Meniul
AcasăBios

Organizarea VPN între birouri. · Care este nivelul de securitate al rețelei corporative. Crearea unui VPN, selectarea și configurarea echipamentelor

Ce se întâmplă dacă trebuie să conectați birouri la distanță și să le conectați la o rețea locală sau să conectați angajații la distanță la rețeaua locală a biroului?

Internetul se dezvoltă rapid, oferind oricărui proprietar de computer acces la resurse de informații nelimitate. Posibilitate de acces la rețeaua corporativă oricând, oriunde devine rapid o necesitate în lumea afacerilor. Tot mai multe companii se străduiesc să implementeze tehnologii care fac posibilă organizarea lucrand impreuna, indiferent de localizarea geografică a angajaților sau clienților. Angajații aflați în călătorii de afaceri au posibilitatea de a se conecta la rețeaua corporativă direct din camerele lor de hotel, iar cei care lucrează de acasă mențin contactul cu sediul companiei în timp real. Până de curând, acest lucru necesita echipamente scumpe și canale de comunicare, a căror închiriere era și costisitoare.

Ce este un VPN?

Din punct de vedere al consumatorului, VPN (rețea privată virtuală) este o tehnologie care vă permite să organizați accesul securizat de la distanță prin canale de internet deschise la servere, baze de date și orice resurse din rețeaua dvs. corporativă. Cu ajutorul unei rețele private virtuale, este ușor să conectați birourile sau unitățile de producție între ele, asigurând comunicații garantate de înaltă calitate și sigure în toată Rusia sau în străinătate. Principalul avantaj al unui VPN față de canalele de comunicare dedicate este economisirea banilor companiei; trebuie să recunoașteți, aceasta nu este ultima problemă pentru nicio persoană din țara noastră și, într-adevăr, din lume.

Caracteristici VPN:

  • grad ridicat de protecție împotriva accesului neautorizat bazat pe criptografie;
  • munca personalului din birourile la distanță ale organizației cu aplicații și programe situate în biroul principal (de exemplu, cu sistemul 1C: Enterprise);
  • fluxul de documente securizat între birourile companiei;
  • optimizarea costurilor pentru asigurarea accesului la informaţie.

Solutii:

Toate produsele pentru crearea de VPN-uri pot fi împărțite în două categorii - software și hardware. O serie de companii, cum ar fi Cisco Systems, NetScreen, Sonic, oferă o gamă întreagă de soluții care se pot scala în funcție de numărul de conexiuni VPN simultane cu care intenționați să lucrați. Acestea sunt adesea mai ușor și mai rapid de configurat, dar principalul dezavantaj al soluțiilor hardware este costul lor foarte ridicat.

Soluție software VPN - de obicei o aplicație software comercială sau gratuită gata făcută (OpenVPN) care este instalată pe un computer conectat la rețea? de obicei un gateway de internet. Din motive de securitate și performanță, cel mai bine este să alocați mașini separate pentru instalarea aplicațiilor VPN, de preferință cu un sistem de operare *nix-like.

Cum functioneaza?

În cea mai simplă formă, VPN-urile conectează utilizatorii sau birourile de la distanță la o rețea de afaceri. Schema de conectare este foarte simplă - utilizatorul de la distanță rulează un program client pe computerul său cu acces la Internet pentru a se conecta la biroul de la distanță. În acest caz se folosește Client OpenVPN. Programul se conectează la serverul companiei și criptează tot traficul, iar accesul este organizat folosind o cheie de utilizator criptată, pentru care puteți seta o parolă.

În acest caz, se formează un canal VPN, care este un „tunel” prin care se pot face schimb de date între două noduri terminale. Acest tunel este „opac” pentru toți ceilalți utilizatori, inclusiv pentru furnizor. Canalele VPN sunt protejate de algoritmi de criptare puternici bazați pe standardele Internet Protocol Security (IPSec).

Acum aveți o idee despre ce este un VPN și cum funcționează. Dacă ești manager, gândește-te bine, poate că asta este exact ceea ce căutai.

Dacă vi se pare util acest articol,
nu fi leneș să dai like și să distribui prietenilor tăi.

Recent, în lumea telecomunicațiilor a existat un interes crescut pentru rețelele private virtuale ( Privat virtual Rețea - VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative prin conectarea mai ieftină a birourilor de la distanță și a utilizatorilor la distanță prin Rețea de internet. Într-adevăr, atunci când se compară costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele Frame Relay puteți observa o diferență semnificativă de cost. Cu toate acestea, trebuie remarcat faptul că atunci când se conectează rețele prin Internet, se pune imediat problema securității transmisiei de date, deci este nevoie de crearea unor mecanisme care să asigure confidențialitatea și integritatea. informatiile transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN.

În plus, de foarte multe ori o persoană modernă, care își dezvoltă afacerea, trebuie să călătorească mult. Acestea ar putea fi excursii în colțuri îndepărtate ale țării noastre sau în țări străine. Adesea, oamenii au nevoie de acces la informațiile lor stocate pe computerul de acasă sau al companiei. Această problemă poate fi rezolvată prin organizarea accesului de la distanță la ea folosind un modem și o linie. Utilizarea unei linii telefonice are propriile sale caracteristici. Dezavantajele acestei soluții sunt că apelul din altă țară costă foarte mulți bani. Există o altă soluție numită VPN. Avantajele tehnologiei VPN sunt că organizarea accesului la distanță nu se face prin intermediul linie telefonică, dar prin Internet, care este mult mai ieftin și mai bun. După părerea mea, tehnologia. VPN-ul are potențialul de a deveni răspândit în întreaga lume.

1. Conceptul și clasificarea rețelelor VPN, construcția acestora

1.1 Ce este un VPN

VPN(eng. Virtual Private Network - rețea privată virtuală) - o rețea logică creată deasupra unei alte rețele, de exemplu Internet. În ciuda faptului că comunicările se realizează prin rețele publice Folosind protocoale nesigure, criptarea creează canale de schimb de informații care sunt închise pentru cei din afară. VPN vă permite să combinați, de exemplu, mai multe birouri ale unei organizații într-o singură rețea folosind canale necontrolate pentru comunicarea între ele.

În felul său esența VPN are multe dintre proprietățile unei linii închiriate, dar este implementată într-o rețea publică, de exemplu. Cu tehnica tunelului, pachetele de date sunt difuzate prin rețeaua publică ca și cum ar fi o conexiune normală punct la punct. Se stabilește un fel de tunel între fiecare pereche emițător-receptor de date - o conexiune logică securizată care permite ca datele dintr-un protocol să fie încapsulate în pachete ale altuia. Principalele componente ale tunelului sunt:

  • iniţiator;
  • rețea direcționată;
  • comutator de tunel;
  • unul sau mai multe terminatoare de tunel.

Principiul funcționării VPN în sine nu contrazice tehnologiile și protocoalele de bază ale rețelei. De exemplu, la stabilirea unei conexiuni acces de la distanță clientul trimite un flux de pachete către server protocol standard PPP. În cazul organizării de linii virtuale închiriate între rețelele locale, routerele acestora schimbă și pachete PPP. Cu toate acestea, un aspect fundamental nou este transmiterea pachetelor printr-un tunel securizat organizat într-o rețea publică.

Tunnelarea vă permite să organizați transmiterea pachetelor din acestea protocol într-un mediu logic folosind un alt protocol. Ca urmare, devine posibilă rezolvarea problemelor de interacțiune între mai multe tipuri diferite de rețele, începând cu necesitatea asigurării integrității și confidențialității datelor transmise și terminând cu depășirea neconcordanțelor din protocoalele externe sau schemele de adresare.

Existent infrastructura retelei corporațiile pot fi pregătite să utilizeze VPN folosind atât software, cât și hardware. Configurarea unei rețele private virtuale poate fi comparată cu așezarea unui cablu într-o rețea globală. De obicei, o conexiune directă între un utilizator de la distanță și un dispozitiv terminal de tunel este stabilită folosind protocolul PPP.

Cea mai comună metodă de creare a tunelurilor VPN este încapsularea protocoalelor de rețea (IP, IPX, AppleTalk etc.) în PPP și apoi încapsularea pachetelor rezultate într-un protocol de tunel. De obicei, acesta din urmă este IP sau (mult mai rar) ATM și Frame Relay. Această abordare se numește tunel de nivel al doilea, deoarece „pasagerul” aici este protocolul de nivel al doilea.

