Virtual Private Network – это виртуальная частная сеть, которая используются для обеспечения защищенного подключения внутри корпоративных соединений и доступа в интернет. Главный плюс ВПН – высокая безопасность за счет шифрования внутреннего трафика, что важно при передаче данных.
Многие люди, когда сталкиваются с этой аббревиатурой, спрашивают: VPN – что это и зачем нужно? Данная технология открывает возможность создать сетевое соединение поверх другого. Работает ВПН в нескольких режимах:
Организация частной виртуальной сети на сетевых уровнях позволяет использовать TCP и UDP протоколы. Все данные, которые проходят через компьютеры, шифруются. Это дополнительная защита для вашего подключения. Есть множество примеров, которые объясняют, что такое VPN-соединение и зачем его нужно использовать. Ниже будет подробно освещен данный вопрос.
Каждый провайдер способен предоставить по запросу соответствующих органов логи деятельности пользователей. Ваша интернет-компания записывает все действия, которые вы совершали в сети. Это помогает снять провайдеру любую ответственность за действия, которые проводил клиент. Существует много ситуаций, при которых нужно защитить свои данные и получить свободу, к примеру:
Когда вы задействуете другой VPN-канал, ваш IP будет принадлежать стране, где находится данная защищенная сеть. При подключении будет создан туннель между ВПН-сервером и вашим компьютером. После этого в логах (записях) провайдера будет набор непонятных символов. Анализ данных специальной программой не даст результатов. Если не использовать эту технологию, то проток HTTP сразу же укажет, к какому сайту вы подключаетесь.
Состоит это подключение из двух частей. Первая называется «внутренняя» сеть, можно создать несколько таких. Вторая – «внешняя», по которой происходит инкапсулированное соединение, как правило, используется интернет. Еще существует возможность подсоединиться к сети отдельного компьютера. Производится соединение пользователя к конкретному VPN через сервер доступа, подключенный одновременно к внешней и внутренней сети.
Когда программа для VPN подключает удаленного пользователя, сервер требует прохождения двух важных процессов: сначала идентификации, затем – аутентификации. Это необходимо для получения прав пользоваться данным соединением. Если вы полностью прошли успешно эти два этапа, ваша сеть наделяется полномочиями, которые открывают возможность работы. По сути – это процесс авторизации.
Есть несколько видов виртуальных частных сетей. Существуют варианты по степени защищенности, способу реализации, уровню работы по модели ISO/OSI, задействованному протоколу. Можно использовать платный доступ или бесплатный VPN-сервис от Google. Исходя из степени защищенности, каналы могут быть «защищенными» или «доверительными». Последние нужны, если само по себе соединение обладает нужным уровнем защиты. Для организации первого варианта следует использовать следующие технологии:
Для всех пользователей компьютера есть способ, как подключить VPN самостоятельно. Ниже будет рассмотрен вариант на операционной системе Виндовс. Эта инструкция не предусматривает использование дополнительного ПО. Настройка проводится следующим образом:
Выше был описан способ, как создать VPN-подключение на персональном компьютере. Однако многие уже давно выполняют все действия при помощи телефона. Если не знаете, что такое VPN на Андроид, то все вышеописанные факты о данном типе подключения справедливы и для смартфона. Конфигурация современных аппаратов обеспечивает комфортное пользование интернетом на высокой скорости. В некоторых случаях (для запуска игр, открытия сайтов) используют подмену прокси или анонимайзеры, но для стабильного и быстрого подключения VPN подходит лучше.
Если вам уже ясно, что такое VPN в телефон, то можно перейти непосредственно к созданию туннеля. Выполнить это можно на любом устройстве с поддержкой Андроид. Производится подключение следующим образом:
Раньше государство имело довольно посредственное представление об интернете, поэтому никак юридически не мешало пользователям. Сегодня, гуляя по мировой паутине, все чаще можно встретить фразу: «Этот сайт внесен в реестр запрещенных» или «Ваш провайдер заблокировал доступ».
Так вот, если вы хотите вернуть полную свободу действий в интернете и приобрести еще один уровень защиты, то вам непременно нужно ознакомиться с технологией виртуальных частных сетей – VPN.
Virtual Private Network (VPN) – название технологии, обеспечивающей создание и наложение одной или нескольких сетей поверх любой другой сети пользователя.
