Imaginați-vă o scenă dintr-un film plin de acțiune în care răufăcătorul evadează de la locul crimei de-a lungul autostrăzii într-o mașină sport. Este urmărit de un elicopter al poliției. Mașina intră într-un tunel care are mai multe ieșiri. Pilotul elicopterului nu știe din ce ieșire va apărea mașina, iar răufăcătorul scapă de urmărire.

VPN este un tunel care conectează multe drumuri. Nimeni din afară nu știe unde vor ajunge mașinile care intră în el. Nimeni din afară nu știe ce se întâmplă în tunel.

Probabil ați auzit de VPN de mai multe ori. Lifehacker vorbește și despre acest lucru. Cel mai adesea, un VPN este recomandat deoarece folosind rețeaua puteți accesa conținut geo-blocat și, în general, creșteți securitatea atunci când utilizați Internetul. Adevărul este că accesarea internetului printr-un VPN nu poate fi mai puțin periculoasă decât direct.

Cum funcționează un VPN?

Cel mai probabil, aveți un router Wi-Fi acasă. Dispozitivele conectate la acesta pot face schimb de date chiar și fără internet. Se pare că aveți propria rețea privată, dar pentru a vă conecta la ea, trebuie să fiți fizic la îndemâna semnalului routerului.

VPN (Virtual Private Network) este o rețea privată virtuală. Funcționează pe internet, astfel încât să vă puteți conecta la el de oriunde.

De exemplu, compania pentru care lucrați poate utiliza o rețea privată virtuală pentru lucrătorii la distanță. Folosind un VPN, se conectează la rețeaua lor de lucru. În același timp, computerele, smartphone-urile sau tabletele lor sunt transferate virtual la birou și conectate la rețea din interior. Pentru a vă conecta la o rețea privată virtuală, trebuie să cunoașteți adresa serverului VPN, autentificarea și parola.

Utilizarea unui VPN este destul de simplă. De obicei, o companie instalează un server VPN undeva pe un computer local, server sau centru de date și se conectează la acesta folosind un client VPN pe dispozitivul utilizatorului.

În prezent, clienții VPN încorporați sunt disponibili în toate sistemele de operare actuale, inclusiv Android, iOS, Windows, macOS și Linux.

Conexiunea VPN dintre client și server este de obicei criptată.

Deci VPN este bun?

Da, dacă sunteți proprietar de afaceri și doriți să securizați datele și serviciile corporative. Permițând angajaților să intre în mediul de lucru doar printr-un VPN și folosind conturi, veți ști întotdeauna cine a făcut și ce face.

Mai mult, proprietarul VPN poate monitoriza și controla tot traficul care trece între server și utilizator.

Angajații tăi petrec mult timp pe VKontakte? Puteți bloca accesul la acest serviciu. Gennady Andreevich își petrece jumătate din ziua de lucru pe site-uri cu meme? Toată activitatea lui este înregistrată automat în jurnalele și va deveni un argument ferm pentru concediere.

Atunci de ce VPN?

VPN vă permite să ocoliți restricțiile geografice și legale.

De exemplu, ești în Rusia și vrei. Ne pare rău să aflăm că acest serviciu nu este disponibil din Federația Rusă. Îl poți folosi doar accesând internetul printr-un server VPN din țara în care operează Spotify.

În unele țări, există cenzură pe internet care restricționează accesul la anumite site-uri. Doriți să accesați o resursă, dar este blocată în Rusia. Puteți deschide site-ul doar accesând Internetul printr-un server VPN al unei țări în care acesta nu este blocat, adică din aproape orice țară, cu excepția Federației Ruse.

VPN este o tehnologie utilă și necesară, care se descurcă bine cu o anumită gamă de sarcini. Dar securitatea datelor personale depinde în continuare de integritatea furnizorului de servicii VPN, de bunul simț, de atenție și de cunoștințele pe internet.

VPN-urile și serverele proxy au un lucru în comun: sunt concepute pentru a proteja informațiile sensibile și a ascunde adresa IP. Aici se termină asemănările.

Cum să alegi cel mai bun VPN

Acum înțelegeți de ce aveți nevoie de un VPN în jungla digitală de astăzi. Cum să alegi serviciul care este ideal pentru tine? Iată câteva sfaturi utile care vă vor ajuta să faceți alegerea corectă.

Preț

Prețul contează întotdeauna, dar este mai important să obțineți exact ceea ce ați plătit. Serviciile VPN gratuite sunt de obicei pline de probleme - aproape întotdeauna au un fel de restricții stricte. Și cum poți fi sigur că nu vor încerca să câștige bani vânzându-ți datele? La urma urmei, menținerea unei rețele de servere VPN nu este un efort ieftin, așa că dacă nu plătiți pentru produs, atunci cel mai probabil sunteți produsul.

Viteză

Există mulți factori care afectează viteza unui VPN. Rețeaua de servere trebuie să fie bine optimizată pentru a vă asigura că obțineți rezultatul, așa că asigurați-vă că serviciul pe care îl alegeți își optimizează rețeaua. În plus, un serviciu cu adevărat bun nu va limita volumul de trafic și capacitatea de transmisie a datelor, astfel încât să vă puteți bucura de viteză mare cât de mult doriți.