O abordare alternativă este încapsularea pachetelor protocol de rețea direct într-un protocol de tunel (cum ar fi VTP) se numește tunel de nivel 3.

Indiferent ce protocoale sunt folosite sau ce scopuri urmarit la organizarea unui tunel ramane tehnica de bazapractic neschimbat. În mod obișnuit, un protocol este utilizat pentru a stabili o conexiune cu un nod la distanță, iar altul este utilizat pentru a încapsula date și informații de serviciu pentru transmiterea prin tunel.

1.2 Clasificarea rețelelor VPN

Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

1. După tipul de mediu utilizat:

  • Rețele VPN securizate. Cea mai comună versiune a rețelelor private private. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, OpenVPN și PPTP.
  • Rețele VPN de încredere. Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesară doar rezolvarea problemei creării unei subrețele virtuale în cadrul unei rețele mai mari. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​MPLS și L2TP. Ar fi mai corect să spunem că aceste protocoale transferă sarcina de a asigura securitatea către alții, de exemplu L2TP, de regulă, este utilizat împreună cu IPSec.

2. După metoda de implementare:

  • Rețele VPN sub formă de software și hardware special. Implementarea unei rețele VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, un grad ridicat de securitate.
  • Rețele VPN ca soluție software. Ei folosesc un computer personal cu software special care oferă funcționalitate VPN.
  • Rețele VPN cu o soluție integrată. Funcționalitatea VPN este asigurată de un complex care rezolvă și problemele de filtrare a traficului de rețea, organizarea unui firewall și asigurarea calității serviciului.

3. După scop:

  • VPN pentru intranet. Folosit pentru a uni mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, prin schimbul de date canale deschise comunicatii.
  • VPN cu acces la distanță. Acestea sunt folosite pentru a crea un canal securizat între un segment de rețea corporativă (birou central sau sucursală) și un singur utilizator care, lucrând acasă, se conectează la resurse corporative de pe un computer de acasă sau, în timpul unei călătorii de afaceri, se conectează la resursele corporative folosind un laptop.
  • VPN extranet. Folosit pentru rețelele la care utilizatorii „externi” (de exemplu, clienții sau clienții) se conectează. Nivelul de încredere în ei este mult mai scăzut decât în ​​angajații companiei, așa că este necesar să se asigure „linii” speciale de protecție care să împiedice sau să limiteze accesul acestora din urmă la produse deosebit de valoroase, informații confidențiale.

4. După tipul de protocol:

  • Există implementări de rețele private virtuale pentru TCP/IP, IPX și AppleTalk. Dar astăzi există o tendință spre o tranziție generală la protocolul TCP/IP și majoritatea absolută Soluții VPNîl sprijină.

5. După nivelul protocolului de rețea:

  • După nivel de protocol de rețea, pe baza comparației cu nivelurile de referință model de rețea ISO/OSI.

1.3. Construirea unui VPN

Există diferite opțiuni pentru construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță ai constructorilor VPN. De exemplu, dacă un router funcționează deja la limita de capacitate, atunci adăugarea de tuneluri VPN și aplicarea criptării/decriptării informațiilor poate opri întreaga rețea din cauza faptului că acest router nu va putea face față unui trafic simplu, darămite unui VPN. Experiența arată că pentru a construi VPN este mai bun Mai presus de toate, utilizați echipamente specializate, dar dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software. Să ne uităm la câteva opțiuni pentru construirea unui VPN.

  • VPN bazat pe firewall-uri. Majoritatea furnizorilor de firewall acceptă tunelarea și criptarea datelor. Toate astfel de produse se bazează pe faptul că traficul care trece prin firewall este criptat. Un modul de criptare este adăugat la software-ul firewall în sine. Dezavantajul acestei metode este că performanța depinde de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, trebuie să vă amintiți că o astfel de soluție poate fi utilizată numai pentru rețele mici cu o cantitate mică de informații transferate.
  • VPN bazat pe router. O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare acestui router.Un exemplu de echipament pentru construirea VPN pe routere este echipamentul de la Cisco Systems. Pornind de la versiunea de software software iOS 11.3, routerele Cisco acceptă protocoalele L2TP și IPSec. in afara de asta criptare simplă Cisco acceptă și alte caracteristici VPN, cum ar fi autentificarea atunci când se stabilește o conexiune la tunel și schimbul de chei.Poate fi folosit pentru a îmbunătăți performanța routerului modul suplimentar Criptare ESA. În plus, Cisco System a lansat un dispozitiv specializat pentru VPN, care se numește Cisco 1720 VPN Access Router (router de acces VPN), destinat instalării în companiile mici și mijlocii, precum și în sucursalele organizațiilor mari.
  • VPN bazat pe software. Următoarea abordare a construirii unui VPN este pur și simplu soluții software. La implementarea unei astfel de soluții, specializat software, care rulează pe un computer dedicat și, în majoritatea cazurilor, acționează ca un server proxy. Computerul care rulează acest software poate fi situat în spatele unui firewall.
  • VPN bazat pe sistemul de operare al rețelei.Vom lua în considerare soluții bazate pe un sistem de operare de rețea folosind exemplul unui sistem de operare Compania Windows Microsoft. Pentru a crea un VPN, Microsoft folosește protocolul PPTP, care este integrat în sistemul Windows. Această soluție este foarte atractivă pentru organizațiile care folosesc Windows ca sistem de operare corporativ. Trebuie remarcat faptul că costul unei astfel de soluții este semnificativ mai mic decât costul altor soluții. VPN în funcțiune Bazat pe Windows este utilizată o bază de date de utilizatori stocată pe Controlerul de domeniu primar (PDC). La conectarea la un server PPTP, utilizatorul este autentificat folosind protocoalele PAP, CHAP sau MS-CHAP. Pachetele transmise sunt încapsulate în pachete GRE/PPTP. Pentru a cripta pachetele, se folosește un protocol non-standard de la Microsoft Point-to-Point Encryption cu o cheie de 40 sau 128 de biți primită în momentul stabilirii conexiunii. Dezavantajele acestui sistem sunt lipsa verificării integrității datelor și incapacitatea de a schimba cheile în timpul conexiunii. Aspectele pozitive sunt ușurința de integrare cu Windows și costul redus.
  • VPN bazat pe hardware. Opțiunea de a construi un VPN pe dispozitive speciale poate fi utilizată în rețelele care necesită performanțe ridicate. Un exemplu de astfel de soluție este produsul IPro-VPN de la Radguard. Acest produs folosește criptarea hardware a informațiilor transmise, capabilă să transmită un flux de 100 Mbit/s. IPro-VPN acceptă protocolul IPSec și mecanismul de gestionare a cheilor ISAKMP/Oakley. Printre altele, acest dispozitiv acceptă instrumente de difuzare adrese de rețea si poate fi completat tabla speciala, care adaugă funcționalitate firewall

2. Protocoale VPN

Rețelele VPN sunt construite folosind protocoale pentru tunelarea datelor printr-o rețea de comunicații uz comun Internet, cu protocoale de tunel care asigură criptarea datelor și transmisie de la capăt la capăt între utilizatori. De regulă, astăzi sunt utilizate următoarele niveluri de protocoale pentru a construi rețele VPN:

  • Stratul de legătură de date
  • Stratul de rețea
  • Stratul de transport.

2.1 Stratul de legătură

La nivelul de legătură de date, pot fi utilizate protocoale de tunel de date L2TP și PPTP, care utilizează autorizarea și autentificarea.

PPTP.

În prezent, cel mai comun protocol VPN este Point-to-Point Tunneling Protocol - PPTP. A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct. În practică, RRR rămâne așa protocol de comunicare Sesiune de conexiune PPTP. PPTP creează un tunel prin rețea către serverul NT al destinatarului și transmite pachete PPP de la utilizatorul de la distanță prin intermediul acestuia. Serverul și stația de lucru folosesc un virtual rețea privatăși nu acordați atenție cât de sigur sau accesibil este retea globalaîntre ele. Încheierea unei sesiuni de conexiune la inițiativa serverului, spre deosebire de serverele specializate de acces la distanță, permite administratorilor de rețele locale să împiedice utilizatorii de la distanță să părăsească sistemul de securitate Windows Server.

