Ce este un client vpn pentru un router. Conexiune VPN - ce este, de ce este necesară și cum funcționează?
VPN-urile și serverele proxy au un lucru în comun: sunt concepute pentru a proteja informațiile sensibile și a ascunde adresa IP. Aici se termină asemănările.
| Proxy sau VPN | Proxy | VPN | |
|---|---|---|---|
| Acces la orice conținut | |||
| Îți ascunde locația (adresa IP) | |||
| Îți ascunde identitatea de escroci | |||
| Funcționează cu browsere (Chrome, Firefox) | |||
| Funcționează cu diverse dispozitive (smartphone, tablete, console) | |||
| Funcționează cu jocuri și aplicații | |||
| Îți criptează activitatea, protejează împotriva hackerilor | |||
| Vă protejează de malware și tactici de phishing | |||
| Schimbă constant locația virtuală (adresa IP) | |||
| Navigare de mare viteză și conținut în flux | |||
ConcluzieDupă cum puteți vedea, un VPN este superior unui server proxy în ceea ce privește capabilitățile. Ambele servicii vă permit să vă ascundeți adresa IP, dar caracteristicile suplimentare VPN includ criptare puternică, protecție completă a sistemului etc. – faceți această tehnologie mai sigură și mai confidențială decât un server proxy. | |||
Cum să alegi cel mai bun VPN
Acum înțelegeți de ce aveți nevoie de un VPN în jungla digitală de astăzi. Cum să alegi serviciul care este ideal pentru tine? Iată câteva sfaturi utile care vă vor ajuta să faceți alegerea corectă.
Preț
Prețul contează întotdeauna, dar este mai important să obțineți exact ceea ce ați plătit. Serviciile VPN gratuite sunt de obicei pline de probleme - aproape întotdeauna au un fel de restricții stricte. Și cum poți fi sigur că nu vor încerca să câștige bani vânzându-ți datele? La urma urmei, menținerea unei rețele de servere VPN nu este un efort ieftin, așa că dacă nu plătiți pentru produs, atunci cel mai probabil sunteți produsul.
Viteză
Există mulți factori care afectează viteza unui VPN. Rețeaua de servere trebuie să fie bine optimizată pentru a vă asigura că obțineți rezultatul, așa că asigurați-vă că serviciul pe care îl alegeți își optimizează rețeaua. În plus, un serviciu cu adevărat bun nu va limita volumul de trafic și capacitatea de transmisie a datelor, astfel încât să vă puteți bucura de viteză mare cât de mult doriți.
Confidențialitate
Unele servicii VPN stochează datele dumneavoastră personale, ceea ce încalcă întregul scop al utilizării unui VPN pentru a vă proteja confidențialitatea! Dacă confidențialitatea este importantă pentru dvs., atunci vi se va potrivi numai un serviciu care respectă strict principiul „Fără înregistrări”. De asemenea, este bine să păstrați confidențialitatea dacă serviciul VPN acceptă plata în Bitcoin.
Siguranță
Pentru a vă asigura că un serviciu oferă o bună protecție împotriva diferitelor amenințări, uitați-vă la ce protocoale de criptare folosește. În plus, clientul de service trebuie să aibă o funcție „Stop Faucet” pentru a bloca orice comunicare între dispozitiv și rețea dacă conexiunea VPN a fost întreruptă sau deconectată.
Numărul de servere/țări
Aceasta este o necesitate absolută pentru a asigura o conexiune VPN rapidă și stabilă. Cu cât un serviciu VPN are mai multe servere și cu cât este mai mare lista de țări în care se află, cu atât mai bine. Dar asta nu este tot. Verificați dacă serviciul vă permite să comutați între diferite servere VPN fără restricții. Trebuie să vă puteți schimba punctul de acces la Internet în orice moment.
Numărul de conexiuni simultane
Unele servicii permit unui singur dispozitiv să se conecteze la rețeaua lor VPN odată. Altele vă permit să conectați simultan un PC, laptop, smartphone, Xbox și tabletă. La SaferVPN, credem că mai mult este mai bine. Prin urmare, vă permitem să conectați simultan până la cinci dispozitive per cont.
A sustine
Mulți utilizatori VPN au nevoie inițial de ajutor pentru a se obișnui cu noua tehnologie, așa că un factor important în alegerea unui serviciu poate fi prezența unui bun serviciu de asistență tehnică, care, în primul rând, răspunde prompt la întrebările utilizatorilor și, în al doilea rând, oferă sfaturi cu adevărat sensibile. . Echipa SaferVPN este întotdeauna gata să vă răspundă la întrebări prin e-mail. e-mail sau prin chat online.
Probă gratuită, garanție de returnare a banilor
A încerca un produs înainte de a cumpăra este un lucru real. Nu orice serviciu VPN este pregătit să îl ofere. Dar nu există o modalitate mai bună de a afla dacă un serviciu este potrivit pentru tine decât să îl încerci singur. De asemenea, este bine dacă există o garanție de returnare a banilor, mai ales dacă returnarea se face cu promptitudine.
Software
Nu este atât de ușor să găsești un serviciu VPN care este convenabil de utilizat, ușor de instalat și, în același timp, oferă protecție decentă și are funcționalitate bogată. Funcția noastră de conectare cu o singură atingere este incredibil de convenabilă, iar caracteristica noastră automată vă asigură siguranța.
Compatibilitate multi-platformă
Fiecare platformă necesită dezvoltarea unui client VPN separat. Aceasta nu este o sarcină ușoară, dar un serviciu VPN bun ar trebui să aibă un client pentru orice dispozitiv, să ofere utilizatorilor clienți pentru diverse platforme și, de asemenea, să ofere prompt asistență tehnică și să ajute utilizatorii să remedieze problemele.