А теперь, как именно работает VPN. Ваш компьютер имеет определенный IP-адрес, который блокирует доступ к определенным сайтам. Вы включаете технологию VPN посредством какой-нибудь программы или расширения. VPN меняет ваш адрес на адрес из сервера иной страны (например, Голландии или Германии).
Далее, создается защитное соединение, блокировать которое невозможно со стороны провайдера. В итоге – вы получаете защищенный протокол, по которому можно беспрепятственно посещать любые сайты интернета, причем совершенно анонимно.
Вся технология работает в два слоя. Первый – это внутренняя сеть, второй – внешняя. Когда вы подключаетесь к технологии, система идентифицирует вашу сеть, а уже после отправит запрос на аутентификацию. Данная технология очень похоже на авторизацию в какой-нибудь социальной сети, только здесь все проводится через защищенные протоколы и без участия провайдера.
Сами виртуальные сети также подразделяются на несколько категорий. Главная классификация идет по степени защиты, то есть пользователь может использовать и платные VPN, и бесплатные.
Разница между ними заключается в защищенном соединении. Например, системы с подпиской дадут вам защищенные протоколы, типа PPTP, IPSec и другие. В то время, как бесплатные VPN чаще дают только «доверительные» каналы. То есть ваша сеть само по себе должна быть сильно защищена, а VPN только усилит уровень защиты.
Если честно, то самый большой минус бесплатных VPN сервисов даже не безопасность, а стабильность работы и скорость подключения. Через бесплатный VPN интернет скорее всего будет работать очень медленно, и не всегда стабильно.
Подписка на платные VPN не превышает и 10 долларов в месяц, но нужна она далеко не каждому пользователю. Для обычных задач нет смысла приобретать Premium-аккаунты, вполне хватит и стандартных возможностей.
Пользоваться технологией VPN необходимо каждому пользователю, и вот почему:
Рассмотрим ситуацию, когда мы пользуемся обычным браузером и хотим посетить заблокированные сайты. В данной ситуации можно пойти двумя путями:
Что первый, что второй вариант – они легко реализуются, но для полной картины рассмотрим и тот, и другой.
Так же можно использовать бесплатный, .
Чтобы установить VPN-клиент, необходимо скачать программу в интернете, например, «Betternet». Запускаем установочный файл и устанавливаем клиент. Запускаем его, нажимаем: «Connect» и все. Проблема в том, что программа автоматически выдает нам рандомный IP-адрес, и мы не можем выбрать страну, зато при нажатии всего одной кнопки мы уже используем VPN. И еще один минус – это необходимость постоянно запуска программы, впрочем, некоторые клиенты имеют возможность одновременного запуска с ОС.
Второй способ – это добавления расширения. Здесь минус в том, что, чаще всего, требуется регистрация для пользования, плюс, расширения имеют свойства «вылетать». Зато расширение использовать намного проще – кликаешь по иконке в браузере, выбираешь страну и profit. На данный момент существуют тысячи подобных программ, можете выбрать любую из них, например, «Hotspot Shield». Добавьте расширение в браузер, пройдите регистрацию и больше никаких технических моментов не будет.
Например, вот так работает расширение ZenMate VPN в браузере:
О VPN расширениях для разных браузеров мы писали в статье: .
Мы рассмотрим те устройства, что имеют на борту популярные ОС, например, iOS или Андроид.
Использование VPN на смартфонах или планшетах тоже реализуется довольно просто, а именно – через мобильные приложения. Проблема в том, что некоторые программы требуют root-прав, а это дополнительные заморочки, плюс, возможность превращения телефона в «кирпич». Так что ищите те программы, которые не требуют от вас root-прав. На Android, например, это OpenVPN, а на iOS – это Cloak. Так же на iPhone и iPad можно использовать бесплатный и проверенный . Я сам им иногда пользуюсь, отлично работает.
Технология загрузки очень проста: скачиваем приложение из Play Market или AppStore, устанавливаем его на свой девайс. Далее, активируем VPN, выбираем профиль (откуда, получим IP-адрес), далее, проводится соединение и на этом все. Теперь вы гуляете по интернету через VPN, о чем вам и сообщит используемое приложение.
Теперь вы понимаете, как реализована технология VPN-соединений, и теперь ваше пребывание в сети станет более безопасным, анонимным, а главное – доступным и неограниченным.
