Namai daugiamečių gėlių vpn straipsnis. Kas yra VPN tinklas: kodėl jis reikalingas ir kaip jis veikia. Kuo skiriasi VPN ir anonimizatorius

vpn straipsnis. Kas yra VPN tinklas: kodėl jis reikalingas ir kaip jis veikia. Kuo skiriasi VPN ir anonimizatorius

VPN (Virtual Private Networks) – virtualūs privatūs tinklai. VPN yra viena iš tokių technologijų, kurios nežinoma, iš kur ji atsirado. Tačiau kai tokios technologijos įsitvirtina įmonės infrastruktūroje, visi stebisi, kaip anksčiau be jų išsiverdavo. VPN leidžia naudoti internetą kaip savo privatų tinklą. Taigi VPN plitimas yra susijęs su interneto plėtra. Pati technologija savo darbo pagrindu naudoja TCP / IP protokolų krūvą.

Norint suprasti, kas yra VPN, būtina suprasti dvi sąvokas: šifravimą ir virtualumą.

Šifravimas yra grįžtamasis pranešimo pakeitimas, siekiant jį paslėpti nuo pašalinių asmenų.

Virtualumas – tai objektas ar būsena, kuri iš tikrųjų neegzistuoja, bet gali atsirasti tam tikromis sąlygomis.

Šifruotė konvertuoja pranešimą iš vienos formos, pvz., "Labas!" į kitą formą „*&878hJf7*&8723“. Kita vertus, yra ir atvirkštinė transformacija, kuri vadinama iššifravimu, t.y. paverčiant pranešimą „*&878hJf7*&8723“ į pranešimą „Labas!“. VPN saugos metodas daro prielaidą, kad niekas, išskyrus numatytą gavėją, negali atlikti iššifravimo.

Sąvoka „virtualumas“ reiškia situaciją „tarsi“. Pavyzdžiui, situacija, kai pasiekiate nuotolinį kompiuterį naudodami planšetinį kompiuterį. Tokiu atveju planšetinis kompiuteris imituoja nuotolinio kompiuterio veikimą.

Terminas VPN turi tikslų apibrėžimą:

VPN yra užšifruotas arba įkapsuliuotas ryšio procesas, kuris saugiai perduoda duomenis iš vieno taško į kitą; šių duomenų saugumą užtikrina stipri šifravimo technologija, o perduodami duomenys perduodami atviru, neapsaugotu, nukreipiamu tinklu.

Kadangi VPN yra užšifruotas, ryšys tarp mazgų perduodamas saugiai ir užtikrinamas jo vientisumas. Duomenys keliauja atviru, neapsaugotu, nukreipiamu tinklu, todėl perduodami bendra linija, jie gali turėti daug kelių į galutinę paskirties vietą. Taigi VPN gali būti laikomas užšifruotų duomenų siuntimo iš vieno taško į kitą internetu procesas.

Inkapsuliavimas yra duomenų paketo įdėjimo į IP paketą procesas. Inkapsuliavimas leidžia pridėti papildomą apsaugos sluoksnį. Inkapsuliavimas leidžia kurti VPN tunelius ir perduoti duomenis tinkle su kitais protokolais. Dažniausias VPN tunelių kūrimo būdas yra tinklo protokolų (IP, IPX, AppleTalk ir kt.) įterpimas į PPP ir gautus paketus įterpti į tuneliavimo protokolus. Pastarasis dažniausiai yra IP protokolas, nors retais atvejais gali veikti ir bankomato bei Frame Relay protokolai. Šis metodas vadinamas 2 sluoksnio tuneliu, nes keleivis čia yra pats 2 sluoksnio protokolas (PPP).

Alternatyvus būdas – tinklo protokolų paketų inkapsuliavimas tiesiai į tuneliavimo protokolą (pvz., VTP) vadinamas 3 sluoksnio tuneliavimu.

Pagal paskirtį VPN skirstomi į tris tipus:

  1. Intranetas – naudojamas sujungti į vieną saugų tinklą kelis paskirstytus vienos organizacijos filialus, kurie keičiasi duomenimis atvirais ryšio kanalais.
  2. Ekstranetas – naudojamas tinklams, prie kurių jungiasi išoriniai vartotojai (pavyzdžiui, klientai ar klientai). Dėl to, kad pasitikėjimo tokiais vartotojais lygis yra žemesnis nei įmonės darbuotojais, reikalinga speciali apsauga, kad išoriniai vartotojai nepasiektų ypač vertingos informacijos.
  3. Nuotolinė prieiga – sukuriama tarp centrinių įmonės biurų ir nuotolinių mobiliųjų vartotojų. Kai šifravimo programinė įranga yra įkelta į nuotolinį nešiojamąjį kompiuterį, nuotolinis vartotojas sukuria užšifruotą tunelį su VPN įrenginiu įmonės būstinėje.

Yra daug VPN diegimo variantų. Renkantis, kaip įdiegti VPN, turite atsižvelgti į VPN sistemų našumo veiksnius. Pavyzdžiui, jei maršrutizatorius veikia neviršydamas procesoriaus galios, pridėjus daugiau VPN tunelių ir pritaikius šifravimą / iššifravimą visas tinklas gali nustoti veikti, nes maršrutizatorius negalės valdyti įprasto srauto.

VPN diegimo parinktys:

  1. Užkarda pagrįstas VPN. Ugniasienė (ugniasienė) – kompiuterių tinklo programinė arba techninė-programinė įranga, kuri pagal nurodytas taisykles valdo ir filtruoja per jį einantį tinklo srautą. Dauguma ugniasienės gamintojų šiandien palaiko tuneliavimą ir duomenų šifravimą. Visi tokie produktai yra pagrįsti tuo, kad srautas, einantis per užkardą, yra užšifruotas.
  2. Maršrutizatoriumi pagrįstas VPN. Kadangi visa informacija, gaunama iš vietinio tinklo, pirmiausia patenka į maršrutizatorių, patartina jam priskirti šifravimo funkcijas. Pavyzdžiui, Cisco maršrutizatoriai palaiko L2TP, IPSec šifravimo protokolus. Be paprasto šifravimo, jie taip pat palaiko kitas VPN funkcijas, tokias kaip ryšio autentifikavimas ir raktų keitimas.
  3. VPN pagrįsta tinklo operacinė sistema. Linux sistemoje VPN ryšiams paprastai naudojamos tokios technologijos kaip OpenVPN, OpenConnect arba NetworkManager. Kuriant VPN sistemoje Windows naudojamas PPTP protokolas, kuris yra integruotas į Windows sistemą.

Teikiame kompiuterių, išmaniųjų telefonų, planšetinių kompiuterių, wi-fi maršrutizatorių, modemų, IP-TV, spausdintuvų remonto ir konfigūravimo paslaugas. Kokybiškai ir nebrangiai. Turi problemą? Užpildykite žemiau esančią formą ir mes jums perskambinsime.

Kanalų tarp nuotolinių tinklų kūrimas naudojant VPN ryšį yra viena iš populiariausių temų mūsų svetainėje. Tuo pačiu metu, kaip rodo skaitytojo atsakymas, didžiausi sunkumai yra teisingi maršruto parinkimo nustatymai, nors mes į tai atkreipėme ypatingą dėmesį. Išanalizavę dažniausiai užduodamus klausimus, maršruto parinkimo temai nusprendėme skirti atskirą straipsnį. Turite klausimų? Tikimės, kad perskaičius šią medžiagą jų bus mažiau.

Pirmiausia išsiaiškinkime, kas yra maršruto parinkimas. Maršrutas yra informacijos maršruto nustatymo komunikacijos tinkluose procesas. Būkime atviri, ši tema yra labai gili ir reikalauja tvirto teorinių žinių pagrindo, todėl šiame straipsnyje sąmoningai supaprastinsime vaizdą ir paliesime teoriją tiksliai tiek, kiek pakaks suvokti vykstančius procesus ir gauti praktinių rezultatų.

Paimkime savavališką darbo stotį, prijungtą prie tinklo, kaip ji nustato, kur siųsti tą ar kitą paketą? Šiam tikslui jis skirtas maršruto lentelė, kuriame yra taisyklių sąrašas visoms galimoms kelionės tikslams. Remdamasis šia lentele, pagrindinis kompiuteris (arba maršrutizatorius) nusprendžia, kuria sąsaja ir paskirties adresu siųsti paketą, skirtą konkrečiam gavėjui.

maršruto spausdinimas

Dėl to pamatysime tokią lentelę:

Viskas labai paprasta, mus domina skyrius IPv4 maršruto lentelė, pirmuosiuose dviejuose stulpeliuose yra paskirties adresas ir tinklo kaukė, o po to - šliuzas – pagrindinis kompiuteris, į kurį turi būti persiunčiami nurodytos paskirties, sąsajos ir metrikos paketai. Jei stulpelyje Vartai pareiškė Nuorodoje, tai reiškia, kad paskirties adresas yra tame pačiame tinkle kaip ir pagrindinis kompiuteris ir pasiekiamas be maršruto. Metrika nustato maršruto parinkimo taisyklių prioritetą, jei paskirties adresas turi kelias taisykles maršruto lentelėje, tada naudojama ta, kurios metrika yra žemesnė.

Mūsų darbo stotis priklauso 192.168.31.0 tinklui ir pagal maršruto lentelę visas užklausas į šį tinklą siunčia į sąsają 192.168.31.175, kuri atitinka šios stoties tinklo adresą. Jei paskirties adresas yra tame pačiame tinkle kaip ir šaltinio adresas, tada informacija pateikiama nenaudojant IP maršruto parinkimo (OSI modelio tinklo sluoksnis L3), duomenų ryšio lygyje (L2). Kitu atveju paketas siunčiamas į mazgą, nurodytą atitinkamoje maršruto lentelės taisyklėje paskirties tinkle.