Dicţionar VPN
Terminologia în domeniul securității pe Internet este un lucru destul de complex și confuz. Dar nu te grăbi să disperi! Echipa SaferVPN vă va ajuta să înțelegeți toate complexitățile.
Adblocker
Engleză Advanced Encryption Standard – standard avansat de criptare. AES pe 256 de biți este considerat în prezent „standardul de aur” al criptării, folosit de guvernul SUA pentru a proteja datele sensibile. AES este cel mai bun standard de criptare disponibil pentru utilizatorii VPN.
Ușa din spate
O ușă din spate matematică, un cod criptografic secret care este încorporat într-o secvență de criptare, astfel încât cifrul să poată fi spart ulterior.
Bitcoin
Descentralizat peer-to-peer (transferat de la un utilizator la altul direct) monedă virtuală deschisă (criptomonedă). La fel ca banii tradiționali, Bitcoins pot fi schimbate pentru produse și servicii, precum și alte valute. SaferVPN acceptă plăți în Bitcoin.
Jurnal de conexiune (metadate)
Un registru care stochează înregistrări ale datelor conexiunilor dvs., durata, frecvența, adresele, etc. Necesitatea menținerii unor astfel de înregistrări se explică de obicei prin faptul că ele ajută la rezolvarea diferitelor probleme tehnice și la combaterea tot felul de încălcări. SaferVPN nu păstrează astfel de înregistrări ca o chestiune de principiu.
Viteza de conectare
Cantitatea de date transferate într-o anumită perioadă de timp. De obicei, măsurată în kilobiți sau megabiți pe secundă.
Cookie-uri
Engleză cookie-uri – cookie-uri. Acestea sunt mici bucăți de date pe care browserul le stochează ca fișiere text. Ele pot fi folosite pentru a face o mulțime de lucruri utile (de exemplu, rețineți informațiile de conectare ale unui utilizator sau setările personale pe un site), dar cookie-urile sunt adesea folosite pentru a urmări utilizatorii.
DD-WRT este un firmware deschis pentru routere, oferindu-vă opțiuni extinse pentru gestionarea routerului. O alternativă excelentă la firmware-ul proprietar pentru cei care doresc să configureze independent routerul pentru a se potrivi nevoilor lor.
Engleză Sistem de nume de domeniu – sistem de nume de domeniu. Aceasta este o bază de date capabilă să transforme adresele de pagini web (URL-uri) din forma cu care suntem familiarizați și de înțeles pentru noi într-un format digital „real” care este de înțeles computerelor. Traducerea DNS este de obicei efectuată de furnizorul dvs. de servicii de internet, verificând și cenzurând simultan tot traficul dvs.
Securitatea datelor
Regulile sau legile conform cărora o companie colectează date despre utilizatorii săi. În majoritatea țărilor, furnizorilor de servicii de internet li se cere să stocheze anumite date despre utilizatori (cum ar fi istoricul de navigare) timp de câteva luni.
Criptare
Codificarea datelor folosind un algoritm matematic pentru a preveni accesul neautorizat la acestea. Criptarea este singurul lucru care poate proteja datele digitale de persoanele neautorizate. Este piatra de temelie a securității pe Internet.
Geo-blocare
Restricționarea accesului la serviciile online în funcție de locația geografică. Aceste restricții sunt în general introduse astfel încât deținătorii de drepturi de autor să poată încheia acorduri favorabile de licențiere cu distribuitori din întreaga lume. Desigur, intermediarii fac produsul mai scump pentru consumatorul final.
HTTPS este un protocol bazat pe SSL/TLS pentru protejarea site-urilor web, utilizat de bănci și comercianți online.
adresa IP
Engleză Internet Protocol Address – adresa de protocol Internet. Fiecare dispozitiv de pe Internet primește o adresă digitală unică - o adresă IP. SaferVPN vă ascunde adresa IP de observatorii externi, asigurând astfel confidențialitatea și accesul la orice servicii de internet.
furnizor de internet
O companie care oferă servicii de acces la internet. Dreptul de a furniza astfel de servicii este strict reglementat: furnizorii de servicii de internet sunt obligați prin lege să monitorizeze și să cenzureze traficul clienților lor.
Dacă sunteți în viață, ați accesat internetul în 2017 și nu locuiți pe o insulă pustie, atunci probabil că ați auzit termenul „VPN” de mai multe ori sau de două ori. Dacă încă nu știi ce este, de ce este nevoie și cum îmbunătățește viața (și calitatea muncii pe internet în special), atunci noi, echipa site-ului vpnMentor, vom fi bucuroși să organizăm un program educațional pentru tine. . Începem?
Ce este un VPN?
VPN (din engleză Virtual Private Network - virtual private network) este o tehnologie specială pentru crearea unei conexiuni de rețea sigure pe o rețea publică (același Internet) sau privată. Toată lumea și orice, de la companii mari până la agenții guvernamentale, utilizează această tehnologie pentru a oferi conexiuni sigure la infrastructura lor pentru utilizatori la distanță.
Există literalmente zeci de servicii VPN pe Internet care vă pot ajuta să vă conectați online în siguranță și în siguranță pentru 5-10 USD pe lună. Acest lucru vă va permite să vă criptați în siguranță datele personale și tot ceea ce faceți pe Internet. În plus, majoritatea sistemelor de operare au suportat de mult timp conexiuni VPN și există, de asemenea, versiuni (și/sau gratuite) de VPN-uri plătite.
De ce aveți nevoie de un serviciu VPN?
Rețelele publice au devenit prea periculoase pentru utilizatorul obișnuit - peste tot sunt hackeri, atacuri și sniffer care încearcă să vă fure datele. Așadar, de ce să mănânci un cactus și să plângi (citiți, continuați să utilizați rețelele publice și să sperați la ce este mai bun) când puteți face lucrul inteligent și utilizați un serviciu VPN?