Deși competența protocolului PPTP se extinde numai la dispozitivele care funcționează sub Control Windows, oferă companiilor capacitatea de a interacționa cu infrastructurile de rețea existente fără a-și compromite propriile sisteme de securitate. Astfel, un utilizator de la distanță se poate conecta la Internet printr-un ISP local printr-o linie telefonică analogică sau o legătură ISDN și poate stabili o conexiune la serverul NT. În același timp, compania nu trebuie să cheltuiască sume mari pentru organizarea și întreținerea unui pool de modemuri care oferă servicii de acces la distanță.

În cele ce urmează se discută funcționarea RRTR. PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP folosesc portul de destinație pentru a crea o conexiune de control tunel. Acest proces are loc la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii. În plus față de conexiunea de control PPTP care asigură că legătura este operațională, este creată o conexiune pentru a transmite datele prin tunel. Încapsularea datelor înainte de a le trimite printr-un tunel are loc oarecum diferit decât în ​​timpul transmisiei normale. Încapsularea datelor înainte de a le trimite în tunel implică doi pași:

  1. În primul rând, este creată partea de informații PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date.
  2. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Astfel, în timpul celei de-a doua treceri, datele ajung în stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă a pachetului și preia funcțiile de al doilea strat asociate de obicei cu PPP, adică. adaugă un antet PPP și se termină la un pachet PPTP. Aceasta completează crearea cadrului stratului de legătură.

Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, GRE nu are capacitatea de a stabili sesiuni și de a proteja datele de intruși. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Sistemul de trimitere trimite date prin tunel. Sistemul de recepție șterge totul anteturi de servicii, lăsând doar date PPP.

L2TP

În viitorul apropiat, este de așteptat o creștere a numărului de rețele private virtuale, implementate pe baza noului protocol de tunel de nivel al doilea Layer 2 Tunneling Protocol - L2TP.

L2TP a apărut ca urmare a combinării protocoalelor PPTP și L2F (Layer 2 Forwarding). PPTP permite ca pachetele PPP să fie transmise prin tunel, iar pachetele L2F SLIP și PPP. Pentru a evita confuzia și problemele de interoperabilitate pe piața telecomunicațiilor, Internet Engineering Task Force (IETF) a recomandat ca Cisco Systems să combine PPTP și L2F. Din toate punctele de vedere, protocolul L2TP încorporează Cele mai bune caracteristici PPTP și L2F. Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețele IP, ci și în ATM, X.25 și Frame Relay. Din păcate, implementarea L2TP în Windows 2000 acceptă doar IP.

L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor. L2TP, așa cum este implementat de Microsoft, utilizează pachete UDP care conțin pachete PPP criptate ca mesaje de control. Fiabilitatea livrării este garantată de controlul secvenței pachetelor.

Funcționalitatea PPTP și L2TP este diferită. L2TP poate fi folosit nu numai în rețelele IP; mesajele de serviciu pentru crearea unui tunel și trimiterea de date prin acesta folosesc același format și protocoale. PPTP poate fi utilizat numai pe rețele IP și necesită o conexiune TCP separată pentru a crea și utiliza tunelul. L2TP prin IPSec oferă mai multe straturi de securitate decât PPTP și poate garanta securitatea aproape 100% pentru datele critice ale organizației dumneavoastră. Caracteristicile L2TP îl fac un protocol foarte promițător pentru construirea de rețele virtuale.

Protocoalele L2TP și PPTP diferă de protocoalele de tunel de nivel al treilea printr-o serie de caracteristici:

  1. Oferirea corporațiilor posibilitatea de a alege în mod independent metoda de autentificare a utilizatorilor și de verificare a acreditărilor - pe propriul „teritoriu” sau cu un furnizor de servicii de internet. Prin procesarea pachetelor PPP tunelizate, serverele de rețea corporative primesc toate informațiile necesare pentru a identifica utilizatorii.
  2. Suport pentru comutarea tunelului - terminarea unui tunel și inițierea altuia la unul dintre multele terminatoare potențiale. Comutarea tunelului vă permite să extindeți conexiunea PPP la punctul final necesar.
  3. Permite administratorilor de rețele corporative să implementeze strategii de control al accesului utilizatorilor direct pe firewall și serverele interne. Deoarece terminatorii de tunel primesc pachete PPP care conțin informații despre utilizator, aceștia sunt capabili să aplice politici de securitate definite de administrator pentru traficul utilizatorului individual. (Tunelingul de nivel al treilea nu permite distingerea pachetelor care provin de la furnizor, astfel încât filtrele de politică de securitate trebuie aplicate stațiilor de lucru și dispozitivelor de rețea finale.) În plus, dacă utilizați un comutator de tunel, devine posibilă organizarea unei „continuări” a tunelul al doilea nivel pentru transmiterea directă a traficului individualutilizatorii către serverele interne corespunzătoare. Astfel de servere pot fi însărcinate cu filtrarea suplimentară a pachetelor.

MPLS

Tot la nivel de link de date poate fi folosit pentru organizarea tunelurilor. Tehnologia MPLS ( Din engleza Multiprotocol Label Switching - comutare multiprotocol label - un mecanism de transfer de date care emulează diferite proprietăți ale rețelelor cu comutare de circuite peste rețelele cu comutare de pachete). MPLS operează la un strat care ar putea fi poziționat între stratul de legătură de date și al treilea strat de rețea al modelului OSI și, prin urmare, este denumit în mod obișnuit protocol de nivel de legătură de date. A fost conceput pentru a oferi serviciu universal transmisie de date atât pentru clienții rețelelor cu comutare de circuite, cât și a rețelelor cu comutare de pachete. MPLS poate transporta o mare varietate de trafic, cum ar fi pachete IP, ATM, SONET și cadre Ethernet.

Soluțiile pentru organizarea VPN la nivel de link au un domeniu de aplicare destul de limitat, de obicei în domeniul furnizorului.

2.2 Stratul de rețea

Stratul de rețea (stratul IP). Este utilizat protocolul IPSec, care implementează criptarea și confidențialitatea datelor, precum și autentificarea abonaților. Utilizarea protocolului IPSec permite un acces complet echivalent cu o conexiune fizică la rețeaua corporativă. Pentru a stabili un VPN, fiecare participant trebuie să configureze anumiți parametri IPSec, de ex. Fiecare client trebuie să aibă software care implementează IPSec.

IPSec

Desigur, nicio companie nu ar dori să se transfere în mod deschis Internet financiar sau alte informații confidențiale. Canalele VPN sunt protejate de algoritmi de criptare puternici bazați pe standardele de protocol de securitate IPsec. IPSec sau Internet Protocol Security - un standard ales de comunitatea internațională, IETF - Internet Engineering Task Force, creează cadrul de securitate pentru Internet Protocol (protocolul IP/IPSec oferă securitate pe nivelul rețeleiși necesită suport pentru standardul IPSec numai de la dispozitivele care comunică de pe ambele părți ale conexiunii. Toate celelalte dispozitive situate între ele furnizează pur și simplu trafic de pachete IP.

Metoda de interacțiune între persoane care utilizează tehnologia IPSec este de obicei definită prin termenul „asociere sigură” - Asociația de securitate (SA). O asociere sigură funcționează pe baza unui acord între părțile care folosesc IPSec pentru a proteja transmisă unui prieten informatii despre prieteni. Acest acord reglementează mai mulți parametri: adrese IP ale expeditorului și destinatarului, algoritmul criptografic, ordinea de schimb de chei, dimensiunile cheilor, durata de viață a cheii, algoritmul de autentificare.

IPSec este un set consistent de standarde deschise cu un nucleu care poate fi extins cu ușurință cu noi caracteristici și protocoale. Nucleul IPSec este format din trei protocoale:

· UN sau Authentication Header - antet de autentificare - garantează integritatea și autenticitatea datelor. Scopul principal al protocolului AH este acela că permite părții de recepție să se asigure că:

  • pachetul a fost trimis de o parte cu care s-a stabilit o asociere sigură;
  • conținutul pachetului nu a fost distorsionat în timpul transmiterii acestuia prin rețea;
  • pachetul nu este un duplicat al unui pachet deja primit.