В последнее время в мире телекоммуникаций наблюдается повышенный интерес к виртуальным частным сетям (Virtual Private Network - VPN). Это обусловлено необходимостью снижения расходов на содержание корпоративных сетей за счет более дешевого подключения удаленных офисов и удаленных пользователей через сеть Internet. Действительно, при сравнении стоимости услуг по соединению нескольких сетей через Internet, например, с сетями Frame Relay можно заметить существенную разницу в стоимости. Однако необходимо отметить, что при объединении сетей через Internet, сразу же возникает вопрос о безопасности передачи данных, поэтому возникла необходимость создания механизмов позволяющих обеспечить конфиденциальность и целостность передаваемой информации. Сети, построенные на базе таких механизмов, и получили название VPN.
Кроме того, очень часто современному человеку, развивая свой бизнес, приходится много путешествовать. Это могут быть поездки в отдаленные уголки нашей страны или в страны зарубежья. Нередко людям нужен доступ к своей информации, хранящейся на их домашнем компьютере, или на компьютере фирмы. Эту проблему можно решить, организовав удалённый доступ к нему с помощью модема и линии. Использование телефонной линии имеет свои особенности. Недостатки этого решения в том, что звонок с другой страны стоит немалых денег. Есть и другое решение под названием VPN. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Internet, что намного дешевле и лучше. По моему мнению, технология. VPN имеет перспективу на широкое распространение по всему миру.
VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Internet. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.
По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например . С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Основными компонентами туннеля являются:
Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.
Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.
Наиболее распространенный метод создания туннелей VPN - инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.
Альтернативный подход - инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.
Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой - для инкапсуляции данных и служебной информации с целью передачи через туннель.
Классифицировать VPN решения можно по нескольким основным параметрам:
1. По типу используемой среды:
2. По способу реализации:
3. По назначению:
4. По типу протокола:
5. По уровню сетевого протокола:
Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего , то добавление туннелей VPN и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN. Опыт показывает, что для построения VPN лучше всего использовать специализированное оборудование, однако если имеется ограничение в средствах, то можно обратить внимание на чисто программное решение. Рассмотрим некоторые варианты построения VPN.
Сети VPN строятся с использованием протоколов туннелирования данных через сеть связи общего пользования Интернет, причем протоколы туннелирования обеспечивают шифрование данных и осуществляют их сквозную передачу между пользователями. Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:
На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию.
В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи или Point-to-Point Tunnelling Protocol - PPTP. Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР. РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера, в отличие от специализированных серверов удаленного доступа, позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows Server.
Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.
Далее рассматривается работа РРТР. PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP используют порт назначения для создания управляющего туннелем соединения. Этот процесс происходит на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами. В дополнение к управляющему соединению PPTP, обеспечивающему работоспособность канала, создается соединение для пересылки по туннелю данных. Инкапсуляция данных перед пересылкой через туннель происходит несколько иначе, чем при обычной передаче. Инкапсуляция данных перед отправкой в туннель включает два этапа:
Таким образом, во время второго прохода данные достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т.е. добавляет к PPTP-пакету PPP-заголовок и окончание. На этом создание кадра канального уровня заканчивается.
Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям. Однако GRE не имеет возможности устанавливать сессии и обеспечивать защиту данных от злоумышленников. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.
После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.
Система-отправитель посылает данные через туннель. Система-получатель удаляет все служебные заголовки, оставляя только данные PPP.
В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня Layer 2 Tunneling Protocol - L2TP.
L2TP появился в результате объединения протоколов PPTP и L2F (Layer 2 Forwarding). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. Во избежание путаницы и проблем взаимодействия систем на рынке телекоммуникаций, комитет Internet Engineering Task Force (IETF) рекомендовал компании Cisco Systems объединить PPTP и L2F. По общему мнению, протокол L2TP вобрал в себя лучшие черты PPTP и L2F. Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay. К сожалению, реализация L2TP в Windows 2000 поддерживает только IP.
L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов.
Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях, служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней безопасности, чем PPTP, и может гарантировать почти 100-процентную безопасность важных для организации данных. Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей.
Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:
Также на канальном уровне для организации туннелей может использоваться технология MPLS (От английского Multiprotocol Label Switching - мультипротокольная коммутация по меткам - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов). MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.
Решения по организации VPN на канальном уровне имеют достаточно ограниченную область действия, как правило, в рамках домена провайдера.
Сетевой уровень (уровень IP). Используется протокол IPSec реализующий шифрование и конфедициальность данных, а также аутентификацию абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь программное обеспечение реализующее IPSec.