Jei tokios taisyklės nėra, paketą siunčia nulinis maršrutas, kuriame yra numatytojo tinklo šliuzo adresas. Mūsų atveju tai yra maršrutizatoriaus adresas 192.168.31.100. Šis maršrutas vadinamas nuliu, nes jo paskirties adresas yra 0.0.0.0. Šis punktas yra labai svarbus norint geriau suprasti maršruto parinkimo procesą: visi paketai nepriklauso šiam tinklui ir neturintys atskirų maršrutų, visada yra siunčiami pagrindiniai vartai tinklus.

Ką maršrutizatorius darys gavęs tokį paketą? Pirmiausia išsiaiškinkime, kuo maršrutizatorius skiriasi nuo įprastos tinklo stoties. Labai supaprastintai kalbant, maršrutizatorius (maršrutizatorius) yra tinklo įrenginys, sukonfigūruotas perduoti paketus tarp tinklo sąsajų. Sistemoje „Windows“ tai pasiekiama įjungus paslaugą Maršrutas ir nuotolinė prieiga, Linux sistemoje nustatydami parinktį ip_forward.

Sprendimas perduoti paketus šiuo atveju taip pat priimamas pagal maršruto lentelę. Pažiūrėkime, kas šioje lentelėje yra labiausiai paplitusiame maršrutizatoriuje, pavyzdžiui, tame, kurį aprašėme straipsnyje:. „Linux“ sistemose maršruto lentelę galite gauti naudodami komandą:

Maršrutas-n

Kaip matote, mūsų maršrutizatoriuje yra maršrutai į jam žinomus tinklus 192.168.31.0 ir 192.168.3.0, taip pat nulinis maršrutas iki 192.168.3.1.

Adresas 0.0.0.0 stulpelyje Gateway rodo, kad paskirties adresas pasiekiamas be maršruto. Taigi visi paketai su paskirties adresais tinkluose 192.168.31.0 ir 192.168.3.0 bus siunčiami į atitinkamą sąsają, o visi kiti paketai bus persiųsti nuliniu maršrutu.

Kitas svarbus dalykas yra privačių (privačių) tinklų adresai, jie taip pat yra „pilki“, juose yra trys diapazonai:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Šiais adresais gali laisvai naudotis bet kas ir todėl jie nenukreipta. Ką tai reiškia? Maršrutizatorius atmes bet kurį paketą, kurio paskirties adresas priklauso vienam iš šių tinklų, nebent maršruto parinkimo lentelėje bus atskiras jo įrašas. Paprasčiau tariant, maršrutizatorius netaiko tokių paketų numatytojo maršruto (nulio). Taip pat reikia suprasti, kad ši taisyklė galioja tik maršrutizavimui, t.y. perduodant paketus tarp sąsajų, išeinantis paketas su "pilku" adresu bus siunčiamas nuliniu maršrutu, net jei šis mazgas pats yra maršrutizatorius.

Pavyzdžiui, jei mūsų maršrutizatorius gauna įeinantį paketą su paskirties vieta, tarkime, 10.8.0.1, tada jis bus atmestas, nes toks tinklas jam nežinomas ir šio diapazono adresai nėra nukreipiami. Bet jei susisieksime su tuo pačiu mazgu tiesiai iš maršrutizatoriaus, paketas nuliniu maršrutu bus siunčiamas į šliuzą 192.168.3.1 ir jis bus numestas.

Atėjo laikas patikrinti, kaip visa tai veikia. Pabandykime nuo mūsų mazgo 192.168.31.175 į ping mazgą 192.168.3.106, kuris yra tinkle už maršrutizatoriaus. Kaip matote, mums pavyko, nors mazgo maršruto lentelėje nėra jokios informacijos apie 192.168.3.0 tinklą.

Kaip tai tapo įmanoma? Kadangi šaltinio mazgas nieko nežino apie paskirties tinklą, jis išsiųs paketą šliuzo adresu. Vartai patikrins savo maršruto lentelę, suras 192.168.3.0 tinklo įrašą ir išsiųs paketą į atitinkamą sąsają, tai lengva patikrinti paleidus sekimo komandą, kuri parodys visą mūsų paketo kelią:

Tracert 192.168.3.106

Dabar pabandykime prijungti prieglobą 192.168.31.175 iš 192.168.3.106, t.y. priešinga kryptimi. Mes nieko negavome. Kodėl?

Pažvelkime atidžiau į maršruto lentelę. Jame nėra tinklo 192.168.31.0 įrašų, todėl paketas bus siunčiamas į maršrutizatorių 192.168.3.1 kaip pagrindinį tinklo šliuzą, kurį šis paketas atmes, nes neturi jokių duomenų apie paskirties tinklą. Kaip būti? Akivaizdu, kad paketas turi būti siunčiamas į mazgą, kuriame yra reikalinga informacija ir kuris gali išsiųsti paketą į paskirties vietą, mūsų atveju tai yra maršrutizatorius 192.168.31.100, kurio adresas šiame tinkle yra 192.168.3.108.

Kad į jį būtų siunčiami paketai 192.168.31.0 tinklui, turime sukurti atskirą maršrutą.

192.168.31.0 kaukė 255.255.255.0 192.168.3.108

Ateityje laikysimės tokio maršrutų įrašo, ką tai reiškia? Tai paprasta, 192.168.31.0 tinklo paketai su 255.255.255.0 kauke turėtų būti siunčiami pagrindiniam kompiuteriui 192.168.3.108. „Windows“ sistemoje maršrutą galima pridėti naudojant komandą:

Maršrutas pridėti 192.168.31.0 kaukė 255.255.255.0 192.168.3.108

Maršruto pridėjimas – tinklas 192.168.31.0 tinklo kaukė 255.255.255.0 gw 192.168.3.108

Pabandykime.

Išanalizuokime rezultatą, maršruto parinkimo lentelėje atsirado maršrutas ir visi paketai į tinklą 192.168.31.0 dabar siunčiami į šio tinklo maršrutizatorių, kaip matyti iš ping komandos atsakymo, tačiau jie nepasiekia Kelionės tikslas. Kas nutiko? Laikas prisiminti, kad viena iš pagrindinių maršrutizatoriaus užduočių yra ne tik maršruto parinkimas, bet ir ugniasienės funkcija, kuri aiškiai draudžia prieigą iš išorinio tinklo viduje. Jei laikinai pakeisime šią taisyklę leistine, viskas veiks.

Aukščiau pateiktomis komandomis pridėti maršrutai išsaugomi tol, kol mazgas bus paleistas iš naujo, o tai patogu, net jei daug suklydote, tiesiog paleiskite iš naujo, kad atšauktumėte pakeitimus. Norėdami pridėti nuolatinį maršrutą sistemoje Windows, paleiskite komandą:

Maršrutas pridėti 192.168.31.0 kaukė 255.255.255.0 192.168.3.108 -p

„Linux“ sistemoje /etc/network/interfaces, po sąsajos aprašymo pridėkite:

Post-up maršrutas add -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108

Beje, tai nėra vienintelis būdas sukonfigūruoti prieigą iš 192.168.3.0 tinklo į 192.168.31.0 tinklą, užuot pridėjus maršrutą kiekvienam mazgui, galite „išmokyti“ maršrutizatorių teisingai siųsti paketus.

Šiuo atveju šaltinio mazgas neturi paskirties tinklo įrašų ir siųs paketą į šliuzą, paskutinį kartą šliuzas numetė tokį paketą, bet dabar mes įtraukėme reikiamą maršrutą į jo maršruto lentelę ir jis išsiųs paketą į mazgą 192.168.3.108, kuris pristatys jį į paskirties vietą.

Primygtinai rekomenduojame patiems pasipraktikuoti pagal panašius pavyzdžius, kad maršruto parinkimas jums nebebūtų juodoji dėžė, o maršrutai – kiniška raidė. Kai suprasite, galite pereiti prie antrosios šio straipsnio dalies.

Dabar pažvelkime į tikrus biuro tinklų sujungimo per VPN ryšį pavyzdžius. Nepaisant to, kad šiems tikslams dažniausiai naudojamas OpenVPN, o savo pavyzdžiuose taip pat turime omenyje juo pagrįstus sprendimus, viskas, kas pasakyta, bus teisinga bet kokio tipo VPN ryšiui.

Paprasčiausias atvejis, kai VPN serveris (klientas) ir tinklo maršrutizatorius yra tame pačiame pagrindiniame kompiuteryje. Apsvarstykite toliau pateiktą diagramą:

Kadangi tikimės, kad išmokote teoriją ir įtvirtinote ją praktikoje, išanalizuokime paketų maršrutą iš biuro tinklo 192.168.31.0 į filialų tinklą 192.168.44.0, toks paketas bus išsiųstas į numatytąjį šliuzą, kuris taip pat yra VPN serveris. Tačiau šis mazgas nieko nežino apie paskirties tinklą ir turės išmesti šį paketą. Tuo pačiu metu jau galime pasiekti šakos maršrutizatorių jo adresu VPN tinkle 10.8.0.2, nes šis tinklas pasiekiamas iš biuro maršrutizatoriaus.

Norėdami pasiekti filialų tinklą, turime nusiųsti šio tinklo paketus į mazgą, kuris yra šio tinklo dalis arba turi maršrutą į jį. Mūsų atveju tai yra šakos maršrutizatorius. Todėl biuro maršrutizatoriuje pridėkite maršrutą:

Dabar biuro šliuzas, gavęs paketą filialų tinklui, per VPN kanalą išsiųs jį į filialo maršrutizatorių, kuris, būdamas 192.168.44.0 tinklo mazgu, pristatys paketą į paskirties vietą. Norėdami iš filialo tinklo patekti į biuro tinklą, filialo maršruto parinktuve turite užregistruoti panašų maršrutą.

