VPN-artikel. Vad är ett VPN: varför behövs det och hur det fungerar. Hur VPN skiljer sig från anonymizer

VPN (Virtual Private Networks) - virtuella privata nätverk. VPN är en sådan teknik, som det inte är känt varifrån de kom. Men när sådana tekniker slår rot i ett företags infrastruktur blir alla förvånade över hur de brukade klara sig utan dem. VPN tillåter dig att använda Internet som ditt eget privata nätverk. Sålunda är spridningen av VPN förknippad med utvecklingen av Internet. Tekniken i sig använder TCP/IP-protokollstacken som grund för sin drift.

För att förstå vad en VPN är måste du förstå två begrepp: kryptering och virtualitet.

Kryptering är en reversibel omvandling av ett meddelande för att dölja det från obehöriga personer.

Virtualitet är ett objekt eller tillstånd som egentligen inte existerar, men som kan uppstå under vissa förutsättningar.

Kryptering konverterar ett meddelande från en typ, till exempel "Hej!" i en annan form "* & 878hJf7 * & 8723". Å andra sidan finns det också en omvänd transformation, som kallas dekryptering, d.v.s. konvertera meddelandet "* & 878hJf7 * & 8723" till meddelandet "Hej!". VPN-säkerhetsmetoden förutsätter att ingen annan än den avsedda mottagaren kan utföra dekrypteringen.

Begreppet "virtalitet" syftar på situationen "som om". Till exempel en situation där du kommer åt en fjärrdator med en surfplatta. I det här fallet simulerar surfplattan driften av en fjärrdator.

VPN har en exakt definition:

VPN är en krypterad eller inkapslad kommunikationsprocess som säkert överför data från en punkt till en annan; säkerheten för dessa data säkerställs av stark krypteringsteknik och den överförda informationen passerar genom ett öppet, osäkrat, dirigerat nätverk.

Eftersom VPN är krypterad överförs kommunikationen mellan noder, data säkert och deras integritet garanteras. Data färdas genom ett öppet, osäkrat, dirigerat nätverk, så det kan ha flera vägar till sin slutdestination när de överförs över en delad linje. Således kan ett VPN ses som processen att skicka krypterad data från en punkt till en annan över Internet.

Inkapsling är processen att placera ett datapaket inuti ett IP-paket. Inkapsling gör att du kan lägga till ett extra lager av skydd. Encapsulation låter dig skapa VPN-tunnlar och överföra data över ett nätverk med andra protokoll. Det vanligaste sättet att skapa VPN-tunnlar är att kapsla in nätverksprotokoll (IP, IPX, AppleTalk, etc.) i PPP och sedan kapsla in de resulterande paketen i tunnlingsprotokoll. Det senare är oftast IP-protokollet, men i sällsynta fall kan ATM- och Frame Relay-protokoll också användas. Detta tillvägagångssätt kallas Layer 2 Tunneling, eftersom passageraren är Layer 2 Protocol (PPP) själv.

Ett alternativt tillvägagångssätt för att kapsla in nätverksprotokollpaket direkt i ett tunnlingsprotokoll (som VTP) kallas Layer 3-tunneling.

Av syfte är VPN indelade i tre typer:

1. Intranät används för att förena flera distribuerade grenar av en organisation till ett enda säkert nätverk, utbyte av data över öppna kommunikationskanaler.
2. Extranät - Används för nätverk som externa användare (som kunder eller klienter) ansluter till. På grund av att förtroendet för sådana användare är lägre än för företagets anställda krävs ett särskilt skydd för att förhindra att externa användare kommer åt särskilt värdefull information.
3. Fjärråtkomst - skapas mellan centrala företagskontor och fjärranvändare av mobila enheter. Med krypteringsmjukvara laddad på den fjärranslutna bärbara datorn, upprättar fjärranvändaren en krypterad tunnel med VPN-enheten på företagets huvudkontor.

Det finns många alternativ för att implementera ett VPN. När du bestämmer dig för hur du ska implementera ett VPN måste du överväga prestandafaktorerna för VPN-system. Till exempel, om en router körs på gränsen för sin processorkraft, då lägga till fler VPN-tunnlar och tillämpa kryptering/dekryptering kan göra att hela nätverket slutar fungera eftersom routern inte kommer att kunna hantera normal trafik.

VPN-implementeringsalternativ:

1. VPN baserad på brandväggar. En brandvägg (brandvägg) är ett mjukvaru- eller hårdvaru-mjukvaruelement i ett datornätverk som övervakar och filtrerar nätverkstrafik som passerar genom det i enlighet med specificerade regler. De flesta leverantörers brandväggar stöder idag tunnling och datakryptering. Alla sådana produkter är baserade på det faktum att trafik som passerar genom brandväggen är krypterad.
2. VPN baserad på routrar. Eftersom all information som kommer från det lokala nätverket först går till routern, är det lämpligt att tilldela krypteringsfunktioner till den. Cisco-routrar, till exempel, stöder L2TP, IPSec-krypteringsprotokoll. Förutom enkel kryptering stöder de även andra VPN-funktioner som anslutningsautentisering och nyckelutbyte.
3. VPN baserat på ett nätverksoperativsystem. På Linux görs VPN-anslutningar vanligtvis med hjälp av tekniker som OpenVPN, OpenConnect eller NetworkManager. Windows VPN använder PPTP, som är integrerat i Windows.

Vi tillhandahåller tjänster för reparation och konfiguration av datorer, smartphones, surfplattor, wi-fi-routrar, modem, IP-TV, skrivare. Hög kvalitet och billigt. Har du problem? Fyll i formuläret nedan så ringer vi upp dig.

Organiseringen av kanaler mellan fjärrnätverk genom en VPN-anslutning är ett av de mest populära ämnena på vår webbplats. Samtidigt, som läsarens svar visar, är den största svårigheten den korrekta routingkonfigurationen, även om vi särskilt uppmärksammade denna punkt. Efter att ha analyserat de vanligaste frågorna bestämde vi oss för att ägna en separat artikel till ämnet routing. Har frågor? Vi hoppas att efter att ha läst detta material kommer det att bli färre av dem.

Först och främst, låt oss ta reda på vad som är routing... Routing är processen för att bestämma informationsvägen i kommunikationsnätverk. Låt oss vara ärliga, det här ämnet är väldigt djupt och kräver ett gediget bagage av teoretisk kunskap, därför kommer vi, inom ramen för denna artikel, medvetet förenkla bilden och beröra teorin exakt i den utsträckning som det kommer att vara tillräckligt för att förstå pågående processer och få praktiska resultat.

Låt oss ta en godtycklig arbetsstation ansluten till nätverket, hur avgör den vart det här eller det paketet ska skickas? För detta ändamål är det avsett rutttabell, som innehåller en lista med regler för alla möjliga destinationsadresser. Baserat på denna tabell bestämmer värden (eller routern) vilket gränssnitt och destinationsadress som ska skickas ett paket adresserat till en specifik mottagare.

Ruttutskrift

Som ett resultat kommer vi att se följande tabell:

Allt är väldigt enkelt, vi är intresserade av avsnittet IPv4-rutttabell innehåller de två första kolumnerna destinationsadressen och nätmasken, följt av gatewayen - noden till vilken paketen ska vidarebefordras för den angivna destinationen, gränssnittet och måtten. Om kolumnen Inkörsport anges På länk då betyder det att destinationsadressen finns på samma nätverk som värden och är tillgänglig utan routing. Metrik bestämmer prioriteten för routingregler, om destinationsadressen har flera regler i rutttabellen, används den med den lägre måtten.

Vår arbetsstation tillhör nätverket 192.168.31.0 och, enligt rutttabellen, skickar alla förfrågningar till detta nätverk till gränssnittet 192.168.31.175, vilket motsvarar nätverksadressen för denna station. Om destinationsadressen finns i samma nätverk som källadressen sker informationsleverans utan användning av IP-routing (nätverkslager L3 av OSI-modellen), vid länklagret (L2). Annars skickas paketet till den nod som anges i motsvarande rutttabellregel på destinationsnätverket.

Om det inte finns någon sådan regel skickas paketet av noll väg, som innehåller adressen till nätverkets standardgateway. I vårt fall är detta adressen till routern 192.168.31.100. Denna rutt kallas null eftersom destinationsadressen för den är 0.0.0.0. Denna punkt är mycket viktig för ytterligare förståelse av routingprocessen: alla paket, inte tillhör detta nätverk och inte har separata rutter, alltidär skickade huvudporten nätverk.