Естественно, никакая компания не хотела бы открыто передавать в Интернет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec или Internet Protocol Security - стандарт, выбранный международным сообществом, группой IETF - Internet Engineering Task Force, создает основы безопасности для Интернет-протокола (IP/ Протокол IPSec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPSec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.
Способ взаимодействия лиц, использующих технологию IPSec, принято определять термином «защищенная ассоциация» - Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами IPSec для защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.
IPSec - это согласованный набор открытых стандартов, имеющий ядро, которое может быть достаточно просто дополнено новыми функциями и протоколами. Ядро IPSec составляют три протокола:
· АН или Authentication Header - заголовок аутентификации - гарантирует целостность и аутентичность данных. Основное назначение протокола АН - он позволяет приемной стороне убедиться, что:
Две первые функции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию. Для выполнения этих функций протокол АН использует специальный заголовок. Его структура рассматривается по следующей схеме:
· ESP или Encapsulating Security Payload - инкапсуляция зашифрованных данных - шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных;
Протокол ESP решает две группы задач.
Заголовок делится на две части, разделяемые полем данных.
Два поля концевика - следующего заголовка и данных аутентификации - аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности. Помимо этих полей концевик содержит два дополнительных поля - заполнителя и длины заполнителя.
Протоколы AH и ESP могут защищать данные в двух режимах:
Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом).
Соответственно, имеются три схемы применения протокола IPSec:
Возможности протоколов АН и ESP частично перекрываются: протокол АН отвечает только за обеспечение целостности и аутентификации данных, протокол ESP может шифровать данные и, кроме того, выполнять функции протокола АН (в урезанном виде). ESP может поддерживать функции шифрования и аутентификации / целостности в любых комбинациях, то есть либо всю группу функций, либо только аутентификацию / целостность, либо только шифрование.
· IKE или Internet Key Exchange - обмен ключами Интернета - решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.
На транспортном уровне используется протокол SSL/TLS или Secure Socket Layer/Transport Layer Security, реализующий шифрование и аутентификацию между транспортными уровнями приемника и передатчика. SSL/TLS может применяться для защиты трафика TCP, не может применяться для защиты трафика UDP. Для функционирования VPN на основе SSL/TLS нет необходимости в реализации специального программного обеспечения так как каждый браузер и почтовый клиент оснащены этими протоколами. В силу того, что SSL/TLS реализуется на транспортном уровне, защищенное соединение устанавливается «из-конца-в-конец».
TLS-протокол основан на Netscape SSL-протоколе версии 3.0 и состоит из двух частей - TLS Record Protocol и TLS Handshake Protocol. Различие между SSL 3.0 и TLS 1.0 незначительные.
SSL/TLS включает в себя три основных фазы:
Зачастую перед руководителями IT подразделений стоит вопрос: какой из протоколов выбрать для построения корпоративной сети VPN? Ответ не очевиден так как каждый из подходов имеет как плюсы, так и минусы. Постараемся провести и выявить когда необходимо применять IPSec, а когда SSL/TLS. Как видно из анализа характеристик этих протоколов они не являются взаимозаменяемыми и могут функционировать как отдельно, так и параллельно, определяя функциональные особенности каждой из реализованных VPN.
Выбор протокола для построения корпоративной сети VPN можно осуществлять по следующим критериям:
· Тип доступа необходимый для пользователей сети VPN.
· Является ли пользователь сотрудником компании.
· Каков уровень безопасности корпоративной сети.
· Уровень безопасности данных передаваемых пользователем.
В зависимости от услуги - от среднего до высокого. Рекомендуемый выбор - комбинация протоколов IPSec (для услуг требующих высокий уровень безопасности) и SSL/TLS (для услуг требующих средний уровень безопасности).
· Что важнее, быстрое развертывание VPN или масштабируемость решения в будущем.
Виртуальная частная сеть базируется на трех методах реализации:
· Туннелирование;
· Шифрование;
· Аутентификация.
Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.
Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Построения туннеля достаточно для того, чтобы соединить два сетевых узла так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов (маршрутизаторов) открытой публичной сети.
Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации, что уже само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить их достоверность. Последствия могут быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель в чистом виде пригоден разве что для некоторых типов сетевых компьютерных игр и не может претендовать на более серьезное применение. Обе проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи (). Суть метода состоит в том, что каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования.
Обеспечение безопасности является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Такой сервер может находиться на большом расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование множества провайдеров. Как убедиться, что данные не были прочитаны или изменены? Для этого применяются различные методы аутентификации и шифрования.
Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP
Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т.е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов.
Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и "компьютер", а также выполняет аутентификацию и шифрование данных.
Аутентификация осуществляется либо отрытым тестом (clear text password), либо по схеме запрос / отклик (challenge/response). С прямым текстом все ясно. Клиент посылает серверу пароль. Сервер сравнивает это с эталоном и либо запрещает доступ, либо говорит «добро пожаловать». Открытая аутентификация практически не встречается.
Схема запрос / отклик намного более продвинута. В общем виде она выглядит так:
На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (security association). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту.
Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. В настоящее время поддерживаются два метода шифрования:
MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа.
PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов.
Оба протокола реализованы как в Microsoft Windows, так и вне ее (например, в BSD), на алгоритмы работы VPN могут существенно отличаться.
Таким образом, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные между двумя точками через сеть общего пользования, моделируя работу частной (локальной) сети. Иными словами, рассмотренные средства позволяют построить виртуальную частную сеть.
Дополнительным приятным эффектом VPN-соединения является возможность (и даже необходимость) использования системы адресации, принятой в локальной сети.
Реализация виртуальной частной сети на практике выглядит следующим образом. В локальной вычислительной сети офиса фирмы устанавливается сервер VPN. Удаленный пользователь (или маршрутизатор, если осуществляется соединение двух офисов) с использованием клиентского программного обеспечения VPN инициирует процедуру соединения с сервером. Происходит аутентификация пользователя - первая фаза установления VPN-соединения. В случае подтверждения полномочий наступает вторая фаза - между клиентом и сервером выполняется согласование деталей обеспечения безопасности соединения. После этого организуется VPN-соединение, обеспечивающее обмен информацией между клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования / дешифрования и проверки целостности - аутентификации данных.
Основной проблемой сетей VPN является отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все еще находятся в процессе разработки и потому продукты различных производителей не могут устанавливать VPN-соединения и автоматически обмениваться ключами. Данная проблема влечет за собой замедление распространения VPN, так как трудно заставить различные компании пользоваться продукцией одного производителя, а потому затруднен процесс объединения сетей компаний-партнеров в, так называемые, extranet-сети.
Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Интернет, что намного дешевле и лучше. Недостаток технологии VPN в том, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использоваться для проникновения в корпоративную сеть. Но, несмотря на все это технология VPN имеет перспективы на дальнейшее развитие.
Чего же можно ожидать в плане развития технологий VPN в будущем? Без всякого сомнения, будет выработан и утвержден единый стандарт построения подобных сетей. Скорее всего, основой этого стандарта будет, уже зарекомендовавший себя протокол IPSec. Далее, производители сконцентрируются на повышении производительности своих продуктов и на создании удобных средств управления VPN. Скорее всего, развитие средств построения VPN будет идти в направлении VPN на базе маршрутизаторов, так как данное решение сочетает в себе достаточно высокую производительность, интеграцию VPN и маршрутизации в одном устройстве. Однако будут развиваться и недорогие решения для небольших организаций. В заключение, надо сказать, что, несмотря на то, что технология VPN еще очень молода, ее ожидает большое будущее.
Оставьте свой комментарий!
Если вы живы, заходили в интернет в 2017 году и не живете на необитаемом острове, то вы наверняка уже не раз и не два слышали термин «VPN». Если вы все еще не знаете, что это такое, зачем это нужно и как это улучшает жизнь (и качество работы в интернете в частности), то мы, команда сайта vpnMentor, будем рады провести для вас ликбез. Ну что, поехали?
VPN (от англ. Virtual Private Network - виртуальная приватная сеть) - это специальная технология создания безопасного сетевого соединения в общественной (том же Интернете) или частной сети. Все и вся, от крупных компаний и до правительственных органов, используют эту технологию, чтобы обеспечить безопасное подключение к их инфраструктуре удаленным пользователям.
В Интернете вы можете найти буквально десятки VPN-сервисов, с помощью которых вы сможете безопасно и защищенно подключаться к сети за $5-$10 в месяц. Это позволит вам надежно зашифровать ваши личные данные и все, что вы делаете в интернете. Кроме того, большинство операционных систем уже давно поддерживают VPN-подключения, а также существуют (и/или бесплатные версии платных VPN).