Confidențialitate

Unele servicii VPN stochează datele dumneavoastră personale, ceea ce încalcă întregul scop al utilizării unui VPN pentru a vă proteja confidențialitatea! Dacă confidențialitatea este importantă pentru dvs., atunci vi se va potrivi numai un serviciu care respectă strict principiul „Fără înregistrări”. De asemenea, este bine să păstrați confidențialitatea dacă serviciul VPN acceptă plata în Bitcoin.

Siguranță

Pentru a vă asigura că un serviciu oferă o bună protecție împotriva diferitelor amenințări, uitați-vă la ce protocoale de criptare folosește. În plus, clientul de service trebuie să aibă o funcție „Stop Faucet” pentru a bloca orice comunicare între dispozitiv și rețea dacă conexiunea VPN a fost întreruptă sau deconectată.

Numărul de servere/țări

Aceasta este o necesitate absolută pentru a asigura o conexiune VPN rapidă și stabilă. Cu cât un serviciu VPN are mai multe servere și cu cât este mai mare lista de țări în care se află, cu atât mai bine. Dar asta nu este tot. Verificați dacă serviciul vă permite să comutați între diferite servere VPN fără restricții. Trebuie să vă puteți schimba punctul de acces la Internet în orice moment.

Numărul de conexiuni simultane

Unele servicii permit unui singur dispozitiv să se conecteze la rețeaua lor VPN odată. Altele vă permit să conectați simultan un PC, laptop, smartphone, Xbox și tabletă. La SaferVPN, credem că mai mult este mai bine. Prin urmare, vă permitem să conectați simultan până la cinci dispozitive per cont.

A sustine

Mulți utilizatori VPN au nevoie inițial de ajutor pentru a se obișnui cu noua tehnologie, așa că un factor important în alegerea unui serviciu poate fi prezența unui bun serviciu de asistență tehnică, care, în primul rând, răspunde prompt la întrebările utilizatorilor și, în al doilea rând, oferă sfaturi cu adevărat sensibile. . Echipa SaferVPN este întotdeauna gata să vă răspundă la întrebări prin e-mail. e-mail sau prin chat online.

Probă gratuită, garanție de returnare a banilor

A încerca un produs înainte de a cumpăra este un lucru real. Nu orice serviciu VPN este pregătit să îl ofere. Dar nu există o modalitate mai bună de a afla dacă un serviciu este potrivit pentru tine decât să îl încerci singur. De asemenea, este bine dacă există o garanție de returnare a banilor, mai ales dacă returnarea se face cu promptitudine.

Software

Nu este atât de ușor să găsești un serviciu VPN care este convenabil de utilizat, ușor de instalat și, în același timp, oferă protecție decentă și are funcționalitate bogată. Funcția noastră de conectare cu o singură atingere este incredibil de convenabilă, iar caracteristica noastră automată vă asigură siguranța.

Compatibilitate multi-platformă

Fiecare platformă necesită dezvoltarea unui client VPN separat. Aceasta nu este o sarcină ușoară, dar un serviciu VPN bun ar trebui să aibă un client pentru orice dispozitiv, să ofere utilizatorilor clienți pentru diverse platforme și, de asemenea, să ofere prompt asistență tehnică și să ajute utilizatorii să remedieze problemele.

Dicţionar VPN

Terminologia în domeniul securității pe Internet este un lucru destul de complex și confuz. Dar nu te grăbi să disperi! Echipa SaferVPN vă va ajuta să înțelegeți toate complexitățile.

Adblocker

Engleză Advanced Encryption Standard – standard avansat de criptare. AES pe 256 de biți este considerat în prezent „standardul de aur” al criptării, folosit de guvernul SUA pentru a proteja datele sensibile. AES este cel mai bun standard de criptare disponibil pentru utilizatorii VPN.

Ușa din spate

O ușă din spate matematică, un cod criptografic secret care este încorporat într-o secvență de criptare, astfel încât cifrul să poată fi spart ulterior.

Bitcoin

Descentralizat peer-to-peer (transferat de la un utilizator la altul direct) monedă virtuală deschisă (criptomonedă). La fel ca banii tradiționali, Bitcoins pot fi schimbate pentru produse și servicii, precum și alte valute. SaferVPN acceptă plăți în Bitcoin.

Jurnal de conexiune (metadate)

Un registru care stochează înregistrări ale datelor conexiunilor dvs., durata, frecvența, adresele, etc. Necesitatea menținerii unor astfel de înregistrări se explică de obicei prin faptul că ele ajută la rezolvarea diferitelor probleme tehnice și la combaterea tot felul de încălcări. SaferVPN nu păstrează astfel de înregistrări ca o chestiune de principiu.

Viteza de conectare

Cantitatea de date transferate într-o anumită perioadă de timp. De obicei, măsurată în kilobiți sau megabiți pe secundă.