Vad kommer routern att göra när den tar emot ett sådant paket? Först och främst, låt oss ta reda på hur en router skiljer sig från en vanlig nätverksstation. För att uttrycka det på ett extremt förenklat sätt är en router (router) en nätverksenhet som är konfigurerad att överföra paket mellan nätverksgränssnitt. På Windows uppnås detta genom att aktivera tjänsten Routing och fjärråtkomst, i Linux genom att ställa in alternativet ip_forward.

Beslutet att överföra paket i detta fall tas också baserat på routingtabellen. Låt oss se vad den här tabellen innehåller på den vanligaste routern, till exempel den vi beskrev i artikeln:. På Linux-system kan du få rutttabellen med kommandot:

Väg -n

Som du kan se innehåller vår router rutter till nätverken 192.168.31.0 och 192.168.3.0 som den är kända för, samt en nollväg till uppströmsgatewayen 192.168.3.1.

Adressen 0.0.0.0 i Gateway-kolumnen anger att destinationsadressen är tillgänglig utan routing. Således kommer alla paket med destinationsadresser i nätverken 192.168.31.0 och 192.168.3.0 att skickas till motsvarande gränssnitt, och alla andra paket kommer att vidarebefordras längs nollvägen.

Nästa viktiga punkt är adresserna till privata (privata) nätverk, de är också "grå", de inkluderar tre intervall:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Dessa adresser kan fritt användas av vem som helst och därför de inte dirigerad... Vad betyder det? Alla paket med en destinationsadress som tillhör ett av dessa nätverk kommer att släppas av routern om det inte finns någon separat post för det i routingtabellen. Enkelt uttryckt tillämpas inte standardrutten (null) för sådana paket av routern. Det bör också förstås att denna regel endast gäller för routing, dvs. vid överföring av paket mellan gränssnitt kommer ett utgående paket med en "grå" adress att skickas längs nollvägen, även om denna nod i sig är en router.

Till exempel, om vår router tar emot ett inkommande paket med en destination, säg, 10.8.0.1, kommer det att kasseras, eftersom ett sådant nätverk är okänt för den och adresser i detta intervall inte dirigeras. Men om vi kommer åt samma nod direkt från routern kommer paketet att skickas längs nollvägen till 192.168.3.1-gatewayen och kommer att släppas av den.

Det är dags att kolla hur det hela fungerar. Låt oss försöka från vår nod 192.168.31.175 att pinga noden 192.168.3.106, som finns i nätverket bakom routern. Som du kan se lyckades vi, även om värdrutttabellen inte innehåller någon information om nätverket 192.168.3.0.

Hur blev detta möjligt? Eftersom källnoden inte vet något om destinationsnätverket kommer den att skicka ett paket till gatewayadressen. Gatewayen kommer att kontrollera sin rutttabell, hitta en post för 192.168.3.0-nätverket och skicka paketet till lämpligt gränssnitt, du kan enkelt verifiera detta genom att köra spårningskommandot, som visar hela sökvägen för vårt paket:

Tracert 192.168.3.106

Låt oss nu försöka pinga värd 192.168.31.175 från värd 192.168.3.106, dvs. åt motsatt håll. Det gick inte för oss. Varför?

Låt oss ta en närmare titt på routingtabellen. Det innehåller inga poster för 192.168.31.0-nätverket, så paketet kommer att skickas till 192.168.3.1-routern som huvudgateway för nätverket, vilket kommer att kassera detta paket, eftersom det inte har någon information om destinationsnätverket . Hur man är? Självklart ska du skicka paketet till noden som innehåller den nödvändiga informationen och kan överföra paketet till sin destination, i vårt fall är det 192.168.31.100-routern, som har adressen 192.168.3.108 på detta nätverk.

För att paket för nätverket 192.168.31.0 ska skickas till honom måste vi skapa en separat rutt.

192.168.31.0 mask 255.255.255.0 192.168.3.108

I framtiden kommer vi att hålla oss till en sådan registrering av rutter, vad betyder det? Det är enkelt, paket för 192.168.31.0-nätverket med en mask på 255.255.255.0 ska skickas till 192.168.3.108-värden. På Windows kan en rutt läggas till med kommandot:

Rutt lägg till 192.168.31.0 mask 255.255.255.0 192.168.3.108

Route add -net 192.168.31.0 nätmask 255.255.255.0 gw 192.168.3.108

Låt oss försöka.

Låt oss analysera resultatet, en rutt har dykt upp i routingtabellen och alla paket till nätverket 192.168.31.0 skickas nu till routern på detta nätverk, vilket kan ses från svaret från ping-kommandot, men de når inte destination. Vad är problemet? Det är dags att komma ihåg att en av huvuduppgifterna för en router inte bara är routing, utan också funktionen hos en brandvägg, som tydligt förbjuder åtkomst från det externa nätverket inuti. Om vi ​​tillfälligt ersätter den här regeln med en tillåtande, kommer allt att fungera.

Rutterna som läggs till av ovanstående kommandon sparas tills noden startas om, detta är bekvämt, även om du krånglar till mycket behöver du bara starta om för att ångra ändringarna. För att lägga till en beständig rutt i Windows, kör kommandot:

Rutt lägg till 192.168.31.0 mask 255.255.255.0 192.168.3.108 -p

På Linux i / etc / nätverk / gränssnitt, efter gränssnittsbeskrivningen, lägg till:

Post-up route add -net 192.168.31.0 nätmask 255.255.255.0 gw 192.168.3.108

Detta är förresten inte det enda sättet att konfigurera åtkomst från nätverket 192.168.3.0 till nätverket 192.168.31.0, istället för att lägga till en rutt för varje nod kan du "lära" routern att skicka paket korrekt.

I det här fallet har källnoden inga uppgifter om destinationsnätverket och kommer att skicka paketet till gatewayen, förra gången gatewayen tappade ett sådant paket, men nu har vi lagt till den nödvändiga rutten till dess routingtabell, och det kommer att skicka paketet till noden 192.168.3.108, som kommer att leverera det till sin destination.

Vi rekommenderar starkt att du tränar på liknande exempel själv, så att routing inte längre kommer att vara en svart låda för dig och rutter inte längre kommer att vara en kinesisk läskunnighet. När du har en förståelse kan du gå vidare till den andra delen av den här artikeln.

Låt oss nu titta på verkliga exempel på att ansluta kontorsnätverk via en VPN-anslutning. Trots det faktum att OpenVPN oftast används för dessa ändamål och i våra exempel menar vi även lösningar baserade på det, kommer allt ovan att gälla för alla typer av VPN-anslutningar.

Det enklaste fallet är när VPN-servern (klienten) och nätverksroutern finns på samma värd. Tänk på diagrammet nedan:

Eftersom, hoppas vi, du har lärt dig teorin och konsoliderat den i praktiken, kommer vi att analysera rutten för paket från kontorsnätverket 192.168.31.0 till filialnätet 192.168.44.0, ett sådant paket kommer att skickas till standardgatewayen, som är också en VPN-server. Den här noden vet dock ingenting om destinationsnätverket och kommer att behöva kassera detta paket. Samtidigt kan vi redan kontakta filialroutern på dess adress i VPN-nätverket 10.8.0.2, eftersom detta nätverk är tillgängligt från kontorsroutern.

För att komma åt filialnätet måste vi skicka paket för detta nätverk till en nod som är en del av detta nätverk eller har en väg till det. I vårt fall är detta grenroutern. Därför lägger vi till en rutt på kontorsroutern:

Nu kommer kontorsgatewayen, efter att ha tagit emot paketet för filialnätverket, att skicka det via VPN-kanalen till filialroutern, som, som är värd för nätverket 192.168.44.0, kommer att leverera paketet till sin destination. För att komma åt kontorsnätverket från filialnätet måste du registrera en liknande rutt på filialroutern.

Låt oss ta ett mer komplicerat diagram när routern och VPN-servern (klienten) är olika noder på nätverket. Här finns det två alternativ: skicka det nödvändiga paketet direkt till VPN-servern (klienten), eller tvinga gatewayen att göra det.