Inițial, tehnologiile VPN au fost dezvoltate astfel încât angajații corporativi să se poată conecta la rețelele locale ale companiei în timp ce sunt acasă. Acum, conexiunile VPN sunt folosite în principal în cazurile în care oamenii doresc să-și ascundă activitatea de pe internet de privirile indiscrete ale străinilor, asigurându-le astfel confidențialitatea online și ocolind blocarea accesului la conținut (atât local, cât și național). Alte scopuri pentru utilizarea serviciilor VPN includ protejarea împotriva hackerilor atunci când lucrați pe rețele WiFi publice și ocolirea site-urilor de geo-blocare (pentru a accesa conținut disponibil numai în anumite regiuni).
Cum funcționează un VPN?
Un firewall protejează datele de pe computerul dvs., în timp ce un VPN vă protejează datele online. Din punct de vedere tehnic, un VPN este o rețea WAN (Wide Area Network) care oferă același nivel de securitate și funcționalitate ca o rețea privată. Există două tipuri de conexiuni VPN: acces la distanță (calculatorul se conectează la rețea) și de la rețea la rețea.
Când navighezi pe web fără un VPN, te conectezi la serverul ISP-ului tău, care, la rândul său, te conectează la site-ul dorit. Aceasta înseamnă că tot traficul dvs. de Internet trece prin serverele furnizorului, iar furnizorul, în consecință, vă poate monitoriza traficul.
Când vă conectați printr-un server VPN, traficul dvs. trece printr-un „tunel” criptat de acolo. Aceasta înseamnă că doar tu și serverul VPN aveți acces la traficul dvs. Cu toate acestea, merită remarcat faptul că există o anumită diferență între confidențialitate și anonimat. Utilizarea unui serviciu VPN nu te face anonim, deoarece serviciul tău VPN știe exact cine ești și poate vizualiza date despre activitatea ta online. Dar un serviciu VPN vă oferă confidențialitate atunci când lucrați online - cu alte cuvinte, ISP-ul dvs., profesorii, directorul sau chiar guvernul dvs. nu vă vor mai putea spiona. Pentru a vă asigura că un serviciu VPN vă poate proteja cu adevărat, este extrem de important să alegeți. Și acest lucru este logic, deoarece dacă un serviciu VPN păstrează jurnalele acțiunilor utilizatorului, atunci autoritățile pot oricând să ceară ca aceste date să le fie transferate, iar în acest caz, datele tale nu vor mai fi doar ale tale.
Cu toate acestea, chiar dacă serviciul pe care îl alegeți nu păstrează jurnalele, poate încă (dacă este necesar) să vă monitorizeze activitățile online în timp real - de exemplu, pentru a remedia probleme tehnice. Și în timp ce majoritatea VPN-urilor „fără înregistrare” promit, de asemenea, să nu vă urmărească activitatea în timp real, în majoritatea țărilor legea permite autorităților să ordone unui serviciu VPN pentru a începe să înregistreze activitatea unui anumit utilizator fără a-i notifica. Cu toate acestea, nu există niciun motiv să vă faceți griji pentru asta... ei bine, doar dacă nu vă ascundeți de agențiile de aplicare a legii care vă caută.
Atunci când alegeți un serviciu VPN, este la fel de important să alegeți un serviciu care să ofere utilizatorilor săi posibilitatea de a utiliza adrese IP partajate (cu alte cuvinte, având în vedere că mulți utilizatori o folosesc pe aceeași în același timp). În acest caz, va fi infinit mai dificil pentru orice terță parte să stabilească că tu ai fost cel care ai efectuat una sau alta acțiune online, și nu altcineva. 
Cum se utilizează VPN pe dispozitivele mobile?
VPN este pe deplin acceptat atât pe iOS, cât și pe Android. Un VPN vă poate proteja și atunci când torrenți. Din păcate, aplicațiile mobile pe care le instalezi pe telefonul tău nu au acces doar la adresa ta IP, prin care pot accesa istoricul tuturor activităților tale online, ci și coordonatele tale GPS, lista de contacte, ID-ul App Store și nu numai. Aceste aplicații trimit datele colectate către serverele companiilor lor, ceea ce reduce la zero beneficiul utilizării unei conexiuni VPN.
Și, prin urmare, pentru a profita pe deplin de toate beneficiile conectării la un VPN de pe un dispozitiv mobil, trebuie să accesați site-uri numai prin browsere open source care acceptă moduri private (de exemplu, prin Firefox), și nu prin intermediul special " aplicații native”.
Dacă doriți să aflați mai multe despre utilizarea unui VPN pe dispozitivul dvs. mobil, consultați listele noastre și.
Avantaje și dezavantaje
Pentru a vă ajuta să înțelegeți avantajele și dezavantajele utilizării unui VPN, am pregătit un tabel în care am enumerat principalele avantaje și dezavantaje ale utilizării acestei tehnologii (*alertă spoiler*: conform autorului, avantajele depășesc contra, dar decizia este a ta).