Cookie-uri

Engleză cookie-uri – cookie-uri. Acestea sunt mici bucăți de date pe care browserul le stochează ca fișiere text. Ele pot fi folosite pentru a face o mulțime de lucruri utile (de exemplu, rețineți informațiile de conectare ale unui utilizator sau setările personale pe un site), dar cookie-urile sunt adesea folosite pentru a urmări utilizatorii.

DD-WRT este un firmware deschis pentru routere, oferindu-vă opțiuni extinse pentru gestionarea routerului. O alternativă excelentă la firmware-ul proprietar pentru cei care doresc să configureze independent routerul pentru a se potrivi nevoilor lor.

Engleză Sistem de nume de domeniu – sistem de nume de domeniu. Aceasta este o bază de date capabilă să transforme adresele de pagini web (URL-uri) din forma cu care suntem familiarizați și de înțeles pentru noi într-un format digital „real” care este de înțeles computerelor. Traducerea DNS este de obicei efectuată de furnizorul dvs. de servicii de internet, verificând și cenzurând simultan tot traficul dvs.

Securitatea datelor

Regulile sau legile conform cărora o companie colectează date despre utilizatorii săi. În majoritatea țărilor, furnizorilor de servicii de internet li se cere să stocheze anumite date despre utilizatori (cum ar fi istoricul de navigare) timp de câteva luni.

Criptare

Codificarea datelor folosind un algoritm matematic pentru a preveni accesul neautorizat la acestea. Criptarea este singurul lucru care poate proteja datele digitale de persoanele neautorizate. Este piatra de temelie a securității pe Internet.

Geo-blocare

Restricționarea accesului la serviciile online în funcție de locația geografică. Aceste restricții sunt în general introduse astfel încât deținătorii de drepturi de autor să poată încheia acorduri favorabile de licențiere cu distribuitori din întreaga lume. Desigur, intermediarii fac produsul mai scump pentru consumatorul final.

HTTPS este un protocol bazat pe SSL/TLS pentru protejarea site-urilor web, utilizat de bănci și comercianți online.

adresa IP

Engleză Internet Protocol Address – adresa de protocol Internet. Fiecare dispozitiv de pe Internet primește o adresă digitală unică - o adresă IP. SaferVPN vă ascunde adresa IP de observatorii externi, asigurând astfel confidențialitatea și accesul la orice servicii de internet.

furnizor de internet

O companie care oferă servicii de acces la internet. Dreptul de a furniza astfel de servicii este strict reglementat: furnizorii de servicii de internet sunt obligați prin lege să monitorizeze și să cenzureze traficul clienților lor.

„Am evidențiat cele mai cunoscute 5 metode de păstrare a anonimatului și a confidențialității pe Internet.
Astăzi dorim să ne oprim mai în detaliu asupra, în opinia noastră, cea mai convenabilă și fiabilă metodă pentru utilizatorul mediu de internet, folosind un VPN.

Un tunel VPN este o conexiune virtuală criptată cu un algoritm puternic. Vizual, poate fi prezentat sub forma unei țevi opace, sau chiar mai bine, un fel de tunel, al cărui capăt se află pe computerul unui utilizator obișnuit, iar celălalt pe un server specializat, situat, de regulă, într-o altă țară.

Să începem cu faptul că pe serviciul whoer.net îți poți afla rapid IP-ul și îți poți verifica anonimatul pe Internet.

Serviciile VPN sunt de obicei plătite; mergând pe google pe internet, puteți găsi întotdeauna servicii VPN ieftine (costul variază între 5 și 50 USD pe lună, în funcție de calitatea serviciilor).
Înainte de a începe testarea, să ne dăm seama ce tipuri de servicii VPN ne vor fi disponibile astăzi pentru serviciile VPN plătite:

Tipuri moderne de conexiuni VPN:
* PPTP (protocol de tunel punct la punct)
*OpenVPN
* L2TP (Layer 2 Tunneling Protocol)

PPTP (protocol de tunel punct la punct) este un protocol de tunel punct la punct care permite computerului utilizatorului să stabilească o conexiune sigură cu serverul prin crearea unui tunel special într-o rețea standard, nesecurizată. Acest protocol (PPTP) a devenit celebru deoarece a fost primul protocol VPN acceptat de Microsoft. Toate versiunile de Windows, începând cu Windows 95 OSR2, includ deja un client PPTP. Aceasta este cea mai faimoasă și mai ușor de configurat opțiune pentru conectarea la un serviciu VPN. Dar, după cum se spune, există și un punct negativ: mulți furnizori de internet blochează conexiunile PPTP.

OpenVPN- aceasta este o implementare gratuită a tehnologiei Rețea privată virtuală (VPN) sursă deschisă pentru crearea de canale criptate punct-la-punct sau server-client între computere. Poate stabili conexiuni între computere care se află în spatele unui firewall NAT fără a fi nevoie să-și schimbe setările. Dar utilizarea acestei tehnologii va necesita să instalați software suplimentar pentru toate sistemele de operare.