Låt oss först titta på det första alternativet.

För att paketen för filialnätverket ska komma in i VPN-nätverket måste vi lägga till en rutt till VPN-servern (klient) för varje klient i nätverket, annars kommer de att skickas till gatewayen, som släpper dem:

VPN-servern vet dock ingenting om filialkontorsnätverket, men den kan skicka paket inom VPN-nätverket, där det finns en filialnätverksnod av intresse för oss, så vi skickar paketet dit genom att lägga till en rutt på VPN-server (klient):

192.168.44.0 mask 255.255.255.0 10.8.0.2

Nackdelen med detta schema är behovet av att registrera rutter vid varje nätverksnod, vilket inte alltid är bekvämt. Den kan användas om det finns få enheter på nätverket eller om selektiv åtkomst krävs. I andra fall skulle det vara mer korrekt att överföra routinguppgiften till nätverkets huvudrouter.

I det här fallet vet inte kontorets nätverksenheter något om filialnätverket och kommer att skicka paket för det längs nollvägen, nätverksporten. Nu är gatewayens uppgift att omdirigera detta paket till VPN-servern (klienten), det är enkelt att göra genom att lägga till den nödvändiga rutten till dess routingtabell:

192.168.44.0 mask 255.255.255.0 192.168.31.101

Vi nämnde uppgiften för VPN-servern (klienten) ovan, den måste leverera paket till VPN-nätverksnoden som är en del av destinationsnätverket eller har en väg till den.

192.168.44.0 mask 255.255.255.0 10.8.0.2

För åtkomst från filialnätet till kontorsnätverket måste du lägga till lämpliga rutter till filialens nätverksnoder. Detta kan göras på vilket bekvämt sätt som helst, inte nödvändigtvis på samma sätt som det görs på kontoret. Ett enkelt exempel från verkligheten: alla datorer på filialkontoret måste ha tillgång till kontorsnätverket, men inte alla datorer på kontoret måste ha åtkomst till filialkontoret. I det här fallet, i grenen, lägger vi till en rutt till VPN-servern (klienten) på routern, och på kontoret lägger vi den bara till de nödvändiga datorerna.

I allmänhet, om du har en uppfattning om hur routing fungerar och hur beslutet att omdirigera paket tas, och även vet hur man läser routingtabellen, bör det vara enkelt att konfigurera de rätta rutterna. Vi hoppas att du inte kommer att ha dem efter att ha läst den här artikeln.

• Taggar:

Vänligen aktivera JavaScript för att se

På senare tid har det funnits ett ökat intresse för det virtuella privata nätverket (VPN) inom telekommunikationsvärlden. Detta beror på behovet av att minska kostnaderna för att underhålla företagsnätverk på grund av den billigare anslutningen av fjärrkontor och fjärranvändare via Internet. När man jämför kostnaden för att ansluta flera nätverk över Internet, till exempel med Frame Relay-nätverk, kan man faktiskt märka en betydande skillnad i kostnad. Det bör dock noteras att när du ansluter nätverk via Internet uppstår frågan omedelbart om säkerheten för dataöverföring, därför blev det nödvändigt att skapa mekanismer för att säkerställa konfidentialitet och integritet för den överförda informationen. De nätverk som är byggda på basis av sådana mekanismer kallas VPN.

Dessutom måste mycket ofta en modern person, som utvecklar sin verksamhet, resa mycket. Det kan vara resor till avlägsna hörn av vårt land eller till främmande länder. Ofta behöver människor tillgång till sin information lagrad på sin hemdator eller på en företagsdator. Detta problem kan lösas genom att organisera fjärråtkomst till det med ett modem och en linje. Användningen av en telefonlinje har sina egna egenskaper. Nackdelen med denna lösning är att ett samtal från ett annat land kostar mycket pengar. Det finns också en annan lösning som heter VPN. Fördelarna med VPN-teknik är att organisationen av fjärråtkomst inte sker via en telefonlinje, utan via Internet, vilket är mycket billigare och bättre. Enligt min mening teknik. VPN har utsikter till utbredd adoption runt om i världen.

1. Koncept och klassificering av VPN-nätverk, deras konstruktion

1.1 Vad är VPN

VPN(English Virtual Private Network - virtuellt privat nätverk) - ett logiskt nätverk skapat ovanpå ett annat nätverk, såsom Internet. Trots att kommunikationen sker över offentliga nätverk med osäkra protokoll, skapar kryptering kanaler för informationsutbyte som är stängda från utomstående. VPN låter dig kombinera till exempel flera kontor i en organisation till ett enda nätverk med hjälp av okontrollerade kanaler för kommunikation mellan dem.

I sin kärna har en VPN många av egenskaperna hos en hyrd linje, men den distribueras till exempel inom ett offentligt nätverk. Med tunnlingstekniken sänds datapaket över det publika nätet som om över en normal punkt-till-punkt-anslutning. En slags tunnel upprättas mellan varje par av "avsändare-mottagare av data" - en säker logisk anslutning som gör att du kan kapsla in data från ett protokoll i paket av ett annat. Huvudkomponenterna i tunneln är:

• initiativtagare;
• dirigerat nätverk;
• tunnelbrytare;
• en eller flera tunnelterminatorer.

VPN i sig kommer inte i konflikt med större nätverkstekniker och protokoll. Till exempel, när en uppringd anslutning upprättas, skickar klienten en ström av PPP-paket till servern. När det gäller att organisera virtuella hyrda förbindelser mellan lokala nätverk, utbyter deras routrar också PPP-paket. Men fundamentalt nytt är vidarebefordran av paket genom en säker tunnel organiserad inom det publika nätet.

Tunneling låter dig organisera överföringen av ett paket protokoll i en logisk miljö med ett annat protokoll. Som ett resultat blir det möjligt att lösa problemen med interaktion mellan flera olika typer av nätverk, till att börja med behovet av att säkerställa integriteten och konfidentialiteten för överförda data och sluta med att övervinna inkonsekvenser i externa protokoll eller adresseringssystem.

Ett företags befintliga nätverksinfrastruktur kan tillhandahållas för VPN med antingen mjukvara eller hårdvara. Att etablera ett VPN är som att lägga kablar över ett WAN. Vanligtvis upprättas en direkt anslutning mellan fjärranvändaren och tunnelns slutpunkt med PPP.

Den vanligaste metoden för att skapa VPN-tunnlar är att kapsla in nätverksprotokoll (IP, IPX, AppleTalk, etc.) i PPP och sedan kapsla in de resulterande paketen i ett tunnlingsprotokoll. Vanligtvis är det senare IP eller (mycket mindre vanligt) ATM och Frame Relay. Detta tillvägagångssätt kallas Layer 2 Tunneling, eftersom "passageraren" här är Layer 2-protokollet.

Ett alternativt tillvägagångssätt för att kapsla in nätverksprotokollpaket direkt i ett tunnlingsprotokoll (som VTP) kallas Layer 3-tunneling.

Oavsett vilka protokoll som används eller vilket syfte eftersträvas när man organiserar en tunnel, kvarstår grundteknikenpraktiskt taget oförändrad. Vanligtvis används ett protokoll för att upprätta en förbindelse med en fjärrplats, och det andra används för att kapsla in data och tjänsteinformation för överföring genom tunneln.

1.2 Klassificering av VPN-nätverk

VPN-lösningar kan klassificeras enligt flera huvudparametrar:

1. Efter den typ av miljö som används:

• Säkra VPN-nätverk. Den vanligaste varianten av privata privata nätverk. Med dess hjälp är det möjligt att skapa ett pålitligt och säkert subnät baserat på ett opålitligt nätverk, vanligtvis Internet. Exempel på säkra VPN är: IPSec, OpenVPN och PPTP.
• Pålitliga VPN-nätverk. De används i de fall där överföringsmediet kan anses tillförlitligt och det bara är nödvändigt att lösa problemet med att skapa ett virtuellt subnät inom ett större nätverk. Säkerhetsfrågor blir irrelevanta. Exempel på sådana VPN-lösningar är: MPLS och L2TP. Det skulle vara mer korrekt att säga att dessa protokoll flyttar uppgiften att säkerställa säkerhet till andra, till exempel används L2TP som regel i samband med IPSec.