Primele două funcții sunt obligatorii pentru protocolul AH, iar ultima este selectată opțional la stabilirea unei asocieri. Pentru a îndeplini aceste funcții, protocolul AH utilizează un antet special. Structura sa este considerată conform următoarei scheme:

  1. Următorul câmp de antet indică codul protocolului de nivel superior, adică protocolul al cărui mesaj se află în câmpul de date al pachetului IP.
  2. Câmpul pentru lungimea sarcinii utile conține lungimea antetului AH.
  3. Indexul parametrilor de securitate (SPI) este utilizat pentru a asocia un pachet cu asocierea de securitate intenționată.
  4. Câmpul Număr de secvență (SN) indică numărul de secvență al pachetului și este utilizat pentru a proteja împotriva falsificării (atunci când o terță parte încearcă să refolosească pachetele securizate interceptate trimise de expeditorul real autentificat).
  5. Câmpul de date de autentificare, care conține așa-numita valoare de verificare a integrității (ICV), este utilizat pentru autentificarea și verificarea integrității pachetului. Această valoare, numită și digest, este calculată folosind una dintre cele două funcții ireversibile din punct de vedere computațional MD5 sau SAH-1 care sunt cerute de protocolul AH, dar poate fi utilizată orice altă funcție.

· ESP sau sarcină utilă de securitate încapsulată- încapsularea datelor criptate - criptează datele transmise, asigurând confidențialitatea, poate suporta și autentificarea și integritatea datelor;

Protocolul ESP rezolvă două grupuri de probleme.

  1. Prima include sarcini similare cu cele ale protocolului AH - asigurarea autentificării și integrității datelor pe baza rezumatului,
  2. Al doilea este datele transmise prin criptarea lor de la vizualizare neautorizată.

Antetul este împărțit în două părți, separate printr-un câmp de date.

  1. Prima parte, numită antetul ESP în sine, este formată din două câmpuri (SPI și SN), al căror scop este similar cu câmpurile cu același nume din protocolul AH și este plasat înaintea câmpului de date.
  2. Câmpurile de serviciu de protocol ESP rămase, numite trailer ESP, sunt situate la sfârșitul pachetului.

Cele două câmpuri de trailer - antetul următor și datele de autentificare - sunt similare cu câmpurile antetului AH. Câmpul Date de autentificare este absent dacă se ia decizia de a nu folosi capacitățile de integritate ale protocolului ESP la stabilirea unei asocieri sigure. Pe lângă aceste câmpuri, remorca conține două câmpuri suplimentare - umplere și lungime de umplere.

Protocoalele AH și ESP pot proteja datele în două moduri:

  1. în transport - transmisia se realizează cu anteturi IP originale;
  2. in tunel - pachet sursă plasat într-un nou pachet IP și transmis cu antete noi.

Utilizarea unui mod sau altuia depinde de cerințele pentru protecția datelor, precum și de rolul jucat în rețea de nodul care încheie canalul securizat. Astfel, un nod poate fi o gazdă (nod final) sau o poartă (nod intermediar).

În consecință, există trei scheme pentru utilizarea protocolului IPSec:

  1. gazdă-gazdă;
  2. gateway-gateway;
  3. poarta gazdă.

Capacitățile protocoalelor AH și ESP se suprapun parțial: protocolul AH este responsabil doar pentru asigurarea integrității și autentificarea datelor, protocolul ESP poate cripta datele și, în plus, poate îndeplini funcțiile protocolului AH (într-o formă redusă). ). Un ESP poate suporta funcții de criptare și autentificare/integritate în orice combinație, adică fie întregul grup de funcții, numai autentificare/integritate, fie numai criptare.

· IKE sau Internet Key Exchange - Schimb de chei pe Internet - rezolvă sarcina auxiliară de a furniza automat punctelor terminale ale unui canal securizat cheile secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.

2.3 Stratul de transport

Stratul de transport utilizează protocolul SSL/TLS sau Secure Socket Layer/Transport Layer Security, care implementează criptarea și autentificarea între straturile de transport ale receptorului și ale transmițătorului. SSL/TLS poate fi folosit pentru a securiza traficul TCP, dar nu poate fi folosit pentru a securiza traficul UDP. Pentru a opera un VPN bazat pe SSL/TLS, nu este nevoie să implementați software special, deoarece fiecare browser și client de e-mail este echipat cu aceste protocoale. Datorită faptului că SSL/TLS este implementat la nivelul transportului, se stabilește o conexiune securizată „end-to-end”.

Protocolul TLS se bazează pe protocolul Netscape SSL versiunea 3.0 și constă din două părți - Protocolul de înregistrare TLS și Protocolul TLS Handshake. Diferențele dintre SSL 3.0 și TLS 1.0 sunt minore.

SSL/TLS include trei faze principale:

  1. Dialog între părți, al cărui scop este selectarea unui algoritm de criptare;
  2. Schimb de chei bazat pe criptosisteme cu chei publice sau autentificare bazată pe certificate;
  3. Transfer de date criptate folosind algoritmi de criptare simetrică.

2.4 Implementare VPN: IPSec sau SSL/TLS?

Managerii departamentelor IT se confruntă adesea cu întrebarea: ce protocol să aleagă pentru construirea unei rețele VPN corporative? Răspunsul nu este evident, deoarece fiecare abordare are atât argumente pro, cât și dezavantaje. Vom încerca să conducem și să identificăm când este necesar să folosim IPSec și când SSL/TLS. După cum se poate observa din analiza caracteristicilor acestor protocoale, acestea nu sunt interschimbabile și pot funcționa atât separat, cât și în paralel, definind caracteristicile funcționale ale fiecăruia dintre VPN-urile implementate.

Alegerea protocolului pentru construirea unei rețele VPN corporative se poate face în funcție de următoarele criterii:

· Tipul de acces necesar pentru utilizatorii VPN.

  1. Complet cu caracteristici conexiune permanentă către rețeaua corporativă. Alegerea recomandată este protocolul IPSec.
  2. Conectare temporară, de ex. utilizator mobil sau un utilizator care folosește un computer public pentru a obține acces la anumite servicii, cum ar fi e-mailul sau o bază de date. Alegerea recomandată este protocolul SSL/TLS, care vă permite să organizați un VPN pentru fiecare serviciu individual.

· Dacă utilizatorul este angajat al companiei.

  1. Dacă utilizatorul este angajat al unei companii, dispozitivul pe care îl folosește pentru a accesa rețeaua corporativă prin VPN IPSec poate fi configurat într-un mod specific.
  2. Dacă utilizatorul nu este angajat al companiei la care este accesată rețeaua corporativă, se recomandă utilizarea SSL/TLS. Acest lucru va limita accesul oaspeților numai la anumite servicii.

· Care este nivelul de securitate al rețelei corporative.

  1. Înalt. Alegerea recomandată este protocolul IPSec. Într-adevăr, nivelul de securitate oferit de IPSec este mult mai mare decât cel oferit de protocolul SSL/TLS datorită utilizării software-ului configurabil pe partea utilizatorului și a unui gateway de securitate pe partea rețelei corporative.
  2. In medie. Alegerea recomandată este protocolul SSL/TLS, care permite accesul de pe orice terminal.

· Nivelul de securitate al datelor transmise de utilizator.

  1. Înalt, de exemplu, managementul companiei. Alegerea recomandată este protocolul IPSec.
  2. Mediu, de exemplu, partener. Alegerea recomandată este protocolul SSL/TLS.

În funcție de serviciu - de la mediu la mare. Alegerea recomandată este o combinație de protocoale IPSec (pentru serviciile care necesită nivel inalt securitate) și SSL/TLS (pentru servicii care necesită un nivel mediu de securitate).

Ce este mai important implementare rapidă VPN sau scalabilitatea soluției în viitor.

  1. Implementare rapidă VPN cu costuri minime. Alegerea recomandată este protocolul SSL/TLS. În acest caz, nu este nevoie să implementați software special din partea utilizatorului, ca în cazul IPSec.
  2. Scalabilitatea rețelei VPN - adăugarea accesului la diverse servicii. Alegerea recomandată este protocolul IPSec, care permite accesul la toate serviciile și resursele rețelei corporative.
  3. Implementare rapidă și scalabilitate. Alegerea recomandată este o combinație de IPSec și SSL/TLS: utilizarea SSL/TLS în prima etapă pentru a accesa serviciile necesare, urmată de implementarea IPSec.

3. Metode de implementare a rețelelor VPN

O rețea privată virtuală se bazează pe trei metode de implementare:

· Tunele;

· Criptare;

· Autentificare.

3.1 Tunele

Tunnelarea asigură transferul de date între două puncte - capetele tunelului - astfel încât întreaga infrastructură de rețea aflată între ele să fie ascunsă de sursa și receptorul datelor.