| PRO | MINUSURI |
| Viteza de descărcare a torrentelor prin protocolul p2p poate crește(de exemplu, prin BitTorrent), deoarece unii furnizori de internet încetinesc în mod special acest tip de conexiune. În astfel de cazuri . | Viteza normală a conexiunii la rețea poate încetini cu cel puțin 10%, sau chiar mai mult - în funcție de distanța până la serverul VPN. Dacă serverul VPN la care vă conectați și site-ul pe care doriți să-l vizitați sunt situate relativ aproape unul de celălalt, atunci întârzierea va fi minimă, dacă nu este vizibilă. Dar cu cât te separă mai mulți kilometri, serverul VPN și serverul pe care se află site-ul dorit, cu atât totul va funcționa mai lent. Criptarea și decriptarea datelor va contribui, de asemenea, la această afacere murdară de încetinire a vitezei de conectare (totuși, totul va fi aproape de neobservat în orice caz). |
| Veți putea folosi hotspot-uri WiFi publice și nu vă faceți griji pentru siguranța dvs. De ce să vă deranjați dacă conexiunea dintre dispozitivul dvs. și serverul VPN este criptată! Aceasta înseamnă că datele dumneavoastră personale sunt protejate în mod fiabil, chiar dacă un hacker miraculos reușește să le fure. | Serviciul VPN la alegere o sa primeasca acces la istoricul tuturor activităților dvs. online. Acest punct cu greu poate fi numit un dezavantaj cert, deoarece cineva va vedea în continuare datele dvs. și ar fi mai bine dacă ar fi un serviciu VPN de încredere (din moment ce furnizorii de internet nu sunt deloc interesați să vă protejeze datele personale). Cu toate acestea, trebuie să știți despre acest lucru. Serviciile VPN securizate fac tot posibilul pentru a afla cât mai puține lucruri despre clienții lor și despre ceea ce fac aceștia online. |
| ISP-ul dvs. nu va avea acces la istoricul activității dvs. online, deoarece toate datele vor fi criptate de serviciul VPN. În consecință, furnizorul nu va ști ce site-uri ați vizitat și ce ați făcut acolo. Pur și simplu va ști că v-ați conectat la serverul VPN. | Nu toate site-urile pot fi accesate chiar și printr-un VPN. Unele site-uri au învățat să identifice și să blocheze utilizatorii care folosesc un VPN pentru a le accesa. Din fericire, o astfel de blocare este destul de ușor de ocolit, așa cum este descris mai detaliat în articolul nostru. |
| Vă puteți accesa rețeaua de acasă sau de la serviciu chiar și atunci când călătoriți. De fapt, pentru asta a fost început totul inițial. Resursele locale nu trebuie să fie accesibile prin internet (este mai sigur în acest fel). Puteți oricând să configurați accesul de la distanță la computer, să utilizați fișiere din rețeaua locală și chiar să jucați jocuri locale ca și cum ați fi încă acasa! | Este posibil să deveniți o victimă a falsificării IP și a listei negre, deoarece serviciul VPN vă va ascunde adresa IP reală și va folosi propria sa. Problema este că adresa IP a serviciului VPN este 1) utilizată de un număr necunoscut de clienți de serviciu; 2) este bine cunoscut, iar acest lucru simplifică foarte mult falsificarea IP. În plus, acțiunile altor clienți ai serviciului VPN care utilizează aceeași adresă IP ca și dvs. pot duce la adăugarea adresei respective pe listele negre. Din această cauză, nu veți putea accesa anumite site-uri. În plus, unele servicii (de exemplu, banca sau serviciul poștal) pot deveni suspicioase pentru tine, dacă observă că utilizați un serviciu VPN. Și dacă serviciul tău VPN are, de asemenea, o reputație pătată... în general, nu este o opțiune. |
| Puteți păcăli orice site web și pretindeți că îl vizitați dintr-o țară complet diferită. În consecință, veți putea accesa atât site-uri care sunt blocate în țara dvs., cât și site-uri care sunt accesibile doar rezidenților unei anumite regiuni. Trebuie doar să vă conectați la serverul dorit! Oricine încearcă să vă spioneze activitatea pe internet va găsi doar serverul VPN pe care îl utilizați, ceea ce face aproape imposibil să vă găsiți adresa IP reală. |
Aspecte legale
Utilizarea serviciilor VPN este rareori ilegală în sine (dar conținutul pe care încercați să îl accesați folosind un VPN poate fi ilegal). Acest lucru este valabil chiar și în țările care blochează accesul la serviciile VPN (China, Siria, Iran). Cu toate acestea, acest lucru nu împiedică unele site-uri să blocheze serviciile VPN.
Cu toate acestea, în iulie 2016, utilizarea unui serviciu VPN în Emiratele Arabe Unite (UAE) A fost considerat ilegal. Violatorii riscau închisoare și amenzi de la 500.000 la 2.000.000 de dirhami (136.130 USD la 544.521 USD). Cu alte cuvinte, dacă intenționați să vizitați Emiratele Arabe Unite, atunci este logic să exersați bunul simț și să vizitați numai site-urile incluse în lista albă.
În ceea ce privește blocarea accesului prin VPN în loc la școala sau serviciul dvs., iată ce ar trebui să luați în considerare: dacă sunteți prins (în rețelele WiFi private și cu o conexiune de tip LAN există întotdeauna o mică șansă), aceștia pot fi pedepsiți în consecință. Cum anume? De exemplu, cu măsuri disciplinare (amenda, suspendare, concediere). Cazul poate fi trimis chiar și la poliție! În general, merită să ne gândim în avans dacă jocul merită lumânarea.
Începutul lucrărilor
Vestea bună este că există doar o mulțime de servicii VPN care le-ar plăcea să te aibă ca client.
Vestea proastă: este ușor să fii derutat de toate opțiunile oferite.
Când luați o decizie, trebuie să studiați cu atenție problema.
Vizitează articolul nostru despre , citește recenzii online, citește recomandări, explorează-ți opțiunile și abia apoi ia o decizie.
Atunci pune-ți aceste 10 întrebări:
- Cât voi plăti pentru asta? Serviciile diferite au prețuri diferite, dar de obicei totul se încadrează în intervalul de la 5 USD la 10 USD pe lună. Există și opțiuni gratuite, care sunt descrise mai detaliat în articolul despre.
- Ce este acest serviciuPolitica de confidențialitate? Am atins acest punct mai devreme: trebuie să vă asigurați că serviciul VPN vă va proteja pe dvs. și datele dvs.
- Cât de bune sunt măsurile tehnice și de securitate ale serviciului? Va fi capabil să contracareze eficient hackerii și terții care decid să obțină acces la datele mele?