2. Som genomförande:

• VPN-nätverk i form av speciell mjukvara och hårdvara. VPN-nätverket implementeras med hjälp av en speciell uppsättning mjukvara och hårdvara. Denna implementering ger hög prestanda och som regel en hög grad av säkerhet.
• VPN-nätverk som en mjukvarulösning. Använd en persondator med speciell programvara för att tillhandahålla VPN-funktionalitet.
• VPN-nätverk med en integrerad lösning. VPN-funktionalitet ger ett komplex som också löser problemen med att filtrera nätverkstrafik, organisera en brandvägg och säkerställa servicekvalitet.

3. Efter överenskommelse:

• Intranät VPN. De används för att kombinera flera distribuerade grenar av en organisation till ett enda säkert nätverk och utbyta data via öppna kommunikationskanaler.
• Fjärråtkomst VPN. De används för att skapa en säker kanal mellan ett segment av ett företagsnätverk (centralkontor eller filial) och en enskild användare som, medan han arbetar hemifrån, ansluter till företagets resurser från en hemdator eller, under en affärsresa, ansluter till företagsresurser med en bärbar dator.
• Extranät VPN. Används för nätverk som "externa" användare (som kunder eller klienter) ansluter till. Nivån av förtroende för dem är mycket lägre än för företagets anställda, därför är det nödvändigt att tillhandahålla särskilda "linjer" för skydd, förhindra eller begränsa de senares tillgång till särskilt värdefull, konfidentiell information.

4. Efter typ av protokoll:

• Det finns implementeringar av virtuella privata nätverk för TCP/IP, IPX och AppleTalk. Men idag finns det en tendens till en generell övergång till TCP/IP-protokollet, och de allra flesta VPN-lösningar stödjer det.

5. På nivån för nätverksprotokollet:

• Genom nätverksprotokolllager baserat på mappning till ISO / OSI-nätverksreferensmodelllagren.

1.3. Bygga ett VPN

Det finns olika alternativ för att bygga ett VPN. När du väljer en lösning måste du överväga prestandafaktorerna för din VPN-byggare. Till exempel, om en router redan körs med sin maximala kapacitet, då lägga till VPN-tunnlar och tillämpa kryptering / dekryptering av information kan stoppa driften av hela nätverket på grund av det faktum att denna router inte kommer att kunna hantera enkel trafik, än mindre VPN. Erfarenheten visar att det är bäst att använda specialiserad utrustning för att bygga ett VPN, men om det finns ett begränsat medel kan du uppmärksamma en ren mjukvarulösning. Låt oss överväga några alternativ för att bygga ett VPN.

• VPN baserad på brandväggar. De flesta tillverkares brandväggar stöder tunnling och datakryptering. Alla sådana produkter är baserade på det faktum att trafik som passerar genom brandväggen är krypterad. En krypteringsmodul läggs till i själva brandväggsmjukvaran. Nackdelen med denna metod är att prestandan beror på hårdvaran som kör brandväggen. När du använder PC-baserade brandväggar, tänk på att denna lösning endast kan användas för små nätverk med lite trafik.
• VPN baserad på routrar. Ett annat sätt att bygga ett VPN är att använda routrar för att skapa säkra kanaler. Eftersom all information som utgår från det lokala nätverket passerar via routern, är det lämpligt att tilldela denna router krypteringsuppgifterna.Ett exempel på utrustning för att bygga VPN på routrar är utrustning från Cisco Systems. Från och med IOS Software Release 11.3 stöder Cisco-routrar L2TP och IPSec. Förutom enkel kryptering av överförd information, stöder Cisco även andra VPN-funktioner, såsom autentisering vid upprättande av en tunnelanslutning och nyckelutbyte.En valfri ESA-krypteringsmodul kan användas för att förbättra routerns prestanda. Dessutom har Cisco System släppt en dedikerad VPN-enhet kallad Cisco 1720 VPN Access Router för små och medelstora företag och stora filialkontor.
• VPN-programvara baserad. Nästa tillvägagångssätt för att bygga ett VPN är rena mjukvarulösningar. Vid implementering av en sådan lösning används specialiserad programvara som körs på en dedikerad dator, och som i de flesta fall fungerar som en proxyserver. En dator med sådan programvara kan placeras bakom en brandvägg.
• VPN baserat på nätverksoperativsystem.Vi kommer att överväga lösningar baserade på ett nätverksoperativsystem med exemplet med Microsofts Windows-operativsystem. För att skapa ett VPN använder Microsoft PPTP, som är integrerat i Windows-systemet. Denna lösning är mycket attraktiv för organisationer som använder Windows som företagsoperativsystem. Det bör noteras att kostnaden för en sådan lösning är betydligt lägre än kostnaden för andra lösningar. En Windows-baserad VPN använder en användarbas lagrad på den primära domänkontrollanten (PDC). När du ansluter till en PPTP-server, autentiseras användaren med PAP, CHAP eller MS-CHAP. De överförda paketen är inkapslade i GRE / PPTP-paket. För att kryptera paket används ett icke-standardiserat Microsoft Point-to-Point-krypteringsprotokoll med en 40- eller 128-bitars nyckel som erhölls vid tidpunkten för upprättandet av anslutningen. Nackdelarna med detta system är bristen på dataintegritetskontroll och omöjligheten att ändra nycklarna under anslutningen. Det positiva är den enkla integrationen med Windows och den låga kostnaden.
• VPN baserad på hårdvara. Möjligheten att bygga VPN på speciella enheter kan användas i nätverk som kräver hög prestanda. Ett exempel på en sådan lösning är Radguards IPro-VPN-produkt. Denna produkt använder hårdvarukryptering av den överförda informationen, som kan överföra en ström på 100 Mbps. IPro-VPN stöder IPSec-protokoll och ISAKMP / Oakley-nyckelhanteringsmekanism. Bland annat stöder denna enhet översättning av nätverksadresser och kan kompletteras med ett speciellt kort som lägger till brandväggsfunktioner

2. VPN-protokoll

VPN: er byggs med protokoll för att tunnla data över det offentliga Internet, med tunnlingsprotokollen som krypterar data och överför dem från början till slut mellan användare. Som regel används idag protokollen på följande nivåer för att bygga VPN-nätverk:

• Länklager
• Nätverkslager
• Transportlager.

2.1 Länklager

Vid datalänklagret kan datatunnlingsprotokollen L2TP och PPTP användas, som använder auktorisering och autentisering.

PPTP.

För närvarande är det vanligaste VPN-protokollet Point-to-Point Tunneling Protocol - PPTP. Det utvecklades av 3Com och Microsoft med syftet att tillhandahålla säker fjärråtkomst till företagsnätverk över Internet. PPTP utnyttjar befintliga öppna TCP/IP-standarder och förlitar sig starkt på det äldre PPP punkt-till-punkt-protokollet. I praktiken förblir PPP kommunikationsprotokollet för PPTP-anslutningssessionen. PPTP skapar en tunnel genom nätverket till mottagarens NT-server och överför PPP-paket från fjärranvändaren genom den. Servern och arbetsstationen använder VPN och är omedvetna om hur säkert eller tillgängligt WAN mellan dem är. Serverinitierad avslutning av en anslutningssession, till skillnad från specialiserade fjärråtkomstservrar, tillåter lokala nätverksadministratörer att hålla fjärranvändare borta från säkerhetssystemet i Windows Server.

Medan PPTP-protokollets ansvarsområde endast sträcker sig till enheter som kör Windows, ger det företag möjligheten att samverka med befintliga nätverksinfrastrukturer utan att kompromissa med sina egna säkerhetssystem. På detta sätt kan en fjärranvändare ansluta till Internet med en lokal ISP över en analog telefonlinje eller ISDN och upprätta en anslutning till NT-servern. Samtidigt behöver företaget inte lägga stora summor på att organisera och underhålla en pool av modem som tillhandahåller fjärråtkomsttjänster.

Vidare beaktas RRTP:s arbete. PPTP kapslar in IP-paket för överföring över ett IP-nätverk. PPTP-klienter använder destinationsporten för att upprätta en tunnelkontrollanslutning. Denna process äger rum i OSI-modellens transportlager. Efter att tunneln har skapats börjar klientdatorn och servern utbyta servicepaket. Utöver PPTP-kontrollanslutningen för att hålla länken vid liv skapas en anslutning för vidarebefordran av datatunnel. Inkapslingen av data innan den skickas genom tunneln skiljer sig något från normal överföring. Att kapsla in data innan de skickas in i tunneln innebär två steg:

1. Först skapas PPP-informationsdelen. Data flödar uppifrån och ner, från OSI-applikationslagret till datalänklagret.
2. Den mottagna datan skickas sedan upp i OSI-modellen och kapslas in av övre skiktprotokoll.