Общедоступные сети стали слишком опасны для рядового пользователя – всюду хакеры, атаки и снифферы, пытающиеся украсть ваши данные. Так зачем есть кактус и плакать (читай, продолжать пользоваться общедоступными сетями и надеяться на авось), когда можно поступить по-умному и воспользоваться VPN-сервисом?
Изначально VPN-технологии разрабатывались для того, чтобы сотрудники корпораций могли подключаться к локальным сетям компаний, находясь у себя дома. Сейчас же VPN-подключения используются преимущественно в тех случаях, когда люди хотят скрыть свою интернет-активность от любопытных глаз посторонних, обеспечив тем самым свою онлайн-конфиденциальность и обходя блокировки доступа к контенту (как локальные, так и национальные). Среди других целей использования VPN-сервисов можно назвать защиту от хакеров при работе в общедоступных WiFi-сетях и обход гео-блокировки сайтов (для доступа к контенту, доступному лишь в определенных регионах).
Файрволл защищает данные на вашем компьютере, а VPN защищает ваши данные онлайн. Чисто технически, VPN – это WAN-сеть (Wide Area Network), которая предлагает безопасность и функционал такого же уровня, что и частная сеть. При этом есть два типа VPN-подключений: удаленный доступ (компьютер подключается к сети) и сеть-к-сети.
Работая в сети без VPN, вы подключаетесь к серверу вашего интернет-провайдера, который, в свою очередь, соединяет вас с нужным сайтом. Это значит, что весь ваш интернет-трафик проходит через серверы провайдера, а провайдер, соответственно, может следить за вашим трафиком.
Когда вы подключаетесь через VPN-сервер, ваш трафик проходит туда через зашифрованный «туннель». Это значит, что к вашему трафику доступ есть только у вас и у VPN-сервера. Впрочем, стоит отметить, что есть определенная разница между приватностью и анонимностью . Использование VPN-сервиса не делает вас анонимным, так как ваш VPN-сервис прекрасно знает, кто вы, и может просматривать данные о вашей онлайн-активности. Зато VPN-сервис обеспечивает вам приватность при работе в сети - иными словами, ваш провайдер, учителя, директор или даже ваше правительство уже не сможет следить за вами. Чтобы убедиться в том, что VPN-сервис действительно сможет вас защитить, крайне важно выбрать . И это логично, ведь если VPN -сервис ведет логи действий пользователей, то власти всегда могут потребовать передать им эти данные, а в этом случае ваши данные перестанут быть только лишь вашими.
Тем не менее, даже если выбранный вами сервис не ведет логи, он все еще может (при необходимости) отслеживать ваши действия в сети в режиме реального времени - например, для исправления технических проблем. И хотя большинство «безлоговых» VPN-сервисов обещают еще и не отслеживать ваши действия в режиме реального времени, в большинстве стран закон разрешает соответствующим органам приказать VPN-сервису начать вести логи действий определенного пользователя, не уведомляя его об этом. Впрочем, причин для беспокойства в этом нет… ну, только если вы не скрываетесь от разыскивающих вас правоохранительных органов.
Выбирая VPN-сервис, не менее важно выбрать сервис, который предоставляет своим пользователям возможность использования общих IP-адресов (иными словами, когда множество пользователей использует один и тот же одновременно). В таком случае любым третьим сторонам будет бесконечно сложнее определить, что это именно вы выполнили в сети то или иное действие, а не кто-то другой.
VPN полностью поддерживается как в iOS, так и в Android. Также VPN может защитить вас при работе с торрентами. Увы, мобильные приложения, которые вы устанавливаете на свой телефон, имеют доступ не только к вашему IP-адресу, через который они могут получить доступ к истории всех ваших онлайн-действий, но и к вашим GPS-координатам, списку контактов, App Store ID и не только. Собранные данные эти приложения отправляют на серверы своих компаний, что сводит пользу от использования VPN-подключения к нулю.
И поэтому, чтобы в полной мере воспользоваться всеми преимуществами подключения к VPN с мобильного устройства, нужно заходить на сайты только через браузеры с открытым исходным кодом и поддержкой приватных режимов (например, через Firefox), а не через специальные «собственные» приложения.
Если вы хотите больше узнать про использование VPN на вашем мобильном устройстве, почитайте наши списки и .
Чтобы помочь вам разобраться в плюсах и минусах использования VPN, я подготовил таблицу, в которую выписал главные плюсы и минусы использования этой технологии (*спойлеры-спойлеры*: по мнению автора, плюсы перевешивают минусы, однако решение остается за вами).