Paimkime sudėtingesnę schemą, kai maršrutizatorius ir VPN serveris (klientas) yra skirtingi tinklo mazgai. Čia yra dvi galimybės: siųsti reikiamą paketą tiesiai į VPN serverį (klientą) arba priversti tai padaryti šliuzą.

Pirmiausia pažiūrėkime į pirmąjį variantą.

Kad filialų tinklo paketai patektų į VPN tinklą, kiekviename tinklo kliente turime pridėti maršrutą prie VPN serverio (kliento), kitaip jie bus išsiųsti į šliuzą, kuris juos atmes:

Tačiau VPN serveris nieko nežino apie filialų tinklą, tačiau jis gali siųsti paketus VPN tinkle, kur yra mus dominantis filialo tinklo mazgas, todėl mes nukreipsime paketą ten, pridėdami maršrutą VPN serveryje. (klientas):

192.168.44.0 kaukė 255.255.255.0 10.8.0.2

Šios schemos trūkumas yra būtinybė registruoti maršrutus kiekviename tinklo mazge, o tai ne visada patogu. Jį galima naudoti, jei tinkle yra nedaug įrenginių arba reikalinga atrankinė prieiga. Kitais atvejais teisingiau būtų nukreipti maršruto parinkimo užduotį į pagrindinį tinklo maršrutizatorių.

Tokiu atveju biuro tinklo įrenginiai nieko nežino apie filialų tinklą ir siųs jam paketus nuliniu maršrutu, tinklo šliuzu. Dabar šliuzo užduotis yra nukreipti šį paketą į VPN serverį (klientą), tai nesunku padaryti pridėjus norimą maršrutą prie jo maršruto lentelės:

192.168.44.0 kaukė 255.255.255.0 192.168.31.101

Aukščiau minėjome VPN serverio (kliento) užduotį, jis turi pristatyti paketus į tą VPN tinklo mazgą, kuris yra paskirties tinklo dalis arba turi maršrutą į jį.

192.168.44.0 kaukė 255.255.255.0 10.8.0.2

Norėdami iš filialo tinklo pasiekti biuro tinklą, prie filialo tinklo mazgų turėsite įtraukti atitinkamus maršrutus. Tai galima padaryti bet kokiu patogiu būdu, nebūtinai taip, kaip tai daroma biure. Paprastas realus pavyzdys: visi filialo kompiuteriai turi turėti prieigą prie biuro tinklo, bet ne visi biuro kompiuteriai turi turėti prieigą prie filialo. Tokiu atveju filiale maršrutą įvedame į VPN serverį (klientą) maršrutizatoriuje, o biure pridedame tik prie reikalingų kompiuterių.

Apskritai, jei suprantate, kaip veikia maršrutas ir kaip priimami paketų persiuntimo sprendimai, ir mokate perskaityti maršruto parinkimo lentelę, nustatyti teisingus maršrutus neturėtų būti sunku. Tikimės, kad perskaitę šį straipsnį jų taip pat neturėsite.

  • Žymos:

Įgalinkite „JavaScript“, kad peržiūrėtumėte

Pastaruoju metu telekomunikacijų pasaulyje išaugo susidomėjimas virtualiais privačiais tinklais (Virtual Private Network – VPN). Taip yra dėl poreikio sumažinti įmonių tinklų išlaikymo kaštus dėl pigesnio nuotolinių biurų ir nutolusių vartotojų prisijungimo internetu. Iš tiesų, lyginant kelių tinklų sujungimo internetu kainas, pavyzdžiui, su Frame Relay tinklais, galima pastebėti didelį kainų skirtumą. Tačiau pažymėtina, kad tinklus jungiant internetu, iš karto iškyla duomenų perdavimo saugumo klausimas, todėl iškilo būtinybė sukurti mechanizmus, užtikrinančius perduodamos informacijos konfidencialumą ir vientisumą. Tokių mechanizmų pagrindu sukurti tinklai vadinami VPN.

Be to, labai dažnai šiuolaikiniam žmogui, plėtojančiam savo verslą, tenka daug keliauti. Tai gali būti kelionės į atokius mūsų šalies kampelius arba į svečias šalis. Neretai žmonėms reikia prieigos prie savo namų ar įmonės kompiuteryje saugomos informacijos. Šią problemą galima išspręsti organizuojant nuotolinę prieigą prie jos naudojant modemą ir liniją. Telefono linijos naudojimas turi savo ypatybes. Šio sprendimo trūkumai yra tai, kad skambutis iš kitos šalies kainuoja daug pinigų. Yra dar vienas sprendimas, vadinamas VPN. VPN technologijos privalumai yra tai, kad nuotolinės prieigos organizavimas vyksta ne per telefono liniją, o per internetą, kuris yra daug pigesnis ir geresnis. Mano nuomone, technologija. Tikimasi, kad VPN bus plačiai pritaikytas visame pasaulyje.

1. VPN tinklų samprata ir klasifikacija, jų konstrukcija

1.1 Kas yra VPN

VPN(angl. Virtual Private Network – virtualus privatus tinklas) – loginis tinklas, sukurtas ant kito tinklo, pavyzdžiui, interneto. Nepaisant to, kad ryšiai vykdomi viešaisiais tinklais naudojant nesaugius protokolus, šifruojant sukuriami nuo pašalinių asmenų uždaromi informacijos mainų kanalai. VPN leidžia sujungti, pavyzdžiui, kelis organizacijos biurus į vieną tinklą, naudojant nekontroliuojamus jų tarpusavio ryšio kanalus.


Iš esmės VPN turi daug skirtosios linijos savybių, tačiau jis yra įdiegtas viešajame tinkle, pvz., . Naudojant tuneliavimo techniką duomenų paketai yra transliuojami viešuoju tinklu, tarsi tai būtų įprastas ryšys tarp taško. Tarp kiekvienos „duomenų siuntėjo-imtuvo“ poros sukuriamas savotiškas tunelis – saugus loginis ryšys, leidžiantis vieno protokolo duomenis įkapsuliuoti į kito protokolo paketus. Pagrindiniai tunelio komponentai yra šie:

  • iniciatorius;
  • nukreiptas tinklas;
  • tunelio jungiklis;
  • vienas ar daugiau tunelio galų.

Pats VPN veikimo principas neprieštarauja pagrindinėms tinklo technologijoms ir protokolams. Pavyzdžiui, užmezgant telefono ryšį, klientas į serverį siunčia standartinių PPP paketų srautą. Organizuojant virtualias skirtąsias linijas tarp vietinių tinklų, jų maršrutizatoriai taip pat keičiasi PPP paketais. Tačiau iš esmės naujas dalykas yra paketų persiuntimas saugiu tuneliu, organizuotu viešajame tinkle.

Tuneliavimas leidžia organizuoti vieno paketo perdavimą protokolą loginėje aplinkoje, kurioje naudojamas kitas protokolas. Dėl to atsiranda galimybė išspręsti kelių skirtingų tipų tinklų sąveikos problemas, pradedant būtinybe užtikrinti perduodamų duomenų vientisumą ir konfidencialumą ir baigiant išorinių protokolų ar adresų schemų neatitikimų įveikimu.

Esama korporacijos tinklo infrastruktūra gali būti numatyta naudoti VPN naudojant programinę arba aparatinę įrangą. Virtualaus privataus tinklo organizavimą galima palyginti su kabelio tiesimu per pasaulinį tinklą. Paprastai tiesioginis ryšys tarp nuotolinio vartotojo ir tunelio galinio įrenginio užmezgamas naudojant PPP protokolą.

Dažniausias VPN tunelių kūrimo būdas yra tinklo protokolų (IP, IPX, AppleTalk ir kt.) įterpimas į PPP ir tada sugeneruotų paketų įterpimas į tuneliavimo protokolą. Dažniausiai pastarasis yra IP arba (daug rečiau) ATM ir Frame Relay. Šis metodas vadinamas 2 sluoksnio tuneliu, nes „keleivis“ čia yra 2 sluoksnio protokolas.

Alternatyvus būdas – tinklo protokolų paketų inkapsuliavimas tiesiai į tuneliavimo protokolą (pvz., VTP) vadinamas 3 sluoksnio tuneliavimu.

Nesvarbu, kokie protokolai naudojami ar kokie tikslai persekiojamas organizuojant tunelį, pagrindinė technika išliekapraktiškai nepakito. Paprastai vienas protokolas naudojamas ryšiui su nuotoliniu kompiuteriu užmegzti, o kitas naudojamas duomenims ir paslaugų informacijai įterpti, kad būtų galima perduoti per tunelį.

1.2 VPN tinklų klasifikacija

VPN sprendimus galima klasifikuoti pagal kelis pagrindinius parametrus:

1. Pagal naudojamos terpės tipą:

  • Saugūs VPN tinklai. Labiausiai paplitęs privačių privačių tinklų variantas. Jos pagalba galima sukurti patikimą ir saugų potinklį, pagrįstą nepatikimu tinklu, dažniausiai internetu. Saugių VPN pavyzdžiai: IPSec, OpenVPN ir PPTP.
  • Patikimi VPN tinklai. Jie naudojami tais atvejais, kai perdavimo terpė gali būti laikoma patikima ir tereikia išspręsti virtualaus potinklio sukūrimo didesniame tinkle problemą. Saugumo problemos tampa nereikšmingos. Tokių VPN sprendimų pavyzdžiai: MPLS ir L2TP. Teisingiau sakyti, kad šie protokolai perkelia saugumo užtikrinimo užduotį kitiems, pavyzdžiui, L2TP, kaip taisyklė, naudojamas kartu su IPSec.