Under det andra passet når data alltså transportlagret. Informationen kan dock inte skickas till sin destination, eftersom OSI datalänklagret ansvarar för detta. Därför krypterar PPTP nyttolastfältet för paketet och tar över funktionerna i det andra lagret som normalt ägs av PPP, dvs. lägger till ett PPP-huvud och efterföljande till PPTP-paketet. Detta slutför skapandet av länklagerramen.

Därefter kapslar PPTP in PPP-ramen i ett Generic Routing Encapsulation (GRE)-paket som tillhör nätverkslagret. GRE kapslar in nätverkslagerprotokoll som IPX, AppleTalk, DECnet för att de ska kunna transporteras över IP-nätverk. GRE har dock inte förmågan att upprätta sessioner och skydda data från inkräktare. Den använder PPTP:s förmåga att skapa en anslutning för att hantera tunneln. Användningen av GRE som en inkapslingsmetod begränsar PPTP:s verksamhetsområde till endast IP-nätverk.

Efter att PPP-ramen har inkapslats i en GRE-huvudram, är den inkapslad i en IP-huvudram. IP-huvudet innehåller adresserna till avsändaren och mottagaren av paketet. Slutligen lägger PPTP till ett PPP-huvud och ett slut.

Avsändarsystemet skickar data genom tunneln. Det mottagande systemet tar bort alla overheadhuvuden och lämnar endast PPP-data.

L2TP

Inom en snar framtid förväntas en ökning av antalet utplacerade VPN:er baserat på det nya Layer 2 Tunneling Protocol - L2TP -.

L2TP är resultatet av kombinationen av PPTP- och L2F-protokollen (Layer 2 Forwarding). PPTP låter dig tunnla PPP-paket och L2F-paket SLIP och PPP. För att undvika förvirring och interoperabilitetsproblem på telekommunikationsmarknaden rekommenderade Internet Engineering Task Force (IETF) Cisco Systems att slå samman PPTP och L2F. Av allt att döma har L2TP införlivat de bästa funktionerna i PPTP och L2F. Den största fördelen med L2TP är att detta protokoll låter dig skapa en tunnel inte bara i IP-nätverk utan också i sådana nätverk som ATM, X.25 och Frame Relay. Tyvärr stöder implementeringen av Windows 2000 L2TP endast IP.

L2TP använder UDP som sin transport och använder samma meddelandeformat för både tunnelhantering och dataöverföring. L2TP i Microsofts implementering använder UDP-paket som innehåller krypterade PPP-paket som kontrollmeddelanden. Leveransens tillförlitlighet garanteras av kontrollen av paketens sekvens.

Funktionaliteten hos PPTP och L2TP är olika. L2TP kan användas inte bara i IP-nätverk, tjänstemeddelanden använder samma format och protokoll för att skapa en tunnel och skicka data genom den. PPTP kan endast användas på IP-nätverk och behöver en separat TCP-anslutning för att skapa och använda tunneln. L2TP över IPSec erbjuder fler säkerhetslager än PPTP och kan garantera nästan 100 procent säkerhet för affärskritisk data. Funktionerna hos L2TP gör det till ett mycket lovande protokoll för att bygga virtuella nätverk.

L2TP och PPTP skiljer sig från Layer 3-tunnelprotokoll på ett antal sätt:

1. Ge företag möjligheten att självständigt välja hur de ska autentisera användare och verifiera deras referenser - på deras eget "territorium" eller hos en internetleverantör. Genom att bearbeta tunnlade PPP-paket får servrarna i företagsnätverket all information de behöver för att identifiera användare.
2. Tunnelväxlingsstöd - avslutar en tunnel och initierar en annan till en av många potentiella terminatorer. Tunnelväxling tillåter så att säga förlänga PPP-anslutningen till önskad slutpunkt.
3. Tillåt företagsnätverksadministratörer att implementera strategier för att tilldela åtkomsträttigheter till användare direkt på brandväggen och back-end-servrarna. Eftersom tunnelterminatorer tar emot PPP-paket som innehåller användarinformation, kan de tillämpa säkerhetspolicyer formulerade av administratörer på individuell användartrafik. (Layer 3 tunneling skiljer inte mellan paket som kommer från leverantören, så säkerhetspolicyfilter måste tillämpas på slutarbetsstationer och nätverksenheter.) Dessutom, i fallet med att använda en tunnelväxel, blir det möjligt att organisera "fortsättningen" " av tunneln den andra nivån för direkt sändning av trafik av enskildaanvändare till motsvarande interna servrar. Sådana servrar kan ha i uppdrag att utföra ytterligare paketfiltrering.

MPLS

Dessutom, vid datalänkslagret, för organisation av tunnlar, MPLS-teknik ( Från engelska Multiprotocol Label Switching - multi-protocol label switching - en dataöverföringsmekanism som emulerar olika egenskaper hos kretskopplade nätverk över paketkopplade nätverk). MPLS arbetar i ett lager som skulle kunna vara beläget mellan länklagret och det tredje nätverkslagret i OSI-modellen, och därför kallas det vanligtvis för ett länknätverkslagerprotokoll. Den designades för att tillhandahålla en universell datatjänst för både kretskopplade och paketkopplade klienter. MPLS kan bära en mängd olika trafik såsom IP-paket, ATM, SONET och Ethernet-ramar.

VPN-lösningar på länknivå har en ganska begränsad omfattning, oftast inom leverantörens domän.

2.2 Nätverkslager

Nätverkslager (IP-lager). IPSec-protokollet används, som implementerar kryptering och konfidentialitet av data, samt autentisering av abonnenter. Användning av IPSec-protokollet möjliggör fullfjädrad åtkomst motsvarande en fysisk anslutning till företagets nätverk. För att upprätta ett VPN måste varje deltagare konfigurera vissa IPSec-parametrar, d.v.s. varje klient måste ha programvara som implementerar IPSec.

IPSec

Naturligtvis vill inget företag öppet gå över till Internet finansiell eller annan konfidentiell information. VPN-kanaler är skyddade av kraftfulla krypteringsalgoritmer inbäddade i IPsec-säkerhetsprotokollstandarderna. IPSec eller Internet Protocol Security - standarden vald av det internationella samfundet, IETF-gruppen - Internet Engineering Task Force, skapar grunden för säkerhet för Internet Protocol (IP / IPSec-protokollet ger säkerhet i nätverkslagret och kräver IPSec-stöd endast för att kommunicera enheter på båda Alla andra enheter däremellan tillhandahåller helt enkelt IP-pakettrafik.

Metoden för interaktion mellan personer som använder IPSec-teknik definieras vanligtvis av termen "säker association" - Security Association (SA). En säker förening fungerar på basis av ett avtal mellan parterna som använder IPSec för att skydda information som överförs till varandra. Detta avtal styr flera parametrar: avsändarens och mottagarens IP-adresser, kryptografisk algoritm, nyckelutbytesordning, nyckelstorlekar, nyckellivslängd, autentiseringsalgoritm.

IPSec är en konsekvent uppsättning öppna standarder med en kärna som enkelt kan utökas med nya funktioner och protokoll. Kärnan i IPSec består av tre protokoll:

· ETT eller Authentication Header - en autentiseringsrubrik - garanterar integriteten och äktheten för data. Huvudsyftet med AN-protokollet är att det gör det möjligt för den mottagande sidan att se till att:

• paketet sändes av en part med vilken en säker koppling upprättats;
• innehållet i paketet manipulerades inte under dess överföring över nätverket;
• paketet är inte en dubblett av det redan mottagna paketet.