Mijlocul de transport al tunelului, ca un feribot, preia pachete din protocolul de rețea folosit la intrarea în tunel și le livrează neschimbate la ieșire. Construirea unui tunel este suficientă pentru a conecta două noduri de rețea, astfel încât, din punctul de vedere al software-ului care rulează pe ele, acestea să pară conectate la aceeași rețea (locală). Totuși, nu trebuie să uităm că de fapt „fericul” cu date trece prin multe noduri intermediare (routere) ale unei rețele publice deschise.

Această stare de fapt pune două probleme. Prima este că informațiile transmise prin tunel pot fi interceptate de atacatori. Dacă este confidențial (numerele cardurilor bancare, rapoarte financiare, informații personale), atunci amenințarea compromiterii sale este destul de reală, ceea ce în sine este neplăcut. Și mai rău, atacatorii au capacitatea de a modifica datele transmise prin tunel, astfel încât destinatarul să nu poată verifica autenticitatea acestora. Consecințele pot fi cele mai grave. Ținând cont de cele de mai sus, ajungem la concluzia că tunelul în forma sa pură este potrivit doar pentru unele tipuri de jocuri pe computer în rețea și nu poate pretinde că este folosit mai în serios. Ambele probleme sunt rezolvate mijloace moderne protecția informațiilor criptografice. Pentru a preveni modificarea neautorizată a pachetului de date în timp ce acesta trece prin tunel, un electronic semnatura digitala(). Esența metodei este că fiecare pachet transmis furnizate bloc suplimentar informaţie care este generată în conformitate cu asimetricul algoritm criptograficși este unic pentru conținutul pachetului și cheie secreta Semnătura digitală a expeditorului. Acest bloc de informații este semnătura digitală a pachetului și permite ca datele să fie autentificate de către un destinatar care știe cheie publică Semnătura digitală a expeditorului. Protecția datelor transmise prin tunel împotriva vizualizării neautorizate se realizează prin utilizarea unor algoritmi puternici de criptare.

3.2 Autentificare

Securitatea este funcția principală a unui VPN. Toate datele de la computerele client trec prin Internet către serverul VPN. Un astfel de server poate fi situat la o distanță mare de computerul client, iar datele pe drumul către rețeaua organizației trec prin echipamentele multor furnizori. Cum pot să mă asigur că datele nu au fost citite sau modificate? Pentru aceasta, sunt folosite diverse metode de autentificare și criptare.

PPTP poate folosi oricare dintre protocoalele utilizate pentru PPP pentru a autentifica utilizatorii

  • EAP sau Extensible Authentication Protocol;
  • Protocolul de autentificare MSCHAP sau Microsoft Challenge Handshake (versiunile 1 și 2);
  • CHAP sau Protocolul de autentificare prin strângere de mână Challenge;
  • Protocolul de autentificare prin parolă SPAP sau Shiva;
  • PAP sau Protocolul de autentificare cu parolă.

Cele mai bune protocoale sunt MSCHAP versiunea 2 și Transport Layer Security (EAP-TLS), deoarece oferă autentificare reciprocă, de exemplu. Serverul VPN și clientul se identifică reciproc. În toate celelalte protocoale, doar serverul autentifică clienții.

Deși PPTP oferă grad suficient securitate, dar totuși L2TP prin IPSec este mai fiabil. L2TP prin IPSec oferă autentificare la nivel de utilizator și computer și, de asemenea, realizează autentificare și criptare a datelor.

Autentificarea se realizează fie printr-un test deschis (parolă cu text clar), fie printr-o schemă de provocare/răspuns. Totul este clar cu textul direct. Clientul trimite serverului o parolă. Serverul compară acest lucru cu standardul și fie refuză accesul, fie spune „bun venit”. Autentificarea deschisă nu se vede aproape niciodată.

Schema cerere/răspuns este mult mai avansată. ÎN vedere generala arata cam asa:

  • clientul trimite serverului o cerere de autentificare;
  • serverul returnează un răspuns aleator (provocare);
  • clientul ia un hash din parola sa (un hash este rezultatul unei funcții hash care convertește o matrice de date de intrare de lungime arbitrară într-un șir de biți de ieșire de lungime fixă), criptează răspunsul cu acesta și îl transmite serverului;
  • serverul face același lucru, comparând rezultatul primit cu răspunsul clientului;
  • dacă răspunsul criptat se potrivește, autentificarea este considerată reușită;

În primul pas de autentificare a clienților și serverelor VPN, L2TP prin IPSec utilizează certificate locale obținute de la o autoritate de certificare. Clientul și serverul schimbă certificate și creează o conexiune securizată ESP SA (asociație de securitate). După ce L2TP (peste IPSec) finalizează procesul de autentificare a computerului, se realizează autentificarea la nivel de utilizator. Pentru autentificare, puteți folosi orice protocol, chiar și PAP, care transmite numele de utilizator și parola în text clar. Acest lucru este destul de sigur, deoarece L2TP prin IPSec criptează întreaga sesiune. Cu toate acestea, efectuarea autentificării utilizatorului folosind MSCHAP, care utilizează diferite chei de criptare pentru a autentifica computerul și utilizatorul, poate îmbunătăți securitatea.

3.3. Criptare

Criptarea PPTP asigură că nimeni nu vă poate accesa datele în timp ce acestea sunt trimise prin Internet. În prezent, există două metode de criptare acceptate:

  • MPPE sau Microsoft Point-to-Point Encryption este compatibil doar cu MSCHAP (versiunile 1 și 2);
  • EAP-TLS poate selecta automat lungimea cheii de criptare atunci când negociază parametrii între client și server.

MPPE acceptă chei cu lungimi de 40, 56 sau 128 de biți. Sistemele de operare Windows mai vechi acceptă doar criptarea cu lungimea cheii de 40 de biți, așa că într-un mediu Windows mixt ar trebui să alegeți lungimea minimă a cheii.

PPTP modifică valoarea cheii de criptare după fiecare pachet primit. Protocolul MMPE a fost conceput pentru legăturile de comunicație punct la punct în care pachetele sunt transmise secvenţial și există foarte puţine pierderi de date. În această situație, valoarea cheii pentru următorul pachet depinde de rezultatele decriptării pachetului anterior. Atunci când se construiesc rețele virtuale prin rețele publice, aceste condiții nu pot fi îndeplinite, deoarece pachetele de date ajung adesea la destinatar într-o secvență diferită de cea în care au fost trimise. Prin urmare, PPTP utilizează numere de secvență de pachete pentru a schimba cheia de criptare. Acest lucru permite decriptarea să fie efectuată indiferent de pachetele primite anterioare.

Ambele protocoale sunt implementate ca în Microsoft Windows, iar în afara acestuia (de exemplu, în BSD), algoritmii de operare VPN pot diferi semnificativ.

Astfel, combinația „tunel + autentificare + criptare” vă permite să transferați date între două puncte printr-o rețea publică, simulând funcționarea unei rețele private (locale). Cu alte cuvinte, instrumentele luate în considerare vă permit să construiți o rețea privată virtuală.

Un efect suplimentar plăcut al unei conexiuni VPN este posibilitatea (și chiar necesitatea) utilizării sistemului de adresare adoptat în rețeaua locală.

Implementarea unei rețele private virtuale în practică arată astfel: Un server VPN este instalat în rețeaua locală de calculatoare a biroului companiei. Utilizatorul de la distanță (sau routerul, dacă conectează două birouri) care utilizează software-ul client VPN inițiază procedura de conectare cu serverul. Are loc autentificarea utilizatorului - prima fază a stabilirii unei conexiuni VPN. Dacă autoritatea este confirmată, începe a doua fază - detaliile de asigurare a securității conexiunii sunt convenite între client și server. După aceasta, se organizează o conexiune VPN, asigurând schimbul de informații între client și server în forma în care fiecare pachet de date trece prin proceduri de criptare/decriptare și verificare a integrității - autentificarea datelor.

Principala problemă a rețelelor VPN este lipsa standardelor stabilite pentru autentificare și schimbul de informații criptate. Aceste standarde sunt încă în curs de dezvoltare și, prin urmare, produsele de la diferiți producători nu pot stabili conexiuni VPN și nu pot schimba automat cheile. Această problemă face ca adoptarea VPN să încetinească, deoarece este dificil de forțat diverse firme utilizați produsele unui producător și, prin urmare, procesul de combinare a rețelelor companiilor partenere în așa-numitele rețele extranet este dificil.

Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. Dezavantajul tehnologiei VPN este că instrumentele de construire VPN nu sunt mijloace cu drepturi depline de detectare și blocare a atacurilor. Ele pot preveni o serie de acțiuni neautorizate, dar nu toate posibilitățile care pot fi folosite pentru a pătrunde într-o rețea corporativă. Dar în ciuda tuturor acestor lucruri Tehnologia VPN are perspective de dezvoltare ulterioară.

La ce ne putem aștepta în ceea ce privește dezvoltarea tehnologiei VPN în viitor? Fără îndoială, va fi dezvoltat și aprobat un standard unificat pentru construirea unor astfel de rețele. Cel mai probabil, baza acestui standard va fi protocolul IPSec deja dovedit. În continuare, producătorii se vor concentra pe îmbunătățirea performanței produselor lor și pe crearea unor instrumente de management VPN ușor de utilizat. Cel mai probabil, dezvoltarea instrumentelor de construire a VPN va merge în direcția VPN-urilor bazate pe router, deoarece această soluție combină performanțe destul de ridicate, integrarea VPN și rutare într-un singur dispozitiv. Cu toate acestea, soluții low-cost pt organizatii mici. În concluzie, trebuie spus că, în ciuda faptului că tehnologia VPN este încă foarte tânără, are un viitor mare în față.

Lasă comentariul tău!

Internetul a intrat ferm în viața noastră, iar dacă mai devreme, în anii de dominație a modemurilor analogice, pentru a avea acces la Internet a fost necesar să se țină cont atât de volumul de trafic, cât și de timpul de conectare, dar astăzi un Internet nelimitat. conexiunea a devenit norma. Adică, dacă nu există Internet în orice moment și în orice „volum”, atunci acesta este deja ceva ieșit din comun. Mai mult, dacă disponibilitatea mai devreme Internet nelimitat a fost considerat standardul de facto pentru rețelele corporative, astăzi a devenit deja norma pentru utilizatori finali. Pe măsură ce internetul se dezvoltă, modelul conceptual al utilizării acestuia se schimbă și el. Apar tot mai multe servicii noi, cum ar fi video la cerere și VoIP, rețele de partajare de fișiere peer-to-peer (BitTorrent), etc.. Recent, organizarea rețelelor private virtuale (VPN) prin Internet cu capacitatea de a organiza accesul de la distanță la orice computer ca parte a acestei rețele a devenit foarte populară. Cum se poate face acest lucru va fi discutat în acest articol.

De ce este necesar acest lucru?

Organizarea rețelelor VPN pe Internet sau într-o rețea locală are multe cazuri de utilizare: jocuri de rețea pe Internet ocolirea serverelor de jocuri (la fel ca jocurile dintr-o rețea locală), crearea unei rețele închise de către persoane din afară pentru transmiterea informațiilor confidențiale, capacitatea de a de la distanță și gestionați în siguranță computerele (control deplin asupra unui PC la distanță), organizarea accesului securizat pentru angajații într-o călătorie de afaceri la resursele rețelei corporative, comunicarea prin intermediul unei rețele virtuale de birouri individuale (rețele locale).

Abordarea tradițională a implementării unei astfel de rețele private virtuale este aceea că un server VPN (de obicei bazat pe sistemul de operare Linux) este instalat și configurat în rețeaua corporativă, iar utilizatorii de la distanță accesează rețeaua corporativă prin conexiuni VPN.

Cu toate acestea, această abordare nu este aplicabilă atunci când utilizatorul trebuie să obțină acces de la distanță la computerul său de acasă. Este puțin probabil ca o situație în care un server VPN separat este instalat acasă să poată fi considerată normală. Totuși, nu dispera. Sarcina de a crea o rețea VPN este rezolvabilă și chiar și un utilizator începător o poate face. În acest scop există program special Hamachi, care poate fi descărcat gratuit de pe Internet (http://www.hamachi.cc/download/list.php). Ceea ce este deosebit de plăcut este prezența versiunii sale rusificate, astfel încât orice utilizator să poată stăpâni programul.

Hamachi 1.0.2.2

Deci Hamachi ( Versiune curentă- 1.0.2.2) este un program care vă permite să creați o rețea privată virtuală (VPN) prin Internet și să conectați mai multe computere în ea. După crearea unei astfel de rețele, utilizatorii pot stabili sesiuni VPN între ei și pot lucra în această rețea în același mod ca într-o rețea locală obișnuită (LAN) cu posibilitatea de a partaja fișiere, de a administra de la distanță computere etc. Avantajul unei rețele VPN este că este complet protejată împotriva intervențiilor neautorizate și este invizibilă de pe Internet, deși există pe ea.

Hamachi trebuie instalat pe toate computerele care urmează să fie conectate la o rețea privată virtuală.

Rețeaua virtuală este creată folosind un server specializat Hamachi pe Internet. Pentru a vă conecta la acest server, sunt folosite porturile 12975 și 32976. Primul port (12975) este folosit doar pentru stabilirea unei conexiuni, iar al doilea - în timpul funcționării. Cu toate acestea, este puțin probabil ca utilizatorii obișnuiți să aibă nevoie de astfel de informații detaliate.

După ce o rețea virtuală este creată între computerele selectate folosind serverul Hamachi, schimbul de informații între clienții VPN are loc direct, adică fără participarea serverului Hamachi. Protocolul UDP este utilizat pentru a face schimb de date între clienții VPN.

Instalarea programului

Programul Hamachi este instalat pe computere cu sistemul de operare Windows 2000/XP/2003/Vista. Există, de asemenea, versiuni de consolă ale programului pentru Linux și Mac OS X. În continuare, ne vom uita la instalarea și configurarea programului folosind sistemul de operare Windows XP ca exemplu.

Instalarea programului Hamachi este destul de simplă și nu pune probleme (mai ales având în vedere că interfața asistentului de instalare lansat este rusă). După ce începeți instalarea programului pe computer, pornește expertul de instalare și vă solicită să fiți de acord acord de licențiere, selectați un folder pentru a instala programul (Fig. 1), creați o pictogramă pe desktop etc.

Printre caracteristicile opționale utile care pot fi activate în timpul procesului de instalare a programului se numără lansarea automată a Hamachi la pornirea computerului și blocarea serviciilor vulnerabile pentru conexiunile Hamachi (Fig. 2). În acest din urmă caz, serviciul va fi blocat Fișier Windows Partajare pentru adaptorul de rețea virtual Hamachi. Ca urmare, alți utilizatori ai rețelei VPN nu vor avea acces la fișierele și folderele care sunt partajate pe computerul dvs. În același timp, aceste fișiere și foldere vor rămâne accesibile utilizatorilor obișnuiți ai rețelei locale, pentru a se conecta cu care nu se folosește o conexiune VPN.

Orez. 1. Expertul de instalare Hamachi vă permite să specificați folderul
pentru a plasa programul, creați o pictogramă pe desktop
și selectați opțiunea pornire automată programe
când pornește computerul

Pe lângă blocare Servicii Windows Partajarea fișierelor, blocarea serviciilor vulnerabile pentru conexiunile Hamachi are ca rezultat blocarea accesului de la distanță la anumite servicii Windows care sunt adesea atacate. În consecință, dacă utilizați programul Hamachi pentru a vă conecta la clienți de încredere în care aveți încredere, atunci este mai bine să dezactivați opțiunea de blocare a serviciilor vulnerabile.

Orez. 2. Expertul de instalare Hamachi vă permite să blocați
servicii vulnerabile pentru conexiunile Hamachi

În ultima etapă, asistentul de instalare vă va cere să alegeți ce versiune a programului să instalați: versiunea de bază sau Premium. Hamachi vine în două versiuni. Versiunea de bază este gratuită, iar versiunea Premium are mai multe posibilități largi, - plătit. Rețineți că pentru majoritatea utilizatorilor versiunea de bază gratuită a programului este destul de suficientă (vom vorbi despre diferențele detaliate dintre versiunea de bază și versiunea Premium puțin mai târziu), dar abordarea standard este următoarea: mai întâi este instalată versiunea Premium timp de 45 de zile (gratuit), iar după această perioadă se face automat trecerea la versiunea de bază.

După instalarea și lansarea programului Hamachi pe computer, dacă este prima dată când instalați programul, se va lansa un scurt ghid despre Hamachi, care descrie cum să lucrați cu programul.

Prima lansare a programului

Când lansați programul pentru prima dată, dvs Cont. În această etapă, trebuie să setați numele computerului sub care va fi vizibil pentru alți utilizatori ai rețelei VPN (Fig. 3).