2. Pagal įgyvendinimo būdą:

  • VPN tinklai specialios programinės ir techninės įrangos pavidalu. VPN tinklo diegimas atliekamas naudojant specialų programinės ir techninės įrangos rinkinį. Šis įgyvendinimas užtikrina aukštą našumą ir, kaip taisyklė, aukštą saugumo lygį.
  • VPN tinklai kaip programinės įrangos sprendimas. Jie naudoja asmeninį kompiuterį su specialia programine įranga, kuri užtikrina VPN funkcijas.
  • VPN tinklai su integruotu sprendimu. VPN funkcionalumą teikia kompleksas, sprendžiantis ir tinklo srauto filtravimo, užkardos organizavimo bei paslaugų kokybės užtikrinimo problemas.

3. Pagal susitarimą:

  • Intraneto VPN. Jie naudojami kelių paskirstytų vienos organizacijos šakų apjungimui į vieną saugų tinklą, keičiantis duomenimis atvirais ryšio kanalais.
  • Nuotolinės prieigos VPN. Jie naudojami siekiant sukurti saugų kanalą tarp įmonės tinklo segmento (centrinio biuro ar filialo) ir vieno vartotojo, kuris dirbdamas namuose prisijungia prie įmonės išteklių iš namų kompiuterio arba, būdamas komandiruotėje, prisijungia prie įmonės. išteklių naudojant nešiojamąjį kompiuterį.
  • Ekstraneto VPN. Naudojamas tinklams, prie kurių jungiasi „išoriniai“ vartotojai (pavyzdžiui, klientai ar klientai). Pasitikėjimo jais lygis yra daug žemesnis nei įmonės darbuotojais, todėl būtina numatyti specialias apsaugos „ribas“, kurios trukdo arba riboja pastarųjų prieigą prie ypač vertingos, konfidencialios informacijos.

4. Pagal protokolo tipą:

  • Yra virtualių privačių tinklų diegimas naudojant TCP/IP, IPX ir AppleTalk. Tačiau šiandien pastebima tendencija bendrai pereiti prie TCP / IP protokolo, ir didžioji dauguma VPN sprendimų jį palaiko.

5. Pagal tinklo protokolo lygį:

  • Pagal tinklo protokolo sluoksnį, remiantis susiejimu su ISO/OSI tinklo atskaitos modelio sluoksniais.

1.3. VPN kūrimas

Yra įvairių VPN kūrimo parinkčių. Renkantis sprendimą, turite atsižvelgti į VPN kūrėjų našumo veiksnius. Pavyzdžiui, jei maršrutizatorius jau veikia neviršydamas savo pajėgumo, tada pridėjus VPN tunelius ir pritaikius informacijos šifravimą / iššifravimą visas tinklas gali neveikti dėl to, kad šis maršrutizatorius negalės susidoroti su paprastu srautu, paminėti VPN. Patirtis rodo, kad VPN kūrimui geriausia naudoti specializuotą aparatinę įrangą, tačiau jei yra lėšų apribojimų, galite atkreipti dėmesį į grynai programinį sprendimą. Apsvarstykite kai kurias VPN kūrimo galimybes.

  • Užkarda pagrįstas VPN. Dauguma ugniasienės gamintojų palaiko tuneliavimą ir duomenų šifravimą. Visi tokie produktai yra pagrįsti tuo, kad srautas, einantis per užkardą, yra užšifruotas. Šifravimo modulis pridedamas prie pačios ugniasienės programinės įrangos. Šio metodo trūkumas yra našumo priklausomybė nuo aparatinės įrangos, kurioje veikia ugniasienė. Naudodami asmeninio kompiuterio užkardas, atminkite, kad toks sprendimas gali būti naudojamas tik mažiems tinklams, kuriuose yra nedidelis perduodamos informacijos kiekis.
  • Maršrutizatoriumi pagrįstas VPN. Kitas būdas sukurti VPN yra naudoti maršrutizatorius saugiems kanalams kurti. Kadangi visa informacija, gaunama iš vietinio tinklo, pereina per maršrutizatorių, šifravimo užduotis patartina priskirti ir šiam maršrutizatoriui.Įrangos, skirtos VPN kurti maršrutizatoriuose, pavyzdys yra „Cisco Systems“ įranga. Nuo 11.3 IOS programinės įrangos leidimo Cisco maršrutizatoriai palaiko ir L2TP, ir IPSec protokolus. „Cisco“ palaiko ne tik tiesioginio srauto šifravimą, bet ir kitas VPN funkcijas, tokias kaip autentifikavimas įrengiant tunelį ir keičiantis raktais.Norint pagerinti maršrutizatoriaus veikimą, galima naudoti pasirenkamą ESA šifravimo modulį. Be to, „Cisco System“ išleido specialų VPN įrenginį, pavadintą „Cisco 1720 VPN Access Router“, skirtą įdiegti mažose ir vidutinėse įmonėse bei dideliuose filialuose.
  • Programinės įrangos pagrindu sukurtas VPN. Kitas VPN kūrimo būdas yra pagrįstas tik programine įranga. Diegiant tokį sprendimą naudojama specializuota programinė įranga, kuri veikia tam skirtame kompiuteryje ir dažniausiai veikia kaip tarpinis serveris. Kompiuteris, kuriame veikia ši programinė įranga, gali būti už ugniasienės.
  • VPN pagrįsta tinklo OS.Mes apsvarstysime sprendimus, pagrįstus tinklo OS, naudodami Microsoft Windows OS pavyzdį. Norėdami sukurti VPN, Microsoft naudoja PPTP protokolą, kuris yra integruotas į Windows sistemą. Šis sprendimas yra labai patrauklus organizacijoms, naudojančioms Windows kaip savo operacinę sistemą. Reikia pažymėti, kad tokio sprendimo kaina yra daug mažesnė nei kitų sprendimų kaina. „Windows“ VPN naudoja vartotojų bazę, saugomą pirminiame domeno valdiklyje (PDC). Prisijungus prie PPTP serverio, vartotojas autentifikuojamas naudojant PAP, CHAP arba MS-CHAP protokolus. Perduoti paketai yra supakuoti į GRE/PPTP paketus. Norint užšifruoti paketus, naudojamas nestandartinis „Microsoft Point-to-Point Encryption“ protokolas su 40 arba 128 bitų raktu, gautu užmezgant ryšį. Šios sistemos trūkumai yra duomenų vientisumo patikrų trūkumas ir tai, kad prisijungimo metu neįmanoma pakeisti raktų. Teigiami aspektai yra paprastas integravimas su „Windows“ ir maža kaina.
  • Aparatinės įrangos VPN. Galimybė sukurti VPN specialiuose įrenginiuose gali būti naudojama tinkluose, kuriems reikalingas didelis našumas. Tokio sprendimo pavyzdys yra Radguard IPro-VPN produktas. Šiame gaminyje naudojamas aparatine įranga pagrįstas perduodamos informacijos šifravimas, galintis perduoti 100 Mbps srautą. IPro-VPN palaiko IPSec protokolą ir ISAKMP/Oakley raktų valdymo mechanizmą. Be kita ko, šis įrenginys palaiko tinklo adresų vertimą ir gali būti papildytas specialia plokšte, kuri prideda ugniasienės funkcijų.

2. VPN tinklų protokolai

VPN tinklai kuriami naudojant duomenų tuneliavimo protokolus per viešąjį interneto ryšio tinklą, o tuneliavimo protokolai šifruoja duomenis ir perduoda juos tarp vartotojų. Paprastai šiandien VPN tinklams kurti naudojami šie protokolai:

  • Nuorodų sluoksnis
  • tinklo sluoksnis
  • transportavimo sluoksnis.

2.1 Nuorodų sluoksnis

Duomenų ryšio lygmenyje gali būti naudojami L2TP ir PPTP duomenų tuneliavimo protokolai, kuriuose naudojamas autorizavimas ir autentifikavimas.

PPTP.

Šiuo metu labiausiai paplitęs VPN protokolas yra Point-to-Point Tunneling Protocol – PPTP. Jį sukūrė 3Com ir Microsoft, kad suteiktų saugią nuotolinę prieigą prie įmonių tinklų internetu. PPTP naudoja esamus atvirus TCP/IP standartus ir labai priklauso nuo senojo „point-to-point“ PPP protokolo. Praktiškai PPP išlieka PPP ryšio seanso ryšio protokolu. PPTP sukuria tunelį per tinklą į gavėjo NT serverį ir per jį siunčia nuotolinio vartotojo PPP paketus. Serveris ir darbo stotis naudoja virtualų privatų tinklą ir nesvarbu, koks saugus ar prieinamas yra pasaulinis tinklas tarp jų. Serverio inicijuotas ryšio seanso nutraukimas, skirtingai nei specializuoti nuotolinės prieigos serveriai, leidžia vietinio tinklo administratoriams neleisti nuotoliniams vartotojams išeiti iš „Windows Server“ saugos sistemos.

Nors PPTP taikomas tik įrenginiams, kuriuose veikia Windows, jis suteikia įmonėms galimybę sąveikauti su esama tinklo infrastruktūra nepakenkiant savo saugumui. Taigi nuotolinis vartotojas gali prisijungti prie interneto naudodamas vietinį IPT per analoginę telefono liniją arba ISDN kanalą ir užmegzti ryšį su NT serveriu. Tuo pačiu įmonei nereikia išleisti didelių sumų modemo telkinio, teikiančio nuotolinės prieigos paslaugas, organizavimui ir priežiūrai.

Toliau aptariamas RRTR darbas. PPTP apima IP paketus, skirtus perduoti per IP tinklą. PPTP klientai naudoja paskirties prievadą tunelio valdymo ryšiui sukurti. Šis procesas vyksta OSI modelio transporto lygmenyje. Sukūrus tunelį, kliento kompiuteris ir serveris pradeda keistis paslaugų paketais. Be PPTP valdymo ryšio, kuris palaiko ryšį, sukuriamas ryšys duomenų tuneliui persiųsti. Duomenys prieš siunčiant tuneliu yra įkapsuliuojami kiek kitaip nei įprasto perdavimo metu. Duomenų inkapsuliavimas prieš siunčiant juos į tunelį apima du veiksmus:

  1. Pirmiausia sukuriama PPP informacijos dalis. Duomenys teka iš viršaus į apačią, iš OSI programos sluoksnio į nuorodos sluoksnį.
  2. Tada gauti duomenys siunčiami į OSI modelį ir apklijuojami viršutinio sluoksnio protokolais.