De två första funktionerna är obligatoriska för AH-protokollet, och den sista är valfri när en förening upprättas. AN-protokollet använder en speciell rubrik för att utföra dessa funktioner. Dess struktur anses som följer:

1. Nästa rubrikfält indikerar koden för det högre lagerprotokollet, det vill säga protokollet vars meddelande placeras i datafältet för IP-paketet.
2. Fältet för nyttolastlängd innehåller längden på AH-huvudet.
3. Security Parameters Index (SPI) används för att associera ett paket med dess säkra association.
4. Fältet Sekvensnummer (SN) indikerar sekvensnumret för ett paket och används för att skydda mot falsk uppspelning (när en tredje part försöker återanvända fångade säkra paket som skickats av en genuint autentiserad avsändare).
5. Autentiseringsdatafältet, som innehåller det så kallade Integrity Check Value (ICV), används för att autentisera och kontrollera paketets integritet. Detta värde, även kallat en sammanfattning, beräknas med en av de två beräkningsmässigt irreversibla funktionerna MD5 eller SAH-1 som AH måste stödja, men vilken annan funktion som helst kan användas.

· ESP eller Encapsulating Security Payload- Inkapsling av krypterad data - krypterar överförd data, säkerställer konfidentialitet, kan också stödja autentisering och dataintegritet;

ESP-protokollet löser två grupper av problem.

1. Den första innehåller uppgifter som liknar dem i AN-protokollet - det är att säkerställa autentisering och dataintegritet baserat på sammanfattningen,
2. Den andra - de överförda data genom att kryptera dem från obehörig visning.

Rubriken är uppdelad i två delar, åtskilda av ett datafält.

1. Den första delen, som kallas den faktiska ESP-huvudet, bildas av två fält (SPI och SN), vars syfte liknar fälten med samma namn i AH-protokollet, och placeras före datafältet.
2. Resten av servicefälten i ESP-protokollet, kallad ESP-trailer, finns i slutet av paketet.

De två trailerfälten - nästa rubrik och autentiseringsdata - liknar AH-huvudfälten. Fältet Autentiseringsdata finns inte om säkerhetsföreningen är inställd på att inte använda ESP:s integritetsfunktioner. Utöver dessa fält innehåller trailern ytterligare två fält - en platshållare och en platshållarlängd.

AH- och ESP-protokollen kan skydda data i två lägen:

1. vid transport - överföring utförs med original IP-headers;
2. i tunnel - originalpaketet placeras i ett nytt IP-paket och överföringen utförs med nya rubriker.

Användningen av det här eller det läget beror på kraven för dataskydd, såväl som på den roll som spelar i nätverket av noden som avslutar den säkra kanalen. Till exempel kan en nod vara en värd (slutnod) eller en gateway (mellannod).

Följaktligen finns det tre scheman för att använda IPSec-protokollet:

1. värd värd;
2. gateway-gateway;
3. värdgateway.

Möjligheterna hos AH- och ESP-protokollen överlappar delvis: AH-protokollet är endast ansvarigt för att säkerställa integriteten och autentiseringen av data, ESP-protokollet kan kryptera data och dessutom utföra funktionerna i AH-protokollet (i en trunkerad form) . ESP kan stödja kryptering och autentisering/integritetsfunktioner i valfri kombination, det vill säga antingen hela gruppen av funktioner, eller endast autentisering/integritet, eller endast kryptering.

· IKE eller Internet Key Exchange - Internetnyckelutbyte - löser det extra problemet med att automatiskt förse slutpunkter med en säker kanal för de hemliga nycklar som är nödvändiga för driften av autentiserings- och datakrypteringsprotokollen.

2.3 Transportlager

Transportlagret använder SSL/TLS eller Secure Socket Layer/Transport Layer Security, som implementerar kryptering och autentisering mellan mottagarens och sändarens transportlager. SSL / TLS kan användas för att skydda TCP-trafik, det kan inte användas för att skydda UDP-trafik. För att en VPN baserad på SSL/TLS ska fungera finns det inget behov av att implementera speciell programvara, eftersom varje webbläsare och e-postklient är utrustad med dessa protokoll. Eftersom SSL/TLS är implementerat i transportlagret upprättas en säker anslutning från början till slut.

TLS-protokollet är baserat på Netscape SSL-protokollet version 3.0 och består av två delar - TLS Record Protocol och TLS Handshake Protocol. Skillnaderna mellan SSL 3.0 och TLS 1.0 är små.

SSL/TLS har tre huvudfaser:

1. Dialog mellan parterna, vars syfte är att välja en krypteringsalgoritm;
2. Nyckelutbyte baserat på offentliga nyckelkryptosystem eller certifikatbaserad autentisering;
3. Överföring av data krypterad med symmetriska krypteringsalgoritmer.

2.4 VPN-implementering: IPSec eller SSL/TLS?

Ofta ställs chefer för IT-avdelningar inför frågan: vilket av protokollen att välja för att bygga ett företags VPN? Svaret är inte självklart, eftersom varje tillvägagångssätt har både för- och nackdelar. Vi kommer att försöka genomföra och identifiera när det är nödvändigt att använda IPSec, och när SSL / TLS. Som kan ses från analysen av egenskaperna hos dessa protokoll är de inte utbytbara och kan fungera både separat och parallellt, vilket definierar de funktionella egenskaperna för var och en av de implementerade VPN:erna.

Valet av ett protokoll för att bygga ett företags VPN-nätverk kan utföras enligt följande kriterier:

· Den typ av åtkomst som krävs för VPN-användare.

1. Fullständig permanent anslutning till företagets nätverk. Det rekommenderade valet är IPSec.
2. Den tillfälliga anslutningen av till exempel en mobilanvändare eller en användare som använder en offentlig dator, för att få tillgång till vissa tjänster, såsom e-post eller en databas. Det rekommenderade valet är SSL/TLS, vilket gör att du kan konfigurera ett VPN för varje enskild tjänst.

· Om användaren är anställd på företaget.

1. Om användaren är anställd på företaget kan enheten han använder för att komma åt företagsnätverket via IPSec VPN konfigureras på något specifikt sätt.
2. Om användaren inte är anställd på företaget som ansluter till företagsnätverket, rekommenderas att använda SSL/TLS. Detta kommer endast att begränsa gästernas tillgång till vissa tjänster.

· Vilken är säkerhetsnivån för företagsnätverket.

1. Hög. Det rekommenderade valet är IPSec. Säkerhetsnivån som erbjuds av IPSec är faktiskt mycket högre än säkerhetsnivån som erbjuds av SSL / TLS-protokollet på grund av användningen av konfigurerbar programvara på användarsidan och en säkerhetsgateway på företagssidan.
2. Genomsnitt. Det rekommenderade valet är SSL / TLS, som tillåter åtkomst från vilken terminal som helst.

· Säkerhetsnivån för data som överförs av användaren.

1. Hög, till exempel företagsledning. Det rekommenderade valet är IPSec.
2. Medium, till exempel en partner. Det rekommenderade valet är SSL/TLS.

Medel till hög beroende på tjänst. Det rekommenderade valet är en kombination av IPSec (för tjänster som kräver en hög säkerhetsnivå) och SSL/TLS (för tjänster som kräver en medelhög säkerhetsnivå).

· Ännu viktigare, snabb VPN-distribution eller framtida skalbarhet.

1. Snabb VPN-distribution till minimal kostnad. Det rekommenderade valet är SSL/TLS. I det här fallet finns det inget behov av att implementera speciell programvara på användarsidan, som i fallet med IPSec.
2. VPN-skalbarhet - lägger till tillgång till olika tjänster. Det rekommenderade valet är IPSec-protokollet, som ger tillgång till alla tjänster och resurser i företagsnätverket.
3. Snabb implementering och skalbarhet. Rekommenderat val är en kombination av IPSec och SSL/TLS: använda SSL/TLS som ett första steg för att komma åt de tjänster du behöver, och sedan implementera IPSec.

3. Metoder för att implementera VPN-nätverk

VPN är baserat på tre implementeringsmetoder:

· Tunneldrivning;

· Kryptering;

· Autentisering.

3.1 Tunneldrivning

Tunneling ger dataöverföring mellan två punkter - tunnelns ändar - på ett sådant sätt att hela nätverksinfrastrukturen som ligger mellan dem döljs för källan och datamottagaren.

Tunneltransportmediet, som en ånga, plockar upp paketen från det använda nätverksprotokollet vid ingången till tunneln och levererar dem oförändrade till utgången. Tunnling räcker för att koppla ihop två nätverksnoder så att de ur den programvara som körs på dem ser ut att vara anslutna till samma (lokala) nätverk. Men vi får inte glömma att "ångan" med data faktiskt passerar genom många mellanliggande noder (routrar) i det öppna offentliga nätverket.