Orez. 3. Specificarea numelui computerului sub care
va fi vizibil pentru alți utilizatori ai rețelei VPN

Când este specificat numele computerului, programul stabilește o conexiune la serverul de baze de date Hamachi și solicită o adresă IP care va fi atribuită rețelei virtuale Adaptor Hamachiși va fi folosit în viitor pentru a stabili o conexiune VPN. Fiecărui client Hamachi i se atribuie o adresă IP în intervalul 5.0.0.0/8 (mască de subrețea 255.0.0.0), care nu este în general rezervată utilizării Internetului. Aceste intervale rezervate pentru uz privat pe rețelele locale includ următoarele intervale: 10.0.0.0/8 (interval de la 10.0.0.0 la 10.255.255.254), 172.16.0.0/12 (intervalul de la 172.16.0.0 la 172.392.41) și 172.125.25. 0,0 /16 (interval de la 192.168.0.0 la 192.168.255.254). Cu toate acestea, gama 5.0.0.0/8 este rezervată de mai bine de 10 ani de către IANA (Internet Assigned Numbers Authority - o organizație americană care gestionează spațiile de adrese IP) și nu este folosită ca adrese de Internet publice (externe). Astfel, intervalul 5.0.0.0/8, pe de o parte, se referă la intervalul de adrese de Internet externe (publice), adică este exclusă posibilitatea ca adresa IP care ți-a fost atribuită să fie deja utilizată în rețeaua locală (în rețelele locale doar cele rezervate pentru aplicarea privată a unei adrese IP), iar pe de altă parte, aceste adrese nu sunt încă ocupate de nimeni.

După ce ți-a atribuit o adresă IP din intervalul 5.0.0.0/8, aceasta devine un fel de identificator pentru computerul tău într-o rețea privată virtuală. Această adresă IP este atribuită adaptorului de rețea virtuală Hamachi. Deci, dacă tastați comanda ipconfig / all pe linia de comandă, atunci pe lângă setările interfeței de rețea ale adaptorului de rețea real (care este prezent fizic în computerul dvs.), puteți constata că a apărut un alt adaptor Ethernet virtual Hamachi cu o adresă MAC și o adresă IP atribuită acesteia, o mască de subrețea, o adresă IP a gateway-ului etc. (Fig. 4).

Orez. 4. După prima lansare a programului, adaptorul de rețea virtuală
Hamachi i se atribuie o adresă IP din intervalul 5.0.0.0/8 și este configurată
interfata retea

Deci, după ce programul Hamachi a configurat virtualul adaptor de retea, puteți începe să lucrați cu programul.

În acest moment, computerul dvs. nu este încă membru al niciunei rețele private virtuale, așa că primul pas este să vă conectați la o rețea privată virtuală existentă sau să creați o nouă rețea VPN.

Lucrul cu programul

Interfața programului este foarte simplă (Fig. 5). Sunt doar trei butoane funcționale: Pornit/Oprit, Buton Meniu Rețea și Buton Meniu Sistem.

Orez. 5. Interfata programului
Hamachi este foarte simplu -
doar trei butoane funcționale

Pentru a crea o nouă rețea VPN sau pentru a conecta un computer la unul existent, faceți clic pe butonul de meniu de rețea și selectați elementul corespunzător (Fig. 6).

Orez. 6. Butonul meniului de rețea vă permite
creați o nouă rețea VPN sau alăturați-vă
computer la unul existent

Conectarea unui PC și părăsirea unei rețele virtuale existente

Dacă trebuie să vă conectați computerul la o rețea virtuală existentă și îi cunoașteți numele și parola (dacă este folosită), atunci în meniul de rețea selectați Conectați-vă la o rețea existentă...În continuare, se va deschide o fereastră în care trebuie să setați numele și parola rețelei (Fig. 7).

Orez. 7. Adăugarea unui computer
la o rețea virtuală existentă

După aceasta, în fereastra programului vor apărea numele rețelei și o listă de computere conectate la aceasta (cu excepția dvs.) - Fig. 8.

Orez. 8. După conectarea computerului
la rețeaua virtuală din fereastra programului
este afișată o listă a celor conectate
calculatoare pentru ea

Dacă există un punct verde sau o stea lângă numele computerului, aceasta înseamnă că a fost stabilită o conexiune cu computerul. Un punct verde intermitent indică faptul că conexiunea este în curs de stabilire. Un cerc ușor în jurul punctului verde indică faptul că dat merge pe calculator schimb de informatii.

Cel mai rău lucru este când există un punct galben lângă numele computerului - asta înseamnă că din anumite motive nu a putut fi stabilită o conexiune directă cu acesta. Dacă numele computerului este afișat în galben, înseamnă că conexiunea cu acesta s-a pierdut.

Apariția unui punct albastru indică faptul că o conexiune directă la computer nu a putut fi stabilită și comunicarea se realizează prin serverul Hamachi. Problema este că în acest caz canalul de comunicație cu computerul are lățime de bandă foarte mică și întârzieri mari.

Dacă numele computerului și punctul de lângă numele acestuia sunt afișate cu gri, aceasta înseamnă că computerul, deși este conectat la această rețea virtuală, este inaccesibil (de exemplu, computerul este oprit, nu există conexiune la internet sau programul Hamachi nu rulează).

Pentru a vă deconecta de la rețea, faceți clic pe Click dreapta mouse-ul pe numele acestuia și selectați elementul din lista derulantă Deconectat sau Părăsiți rețeaua. În primul caz, părăsiți doar temporar rețeaua și lista calculatoarelor conectate la aceasta vă rămâne vizibilă. În al doilea caz, pentru a intra în rețea va trebui să repetați întreaga procedură de conectare a computerului la rețeaua existentă.

Crearea unei noi rețele și ștergerea rețelei create

Dacă trebuie să creați o nouă rețea virtuală, atunci în meniul de rețea selectați Creați o nouă rețea... Se va deschide o fereastră în care trebuie să specificați numele rețelei care este creată și parola pe care alți utilizatori o vor folosi pentru a se alătura acestei rețele (Fig. 9).

Orez. 9. Creați o nouă rețea VPN

După crearea unei noi rețele, puteți conecta computerele utilizatorilor la ea. Dacă rețeaua este creată de dvs., atunci sunteți administratorul acesteia și primiți control deplin asupra acesteia, de care sunt privați alți utilizatori. Este important de reținut că rețeaua creată poate fi gestionată doar de pe computerul pe care a fost creată. Mai exact, rețeaua poate fi administrată doar de pe un computer căruia i se atribuie exact aceeași adresă IP virtuală ca și cea care a fost folosită pentru crearea rețelei virtuale. De ce este atât de importantă această remarcă? Imaginează-ți asta: ai instalat Hamachi și ai creat o nouă rețea VPN. Apoi ați șters complet (inclusiv toate fișierele de configurare) Programul Hamachi și după ceva timp l-am instalat din nou. Vi se va atribui o nouă adresă IP virtuală, dar folosind-o, nu veți mai putea controla rețeaua VPN pe care ați creat-o mai devreme.

Dacă sunteți administrator de rețea, îl puteți șterge. Pentru a face acest lucru, faceți clic dreapta pe numele rețelei și selectați elementul din lista verticală Șterge. Rețineți că atunci când o rețea este ștearsă, toate conexiunile dintre ceilalți utilizatori sunt complet distruse.

Alte acțiuni cu calculatoare din rețea

Dacă v-ați alăturat unei rețele, puteți efectua următoarele acțiuni pe computerele conectate la aceasta:

  • verificarea accesibilității;
  • parcurgerea folderelor;
  • trimiterea unui mesaj;
  • copierea adresei;
  • blocare;
  • setarea etichetei.

Pentru a efectua una dintre ele, faceți clic dreapta pe numele computerului și selectați elementul corespunzător din meniul derulant (Fig. 10).

Orez. 10. Lista acțiunilor posibile
cu computerul selectat în rețea

La selectarea unui articol Verifică disponibilitatea comanda obișnuită ping va fi executată la adresa computerului corespunzător.

Paragraf Răsfoiți foldere vă permite să accesați folderele partajate de pe computer.

Paragraf Trimite un mesaj face posibilă schimbul de mesaje între calculatoare separate rețele similare cu modul în care se face în ICQ.