Taigi antrojo praėjimo metu duomenys pasiekia transporto sluoksnį. Tačiau informacija negali būti siunčiama į paskirties vietą, nes už tai atsakingas OSI nuorodos sluoksnis. Todėl PPTP užšifruoja paketo naudingosios apkrovos lauką ir perima antrojo sluoksnio funkcijas, paprastai susijusias su PPP, t.y. prideda PPP antraštę ir pabaigą prie PPTP paketo. Tai užbaigia nuorodos sluoksnio rėmelio kūrimą.

Tada PPTP įtraukia PPP kadrą į bendrąjį maršruto įterpimo (GRE) paketą, kuris priklauso tinklo sluoksniui. GRE apima tinklo sluoksnio protokolus, tokius kaip IPX, AppleTalk, DECnet, kad juos būtų galima perkelti IP tinklais. Tačiau GRE neturi galimybės nustatyti seansų ir užtikrinti duomenų apsaugos nuo įsibrovėlių. Tam naudojama PPTP galimybė sukurti tunelio valdymo ryšį. GRE kaip inkapsuliavimo metodo naudojimas apriboja PPTP taikymo sritį tik IP tinklais.

Po to, kai PPP rėmelis buvo įdėtas į rėmelį su GRE antrašte, jis įterpiamas į kadrą su IP antrašte. IP antraštėje yra paketo siuntėjo ir gavėjo adresai. Galiausiai PPTP prideda PPP antraštę ir pabaigą.

Siunčianti sistema siunčia duomenis per tunelį. Priimanti sistema pašalina visas paslaugų antraštes, palikdama tik PPP duomenis.

L2TP

Netolimoje ateityje tikimasi, kad VPT skaičius padidės, remiantis naujuoju Layer 2 Tunelavimo protokolu – L2TP.

L2TP atsirado sujungus PPTP ir L2F (2 sluoksnio persiuntimo) protokolus. PPTP leidžia tuneliu perduoti PPP paketus ir SLIP bei PPP L2F paketus. Siekiant išvengti painiavos ir sąveikos problemų telekomunikacijų rinkoje, Interneto inžinerijos darbo grupės (IETF) komitetas rekomendavo Cisco Systems sujungti PPTP ir L2F. Apskritai, L2TP protokolas apima geriausias PPTP ir L2F savybes. Pagrindinis L2TP privalumas yra tas, kad šis protokolas leidžia sukurti tunelį ne tik IP tinkluose, bet ir tokiuose tinkluose kaip ATM, X.25 ir Frame Relay. Deja, „Windows 2000“ L2TP diegimas palaiko tik IP.

L2TP naudoja UDP kaip transportavimą ir naudoja tą patį pranešimų formatą tiek tunelio valdymui, tiek duomenų perdavimui. „Microsoft“ įgyvendindama L2TP naudoja UDP paketus, kuriuose yra užšifruoti PPP paketai, kaip valdymo pranešimus. Pristatymo patikimumą garantuoja paketų sekos kontrolė.

PPTP ir L2TP funkcionalumas skiriasi. L2TP galima naudoti ne tik IP tinkluose, paslaugų pranešimai tuneliui sukurti ir duomenims per jį siųsti naudoja tą patį formatą ir protokolus. PPTP galima naudoti tik per IP tinklus ir norint sukurti ir naudoti tunelį reikia atskiro TCP ryšio. L2TP per IPSec siūlo daugiau saugumo lygių nei PPTP ir gali garantuoti beveik 100 % verslui svarbių duomenų saugumą. Dėl L2TP savybių jis yra labai perspektyvus virtualių tinklų kūrimo protokolas.

L2TP ir PPTP protokolai nuo 3 sluoksnio tuneliavimo protokolų skiriasi keliais būdais:

  1. Suteikti korporacijoms galimybę pasirinkti, kaip naudotojai autentifikuoja ir tikrina savo kredencialus – savo „teritorijoje“ arba su interneto paslaugų teikėju. Apdorodami tunelinius PPP paketus, įmonių tinklo serveriai gauna visą informaciją, reikalingą naudotojams identifikuoti.
  2. Tunelio perjungimo palaikymas – vieno tunelio užbaigimas ir kito inicijavimas viename iš daugelio galimų galūnių. Perjungimo tuneliai leidžia tarsi išplėsti PPP ryšį iki reikiamo galinio taško.
  3. Įgalinimas įmonės tinklo sistemos administratoriams įgyvendinti strategijas, skirtas prieigos teisių priskyrimui vartotojams tiesiai užkardoje ir vidiniuose serveriuose. Kadangi tunelio užbaigimo įrenginiai gauna PPP paketus su vartotojo informacija, jie gali pritaikyti administratoriaus nustatytas saugos strategijas atskirų vartotojų srautui. (3 sluoksnio tuneliavimas neleidžia atskirti paketų, gaunamų iš teikėjo, todėl galinėse darbo vietose ir tinklo įrenginiuose turi būti taikomi saugos politikos filtrai.) Be to, jei naudojamas tunelinis jungiklis, tampa įmanoma organizuoti " tunelio tęsinys“. antrasis lygis, skirtas tiesioginiam asmens srauto vertimuivartotojus į atitinkamus vidinius serverius. Tokiems serveriams gali būti pavesta papildomai filtruoti paketus.

MPLS

Taip pat ryšio sluoksnyje MPLS technologija gali būti naudojama tuneliams organizuoti ( Iš anglų kalbos Multiprotocol Label Switching – kelių protokolų etikečių perjungimas – duomenų perdavimo mechanizmas, imituojantis įvairias grandinės komutavimo tinklų savybes per paketinius tinklus). MPLS veikia lygyje, kuris gali būti tarp duomenų ryšio sluoksnio ir trečiojo OSI modelio tinklo sluoksnio, todėl paprastai vadinamas tinklo ryšio lygmens protokolu. Jis buvo sukurtas siekiant teikti universalias duomenų paslaugas tiek grandinės, tiek paketinio komutavimo tinklo klientams. Naudodami MPLS galite perduoti platų srautą, pvz., IP paketus, bankomatus, SONET ir Ethernet kadrus.

VPN sprendimai nuorodos lygiu turi gana ribotą apimtį, paprastai teikėjo domene.

2.2 Tinklo sluoksnis

Tinklo sluoksnis (IP sluoksnis). Naudojamas IPSec protokolas, kuris įgyvendina duomenų šifravimą ir konfidencialumą bei abonento autentifikavimą. IPSec protokolo naudojimas leidžia įdiegti visapusišką prieigą, lygiavertę fiziniam prisijungimui prie įmonės tinklo. Norint sukurti VPN, kiekvienas dalyvis turi sukonfigūruoti tam tikrus IPSec parametrus, t.y. kiekvienas klientas turi turėti programinę įrangą, kuri įdiegia IPSec.

IPSec

Natūralu, kad jokia įmonė nenorėtų atvirai perleisti Internetinė finansinė ar kita konfidenciali informacija. VPN kanalai yra apsaugoti galingais šifravimo algoritmais, integruotais į IPsec saugos protokolo standartus. IPSec arba Internet Protocol Security – standartas, kurį pasirinko tarptautinė bendruomenė, IETF – Internet Engineering Task Force, sukuria interneto protokolo saugumo pagrindą (IP / IPSec protokolas užtikrina apsaugą tinklo lygiu ir reikalauja IPSec standarto palaikymo tik nuo įrenginiai, bendraujantys vienas su kitu visuose kituose įrenginiuose, tiesiog teikia IP paketų srautą.

Sąveikos tarp asmenų, naudojančių IPSec technologiją, metodas paprastai apibrėžiamas terminu „saugi asociacija“ – saugumo asociacija (SA). Saugi asociacija veikia pagal susitarimą, kurį sudaro šalys, kurios naudoja IPSec viena kitai perduodamai informacijai apsaugoti. Ši sutartis reglamentuoja kelis parametrus: siuntėjo ir gavėjo IP adresus, kriptografinį algoritmą, raktų mainų tvarką, raktų dydžius, rakto gyvavimo laiką, autentifikavimo algoritmą.

„IPSec“ yra bendras atvirų standartų rinkinys, kurio branduolys gali būti lengvai išplėstas naujomis funkcijomis ir protokolais. IPSec branduolį sudaro trys protokolai:

· AN arba Authentication Header – autentifikavimo antraštė – garantuoja duomenų vientisumą ir autentiškumą. Pagrindinis AH protokolo tikslas yra leisti priimančiajai pusei įsitikinti, kad:

  • paketą išsiuntė šalis, su kuria buvo sudaryta saugi asociacija;
  • siuntimo tinkle metu paketo turinys nebuvo iškraipytas;
  • pakuotė nėra jau gautos siuntos dublikatas.

Pirmosios dvi funkcijos yra privalomos AH protokolui, o paskutinė yra neprivaloma steigiant asociaciją. Šioms funkcijoms atlikti AH protokolas naudoja specialią antraštę. Jo struktūra laikoma tokia:

  1. Kitame antraštės lauke nurodomas aukštesnio lygio protokolo kodas, tai yra protokolas, kurio pranešimas įdėtas į IP paketo duomenų lauką.
  2. Naudingojo krovinio ilgio lauke yra AH antraštės ilgis.
  3. Saugos parametrų indeksas (SPI) naudojamas susieti paketą su numatytu saugiu susiejimu.
  4. Laukas Sekos numeris (SN) nurodo paketo eilės numerį ir yra naudojamas apsaugoti nuo klastojimo (kai trečioji šalis bando pakartotinai panaudoti perimtus saugius paketus, kuriuos siunčia tikrai autentifikuotas siuntėjas).
  5. Autentifikavimo duomenų laukas, kuriame yra vadinamoji vientisumo patikrinimo reikšmė (ICV), naudojamas autentifikuoti ir patikrinti paketo vientisumą. Ši vertė, dar vadinama santrauka, apskaičiuojama naudojant vieną iš dviejų skaičiavimu negrįžtamų MD5 arba SAH-1 funkcijų, reikalingų AH protokolui, tačiau galima naudoti bet kurią kitą funkciją.