Detta tillstånd är fyllt med två problem. Den första är att information som sänds genom tunneln kan fångas upp av inkräktare. Om det är konfidentiellt (bankkortsnummer, bokslut, personlig information), är hotet om dess kompromiss ganska verkligt, vilket redan är obehagligt i sig. Ännu värre, angripare har förmågan att modifiera data som överförs genom tunneln så att mottagaren inte kan verifiera dess giltighet. Konsekvenserna kan bli svåra. Med tanke på ovanstående kommer vi till slutsatsen att tunneln i sin rena form endast är lämplig för vissa typer av nätverksanslutna datorspel och inte kan låtsas vara mer seriösa tillämpningar. Båda problemen löses med moderna metoder för kryptografiskt informationsskydd. För att förhindra obehöriga ändringar av datapaketet på väg genom tunneln, används metoden för elektronisk digital signatur (). Kärnan i metoden är att varje överfört paket förses med ytterligare ett informationsblock, som genereras i enlighet med en asymmetrisk kryptografisk algoritm och är unik för innehållet i paketet och avsändarens hemliga EDS-nyckel. Detta informationsblock är paketets EDS och låter dig autentisera data av mottagaren, som känner till avsändarens offentliga EDS-nyckel. Skyddet av data som överförs genom tunneln från obehörig visning uppnås genom användning av starka krypteringsalgoritmer.

3.2 Autentisering

Säkerhet är en central VPN-funktion. All data från klientdatorer går via Internet till VPN-servern. En sådan server kan placeras på stort avstånd från klientdatorn och data på vägen till organisationens nätverk passerar genom utrustningen hos många leverantörer. Hur säkerställer man att data inte har lästs eller ändrats? För detta används olika autentiserings- och krypteringsmetoder.

PPTP kan använda vilket som helst av PPP-protokollen för att autentisera användare

• EAP eller Extensible Authentication Protocol;
• MSCHAP eller Microsoft Challenge Handshake Authentication Protocol (version 1 och 2);
• CHAP eller Challenge Handshake Authentication Protocol;
• SPAP eller Shiva Password Authentication Protocol;
• PAP eller lösenordsautentiseringsprotokoll.

De bästa protokollen är MSCHAP version 2 och Transport Layer Security (EAP-TLS) eftersom de ger ömsesidig autentisering, d.v.s. VPN-servern och klienten identifierar varandra. I alla andra protokoll är det bara servern som autentiserar klienterna.

Även om PPTP ger en rimlig grad av säkerhet, är L2TP över IPSec mer tillförlitlig. L2TP över IPSec tillhandahåller autentisering på användar- och datornivå, samt autentisering och datakryptering.

Autentisering görs antingen genom ett öppet test (lösenord med klartext) eller genom ett utmanings-/svarsschema. Med direkttext är allt klart. Klienten skickar ett lösenord till servern. Servern jämför detta med ett riktmärke och nekar antingen åtkomst eller säger "välkommen". Öppen autentisering påträffas nästan aldrig.

Förfrågnings-/svarsschemat är mycket mer avancerat. Generellt sett ser det ut så här:

• klienten skickar en begäran till servern för autentisering;
• servern returnerar ett slumpmässigt svar (utmaning);
• klienten tar bort en hash från sitt lösenord (en hash är resultatet av en hashfunktion som omvandlar en indatamatris av godtycklig längd till en utdatabitsträng med en fast längd), krypterar svaret med det och skickar det till servern;
• servern gör detsamma och jämför det mottagna resultatet med klientens svar;
• om det krypterade svaret matchar är autentiseringen framgångsrik;

I det första steget av autentisering av VPN-klienter och -servrar använder L2TP över IPSec lokala certifikat som tas emot från certifikatutfärdaren. Klienten och servern utbyter certifikat och skapar en säker ESP SA (säkerhetsförening). När L2TP (över IPSec) har slutfört datorautentiseringsprocessen, utförs autentisering på användarnivå. Alla protokoll kan användas för autentisering, även PAP, som överför användarnamn och lösenord i klartext. Detta är ganska säkert eftersom L2TP över IPSec krypterar hela sessionen. Att autentisera användaren med MSCHAP, som använder olika krypteringsnycklar för att autentisera datorn och användaren, kan dock förbättra säkerheten.

3.3. Kryptering

PPTP-kryptering säkerställer att ingen kan komma åt data när den skickas över Internet. Två krypteringsmetoder stöds för närvarande:

• Krypteringsprotokollet MPPE eller Microsoft Point-to-Point Encryption är endast kompatibelt med MSCHAP (version 1 och 2);
• EAP-TLS och kan automatiskt välja längden på krypteringsnyckeln vid förhandling av parametrar mellan klienten och servern.

MPPE stöder 40, 56 eller 128 bitars nycklar. Äldre Windows-operativsystem stöder endast 40-bitars nyckellängdskryptering, så i en blandad Windows-miljö väljer du minsta nyckellängd.

PPTP ändrar krypteringsnyckelns värde efter varje mottaget paket. MMPE designades för punkt-till-punkt-länkar där paket sänds sekventiellt och det finns mycket lite dataförlust. I denna situation beror nyckelvärdet för nästa paket på dekrypteringsresultaten för det föregående paketet. När man bygger virtuella nätverk via offentliga accessnät kan dessa villkor inte iakttas, eftersom datapaket ofta kommer till mottagaren i fel ordningsföljd som de skickades. Därför använder PPTP paketsekvensnummer för att ändra krypteringsnyckeln. Detta gör att dekryptering kan utföras oberoende av tidigare mottagna paket.

Båda protokollen är implementerade både i Microsoft Windows och utanför det (till exempel i BSD); VPN-algoritmer kan skilja sig avsevärt.

Således låter paketet "tunneling + autentisering + kryptering" dig överföra data mellan två punkter genom ett offentligt nätverk, vilket simulerar driften av ett privat (lokalt) nätverk. Med andra ord låter de övervägda verktygen dig bygga ett virtuellt privat nätverk.

En ytterligare trevlig effekt av en VPN-anslutning är möjligheten (och till och med behovet) att använda adresseringssystemet som används i det lokala nätverket.

Implementeringen av ett virtuellt privat nätverk i praktiken är som följer. En VPN-server är installerad i det lokala nätverket på företagets kontor. Fjärranvändaren (eller routern, om två kontor är anslutna) som använder VPN-klientprogramvaran initierar anslutningen till servern. Användarautentisering äger rum - den första fasen av att upprätta en VPN-anslutning. I fallet med auktoriseringsbekräftelse börjar den andra fasen - mellan klienten och servern förhandlas detaljerna för att säkerställa anslutningens säkerhet. Därefter organiseras en VPN-anslutning, som säkerställer utbytet av information mellan klienten och servern i form, när varje paket med data går igenom krypterings-/dekrypteringsprocedurerna och integritetskontroll - dataautentisering.

Det största problemet med VPN är bristen på väletablerade standarder för autentisering och krypterad informationsutbyte. Dessa standarder är fortfarande under utveckling, och därför kan produkter från olika tillverkare inte upprätta VPN-anslutningar och automatiskt utbyta nycklar. Detta problem medför en avmattning i spridningen av VPN, eftersom det är svårt att tvinga olika företag att använda produkter från samma tillverkare, och därför är processen att kombinera partnerföretagens nätverk till så kallade extranätnätverk svår.

Fördelarna med VPN-teknik är att organisationen av fjärråtkomst inte sker via en telefonlinje, utan via Internet, vilket är mycket billigare och bättre. Nackdelen med VPN-teknik är att VPN-byggnadsverktyg inte är kompletta verktyg för att upptäcka och blockera attacker. De kan förhindra ett antal obehöriga åtgärder, men inte alla funktioner som kan användas för att penetrera ett företagsnätverk. Men trots allt detta har VPN-tekniken möjligheter att utvecklas vidare.