ПЛЮСЫ | МИНУСЫ |
Скорость скачивания торрентов через протокол p2p может увеличиться (например, через BitTorrent), так как некоторые интернет-провайдеры специально замедляют подключения такого типа. В таких случаях . | Ваша обычная скорость подключения к сети может замедлиться минимум на 10%, а то и больше - в зависимости от расстояния до VPN-сервера. Если VPN-сервер, к которому вы подключаетесь, и сайт, который вы хотите посетить, расположены относительно недалеко друг от друга, то задержка будет минимальной, а то и вовсе незаметной. Но чем больше километров разделяют вас, VPN-сервер и сервер, на котором находится нужный вам сайт, тем медленнее все будет работать. Шифрование и дешифрование данных также внесет свою лепту в это черное дело замедления скорости подключения (впрочем, тут все будет практически незаметно в любом случае). |
Вы сможете использовать общедоступные WiFi-точки и не переживать за свою безопасность . К чему нервы, если соединение между вашим устройством и VPN-сервером зашифровано! Это значит, что ваши личные данные надежно защищены, даже если какой-нибудь чудо-хакер умудрится их украсть. | Выбранный вами VPN-сервис получит доступ к истории всех ваших действий в сети . Этот пункт сложно назвать однозначным минусом, так как ваши данные кто-то все равно будет видеть, и пусть уж лучше это будет надежный VPN-сервис (так как интернет-провайдеры вообще не заинтересованы в защите ваших личных данных). Тем не менее, знать об этом надо. Безопасные VPN-сервисы делают все возможное, чтобы как можно меньше узнать о своих клиентах и о том, чем они занимаются онлайн. |
Ваш интернет-провайдер не будет иметь доступ к истории ваших действий в сети , так как все данные будут зашифрованы VPN-сервисом. Соответственно, провайдер не будет знать, на какие сайты вы заходили и что там делали. Он просто будет знать, что вы подключались к VPN-серверу. | Далеко не на все сайты можно зайти даже через VPN . Некоторые сайты научились определять и блокировать пользователей, использующих VPN для доступа к ним. К счастью, такие блокировки довольно просто обойти, о чем подробнее написано в нашей статье . |
Вы можете получить доступ к вашей домашней или рабочей сети даже когда вы путешествуете . Собственно, ради этого все изначально и затевалось. Локальные ресурсы не должны быть обязательно доступны через интернет (так безопаснее). Вы всегда можете настроить удаленный доступ к вашему компьютеру, использовать файлы локальной сети и даже играть в локальные игры так же, как если бы вы продолжали сидеть дома! | Вы можете стать жертвой IP-спуфинга и блеклистинга , так как VPN-сервис скроет ваш реальный IP-адрес и будет использовать свой собственный. Проблема в том, что IP-адрес VPN-сервиса 1) используется неизвестным количеством клиентов сервиса; 2) хорошо известен, а это существенно упрощает IP-спуфинг. Кроме того, действия других клиентов вашего VPN-сервиса, использующих тот же IP-адрес, что и вы, могут привести к добавлению этого адреса в черные списки. Из-за этого вы не сможете зайти на те или иные сайты. Кроме того, ряд сервисов (например, ваш банк или почтовая служба) могут начать с подозрением относиться к вам , если заметят, что вы используете VPN-сервис. А уж если у вашего VPN-сервиса еще и репутация подмоченная… в общем, не вариант. |
Вы сможете обмануть любой сайт и притвориться, что вы заходите на него из совсем другой страны . Соответственно, вы сможете зайти как на сайты, заблокированные в вашей стране, так и на сайты, доступные только для жителей определенного региона. Достаточно лишь подключиться к нужному серверу! Всякий, кто попытается проследить за вашими интернет-действиями, найдет лишь используемый вами VPN-сервер, так что найти ваш реальный IP-адрес будет практически нереально. |
Использование VPN-сервисов редко является чем-то незаконным само по себе (зато контент, к которому вы попытаетесь получить доступ с помощью VPN, вполне себе может быть незаконным). Это так даже в странах, блокирующих доступ к VPN-сервисам (Китае, Сирии, Иране). Впрочем, это все не мешает некоторым сайтам блокировать VPN-сервисы.