L2TP (Layer 2 Tunneling Protocol) este un protocol de tunel al rețelei de nivel de legătură care combină protocolul L2F (layer 2 Forwarding) dezvoltat de companie și protocolul Microsoft Corporation. Vă permite să creați un VPN cu priorități de acces specificate, dar nu conține instrumente de criptare sau mecanisme de autentificare (este folosit împreună cu IPSec pentru a crea un VPN securizat). Potrivit experților, este cea mai sigură opțiune de conexiune VPN, în ciuda dificultății de configurare.

Serviciile VPN, de regulă, oferă astăzi 2 tipuri de protocoale: OpenVPN sau PPTP. Tipul de conexiune, precum și alegerea serverului (în SUA, Țările de Jos, Marea Britanie etc.), vă vor deveni disponibile imediat ce vă activați abonamentul la serviciile VPN.

Deci, ce ar trebui să alegeți și care este diferența semnificativă dintre conexiunile OpenVPN și PPTP?

Se pare că OpenVPN are o serie de avantaje față de tehnologia PPTP VPN, și anume:
Criptare pe 2048 de biți, implementată prin SSL folosind certificate PKI;
Comprimarea adaptivă a datelor în conexiune folosind algoritmul de compresie LZO, iar viteza de transfer a datelor prin OpenVPN este mai mare decât cea a PPTP;
Abilitatea de a utiliza un port TCP/UDP (fără a fi legat de un anumit port);
Interfața Ethernet poate funcționa în modul bridge și poate transmite pachete de difuzare;
Configurarea este, de asemenea, ușoară (cu ceva experiență, desigur).

În plus, protocolul GRE este o parte integrantă a PPTP VPN. Și în acest moment se cunosc astfel de incidente că unii furnizori de internet (inclusiv furnizorii de telefonie mobilă) blochează complet un astfel de trafic.
Dacă puneți o întrebare directă serviciului tehnic. asistență furnizorului, atunci veți primi un răspuns viclean: „Se spune că nu blocăm nimic”. Prin urmare, dacă aveți doar un astfel de furnizor, atunci vă recomandăm să utilizați OpenVPN.

Chiar și înainte de a utiliza un serviciu VPN (precum și altele), trebuie să înțelegeți această întrebare: „La ce anume vei folosi acest serviciu?”

Dacă intenționați să comiteți inițial fapte penale (, spargere , și SPAM), atunci ești în locul greșit. Cu clienții care se angajează în astfel de activități ilegale, orice serviciu VPNrupe relațiile de afaceri.

Este important să înțelegeți că un serviciu de anonimizare este necesar în primul rând:

Pentru a vă proteja confidențialitatea și confidențialitatea (traficul) de prea mult,
- pentru a ocoli restricțiile ridicole privind descărcarea torrentelor, vizitarea rețelelor sociale, utilizarea programelor precum etc.
Am enumerat toate motivele pentru a folosi serviciile VPN în ultimul nostru articol " "

Ei bine, acum să trecem direct la testarea unuia dintre serviciile VPN plătite:

1) După ce v-ați activat abonamentul și ați decis asupra tipului de conexiune VPN (OpenVPN sau PPTP), descărcați programul pentru a stabili o conexiune VPN.

Puteți utiliza, de exemplu, programul gratuit OpenVPN GUI.

Agent VPNService a fost încărcat

Când utilizați VPNServiceAgent, practic nu trebuie să configurați nimic; la instalarea acestui program, veți primi următorul mesaj (instalare driver).

Veți primi un mesaj cu datele de conectare și parola pentru conexiunea la adresa de e-mail pe care ați introdus-o la înregistrarea pentru serviciu. Dacă abonamentul este activ, atunci în programul VPNServiceAgent trebuie doar să faceți clic pe butonul "conectați" și așteptați până când se stabilește conexiunea VPN cu serverul.

Dacă decideți să utilizați programul GUI OpenVPN:

Pentru a descărca fișierul de configurare, accesați „Contul dvs. personal”, la secțiunea „Abonamentele mele”. Faceți clic pe abonamentul de protocol OpenVPN și faceți clic pe pictograma „Descărcați fișierul de configurare și cheile (într-un fișier)”. După descărcarea fișierului, salvați-l în subfolderul \config\ (de exemplu, C:\Program Files\OpenVPN\config).

Apoi, rulați OpenVPN GUI ca administrator. Pentru a face acest lucru, faceți clic dreapta pe pictograma programului și selectați „Run as administrator”. Faceți clic dreapta pe pictograma barei de programe, selectați serverul și faceți clic pe „Conectați”.
Ei bine, asta este totul despre setări și setări. Conexiunea VPN funcționează!!!

2) Să vă verificăm IP-ul prin orice serviciu popular pentru verificarea adreselor IP:
http://2ip.ru sau http://ip-whois.net/ip.php
Și vedem că IP-ul nostru este complet diferit, nu cel care ne-a fost emis anterior de furnizor :)
108.XX.5.XXX Acesta este aproximativ IP-ul pe care l-am primit.