· ESP arba Encapsulating Security Payload- šifruotų duomenų inkapsuliavimas - užšifruoja perduodamus duomenis, užtikrindamas konfidencialumą, taip pat gali išlaikyti autentifikavimą ir duomenų vientisumą;

ESP protokolas išsprendžia dvi problemų grupes.

  1. Pirmasis apima užduotis, panašias į AH protokolo užduotis - tai autentifikavimo ir duomenų vientisumo užtikrinimas remiantis santrauka,
  2. Į antrąjį – perduodami duomenys užšifruojant juos nuo neteisėto žiūrėjimo.

Antraštė yra padalinta į dvi dalis, atskirtas duomenų lauku.

  1. Pirmoji dalis, vadinama pačia ESP antrašte, sudaryta iš dviejų laukų (SPI ir SN), kurių paskirtis yra panaši į AH protokolo to paties pavadinimo laukus ir dedama prieš duomenų lauką.
  2. Likę ESP protokolo paslaugų laukai, vadinami ESP priekaba, yra paketo pabaigoje.

Du anonso laukai – kita antraštė ir autentifikavimo duomenys – yra panašūs į AH antraštės laukus. Autentifikavimo duomenų laukas praleidžiamas, jei buvo nuspręsta nenaudoti ESP protokolo vientisumo galimybių kuriant saugią sąsają. Be šių laukų, priekaboje yra du papildomi laukai – užpildas ir užpildo ilgis.

AH ir ESP protokolai gali apsaugoti duomenis dviem režimais:

  1. transporte - perdavimas atliekamas su originaliomis IP antraštėmis;
  2. tunelyje – originalus paketas įdedamas į naują IP paketą ir perdavimas vykdomas su naujomis antraštėmis.

Vieno ar kito režimo naudojimas priklauso nuo duomenų apsaugos reikalavimų, taip pat nuo to, kokį vaidmenį tinkle atlieka mazgas, užbaigiantis saugų kanalą. Taigi mazgas gali būti pagrindinis (galinis mazgas) arba šliuzas (tarpinis mazgas).

Atitinkamai, yra trys IPSec protokolo naudojimo schemos:

  1. priimančioji šeimininkė;
  2. vartai-vartai;
  3. pagrindinio kompiuterio vartai.

AH ir ESP protokolų galimybės iš dalies sutampa: AH protokolas atsakingas tik už duomenų vientisumo ir autentifikavimo užtikrinimą, ESP protokolas gali šifruoti duomenis ir papildomai atlikti AH protokolo funkcijas (sutrumpinta forma) . ESP gali palaikyti šifravimo ir autentifikavimo / vientisumo funkcijas bet kokiame derinyje, t. y. arba visą funkcijų grupę, arba tik autentifikavimą / vientisumą, arba tik šifravimą.

· IKE arba Internet Key Exchange – interneto raktų mainai – išsprendžia pagalbinę užduotį automatiškai aprūpinti saugaus kanalo galinius taškus slaptais raktais, reikalingais autentifikavimo ir duomenų šifravimo protokolų veikimui.

2.3 Transporto sluoksnis

Transporto sluoksnis naudoja SSL/TLS arba Secure Socket Layer/Transport Layer Security protokolą, kuris įgyvendina šifravimą ir autentifikavimą tarp imtuvo ir siųstuvo transportavimo sluoksnių. SSL/TLS gali būti naudojamas TCP srautui apsaugoti, jo negalima naudoti UDP srautui apsaugoti. Kad veiktų SSL/TLS VPN, nereikia diegti specialios programinės įrangos, nes kiekviena naršyklė ir el. pašto klientas turi šiuos protokolus. Dėl to, kad SSL/TLS yra įdiegtas transportavimo lygmenyje, užmezgamas saugus ryšys nuo galo iki galo.

TLS protokolas yra pagrįstas Netscape SSL protokolo 3.0 versija ir susideda iš dviejų dalių – TLS įrašo protokolo ir TLS rankų paspaudimo protokolo. Skirtumas tarp SSL 3.0 ir TLS 1.0 yra nedidelis.

SSL/TLS apima tris pagrindinius etapus:

  1. Šalių dialogas, kurio tikslas – pasirinkti šifravimo algoritmą;
  2. Keitimasis raktais, pagrįstas viešojo rakto kriptosistemomis arba sertifikatu pagrįsta autentifikacija;
  3. Duomenų, užšifruotų naudojant simetrinius šifravimo algoritmus, perdavimas.

2.4 VPN diegimas: IPSec ar SSL/TLS?

Dažnai IT skyrių vadovai susiduria su klausimu: kurį iš protokolų pasirinkti kuriant įmonės VPN tinklą? Atsakymas nėra akivaizdus, ​​nes kiekvienas metodas turi ir privalumų, ir trūkumų. Stengsimės atlikti ir nustatyti, kada reikia naudoti IPSec, o kada – SSL/TLS. Kaip matyti iš šių protokolų charakteristikų analizės, jie nėra keičiami ir gali veikti tiek atskirai, tiek lygiagrečiai, apibrėždami kiekvieno iš įdiegtų VPN funkcines savybes.

Įmonės VPN tinklo kūrimo protokolo pasirinkimas gali būti atliekamas pagal šiuos kriterijus:

· VPN vartotojams reikalingas prieigos tipas.

  1. Pilnai veikiantis nuolatinis prisijungimas prie įmonės tinklo. Rekomenduojamas pasirinkimas yra IPSec.
  2. Laikinas ryšys, pvz., mobilusis vartotojas arba vartotojas, naudojantis viešą kompiuterį, siekiant gauti prieigą prie tam tikrų paslaugų, pvz., el. pašto ar duomenų bazės. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas, leidžiantis organizuoti VPN kiekvienai atskirai paslaugai.

· Ar vartotojas yra įmonės darbuotojas.

  1. Jei vartotojas yra įmonės darbuotojas, įrenginį, kurį jie naudoja norėdami pasiekti įmonės tinklą per IPSec VPN, galima konfigūruoti tam tikru konkrečiu būdu.
  2. Jei vartotojas nėra įmonės, kurios korporatyvinis tinklas yra pasiekiamas, darbuotojas, rekomenduojama naudoti SSL/TLS. Tai apribos svečių prieigą tik prie tam tikrų paslaugų.

· Koks yra įmonės tinklo saugumo lygis.

  1. Aukštas. Rekomenduojamas pasirinkimas yra IPSec. Iš tiesų, IPSec siūlomo saugumo lygis yra daug aukštesnis už SSL / TLS protokolo siūlomą saugumo lygį, nes vartotojo pusėje naudojama konfigūruojama programinė įranga ir įmonės tinklo pusėje saugos šliuzas.
  2. Vidutinis. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas, leidžiantis pasiekti bet kurį terminalą.

· Vartotojo perduodamų duomenų saugumo lygis.

  1. Aukštas, pavyzdžiui, įmonės valdymas. Rekomenduojamas pasirinkimas yra IPSec.
  2. Vidutinis, pavyzdžiui, partneris. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas.

Priklausomai nuo paslaugos – nuo ​​vidutinio iki aukšto. Rekomenduojamas pasirinkimas yra IPSec (paslaugoms, kurioms reikalingas aukštas saugumo lygis) ir SSL/TLS (paslaugoms, kurioms reikalingas vidutinis saugumo lygis) derinys.

· Kas svarbiau, greitas VPN diegimas ar būsimas sprendimo mastelio keitimas.

  1. Greitai įdiekite VPN tinklą minimaliomis sąnaudomis. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas. Tokiu atveju nereikia diegti specialios programinės įrangos vartotojo pusėje, kaip IPSec atveju.
  2. VPN tinklo mastelio keitimas – pridedant prieigą prie įvairių paslaugų. Rekomenduojamas pasirinkimas yra IPSec protokolas, suteikiantis prieigą prie visų įmonės tinklo paslaugų ir išteklių.
  3. Greitas diegimas ir mastelio keitimas. Rekomenduojamas pasirinkimas yra IPSec ir SSL/TLS derinys: pirmoje fazėje naudokite SSL/TLS, kad pasiektumėte reikiamas paslaugas, o po to diegkite IPSec.

3. VPN tinklų diegimo metodai

Virtualus privatus tinklas yra pagrįstas trimis įgyvendinimo būdais:

· Tuneliavimas;

· Šifravimas;

· Autentifikavimas.

3.1 Tuneliavimas

Tuneliavimas užtikrina duomenų perdavimą tarp dviejų taškų – tunelio galų – tokiu būdu, kad visa tarp jų esanti tinklo infrastruktūra būtų paslėpta duomenų šaltiniui ir paskirties vietai.

Tunelio transportavimo terpė, kaip keltas, paima prie įėjimo į tunelį naudojamo tinklo protokolo paketus ir pristato juos nepakeistus į išėjimą. Sukurti tunelį pakanka sujungti du tinklo mazgus, kad juose veikiančios programinės įrangos požiūriu jie atrodytų prijungti prie to paties (vietinio) tinklo. Tačiau nereikia pamiršti, kad iš tikrųjų „keltas“ su duomenimis eina per daugelį atviro viešojo tinklo tarpinių mazgų (maršrutizatorių).