Så vad kan du förvänta dig när det gäller VPN-teknikutveckling i framtiden? Utan tvekan kommer en enhetlig standard för konstruktion av sådana nätverk att utvecklas och godkännas. Troligtvis kommer grunden för denna standard att vara det redan beprövade IPSec-protokollet. Därefter kommer leverantörer att fokusera på att förbättra prestandan för sina produkter och skapa användarvänliga VPN-kontroller. Troligtvis kommer utvecklingen av VPN-byggverktyg att gå i riktning mot VPN baserad på routrar, eftersom denna lösning kombinerar en ganska hög prestanda, VPN-integration och routing i en enhet. Men även lågkostnadslösningar för små organisationer kommer att utvecklas. Sammanfattningsvis måste det sägas att även om VPN-tekniken fortfarande är väldigt ung så har den en stor framtid framför sig.

Lämna din kommentar!

Låt oss lära känna VPN lite, ta reda på de grundläggande frågorna och använd dessa tre bokstäver till vår fördel.

Se hur informationen flyter mellan min bärbara dator och smartphonen bredvid, den så kallade ruttspårningen. Och det finns alltid en svag länk där data kan fångas upp.

Vad är en VPN för?

För organisation av nätverk inom nätverk och deras skydd. Låt oss förstå att en VPN är bra. Varför? Eftersom din data blir säkrare. Vi bygger säkert nätverköver Internet eller ett annat nätverk. Det är som en pansarbil för att transportera pengar nerför gatan från en bank till en annan bank. Du kan skicka pengar i en vanlig bil, eller i en pansarbil. På vilken väg som helst är pengar i en pansarbil säkrare. Bildligt talat är VPN en pansarbil för din information. Och VPN-servern är en byrå för tillhandahållande av pansarbilar. Kort sagt, VPN är bra.

Datasäkerhet:

Använd ett virtuellt privat nätverk (VPN-anslutning)
Med en VPN-anslutning kan du effektivt använda krypteringsteknik för data när den färdas genom nätverket när den är ansluten till ett offentligt Wi-Fi-nätverk. Detta kan förhindra cyberbrottslingar som övervakar nätverket från att fånga upp dina data.

Fortfarande inte övertygad? Här är till exempel titeln på ett av anbuden:

Tillhandahållande av tjänster för tillhandahållande av kommunikationskanaler med hjälp av VPN-teknik för att organisera dataöverföring mellan avdelningar vid direktoratet för Rysslands inrikesministerium i Kazan

Polisen är oroad över sin säkerhet, statligt ägda företag och företag är bekymrade över detta och kräver närvaron av sådana kanaler, och varför är vi sämre? Vi är ännu bättre, eftersom vi inte kommer att spendera budgetmedel, men vi kommer att ställa in allt snabbt, enkelt och gratis.

Låt oss gå. Vi skyddar konton, lösenord med VPN när vi använder öppna Wi-Fi-nätverk. Detta är vanligtvis den svagaste länken. Naturligtvis har underrättelsetjänster över hela världen, kriminella grupper råd med utrustning som ersätter och avlyssnar trafik inte bara från Wi-Fi-nätverk utan också från satellit- och mobilkommunikationsnätverk. Det här är en annan nivå och går utanför ramen för detta inlägg.
Det bästa alternativet är när du har din egen VPN-server. Om inte, då måste du lita på ärligheten hos dem som tillhandahåller dessa tjänster till dig. Så det finns betalversioner av VPN och gratis. Låt oss gå igenom den andra. Ja, en VPN-server kan konfigureras på en hemdator, men mer om det i ett separat inlägg.

Hur man ställer in ett VPN

Överväga Gratis VPN för Android på exemplet med Opera VPN - Unlimited VPN.

Ladda ner en gratis VPN-klient. Inställningarna är minimala och handlar om att slå på VPN, välja ett land som standard - ett närliggande, en nätverkstestenhet. Det finns också inställningar för att hålla VPN på.

Efter installation av applikationen visas VPN-objektet i Android-inställningsmenyn. Den här omkopplaren tar upp Opera VPN-huvudskärmen (om du bara har en VPN-anslutningsmetod).

För att styra VPN-nedkoppling och aktivering kan du aktivera programikoner i Android-inställningarna.

Inställningar-> Aviseringar och statusfält -> Appaviseringar-> Opera VPN

Var beredd på att vissa applikationer i VPN-tunnelläget kommer att be dig bekräfta din status. Så, VKontakte-applikationen med VPN påslagen kommer att fråga efter ditt telefonnummer, eftersom den anser att en angripare från Tyskland eller Nederländerna försöker komma in på ditt konto, som du vanligtvis anger från Moskva. Ange numret och fortsätt använda.

Här är det enklaste sättet att använda ett VPN på din Android-enhet. Du kan också ställa in ett virtuellt privat nätverk baserat på din router och ansluta till din hemdator från var som helst i världen via en säker kanal och fritt utbyta privat data. Men jag kommer att prata om denna mer komplicerade metod, såväl som om inställningarna för betalda applikationer och tjänster i andra inlägg.

Föreställ dig en scen från en actionfilm där en skurk flyr från en brottsplats på en motorväg i en sportbil. En polishelikopter förföljer honom. Bilen går in i en tunnel med flera utgångar. Helikopterpiloten vet inte från vilken utgång bilen kommer att dyka upp och skurken flyr från förföljelsen.

VPN är en tunnel som förbinder många vägar. Ingen utanför vet var bilarna som kommer in i den kommer att hamna. Ingen utanför vet vad som händer i tunneln.

Du har säkert hört talas om VPN mer än en gång. På Lifehacker om den här saken också. VPN rekommenderas oftast eftersom nätverket kan användas för att komma åt geoblockerat innehåll och generellt förbättra Internetsäkerheten. Sanningen är att det kan vara lika farligt att gå online via ett VPN som att gå direkt.

Hur fungerar ett VPN?

Troligtvis har du en Wi-Fi-router hemma. Enheter som är anslutna till den kan utbyta data även utan internet. Det visar sig att du har ditt eget privata nätverk, men för att kunna ansluta till det behöver du fysiskt vara inom räckhåll för routersignalen.

VPN (Virtual Private Network) är ett virtuellt privat nätverk. Den fungerar över Internet, så att du kan ansluta till den var som helst.

Till exempel kan företaget du arbetar för använda ett VPN för distanspendlare. De använder ett VPN för att ansluta till sitt arbetsnätverk. Samtidigt förs deras datorer, smartphones eller surfplattor virtuellt över till kontoret och kopplas in i nätverket från insidan. För att komma in i ett virtuellt privat nätverk måste du känna till VPN-serverns adress, användarnamn och lösenord.

Att använda ett VPN är ganska enkelt. Vanligtvis sätter ett företag upp en VPN-server någonstans på en lokal dator, server eller datacenter och ansluter till den med en VPN-klient på användarens enhet.

Inbyggda VPN-klienter är nu tillgängliga på alla nuvarande operativsystem, inklusive Android, iOS, Windows, macOS och Linux.

VPN-anslutning mellan klient och server är vanligtvis krypterad.

Så VPN är bra?

Ja, om du är företagare och vill säkra dina företagsdata och tjänster. Genom att låta anställda komma in i arbetsmiljön endast via VPN och per konto kommer du alltid att veta vem och vad som gjorde och gör.

Dessutom kan VPN-ägaren övervaka och kontrollera generellt all trafik som går mellan servern och användaren.

Sitter anställda mycket på VKontakte? Du kan stänga åtkomsten till denna tjänst. Gennady Andreevich tillbringar halva dagen på sajter med memes? All hans aktivitet registreras automatiskt i loggarna och kommer att bli ett järnargument för uppsägning.

Varför VPN då?

VPN låter dig kringgå geografiska och juridiska begränsningar.

Till exempel, du är i Ryssland och du vill. Med beklagande får du veta att denna tjänst inte är tillgänglig från Ryska federationen. Du kan bara använda den genom att gå online via VPN-servern i det land där Spotify är verksamt.

I vissa länder finns internetcensur som begränsar åtkomsten till vissa webbplatser. Du vill gå till någon resurs, men den är blockerad i Ryssland. Du kan bara öppna en webbplats genom att gå online via VPN-servern i ett land där den inte är blockerad, det vill säga från nästan alla andra än Ryska federationen.

VPN är en användbar och nödvändig teknik som klarar ett visst antal uppgifter bra. Men säkerheten för personuppgifter beror fortfarande på VPN-tjänsteleverantörens integritet, sunt förnuft, uppmärksamhet och internetkunskap.