3) Apoi vom face un traseu pentru a verifica prin ce gazde intermediare trece traficul dvs. Să folosim utilitarul traceroute.

Pentru Windows, acest lucru se face astfel:

Butonul Start -> Run -> cmd.exe
introduceți comanda „tracert google.com”

Rezultatele urmăririi sunt în captură de ecran.

4) Ei bine, navigarea, desigur, este deja anonimă pentru noi :) Dar cum merg lucrurile cu anonimizarea aplicațiilor?

Să redirecționăm e-mail folosind
Ei bine, cutiile poștale de pe mail.ru, yahoo, precum și cutiile poștale corporative emise de furnizorul nostru de găzduire nici nu au înjurat când a fost schimbat IP-ul!!!
Dar Gmail a decis să „joace în siguranță”, ei bine, așa este... „Dumnezeu îi protejează pe cei atenți”.
Iată ce avem:

Așa că a trebuit să intrăm în gmail printr-un browser și să confirmăm prin telefonul mobil, așa că am deblocat contul.

Ei bine, în general, e-mailul nostru este trimis de la un client de e-mail fără a indica IP-ul nostru real:

5) În ceea ce privește aplicațiile în care setările de securitate includ „blocarea accesului prin IP”, am lansat portofelul Webmoney ca exemplu.
Am primit imediat un mesaj, vezi fig.

Toate tranzacțiile ulterioare trebuiau confirmate prin telefonul mobil. Dar puteți lucra în continuare cu portofelul fără probleme folosind IP-ul eliberat prin serviciul VPN.

Aceeași opțiune va exista dacă aveți un cont în

Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:

confidențialitatea informațiilor;

integritatea datelor;

disponibilitatea informațiilor;

Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network) - un nume generalizat pentru tehnologii care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (de exemplu, Internet) folosind criptografia (criptare, autentificare). , infrastructură) chei publice, mijloace de protecție împotriva repetărilor și modificărilor mesajelor transmise prin rețeaua logică).

Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii dedicate. În funcție de protocoalele utilizate și de scop, VPN poate oferi trei tipuri de conexiuni: de la gazdă la gazdă, de la gazdă la rețea și de la rețea la rețea.

Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate geografic și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să instalați modemuri în fiecare ramură și să organizați comunicațiile după cum este necesar. Această soluție, însă, nu este întotdeauna convenabilă și profitabilă - uneori este nevoie de comunicare constantă și lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiuni VPN ale tuturor filialelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.

Orez. 6.4. Conexiune VPN de la site la site

Orez. 6.5. Rețea gazdă tip conexiune VPN

În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.

Pericolul aici este că, în primul rând, o rețea deschisă este deschisă atacurilor atacatorilor din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în text clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și în al treilea rând, datele nu pot fi doar interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator ar putea, de exemplu, să încalce integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.

Pentru a preveni acest lucru, soluțiile VPN folosesc caracteristici precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la rețeaua privată virtuală.

O conexiune VPN constă întotdeauna dintr-un canal punct la punct, cunoscut și sub numele de tunel. Tunelul este creat într-o rețea neprotejată, care este cel mai adesea internetul.

Tunnelarea sau încapsularea este o metodă de transmitere a informațiilor utile printr-o rețea intermediară. Aceste informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda care trimite, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine plasate la punctele de intrare în rețeaua publică. Unul dintre avantajele clare ale tunelului este că această tehnologie vă permite să criptați întregul pachet sursă, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).

Deși un tunel VPN este stabilit între două puncte, fiecare nod poate stabili tuneluri suplimentare cu alte noduri. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acel birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil deoarece un nod poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:

Orez. 6.6. Crearea de tuneluri VPN pentru mai multe locații la distanță

Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.

În interiorul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Acest lucru asigură că numai informațiile transmise pe un canal nesecurizat între birouri sunt criptate.

Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:

PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în sistemele de operare Microsoft.

L2TP (Layer-2 Tunneling Protocol) – combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.

IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).

Protocoalele enumerate sunt acceptate de dispozitivele D-Link.

Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul permite accesul de la distanță, permițând utilizatorilor să stabilească conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, PPTP nu a fost inițial destinat să creeze tuneluri între rețelele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.

Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date prin diferite protocoale - IP, IPX, NetBEUI etc. Datele din aceste protocoale sunt împachetate în cadre PPP și încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transferate utilizând IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadre PPP din pachetele IP și apoi le procesează într-un mod standard, de exemplu. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. Protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca și în cazul VPN bazat pe IPSec) cât și orice alt protocol pot fi folosite ca transport.

În prezent, datorită ușurinței implementării, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la rețeaua corporativă, cât și pentru accesarea rețelelor furnizorilor de internet, atunci când clientul trebuie să stabilească o conexiune PPTP cu furnizorul de internet pentru a obține acces. la Internet.

Metoda de criptare utilizată în PPTP este specificată la nivel PPP. De obicei, clientul PPP este un computer desktop care rulează un sistem de operare Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este destul de suficientă, deși este considerat mai puțin sigur decât unii dintre ceilalți algoritmi de criptare oferiti de IPSec, în special, standardul de criptare triple a datelor pe 168 de biți (3DES) .