Tokia padėtis turi dvi problemas. Pirmoji – tuneliu perduodamą informaciją gali perimti įsibrovėliai. Jeigu ji konfidenciali (banko kortelių numeriai, finansinės ataskaitos, asmeninė informacija), tai jo sukompromitavimo grėsmė yra gana reali, o tai jau savaime nemalonu. Dar blogiau, užpuolikai turi galimybę modifikuoti tuneliu perduodamus duomenis, kad gavėjas negalėtų patikrinti jų autentiškumo. Pasekmės gali būti pačios apgailėtiniausios. Atsižvelgdami į tai, kas išdėstyta pirmiau, darome išvadą, kad gryna tunelis yra tinkamas tik kai kuriems tinkle sujungtiems kompiuteriniams žaidimams ir negali teigti, kad yra rimtesnis. Abi problemos sprendžiamos šiuolaikinėmis kriptografinės informacijos apsaugos priemonėmis. Kad būtų išvengta neleistinų duomenų paketo pakeitimų keliaujant per tunelį, naudojamas elektroninio skaitmeninio parašo () metodas. Metodo esmė ta, kad kiekvienam perduotam paketui pateikiamas papildomas informacijos blokas, kuris generuojamas pagal asimetrinį kriptografinį algoritmą ir yra unikalus paketo turiniui bei slaptajam siuntėjo EDS raktui. Šis informacijos blokas yra paketo EDS ir leidžia atlikti duomenų autentifikavimą, kurį atlieka gavėjas, žinantis siuntėjo EDS viešąjį raktą. Duomenų, perduodamų per tunelį, apsauga nuo neteisėtos peržiūros pasiekiama naudojant stiprius šifravimo algoritmus.

3.2 Autentifikavimas

Saugumas yra pagrindinė VPN funkcija. Visi duomenys iš klientų kompiuterių internetu perduodami į VPN serverį. Toks serveris gali būti labai nutolęs nuo kliento kompiuterio, o duomenys pakeliui į organizacijos tinklą pereina per daugelio tiekėjų įrangą. Kaip įsitikinti, kad duomenys nebuvo nuskaityti ar pakeisti? Tam naudojami įvairūs autentifikavimo ir šifravimo metodai.

PPTP gali naudoti bet kurį iš PPP naudojamų protokolų vartotojų autentifikavimui.

  • EAP arba Extensible Authentication Protocol;
  • MSCHAP arba Microsoft Challenge Handshake Authentication Protocol (1 ir 2 versijos);
  • CHAP arba Challenge Handshake Authentication Protocol;
  • SPAP arba Shiva slaptažodžio autentifikavimo protokolas;
  • PAP arba slaptažodžio autentifikavimo protokolas.

MSCHAP versija 2 ir Transport Layer Security (EAP-TLS) laikomi geriausiais, nes užtikrina abipusį autentifikavimą, t.y. VPN serveris ir klientas identifikuoja vienas kitą. Visuose kituose protokoluose tik serveris autentifikuoja klientus.

Nors PPTP užtikrina pakankamą saugumo lygį, L2TP per IPSec vis tiek yra patikimesnis. L2TP per IPSec užtikrina autentifikavimą vartotojo ir kompiuterio lygiu, taip pat autentifikavimą ir duomenų šifravimą.

Autentifikavimas atliekamas atviru testu (aiškaus teksto slaptažodis) arba užklausos / atsakymo schema (iššūkis / atsakymas). Su tiesioginiu tekstu viskas aišku. Klientas siunčia slaptažodį serveriui. Serveris lygina tai su etalonu ir arba atmeta prieigą, arba sako „sveiki atvykę“. Atviras autentifikavimas praktiškai neegzistuoja.

Prašymo/atsakymo schema yra daug pažangesnė. Apskritai tai atrodo taip:

  • klientas siunčia serveriui užklausą autentifikuoti;
  • serveris grąžina atsitiktinį atsakymą (iššūkį);
  • klientas pašalina maišą iš savo slaptažodžio (maiša yra maišos funkcijos, kuri paverčia savavališko ilgio įvesties duomenų masyvą į fiksuoto ilgio išvesties bitų eilutę, rezultatas), užšifruoja ja atsakymą ir siunčia į serverį;
  • serveris daro tą patį, palygindamas rezultatą su kliento atsakymu;
  • jei užšifruotas atsakymas sutampa, autentifikavimas laikomas sėkmingu;

Pirmajame VPN klientų ir serverių autentifikavimo etape L2TP per IPSec naudoja vietinius sertifikatus, gautus iš sertifikatų institucijos. Klientas ir serveris keičiasi sertifikatais ir sukuria saugų ESP SA (saugumo asociacijos) ryšį. L2TP (per IPSec) užbaigus kompiuterio autentifikavimo procesą, atliekamas vartotojo lygio autentifikavimas. Autentifikavimui gali būti naudojamas bet koks protokolas, netgi PAP, kuris vartotojo vardą ir slaptažodį perduoda aiškiu tekstu. Tai gana saugu, nes L2TP per IPSec užšifruoja visą seansą. Tačiau vartotojo autentifikavimas naudojant MSCHAP, kuris naudoja skirtingus šifravimo raktus kompiuteriui ir vartotojui autentifikuoti, gali padidinti saugumą.

3.3. Šifravimas

Šifravimas naudojant PPTP užtikrina, kad niekas negalėtų pasiekti duomenų, kol jie siunčiami internetu. Šiuo metu palaikomi du šifravimo metodai:

  • MPPE arba Microsoft Point-to-Point Encryption yra suderinamas tik su MSCHAP (1 ir 2 versijos);
  • EAP-TLS ir gali automatiškai pasirinkti šifravimo rakto ilgį derantis dėl parametrų tarp kliento ir serverio.

MPPE palaiko 40, 56 arba 128 bitų raktus. Senesnės Windows operacinės sistemos palaiko tik 40 bitų rakto ilgio šifravimą, todėl mišrioje Windows aplinkoje pasirinkite minimalų rakto ilgį.

PPTP keičia šifravimo rakto reikšmę po kiekvieno gauto paketo. MMPE protokolas buvo sukurtas jungtims taškas į tašką, kai paketai perduodami nuosekliai ir labai mažai prarandami duomenys. Esant tokiai situacijai, kito paketo rakto reikšmė priklauso nuo ankstesnio paketo iššifravimo rezultatų. Kuriant virtualius tinklus per viešuosius tinklus, šios sąlygos negali būti įvykdytos, nes duomenų paketai dažnai pasiekia gavėją netinkama tvarka, kuria buvo išsiųsti. Todėl PPTP naudoja paketų eilės numerius, kad pakeistų šifravimo raktą. Tai leidžia iššifruoti nepriklausomai nuo anksčiau gautų paketų.

Abu protokolai yra realizuoti tiek Microsoft Windows, tiek už jos ribų (pavyzdžiui, BSD), VPN veikimo algoritmai gali labai skirtis.

Taigi paketas „tunelis + autentifikavimas + šifravimas“ leidžia perduoti duomenis tarp dviejų taškų per viešąjį tinklą, imituojant privataus (vietinio) tinklo veikimą. Kitaip tariant, svarstomi įrankiai leidžia sukurti virtualų privatų tinklą.

Papildomas gražus VPN ryšio efektas yra galimybė (ir net poreikis) naudoti vietiniame tinkle priimtą adresavimo sistemą.

Praktiškai virtualaus privataus tinklo įgyvendinimas yra toks. Įmonės biuro vietiniame kompiuterių tinkle įdiegtas VPN serveris. Nuotolinis vartotojas (arba maršrutizatorius, jei prijungti du biurai), naudodamas VPN kliento programinę įrangą, inicijuoja prisijungimo prie serverio procedūrą. Įvyksta vartotojo autentifikavimas – pirmasis VPN ryšio užmezgimo etapas. Įgaliojimų patvirtinimo atveju prasideda antrasis etapas – tarp kliento ir serverio derinamos ryšio saugumo užtikrinimo detalės. Po to organizuojamas VPN ryšys, užtikrinantis informacijos apsikeitimą tarp kliento ir serverio tokia forma, kai kiekvienas duomenų paketas praeina šifravimo / iššifravimo ir vientisumo tikrinimo procedūras – duomenų autentifikavimą.

Pagrindinė VPN tinklų problema yra nustatytų autentifikavimo ir keitimosi šifruota informacija standartų nebuvimas. Šie standartai vis dar kuriami, todėl skirtingų gamintojų produktai negali užmegzti VPN ryšių ir automatiškai keistis raktais. Dėl šios problemos sulėtėja VPN plitimas, nes sunku priversti skirtingas įmones naudoti vieno gamintojo produktus, todėl kompanijų partnerių tinklų sujungimas į vadinamuosius ekstraneto tinklus yra sudėtingas.

VPN technologijos privalumai yra tai, kad nuotolinės prieigos organizavimas vyksta ne per telefono liniją, o per internetą, kuris yra daug pigesnis ir geresnis. VPN technologijos trūkumas yra tas, kad VPN kūrimo įrankiai nėra visaverčiai atakų aptikimo ir blokavimo įrankiai. Jie gali užkirsti kelią daugeliui neteisėtų veiksmų, bet ne visoms galimybėms, kurias galima panaudoti norint patekti į įmonės tinklą. Tačiau, nepaisant viso to, VPN technologija turi tolesnio vystymosi perspektyvų.

Ko galime tikėtis plėtojant VPN technologijas ateityje? Be jokios abejonės, bus sukurtas ir patvirtintas vienas tokių tinklų statybos standartas. Labiausiai tikėtina, kad šio standarto pagrindas bus jau patikrintas IPSec protokolas. Toliau gamintojai sutelks dėmesį į savo produktų našumo gerinimą ir patogių VPN valdiklių kūrimą. Greičiausiai VPN kūrimo įrankių kūrimas bus nukreiptas į maršrutizatoriais pagrįstą VPN, nes šis sprendimas apjungia gana didelį našumą, VPN integravimą ir maršruto parinkimą viename įrenginyje. Tačiau bus kuriami ir pigūs sprendimai mažesnėms organizacijoms. Apibendrinant reikia pasakyti, kad nepaisant to, kad VPN technologija dar labai jauna, jos laukia puiki ateitis.

