекъсването и активирането на VPN, можете да активирате иконите на приложения в настройките на Android.

Настройки-> Известия и лента на състоянието -> Известия за приложения-> Opera VPN

Бъдете готови за факта, че някои приложения в режим на VPN тунел ще ви помолят да потвърдите състоянието си. Така че приложението VKontakte с включен VPN ще поиска вашия телефонен номер, тъй като смята, че нападател от Германия или Холандия се опитва да влезе във вашия акаунт, който обикновено влизате от Москва. Въведете номера и продължете да използвате.

Ето най-лесния начин да използвате VPN на вашето устройство с Android. Можете също така да настроите виртуална частна мрежа на базата на вашия рутер и да се свържете с домашния си компютър от всяка точка на света чрез защитен канал, свободно обменяйки лични данни. Но ще говоря за този по-сложен метод, както и за настройките на платените приложения и услуги в други публикации.

Представете си сцена от екшън филм, в който злодей бяга от местопрестъпление на магистрала със спортна кола. Полицейски хеликоптер го преследва. Колата влиза в тунел с няколко изхода. Пилотът на хеликоптера не знае от кой изход ще се появи колата и злодеят бяга от преследването.

VPN е тунел, който свързва много пътища. Никой отвън не знае къде ще се озоват влизащите в него коли. Никой отвън не знае какво се случва в тунела.

Вероятно сте чували за VPN повече от веднъж. На Lifehacker и за това нещо. Най-често се препоръчват VPN мрежи, тъй като мрежата може да се използва за достъп до геоблокирано съдържание и като цяло за подобряване на интернет сигурността. Истината е, че влизането онлайн през VPN може да бъде също толкова опасно, колкото и директното.

Как работи VPN?

Най-вероятно имате Wi-Fi рутер у дома. Свързаните към него устройства могат да обменят данни дори без интернет. Оказва се, че имате собствена частна мрежа, но за да се свържете с нея, трябва да сте физически в обхвата на сигнала на рутера.

VPN (Virtual Private Network) е виртуална частна мрежа. Работи през интернет, така че можете да се свържете с него отвсякъде.

Например компанията, за която работите, може да използва VPN за хора от разстояние. Те използват VPN, за да се свържат с работната си мрежа. В същото време техните компютри, смартфони или таблети виртуално се прехвърлят в офиса и се свързват с мрежата отвътре. За да влезете във виртуална частна мрежа, трябва да знаете адреса на VPN сървъра, потребителско име и парола.

Използването на VPN е доста лесно. Обикновено една компания настройва VPN сървър някъде на локален компютър, сървър или център за данни и се свързва с него чрез VPN клиент на устройството на потребителя.

Вградените VPN клиенти вече са налични във всички текущи операционни системи, включително Android, iOS, Windows, macOS и Linux.

VPN връзката между клиент и сървър обикновено е криптирана.

Значи VPN е добър?

Да, ако сте собственик на бизнес и искате да защитите вашите корпоративни данни и услуги. Като позволявате на служителите да влизат в работната среда само чрез VPN и чрез акаунт, вие винаги ще знаете кой и какво е правил и прави.

Освен това собственикът на VPN може да наблюдава и контролира като цяло целия трафик, който преминава между сървъра и потребителя.

Служителите седят ли много във VKontakte? Можете да затворите достъпа до тази услуга. Генадий Андреевич прекарва половината си ден в сайтове с мемове? Цялата му дейност автоматично се записва в дневниците и ще се превърне в железен аргумент за уволнение.

Защо тогава VPN?

VPN ви позволява да заобиколите географски и законови ограничения.

Например, вие сте в Русия и искате. Със съжаление научавате, че тази услуга не се предлага от Руската федерация. Можете да го използвате само като отидете онлайн през VPN сървъра на страната, в която оперира Spotify.

В някои страни има интернет цензура, която ограничава достъпа до определени сайтове. Искате да отидете на някакъв ресурс, но той е блокиран в Русия. Можете да отворите сайт само като отидете онлайн през VPN сървъра на държава, в която той не е блокиран, тоест от почти всяка различна от Руската федерация.

VPN е полезна и необходима технология, която се справя добре с определен набор от задачи. Но сигурността на личните данни все още зависи от почтеността, здравия разум, вниманието и интернет грамотността на доставчика на VPN услуги.