Тем не менее, в июле 2016 использование VPN-сервиса на территории Объединенных Арабских Эмиратов (ОАЭ) считалось незаконным. Нарушителям грозило тюремное заключение и штраф в размере от 500 000 до 2 000 000 дирхам (136 130 – 544 521 долларов США). Иными словами, если вы собираетесь посетить ОАЭ, то есть смысл проявить здравомыслие и посещать только сайты из белых списков.
Что же касается блокировок доступа через VPN, действующих у вас в школе или на работе, то следует вот что учесть: если вас поймают (в частных WiFi сетях и при подключении типа LAN небольшой шанс есть всегда), то могут наказать соответственно. Как именно? Например, подвергнуть дисциплинарным мерам взыскания (штрафу, отстранению от занятий, увольнению). Дело даже может быть передано в полицию! В общем, стоит заранее подумать, стоит ли овчинка выделки.
Хорошая новость: есть просто куча VPN-сервисов, которые были бы рады видеть вас своим клиентом.
Плохая новость: можно легко и просто запутаться во всем разнообразии предлагаемых вариантов.
Принимая любое решение, надо тщательно изучить вопрос .
Посетите нашу статью о , почитайте обзоры в интернете, ознакомьтесь с рекомендациями, изучите ваши варианты и только потом принимайте решение.
Затем задайте себе эти 10 вопросов:
VPN (Virtual Private Networks) – виртуальные частные сети. VPN является одной из таких технологий, про которых неизвестно, откуда они появились. Однако, когда такие технологии укореняются в инфраструктуре компании, все удивляются, как раньше обходились без них. Виртуальные частные сети позволяют вам использовать Интернет как собственную частную сеть. Таким образом, распространение VPN связано с развитием Интернета. Сама технология в качестве базы для своей работы использует стек протоколов TCP/IP.
Для того, чтобы понять, что такое VPN, необходимо уяснить два понятия: шифрование и виртуальность.
Шифрование – это обратимое преобразование сообщения, с целью скрытия от неавторизованных лиц.
Виртуальность – это объект или состояние, которые реально не существуют, но могут возникнуть при определенных условиях.
Шифрование преобразует сообщение из одного вида, например, “Привет!” в другой вид “*&878hJf7*&8723”. С другой стороны есть еще обратное преобразование, которые называется дешифрованием, т.е. преобразование сообщения “*&878hJf7*&8723” в сообщение “Привет!”. Подход безопасности в виртуальных частных сетях предполагает, что никто, кроме предполагаемого получателя, не сможет выполнить дешифрование.
Понятие “виртуальность” относится к ситуации “как будто”. Например ситуация, когда вы получаете доступ к удаленному компьютеру с помощью планшета. В данном случае планшет имитирует работу удаленного компьюетра.
У термина VPN есть точное определение:
VPN – это зашифрованный или инкапсулированный процесс коммуникации, который безопасным образом передает данные из одной точки в другую; безопасность этих данных обеспечена устойчивой технологией шифрования и передаваемые данные проходят через открытую, незащищенную, маршрутизируемую сеть.
Так как VPN является зашифрованным при коммуникации между узлами данные передаются безопасно и гарантируется их целостность. Данные проходят через открытую, незащищенную, маршрутизируемую сеть, поэтому при передаче через коллективную линию они могут иметь много путей к окончательному месту назначения. Таким образом, VPN можно представить как процесс отправления зашифрованных данных из одной точки в другую через сеть Интернет.
Инкапсуляция – это процесс размещения пакета данных внутри IP-пакета. Инкапсуляция позволяет добавить дополнительный слой защиты. Инкапсуляция позволяет создавать VPN-туннели и передавать данные поверх сети с другими протоколами. Наиболее распространенный способ создания VPN-туннелей – инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и др.) в PPP и последующая инкапсуляция образованных пакетов в протоколов туннелирования. В качестве последнего чаще всего выступает протокол IP, хотя, в редких случаях, могут выступать и протоколы ATM, Frame Relay. Такой подход называется туннелированием второго уровня, так как пассажиром здесь является непосредственно протокол второго уровня (PPP).
Альтернативный подход – инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.
По назначению VPN подразделяются на три вида:
Существует множество вариантов реализации VPN. При выборе способа реализации VPN необходимо учитывать факторы производительности систем VPN. Например, если маршрутизатор работает на пределе мощности своего процессора, то дополнительное добавление туннелей VPN и применение шифрования / дешифрования могут повлечь за собой остановку работы всей сети, так как маршрутизатор не будет справляться с обычным трафиком.
Варианты реализации VPN:
___________________________