Palikite savo komentarą!

Susipažinkime su VPN, išsiaiškinkime pagrindinius klausimus ir panaudokime šias tris raides savo naudai.

Pažiūrėkite, kaip informacija perduodama tarp mano nešiojamojo kompiuterio ir šalia jo esančio išmaniojo telefono, vadinamasis maršruto sekimas. Ir visada yra silpna grandis, kur galima perimti duomenis.

Kam skirtas VPN?

Organizuoti tinklus tinkluose ir juos apsaugoti. Supraskime, kad VPN yra geras. Kodėl? Nes jūsų duomenys bus saugesni. Mes statome saugus tinklas internetu ar kitu tinklu. Tai tarsi šarvuotas automobilis, skirtas gatve iš banko į kitą banką gabenti pinigus. Galite siųsti pinigus įprastu automobiliu arba šarvuotu automobiliu. Bet kuriame kelyje pinigai saugesni šarvuotame automobilyje. Vaizdžiai tariant, VPN yra šarvuotas automobilis jūsų informacijai. O VPN serveris yra agentūra, teikianti šarvuotus automobilius. Trumpai tariant, VPN yra geras.

Dėl duomenų saugumo:

Naudokite virtualų privatų tinklą (VPN ryšį)
Naudodami VPN ryšį, kai esate prisijungę prie viešojo Wi-Fi tinklo, galite efektyviai naudoti tinkle perduodamų duomenų šifravimo technologijas. Tai gali neleisti kibernetiniams nusikaltėliams, stebintiems jūsų tinklą, perimti jūsų duomenų.

Vis dar neįtikinote? Štai, pavyzdžiui, vieno iš pasiūlymų pavadinimas:

Paslaugų teikimas ryšių kanalams naudojant VPN technologiją, organizuojant duomenų perdavimą tarp Rusijos vidaus reikalų ministerijos departamento Kazanėje.

Policija rūpinasi savo saugumu, valstybinės įmonės ir korporacijos tuo susirūpinusios ir reikalauja tokių kanalų egzistavimo, bet kuo mes blogesni? Mums dar geriau, nes biudžetinių lėšų neišleisime, o viską susidėliosime greitai, paprastai ir nemokamai.

Taigi eikime. Naudodami atvirus Wi-Fi tinklus, apsaugome paskyras, slaptažodžius naudodami VPN. Paprastai tai yra silpniausia grandis. Žinoma, viso pasaulio žvalgybos agentūros, nusikalstamos grupuotės gali sau leisti įrangą, kuri pakeičia ir perima srautą ne tik iš Wi-Fi tinklų, bet ir iš palydovinio bei mobiliojo ryšio tinklų. Tai kitas lygis ir nepatenka į šio įrašo sritį.
Geriausias pasirinkimas yra tada, kai turite savo VPN serverį. Jei ne, tuomet turite pasikliauti tų, kurie jums teikia šias paslaugas, sąžiningumu. Taigi, yra mokamų VPN versijų ir nemokamų. Pereikime antrąjį. Taip, VPN serverį galima sukonfigūruoti namų kompiuteryje, bet daugiau apie tai atskirame įraše.

Kaip nustatyti VPN

Apsvarstykite Nemokamas VPN, skirtas Android„Opera VPN“ pavyzdyje – neribotas VPN.

Atsisiųskite nemokamą VPN klientą. Nustatymai yra minimalūs ir apsiriboja VPN įgalinimu, šalies pasirinkimu, numatytasis nustatymas yra netoliese ir tinklo testavimo bloku. Taip pat yra nustatymų, kad VPN būtų įjungtas.

Įdiegus programą, VPN elementas pasirodo Android nustatymų meniu. Šis jungiklis atveria pagrindinį „Opera VPN“ ekraną (jei turite tik vieną būdą prisijungti prie VPN).

Norėdami valdyti VPN išjungimą ir įjungimą, „Android“ nustatymuose galite įgalinti programų piktogramas.

Nustatymai-> Pranešimai ir būsenos juosta -> Programos pranešimai-> Opera VPN

Būkite pasirengę tam, kad kai kurios programos VPN tunelio ryšio režimu paprašys patvirtinti jūsų būseną. Taigi, programa „VKontakte“, kai įjungtas VPN, paprašys jūsų telefono numerio, nes manys, kad užpuolikas iš Vokietijos ar Nyderlandų bando patekti į jūsų paskyrą, prie kurios paprastai prisijungiate iš Maskvos. Įveskite numerį ir toliau naudokitės.

Štai lengviausias būdas naudoti VPN „Android“ įrenginyje. Taip pat galite sukurti virtualų privatų tinklą, pagrįstą maršruto parinktuvu, ir prisijungti prie namų kompiuterio iš bet kurios pasaulio vietos saugiu kanalu, laisvai keisdamiesi privačiais duomenimis. Tačiau apie šį sudėtingesnį metodą, taip pat apie mokamų programų ir paslaugų nustatymus kalbėsiu kituose įrašuose.


Įsivaizduokite sceną iš veiksmo filmo, kuriame piktadarys sportiniu automobiliu pabėga iš nusikaltimo vietos greitkeliu. Jį persekioja policijos sraigtasparnis. Automobilis įvažiuoja į tunelį su keliais išėjimais. Sraigtasparnio pilotas nežino, iš kurio išvažiavimo pasirodys automobilis, o piktadarys palieka gaudynes.

VPN – tai tunelis, jungiantis daugybę kelių. Niekas iš išorės nežino, kur atsidurs į ją įvažiuojantys automobiliai. Niekas iš išorės nežino, kas vyksta tunelyje.

Tikriausiai ne kartą girdėjote apie VPN. „Lifehacker“ taip pat apie šį dalyką. Dažniausiai rekomenduojamas VPN, nes jį galima naudoti norint pasiekti geografiškai ribotą turinį per tinklą ir apskritai padidinti saugumą naudojant internetą. Tiesa ta, kad prieiga prie interneto per VPN gali būti ne mažiau pavojinga nei tiesiogiai.

Kaip veikia VPN?

Labiausiai tikėtina, kad namuose turite "Wi-Fi" maršrutizatorių. Prie jo prijungti įrenginiai gali keistis duomenimis net ir be interneto. Pasirodo, jūs turite savo privatų tinklą, tačiau norėdami prie jo prisijungti, turite būti fiziškai maršrutizatoriaus signalo diapazone.

VPN (virtualus privatus tinklas) yra virtualus privatus tinklas. Jis veikia per internetą, todėl galite prisijungti prie jo iš bet kurios vietos.

Pavyzdžiui, įmonė, kurioje dirbate, gali naudoti virtualų privatų tinklą nuotoliniams darbuotojams. Naudodamiesi VPN, jie prisijungia prie darbo tinklo. Tuo pačiu metu jų kompiuteriai, išmanieji telefonai ar planšetiniai kompiuteriai virtualiai perkeliami į biurą ir iš vidaus prijungiami prie tinklo. Norėdami patekti į virtualų privatų tinklą, turite žinoti VPN serverio adresą, vartotojo vardą ir slaptažodį.

Naudoti VPN yra gana paprasta. Paprastai įmonė nustato VPN serverį kažkur vietiniame kompiuteryje, serveryje ar duomenų centre ir prie jo prisijungia naudodama VPN klientą vartotojo įrenginyje.

Dabar įtaisytuosius VPN klientus galima naudoti visose dabartinėse operacinėse sistemose, įskaitant „Android“, „iOS“, „Windows“, „MacOS“ ir „Linux“.

VPN ryšys tarp kliento ir serverio paprastai yra užšifruotas.

Taigi VPN yra geras?

Taip, jei esate verslo savininkas ir norite apsaugoti įmonės duomenis ir paslaugas. Įsileisdami darbuotojus į darbo aplinką tik per VPN ir paskyras, visada žinosite, kas ir ką veikė bei daro.

Be to, VPN savininkas gali stebėti ir valdyti visą srautą, einantį tarp serverio ir vartotojo.

Ar darbuotojai daug laiko praleidžia „VKontakte“? Galite uždaryti prieigą prie šios paslaugos. Ar Genadijus Andrejevičius pusę savo dienos praleidžia svetainėse su memais? Visa jo veikla automatiškai registruojama ir taps geležiniu atleidimo argumentu.

Kodėl tada VPN?

VPN leidžia apeiti geografinius ir teisinius apribojimus.

Pavyzdžiui, esate Rusijoje ir norite . Apgailestaujate, kad ši paslauga neteikiama Rusijoje. Ją galite naudoti tik prisijungę prie interneto per VPN serverį šalyje, kurioje veikia „Spotify“.

Kai kuriose šalyse galioja interneto cenzūra, kuri riboja prieigą prie tam tikrų svetainių. Norisi pereiti prie kokio nors šaltinio, bet Rusijoje jis užblokuotas. Svetainę galite atidaryti tik prisijungę prie interneto per VPN serverį toje šalyje, kurioje ji nėra užblokuota, ty iš beveik bet kurios šalies, išskyrus Rusijos Federaciją.

VPN yra naudinga ir reikalinga technologija, kuri gerai atlieka tam tikras užduotis. Tačiau asmens duomenų saugumas vis tiek priklauso nuo VPN paslaugų teikėjo sąžiningumo, jūsų sveiko proto, dėmesingumo ir internetinio raštingumo.

Nauja vietoje

>

Populiariausias

Daržovės. Uogos. Grūdai. Medžiai ir krūmai. Žemdirbystė. Gėlės. Peizažas.

© 2022. .

POPULIARIUS SKYRIUS