Cum se stabilește legăturaPPTP?

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține canalul în funcțiune. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.

Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a transmite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea informațională a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat care aparțin de obicei PPP, adică adăugând un antet PPP și un trailer la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a permite transmisia acestora prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Pe orez. 6.7 Structura de date pentru redirecționarea printr-un tunel PPTP este afișată:

Orez. 6.7. Structura de date pentru redirecționarea printr-un tunel PPTP

Stabilirea unui VPN bazat pe PPTP nu necesită cheltuieli mari sau setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să efectuați setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de internet sau un firewall cu suport PPTP: setările sunt făcute numai pe routerul de margine (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de internet multifuncționale din seria DIR/DSR și firewall-urile din seria DFL.

GRE-tunele

Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă tunelarea traficului prin rețele fără criptare. Exemple de utilizare a GRE:

transmiterea traficului (inclusiv difuzarea) prin echipamente care nu suportă un protocol anume;

tunelarea traficului IPv6 printr-o rețea IPv4;

transfer de date prin rețele publice pentru a implementa o conexiune VPN sigură.

Orez. 6.8. Un exemplu de funcționare a unui tunel GRE

Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.

L2 TP

Protocolul L2TP a apărut ca rezultat al combinației dintre protocoalele PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor.

Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmisie în tunel, adăugând mai întâi antetul PPP la câmpul de date de informații PPP, apoi antetul L2TP. Pachetul rezultat este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec selectată, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Se adaugă un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date pentru redirecționarea printr-un tunel L2TP.

Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP

Calculatorul de primire primește datele, procesează antetul PPP și terminarea și îndepărtează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.

Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar date de încărcare utilă care sunt procesate sau redirecționate către destinatarul specificat.

IPsec (prescurtare de la IP Security) este un set de protocoale pentru asigurarea protecției datelor transmise prin Internet Protocol (IP), permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei prin Internet.

Securitatea IPSec se realizează prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. Deoarece IPSec este un standard de internet și există RFC-uri pentru acesta:

RFC 2401 (Arhitectura de securitate pentru protocolul Internet) – arhitectura de securitate pentru protocolul IP.

RFC 2402 (antet de autentificare IP) – antet de autentificare IP.

RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) – utilizarea algoritmului de hashing SHA-1 pentru a crea antetul de autentificare.

RFC 2405 (Algoritmul de criptare ESP DES-CBC cu explicit IV) - utilizarea algoritmului de criptare DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) – criptarea datelor.

RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de gestionare a cheilor.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – gestionarea cheilor și a autentificatorilor pentru conexiuni securizate.

RFC 2409 (The Internet Key Exchange (IKE)) – schimb de chei.

RFC 2410 (Algoritmul de criptare NULL și utilizarea sa cu IPsec) – algoritmul de criptare nul și utilizarea acestuia.

RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.

RFC 2412 (Protocolul de determinare a cheii OAKLEY) – verificarea autenticității unei chei.

IPsec este o parte integrantă a protocolului Internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului Internet.

Mecanismul IPSec rezolvă următoarele probleme:

autentificarea utilizatorilor sau computerelor la inițializarea unui canal securizat;

criptarea și autentificarea datelor transmise între punctele finale ale canalelor securizate;

furnizarea automată a punctelor finale de canal cu chei secrete necesare pentru funcționarea protocoalelor de autentificare și criptare a datelor.

Componente IPSec

Protocolul AH (Authentication Header) – protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din porțiunea protejată a pachetului nu au fost modificați în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. Deoarece În acest caz, pachetul se va schimba, apoi suma de control AH va deveni incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în funcționarea sa) . De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.

Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva redării false a pachetelor.

Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP este situat între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.

Deoarece Ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), care poate fi folosit pentru a determina ce urmează antetului IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese de Internet), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, atunci când lucrați printr-un firewall, este foarte important să configurați filtrele astfel încât să permită trecerea pachetelor cu ID AH și/sau protocol ESP. prin.

Pentru a indica faptul că AH este prezent în antetul IP, ID-ul protocolului este setat la 51, iar pentru ESP numărul este 50.

ATENŢIE: ID-ul protocolului nu este același cu numărul portului.

Protocolul IKE (Internet Key Exchange) este un protocol IPsec standard utilizat pentru a asigura comunicații securizate în rețelele private virtuale. Scopul IKE este de a negocia și de a livra în siguranță materiale identificate unei asociații de securitate (SA).

SA este termenul IPSec pentru conexiune. Un SA stabilit (un canal securizat numit Asociație de Securitate sau SA) include o cheie secretă partajată și un set de algoritmi criptografici.

Protocolul IKE îndeplinește trei sarcini principale:

oferă un mijloc de autentificare între două puncte finale VPN;

stabilește noi conexiuni IPSec (creează o pereche SA);

gestionează conexiunile existente.

IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.

Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează IKE SA. În acest caz, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi un algoritm de criptare, cheia de sesiune etc.

În a doua fază, IKE SA este folosit pentru a negocia un protocol (de obicei IPSec).

Când este configurat un tunel VPN, este creată o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, deoarece Fiecare SA este o conexiune unidirecțională, iar datele trebuie transferate în două direcții. Perechile SA rezultate sunt stocate pe fiecare nod.

Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index).

SA este stocat într-o bază de date (DB) TRIST.(Baza de date Asociația de Securitate).

Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) – baza de date a politicilor de securitate. Conține politica de site configurată. Majoritatea soluțiilor VPN permit crearea de politici multiple cu combinații de algoritmi adecvați pentru fiecare gazdă la care trebuie stabilită o conexiune.

Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe modalități de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. În același timp, grupul de lucru IETF a definit un set de bază de funcții și algoritmi suportați, care ar trebui să fie implementați uniform în toate produsele care acceptă IPSec. Mecanismele AH și ESP pot fi utilizate cu o varietate de scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie o funcție MD5 unidirecțională, fie o funcție SHA-1 unidirecțională, iar criptarea este efectuată folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.

Pentru a cripta datele în IPSec, poate fi utilizat orice algoritm de criptare simetrică care utilizează chei secrete.

Protocoalele de protecție a fluxului transmis (AH și ESP) pot funcționa în două moduri: mod de transport si in modul de tunel. Când funcționează în modul de transport, IPsec funcționează numai cu informații despre stratul de transport, de exemplu. Numai câmpul de date al pachetului care conține protocoale TCP/UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili conexiuni între gazde.

În modul tunel, întregul pachet IP este criptat, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, este un tunel IP securizat. Modul tunel poate fi folosit pentru a conecta computere de la distanță la o rețea privată virtuală (schemă de conexiune gazdă-la-rețea) sau pentru a organiza transferul securizat de date prin canale de comunicare deschise (de exemplu, Internet) între gateway-uri pentru a conecta diferite părți ale rețelei private virtuale. reţea (schema de conectare la reţea -net").

Modurile IPsec nu se exclud reciproc. Pe același nod, unele SA pot folosi modul de transport, în timp ce altele folosesc modul tunel.

În timpul fazei de autentificare, se calculează ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să o compare cu rezultatul trimis de expeditor. Dacă compararea ICV are succes, expeditorul pachetului este considerat a fi autentificat.

În modul transportAH.

întregul pachet IP, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;

toate câmpurile din AH;

Sarcina utilă a pachetului IP.

AH în modul de transport protejează antetul IP (excluzând câmpurile pentru care sunt permise modificări) și încărcarea utilă în pachetul IP original (Figura 3.39).

În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transmisia datelor se realizează pe baza antetului noului pachet IP.

Pentru modul tunelAH. La efectuarea unui calcul, suma de control ICV include următoarele componente:

toate câmpurile antetului IP exterior, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;

toate câmpurile AH;

pachetul IP original.

După cum puteți vedea în următoarea ilustrație, modul de tunel AH protejează întregul pachet IP original prin utilizarea unui antet exterior suplimentar, pe care modul de transport AH nu îl folosește:

Orez. 6.10. Modurile de operare în tunel și transport ale protocolului AN

În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar trailerul ESP (Trailer ESP) este adăugat în consecință după date.

Modul de transport ESP criptează următoarele părți ale pachetului:

sarcină utilă IP;

Un algoritm de criptare care utilizează modul Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate ca el să decripteze porțiunea criptată a pachetului fără cheia de criptare. Pentru a împiedica atacatorii să schimbe vectorul de inițializare, acesta este protejat de o sumă de control ICV. În acest caz, ICV efectuează următoarele calcule:

toate câmpurile din antetul ESP;

sarcină utilă inclusiv text clar IV;

toate câmpurile din ESP Trailer, cu excepția câmpului de date de autentificare.

Modul tunel ESP încapsulează întregul pachet IP original în noul antet IP, antet ESP și Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost plasată semnătura pentru a-i certifica integritatea și autenticitatea, iar partea criptată arată că informațiile sunt sigure și confidențiale. Antetul sursă este plasat după antetul ESP. După ce porțiunea criptată este încapsulată într-un nou antet de tunel, care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, pachetul este direcționat către adresa IP a gateway-ului rețelei de primire, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer din rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:

pachetul IP original;

• Pentru modul tunel ESP, ICV se calculează după cum urmează:

  toate câmpurile din antetul ESP;

  pachetul IP original, inclusiv text clar IV;

  toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.

Orez. 6.11. Tunelul și modul de transport al protocolului ESP

Orez. 6.12. Compararea protocoalelor ESP și AH

Rezumatul modurilor de aplicareIPSec:

Protocol – ESP (AH).

Mod – tunel (transport).

Metoda de schimb de chei este IKE (manual).

Modul IKE – principal (agresiv).

Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.

Autentificare – SHA1 (SHA, MD5).

Criptare – DES (3DES, Blowfish, AES).