- Cât este distanța dintre serverele VPN? și serverul la care vreau să mă autent? Acesta este un punct important, deoarece viteza de lucru în rețea este decisă aici. Alți factori care afectează viteza conexiunii includ puterea serverului în sine, lățimea de bandă a canalului și numărul de persoane care accesează serverul în același timp.
- Câte servere are serviciul și unde sunt amplasate? Dacă trebuie să vizitați diferite site-uri situate pe servere din diferite țări, trebuie să găsiți un serviciu VPN cu un număr mare de locații de server și servere disponibile - acest lucru vă va crește foarte mult șansele de a avea o conexiune de succes.
- Câte dispozitive pot folosi în același timp? Serviciile VPN acceptă aproape toate tipurile de computere, inclusiv desktop-uri, laptop-uri, laptop-uri, smartphone-uri și tablete. Unele servicii vă vor permite să conectați un singur dispozitiv la serverele lor odată, în timp ce altele vă vor permite să vă conectați mai multe simultan.
- Cât de bun este suportul pentru utilizatori pentru acest serviciu? Dupa citit
Imaginați-vă o scenă dintr-un film plin de acțiune în care răufăcătorul evadează de la locul crimei de-a lungul autostrăzii într-o mașină sport. Este urmărit de un elicopter al poliției. Mașina intră într-un tunel care are mai multe ieșiri. Pilotul elicopterului nu știe din ce ieșire va apărea mașina, iar răufăcătorul scapă de urmărire.
VPN este un tunel care conectează multe drumuri. Nimeni din afară nu știe unde vor ajunge mașinile care intră în el. Nimeni din afară nu știe ce se întâmplă în tunel.
Probabil ați auzit de VPN de mai multe ori. Lifehacker vorbește și despre acest lucru. Cel mai adesea, un VPN este recomandat deoarece folosind rețeaua puteți accesa conținut geo-blocat și, în general, creșteți securitatea atunci când utilizați Internetul. Adevărul este că accesarea internetului printr-un VPN nu poate fi mai puțin periculoasă decât direct.
Cum funcționează un VPN?
Cel mai probabil, aveți un router Wi-Fi acasă. Dispozitivele conectate la acesta pot face schimb de date chiar și fără internet. Se pare că aveți propria rețea privată, dar pentru a vă conecta la ea, trebuie să fiți fizic la îndemâna semnalului routerului.
VPN (Virtual Private Network) este o rețea privată virtuală. Funcționează pe internet, astfel încât să vă puteți conecta la el de oriunde.
De exemplu, compania pentru care lucrați poate utiliza o rețea privată virtuală pentru lucrătorii la distanță. Folosind un VPN, se conectează la rețeaua lor de lucru. În același timp, computerele, smartphone-urile sau tabletele lor sunt transferate virtual la birou și conectate la rețea din interior. Pentru a vă conecta la o rețea privată virtuală, trebuie să cunoașteți adresa serverului VPN, autentificarea și parola.
Utilizarea unui VPN este destul de simplă. De obicei, o companie instalează un server VPN undeva pe un computer local, server sau centru de date și se conectează la acesta folosind un client VPN pe dispozitivul utilizatorului.
În prezent, clienții VPN încorporați sunt disponibili în toate sistemele de operare actuale, inclusiv Android, iOS, Windows, macOS și Linux.
Conexiunea VPN dintre client și server este de obicei criptată.
Deci VPN este bun?
Da, dacă sunteți proprietar de afaceri și doriți să securizați datele și serviciile corporative. Permițând angajaților să intre în mediul de lucru doar printr-un VPN și folosind conturi, veți ști întotdeauna cine a făcut și ce face.
Mai mult, proprietarul VPN poate monitoriza și controla tot traficul care trece între server și utilizator.
Angajații tăi petrec mult timp pe VKontakte? Puteți bloca accesul la acest serviciu. Gennady Andreevich își petrece jumătate din ziua de lucru pe site-uri cu meme? Toată activitatea lui este înregistrată automat în jurnalele și va deveni un argument ferm pentru concediere.
Atunci de ce VPN?
VPN vă permite să ocoliți restricțiile geografice și legale.
De exemplu, ești în Rusia și vrei. Ne pare rău să aflăm că acest serviciu nu este disponibil din Federația Rusă. Îl poți folosi doar accesând internetul printr-un server VPN din țara în care operează Spotify.
În unele țări, există cenzură pe internet care restricționează accesul la anumite site-uri. Doriți să accesați o resursă, dar este blocată în Rusia. Puteți deschide site-ul doar accesând Internetul printr-un server VPN al unei țări în care acesta nu este blocat, adică din aproape orice țară, cu excepția Federației Ruse.
VPN este o tehnologie utilă și necesară, care se descurcă bine cu o anumită gamă de sarcini. Dar securitatea datelor personale depinde în continuare de integritatea furnizorului de servicii VPN, de bunul simț, de atenție și de cunoștințele pe internet.
Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:
confidențialitatea informațiilor;
integritatea datelor;
disponibilitatea informațiilor;
Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network) - un nume generalizat pentru tehnologii care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (de exemplu, Internet) folosind criptografia (criptare, autentificare). , infrastructură) chei publice, mijloace de protecție împotriva repetărilor și modificărilor mesajelor transmise prin rețeaua logică).
Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii dedicate. În funcție de protocoalele utilizate și de scop, VPN poate oferi trei tipuri de conexiuni: de la gazdă la gazdă, de la gazdă la rețea și de la rețea la rețea.
Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate geografic și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să instalați modemuri în fiecare ramură și să organizați comunicațiile după cum este necesar. Această soluție, însă, nu este întotdeauna convenabilă și profitabilă - uneori este nevoie de comunicare constantă și lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiuni VPN ale tuturor filialelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.
Orez. 6.4. Conexiune VPN de la site la site
Orez. 6.5. Rețea gazdă tip conexiune VPN
În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.
Pericolul aici este că, în primul rând, o rețea deschisă este deschisă atacurilor atacatorilor din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în text clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și în al treilea rând, datele nu pot fi doar interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator ar putea, de exemplu, să încalce integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.
Pentru a preveni acest lucru, soluțiile VPN folosesc caracteristici precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la rețeaua privată virtuală.
O conexiune VPN constă întotdeauna dintr-un canal punct la punct, cunoscut și sub numele de tunel. Tunelul este creat într-o rețea neprotejată, care este cel mai adesea internetul.
Tunnelarea sau încapsularea este o metodă de transmitere a informațiilor utile printr-o rețea intermediară. Aceste informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda care trimite, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine plasate la punctele de intrare în rețeaua publică. Unul dintre avantajele clare ale tunelului este că această tehnologie vă permite să criptați întregul pachet sursă, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).
Deși un tunel VPN este stabilit între două puncte, fiecare nod poate stabili tuneluri suplimentare cu alte noduri. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acel birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil deoarece un nod poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:
Orez. 6.6. Crearea de tuneluri VPN pentru mai multe locații la distanță
Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.
În interiorul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Acest lucru asigură că numai informațiile transmise pe un canal nesecurizat între birouri sunt criptate.
Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:
PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în sistemele de operare Microsoft.
L2TP (Layer-2 Tunneling Protocol) – combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.
IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).
Protocoalele enumerate sunt acceptate de dispozitivele D-Link.
Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul permite accesul de la distanță, permițând utilizatorilor să stabilească conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, PPTP nu a fost inițial destinat să creeze tuneluri între rețelele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.
Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date prin diferite protocoale - IP, IPX, NetBEUI etc. Datele din aceste protocoale sunt împachetate în cadre PPP și încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transferate utilizând IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadre PPP din pachetele IP și apoi le procesează într-un mod standard, de exemplu. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. Protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca și în cazul VPN bazat pe IPSec) cât și orice alt protocol pot fi folosite ca transport.
În prezent, datorită ușurinței implementării, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la rețeaua corporativă, cât și pentru accesarea rețelelor furnizorilor de internet, atunci când clientul trebuie să stabilească o conexiune PPTP cu furnizorul de internet pentru a obține acces. la Internet.
Metoda de criptare utilizată în PPTP este specificată la nivel PPP. De obicei, clientul PPP este un computer desktop care rulează un sistem de operare Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este destul de suficientă, deși este considerat mai puțin sigur decât unii dintre ceilalți algoritmi de criptare oferiti de IPSec, în special, standardul de criptare triple a datelor pe 168 de biți (3DES) .
Cum se stabilește legăturaPPTP?
PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține canalul în funcțiune. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.
Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a transmite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea informațională a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.
Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat care aparțin de obicei PPP, adică adăugând un antet PPP și un trailer la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a permite transmisia acestora prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.
După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.
Pe orez. 6.7 Structura de date pentru redirecționarea printr-un tunel PPTP este afișată:
Orez. 6.7. Structura de date pentru redirecționarea printr-un tunel PPTP
Stabilirea unui VPN bazat pe PPTP nu necesită cheltuieli mari sau setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să efectuați setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de internet sau un firewall cu suport PPTP: setările sunt făcute numai pe routerul de margine (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de internet multifuncționale din seria DIR/DSR și firewall-urile din seria DFL.
GRE-tunele
Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă tunelarea traficului prin rețele fără criptare. Exemple de utilizare a GRE:
transmiterea traficului (inclusiv difuzarea) prin echipamente care nu suportă un protocol anume;
tunelarea traficului IPv6 printr-o rețea IPv4;
transfer de date prin rețele publice pentru a implementa o conexiune VPN sigură.
Orez. 6.8. Un exemplu de funcționare a unui tunel GRE
Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.
L2 TP
Protocolul L2TP a apărut ca rezultat al combinației dintre protocoalele PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor.
Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmisie în tunel, adăugând mai întâi antetul PPP la câmpul de date de informații PPP, apoi antetul L2TP. Pachetul rezultat este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec selectată, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Se adaugă un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date pentru redirecționarea printr-un tunel L2TP.
Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP
Calculatorul de primire primește datele, procesează antetul PPP și terminarea și îndepărtează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.
Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar date de încărcare utilă care sunt procesate sau redirecționate către destinatarul specificat.
IPsec (prescurtare de la IP Security) este un set de protocoale pentru asigurarea protecției datelor transmise prin Internet Protocol (IP), permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei prin Internet.
Securitatea IPSec se realizează prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. Deoarece IPSec este un standard de internet și există RFC-uri pentru acesta:
RFC 2401 (Arhitectura de securitate pentru protocolul Internet) – arhitectura de securitate pentru protocolul IP.
RFC 2402 (antet de autentificare IP) – antet de autentificare IP.
RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) – utilizarea algoritmului de hashing SHA-1 pentru a crea antetul de autentificare.
RFC 2405 (Algoritmul de criptare ESP DES-CBC cu explicit IV) - utilizarea algoritmului de criptare DES.
RFC 2406 (IP Encapsulating Security Payload (ESP)) – criptarea datelor.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de gestionare a cheilor.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – gestionarea cheilor și a autentificatorilor pentru conexiuni securizate.
RFC 2409 (The Internet Key Exchange (IKE)) – schimb de chei.
RFC 2410 (Algoritmul de criptare NULL și utilizarea sa cu IPsec) – algoritmul de criptare nul și utilizarea acestuia.
RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.
RFC 2412 (Protocolul de determinare a cheii OAKLEY) – verificarea autenticității unei chei.
IPsec este o parte integrantă a protocolului Internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului Internet.