La crearea unei politici, este de obicei posibilă crearea unei liste ordonate de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, se va folosi prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să permită această aliniere. Dacă totul se potrivește, cu excepția unei părți a politicii, nodurile nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică posibilă.

Setări de bază pe care politica de securitate le include:

Algoritmi simetrici pentru criptarea/decriptarea datelor.

Sume de verificare criptografice pentru a verifica integritatea datelor.

Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.

Dacă folosiți modul tunel sau modul de transport.

Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).

Dacă să folosiți AH, ESP sau ambele.

Dacă să utilizați PFS.

O limitare a IPSec este că acceptă doar comunicațiile la nivel de protocol IP.

Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.

În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează nodul pe care rulează următoarele:

Orez. 6.13. Creați un canal securizat între două puncte finale

În a doua schemă, se stabilește un canal securizat între două gateway-uri de securitate. Aceste gateway-uri acceptă date de la gazdele terminale conectate la rețelele situate în spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec; traficul trimis către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în numele său.

Orez. 6.14. Crearea unui canal securizat între două gateway-uri

Pentru gazdele care acceptă IPSec, pot fi utilizate atât modurile de transport, cât și cele de tunel. Gateway-urilor li se permite doar să folosească modul tunel.

Instalare si suportVPN

După cum am menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică reciproc. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Principal modul).

În modul principal, este posibilă coordonarea tuturor parametrilor de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv nu există o astfel de posibilitate, iar unii parametri (grup Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie configurați identic în avans pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai mici, rezultând mai puțin timp necesar pentru stabilirea unei sesiuni IPSec.

Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).

Presupunând că operațiunea s-a încheiat cu succes, se creează prima fază SA − Fază 1 S.A.(numit si IKES.A.) iar procesul trece la a doua fază.

În a doua etapă, datele cheie sunt generate și nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de prima fază prin faptul că poate fi stabilit doar după prima fază, când toate pachetele din a doua fază sunt criptate. Finalizarea corectă a celei de-a doua faze are ca rezultat apariția Fază 2 S.A. sau IPSecS.A. iar în acest moment instalarea tunelului este considerată finalizată.

Mai întâi, un pachet cu o adresă de destinație într-o altă rețea ajunge la nod, iar nodul inițiază prima fază cu nodul responsabil pentru cealaltă rețea. Să presupunem că un tunel între noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește Phase One lifetime sau IKE SA lifetime.

Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp numită Faza a doua sau durata de viață IPSec SA.

Durata de viață a fazei a doua este mai scurtă decât cea a primei faze, deoarece... cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca tunelul să fie stabilit inițial cu succes, dar după prima durată de viață inconsistentă conexiunea va fi întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă un tunel configurat anterior nu mai funcționează, atunci primul lucru care trebuie verificat este durata de viață pe ambele noduri.

De asemenea, trebuie remarcat faptul că, dacă politica este modificată pe unul dintre noduri, modificările vor intra în vigoare numai data viitoare când va avea loc prima fază. Pentru ca modificările să intre în vigoare imediat, SA pentru acest tunel trebuie eliminat din baza de date SAD. Acest lucru va face ca acordul dintre noduri să fie renegociat cu noi setări de politică de securitate.

Uneori, la configurarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți din cauza coordonării parametrilor la stabilirea primei faze. Ar trebui să acordați atenție unui astfel de parametru, cum ar fi Local ID - acesta este un identificator unic al punctului final al tunelului (expeditor și destinatar). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.

MortPeerDetectare

În timpul operațiunii VPN, în absența traficului între punctele terminale ale tunelului sau când se modifică datele inițiale ale nodului de la distanță (de exemplu, modificarea unei adrese IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență. un tunel, devenind, parcă, un tunel fantomă. Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să monitorizați prezența traficului de la un nod la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall Mesajul „DPD-R-U-THERE” este trimis către D-Link. Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link specificate de setările „DPD Expire Time”, tunelul este demontat. Firewall-urile D-Link după aceasta utilizând setările „DPD Keep Time” ( orez. 6.18), încearcă automat să restaureze tunelul.

ProtocolNATTraversare

Traficul IPsec poate fi rutat conform acelorași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, IPsec nu poate trece prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).

Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP obișnuit în întreaga rețea și gazda destinatarului să nu efectueze nicio verificare de integritate. Odată ce pachetul ajunge la destinație, antetul UDP este eliminat și pachetul de date își continuă calea ca pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibil să se stabilească comunicarea între clienții IPSec pe rețelele securizate și gazdele publice IPSec prin firewall-uri.

Când configurați firewall-urile D-Link pe dispozitivul destinatar, trebuie remarcate două puncte:

În câmpurile Rețea la distanță și Punct final la distanță, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (expeditorului) folosind tehnologia NAT (Figura 3.48).

Când utilizați chei partajate cu mai multe tuneluri conectate la același firewall la distanță care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.

Local ID poate fi unul dintre:

Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.

IP– adresa IP a portului WAN al firewall-ului de la distanță

DNS– adresa DNS