Mecanismul IPSec rezolvă următoarele probleme:
autentificarea utilizatorilor sau computerelor la inițializarea unui canal securizat;
criptarea și autentificarea datelor transmise între punctele finale ale canalelor securizate;
furnizarea automată a punctelor finale de canal cu chei secrete necesare pentru funcționarea protocoalelor de autentificare și criptare a datelor.
Componente IPSec
Protocolul AH (Authentication Header) – protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din porțiunea protejată a pachetului nu au fost modificați în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. Deoarece În acest caz, pachetul se va schimba, apoi suma de control AH va deveni incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în funcționarea sa) . De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.
Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva redării false a pachetelor.
Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP este situat între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.
Deoarece Ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), care poate fi folosit pentru a determina ce urmează antetului IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese de Internet), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, atunci când lucrați printr-un firewall, este foarte important să configurați filtrele astfel încât să permită trecerea pachetelor cu ID AH și/sau protocol ESP. prin.
Pentru a indica faptul că AH este prezent în antetul IP, ID-ul protocolului este setat la 51, iar pentru ESP numărul este 50.
ATENŢIE: ID-ul protocolului nu este același cu numărul portului.
Protocolul IKE (Internet Key Exchange) este un protocol IPsec standard utilizat pentru a asigura comunicații securizate în rețelele private virtuale. Scopul IKE este de a negocia și de a livra în siguranță materiale identificate unei asociații de securitate (SA).
SA este termenul IPSec pentru conexiune. Un SA stabilit (un canal securizat numit Asociație de Securitate sau SA) include o cheie secretă partajată și un set de algoritmi criptografici.
Protocolul IKE îndeplinește trei sarcini principale:
oferă un mijloc de autentificare între două puncte finale VPN;
stabilește noi conexiuni IPSec (creează o pereche SA);
gestionează conexiunile existente.
IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.
Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează IKE SA. În acest caz, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi un algoritm de criptare, cheia de sesiune etc.
În a doua fază, IKE SA este folosit pentru a negocia un protocol (de obicei IPSec).
Când este configurat un tunel VPN, este creată o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, deoarece Fiecare SA este o conexiune unidirecțională, iar datele trebuie transferate în două direcții. Perechile SA rezultate sunt stocate pe fiecare nod.
Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index).
SA este stocat într-o bază de date (DB) TRIST.(Baza de date Asociația de Securitate).
Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) – baza de date a politicilor de securitate. Conține politica de site configurată. Majoritatea soluțiilor VPN permit crearea de politici multiple cu combinații de algoritmi adecvați pentru fiecare gazdă la care trebuie stabilită o conexiune.
Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe modalități de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. În același timp, grupul de lucru IETF a definit un set de bază de funcții și algoritmi suportați, care ar trebui să fie implementați uniform în toate produsele care acceptă IPSec. Mecanismele AH și ESP pot fi utilizate cu o varietate de scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie o funcție MD5 unidirecțională, fie o funcție SHA-1 unidirecțională, iar criptarea este efectuată folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.
Pentru a cripta datele în IPSec, poate fi utilizat orice algoritm de criptare simetrică care utilizează chei secrete.
Protocoalele de protecție a fluxului transmis (AH și ESP) pot funcționa în două moduri: mod de transport si in modul de tunel. Când funcționează în modul de transport, IPsec funcționează numai cu informații despre stratul de transport, de exemplu. Numai câmpul de date al pachetului care conține protocoale TCP/UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili conexiuni între gazde.
În modul tunel, întregul pachet IP este criptat, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, este un tunel IP securizat. Modul tunel poate fi folosit pentru a conecta computere de la distanță la o rețea privată virtuală (schemă de conexiune gazdă-la-rețea) sau pentru a organiza transferul securizat de date prin canale de comunicare deschise (de exemplu, Internet) între gateway-uri pentru a conecta diferite părți ale rețelei private virtuale. reţea (schema de conectare la reţea -net").
Modurile IPsec nu se exclud reciproc. Pe același nod, unele SA pot folosi modul de transport, în timp ce altele folosesc modul tunel.
În timpul fazei de autentificare, se calculează ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să o compare cu rezultatul trimis de expeditor. Dacă compararea ICV are succes, expeditorul pachetului este considerat a fi autentificat.
În modul transportAH.
întregul pachet IP, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;
toate câmpurile din AH;
Sarcina utilă a pachetului IP.
AH în modul de transport protejează antetul IP (excluzând câmpurile pentru care sunt permise modificări) și încărcarea utilă în pachetul IP original (Figura 3.39).
În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transmisia datelor se realizează pe baza antetului noului pachet IP.
Pentru modul tunelAH. La efectuarea unui calcul, suma de control ICV include următoarele componente:
toate câmpurile antetului IP exterior, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;
toate câmpurile AH;
pachetul IP original.
După cum puteți vedea în următoarea ilustrație, modul de tunel AH protejează întregul pachet IP original prin utilizarea unui antet exterior suplimentar, pe care modul de transport AH nu îl folosește:
Orez. 6.10. Modurile de operare în tunel și transport ale protocolului AN
În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar trailerul ESP (Trailer ESP) este adăugat în consecință după date.
Modul de transport ESP criptează următoarele părți ale pachetului:
sarcină utilă IP;
Un algoritm de criptare care utilizează modul Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate ca el să decripteze porțiunea criptată a pachetului fără cheia de criptare. Pentru a împiedica atacatorii să schimbe vectorul de inițializare, acesta este protejat de o sumă de control ICV. În acest caz, ICV efectuează următoarele calcule:
toate câmpurile din antetul ESP;
sarcină utilă inclusiv text clar IV;
toate câmpurile din ESP Trailer, cu excepția câmpului de date de autentificare.
Modul tunel ESP încapsulează întregul pachet IP original în noul antet IP, antet ESP și Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost plasată semnătura pentru a-i certifica integritatea și autenticitatea, iar partea criptată arată că informațiile sunt sigure și confidențiale. Antetul sursă este plasat după antetul ESP. După ce porțiunea criptată este încapsulată într-un nou antet de tunel, care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, pachetul este direcționat către adresa IP a gateway-ului rețelei de primire, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer din rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:
Pentru modul tunel ESP, ICV se calculează după cum urmează:
toate câmpurile din antetul ESP;
pachetul IP original, inclusiv text clar IV;
toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.
pachetul IP original;
Orez. 6.11. Tunelul și modul de transport al protocolului ESP
Orez. 6.12. Compararea protocoalelor ESP și AH
Rezumatul modurilor de aplicareIPSec:
Protocol – ESP (AH).
Mod – tunel (transport).
Metoda de schimb de chei este IKE (manual).
Modul IKE – principal (agresiv).
Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.
Autentificare – SHA1 (SHA, MD5).
Criptare – DES (3DES, Blowfish, AES).
La crearea unei politici, este de obicei posibilă crearea unei liste ordonate de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, se va folosi prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să permită această aliniere. Dacă totul se potrivește, cu excepția unei părți a politicii, nodurile nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică posibilă.
Setări de bază pe care politica de securitate le include:
Algoritmi simetrici pentru criptarea/decriptarea datelor.
Sume de verificare criptografice pentru a verifica integritatea datelor.
Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.
Dacă folosiți modul tunel sau modul de transport.
Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).
Dacă să folosiți AH, ESP sau ambele.
Dacă să utilizați PFS.
O limitare a IPSec este că acceptă doar comunicațiile la nivel de protocol IP.
Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.
În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează nodul pe care rulează următoarele:
Orez. 6.13. Creați un canal securizat între două puncte finale
În a doua schemă, se stabilește un canal securizat între două gateway-uri de securitate. Aceste gateway-uri acceptă date de la gazdele terminale conectate la rețelele situate în spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec; traficul trimis către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în numele său.
Orez. 6.14. Crearea unui canal securizat între două gateway-uri
Pentru gazdele care acceptă IPSec, pot fi utilizate atât modurile de transport, cât și cele de tunel. Gateway-urilor li se permite doar să folosească modul tunel.
Instalare si suportVPN
După cum am menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică reciproc. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Principal modul).
În modul principal, este posibilă coordonarea tuturor parametrilor de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv nu există o astfel de posibilitate, iar unii parametri (grup Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie configurați identic în avans pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai mici, rezultând mai puțin timp necesar pentru stabilirea unei sesiuni IPSec.
Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).
Presupunând că operațiunea s-a încheiat cu succes, se creează prima fază SA − Fază 1 S.A.(numit si IKES.A.) iar procesul trece la a doua fază.
În a doua etapă, datele cheie sunt generate și nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de prima fază prin faptul că poate fi stabilit doar după prima fază, când toate pachetele din a doua fază sunt criptate. Finalizarea corectă a celei de-a doua faze are ca rezultat apariția Fază 2 S.A. sau IPSecS.A. iar în acest moment instalarea tunelului este considerată finalizată.
Mai întâi, un pachet cu o adresă de destinație într-o altă rețea ajunge la nod, iar nodul inițiază prima fază cu nodul responsabil pentru cealaltă rețea. Să presupunem că un tunel între noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește Phase One lifetime sau IKE SA lifetime.
Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp numită Faza a doua sau durata de viață IPSec SA.
Durata de viață a fazei a doua este mai scurtă decât cea a primei faze, deoarece... cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca tunelul să fie stabilit inițial cu succes, dar după prima durată de viață inconsistentă conexiunea va fi întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă un tunel configurat anterior nu mai funcționează, atunci primul lucru care trebuie verificat este durata de viață pe ambele noduri.
De asemenea, trebuie remarcat faptul că, dacă politica este modificată pe unul dintre noduri, modificările vor intra în vigoare numai data viitoare când va avea loc prima fază. Pentru ca modificările să intre în vigoare imediat, SA pentru acest tunel trebuie eliminat din baza de date SAD. Acest lucru va face ca acordul dintre noduri să fie renegociat cu noi setări de politică de securitate.
Uneori, la configurarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți din cauza coordonării parametrilor la stabilirea primei faze. Ar trebui să acordați atenție unui astfel de parametru, cum ar fi Local ID - acesta este un identificator unic al punctului final al tunelului (expeditor și destinatar). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.
MortPeerDetectare
În timpul operațiunii VPN, în absența traficului între punctele terminale ale tunelului sau când se modifică datele inițiale ale nodului de la distanță (de exemplu, modificarea unei adrese IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență. un tunel, devenind, parcă, un tunel fantomă. Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să monitorizați prezența traficului de la un nod la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall Mesajul „DPD-R-U-THERE” este trimis către D-Link. Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link specificate de setările „DPD Expire Time”, tunelul este demontat. Firewall-urile D-Link după aceasta utilizând setările „DPD Keep Time” ( orez. 6.18), încearcă automat să restaureze tunelul.
ProtocolNATTraversare
Traficul IPsec poate fi rutat conform acelorași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, IPsec nu poate trece prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).
Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP obișnuit în întreaga rețea și gazda destinatarului să nu efectueze nicio verificare de integritate. Odată ce pachetul ajunge la destinație, antetul UDP este eliminat și pachetul de date își continuă calea ca pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibil să se stabilească comunicarea între clienții IPSec pe rețelele securizate și gazdele publice IPSec prin firewall-uri.
Când configurați firewall-urile D-Link pe dispozitivul destinatar, trebuie remarcate două puncte:
În câmpurile Rețea la distanță și Punct final la distanță, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (expeditorului) folosind tehnologia NAT (Figura 3.48).
Când utilizați chei partajate cu mai multe tuneluri conectate la același firewall la distanță care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.
Local ID poate fi unul dintre:
Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.
IP– adresa IP a portului WAN al firewall-ului de la distanță
DNS– adresa DNS