Paragraf Copiați adresa inserează adresa IP a computerului selectat în clipboard, ceea ce este convenabil dacă doriți să utilizați această adresă în alte programe (de exemplu, administrarea de la distanță).

Paragraf bloc vă permite să blocați temporar computerul selectat, adică canalul VPN cu acesta va fi blocat și schimbul de informații va fi imposibil.

Paragraf Setați eticheta vă permite să selectați formatul de afișare a atributelor computerului în rețea. În mod implicit, sunt afișate adresa IP și numele computerului. Puteți alege să afișați numai numele computerului sau numai adresa IP.

Configurarea programului

Pentru a accesa setările programului, trebuie să faceți clic pe butonul meniului sistem și să selectați elementul Setări…(Fig. 11).

Orez. 11. Accesarea setărilor
programe

După aceasta se va deschide o fereastră Stare și configurare, permițând producerea configurație detaliată programe (Fig. 12).

Orez. 12. Fereastra de configurare detaliată a programului

De fapt, totul aici este destul de simplu și este puțin probabil să fie necesare comentarii detaliate, așa că vom enumera pur și simplu funcțiile care pot fi implementate în fereastra de configurare. Deci, în această fereastră puteți schimba numele computerului, puteți face setări detaliate de conexiune, puteți seta tipul de pornire a programului, puteți bloca sau debloca serviciile Windows vulnerabile, blocați noi membri ai rețelei și implementați altele, mai puțin opțiuni semnificative. Printre caracteristicile importante, remarcăm dezactivarea criptării la transferul de date între computere individuale din rețea. Pentru a face acest lucru, trebuie să faceți clic pe pictogramă Fereastră iar în grup Aspect bifeaza casuta Afișați „Avansat...” pentru fiecare element de meniu(Fig. 13).

Orez. 13. Adăugarea unui element avansat...
la meniul derulant

După aceasta, dacă faceți clic dreapta pe numele unui computer conectat la rețea, un element va apărea în meniul drop-down Avansat… Dacă îl selectați, se va deschide o fereastră Configurarea tunelului, care vă permite să modificați setările tunelului VPN. Pentru a dezactiva criptarea la Criptare trebuie să selectați o valoare Oprit. În acest caz, datele de pe computer vor fi transferate pe computerul selectat în formă necriptată. Cu toate acestea, în sens invers, datele vor fi transmise criptat. Pentru a dezactiva complet criptarea pentru un tunel VPN între două computere, aceasta trebuie să fie dezactivată pe ambele computere.

Rețineți că criptarea ar trebui să fie dezactivată numai în cazuri excepționale, deoarece procedura de criptare în sine este puțin probabil să afecteze traficul. Faptul este că traficul va fi determinat de lățimea de bandă a canalului tău de internet și nu de utilizarea sau lipsa criptării. Doar dacă se formează un tunel VPN între computerele din aceeași rețea locală și a acesteia debitului este de aproximativ 100 Mbit/s, utilizarea criptării poate reduce ușor viteza maximă de transfer (până la 70-80 Mbit/s).

Concluzie

Programul Hamachi este Unealtă puternică, permițându-vă să creați rețele VPN foarte rapid. Rețineți că a fost creat inițial pentru a permite utilizatorilor să joace jocuri online, ocolind serverele de joc. Cu toate acestea, scenariile posibile pentru utilizarea acestui program sunt mult mai largi. Astfel, după ce ai creat o rețea virtuală și ai conectat computere la aceasta, poți, folosind programe standard de administrare la distanță, să obții acces de la distanță la orice computer din rețeaua virtuală, deoarece fiecare computer dintr-o astfel de rețea are propria sa adresă IP dedicată.

În același timp, trebuie menționat că nu este întotdeauna posibilă stabilirea unei conexiuni directe între computere individuale. Și în ciuda faptului că site-ul web al producătorului susține că programul „sparge” cu ușurință routerele și dispozitivele NAT, în realitate totul nu este atât de optimist. Documentația pentru program precizează că în 5% din cazuri nu se poate stabili o legătură directă între calculatoarele individuale, totuși ni se pare că această cifră este clar subestimată. Situația reală este următoarea: dacă despre care vorbim Când conectați două computere cărora le este atribuită o adresă IP publică dinamică sau statică, nu există probleme. Adică, dacă aveți un singur computer cu acces la Internet acasă și trebuie să vă conectați la un utilizator care are și un computer cu acces la Internet, atunci nu vor fi probleme. După cum arată practica, nu există probleme la stabilirea unei conexiuni între computerul unui utilizator cu o adresă IP publică dinamică sau statică atribuită acestuia și un computer dintr-o rețea locală protejată de un router. Totuși, dacă se stabilește o conexiune între două computere aparținând unor rețele locale diferite protejate de routere, atunci problemele sunt posibile și nu este un fapt că se va stabili o conexiune directă. Adică se poate stabili o conexiune, dar cel mai probabil nu va fi directă, ci prin serverul Hamachi. În consecință, viteza unui astfel de canal de comunicație va fi foarte scăzută și va fi puțin utilizată de la o astfel de conexiune. De exemplu, în casa dvs. accesul la Internet este implementat folosind router wireless, adică computerul face parte din rețeaua locală de acasă și i se atribuie o adresă IP din gama de adrese rezervate pentru uz privat, iar o adresă publică este atribuită portului WAN al routerului prin care accesați Internetul. Dacă încercați să stabiliți o conexiune cu un alt computer care face, de asemenea, parte din rețeaua locală (de exemplu, cu un computer de serviciu la birou sau cu computerul unui utilizator care are o rețea locală instalată acasă și utilizează un router), atunci în majoritatea cazurilor apar probleme.

Ghidul utilizatorului Hamachi descrie cum puteți evita aceste probleme. Pentru a face acest lucru, se recomandă utilizarea unui port UDP fix (mai degrabă decât dinamic) și implementarea redirecționării portului pe router. Cu toate acestea, după cum arată practica, redirecționarea portului sau utilizarea unei zone demilitarizate în router nu ajută întotdeauna.

VPN (Virtual Private Network) este o tehnologie larg răspândită care vă permite să organizați rețele virtuale peste rețele reale existente. Acest articol se va concentra pe terminologie și principii generale; crearea unor astfel de rețele va fi luată în considerare separat.

În ciuda cuvântului „Privat” în numele tehnologiei, este posibil să se organizeze rețele publice – necriptate. Deloc, organizație VPN poate fi efectuată o sumă imensă metode folosind diferite tehnologii ( VPN SSL, IPSec, GRE si etc.).

Orice construcție a unui VPN înseamnă crearea de tuneluri; un tunel înseamnă un canal între două dispozitive prin care sunt transmise date. O condiție importantă este ca datele să fie izolate de specificul construcției canalului. Dispozitivul care transmite date utile face acest lucru ca și cum nu ar exista un tunel, iar configurarea tunelului în sine este o sarcină separată. Există două tipuri de tuneluri VPN:

  1. VPN de acces la distanță– înseamnă că este organizat un tunel între o aplicație de pe computerul clientului și un dispozitiv care acționează ca un server și organizează conexiuni de la diverși clienți (de exemplu, un concentrator VPN, router, Cisco ASA etc.)
  2. VPN de la site la site– implică prezența a două dispozitive (de exemplu, routere), între care există un tunel permanent; în acest caz, utilizatorii se află în spatele dispozitivelor, pe rețelele locale și nu este necesar să fie instalat un software special pe computerele lor.

Primul tip este folosit pentru a conecta, de exemplu, lucrătorii de la distanță la rețeaua corporativă a unei întreprinderi printr-un canal securizat. În acest caz, angajatul poate fi localizat în orice loc unde există Internet, iar software-ul de pe computerul său va construi un tunel către routerul companiei, prin care vor fi transmise date utile. Al doilea tip este utilizat dacă este necesar conexiune fixăîntre două sucursale îndepărtate sau o sucursală și un birou central. În acest caz, angajații fără software special lucrează în rețeaua locală de birouri, iar la granița acestei rețele există un router care, neobservat de utilizator, creează un tunel cu un router de la distanță și îi transmite trafic util.

Un tunel utilizează de obicei trei straturi de protocoale:

  1. Protocol de transport (de exemplu, IP). Acesta este protocolul pe care există rețea reală, adică nu este asociat inițial cu VPN-ul, ci este folosit pentru a transporta pachete încapsulate care conțin informații criptate sau clare legate de rețeaua internă a tunelului.
  2. Protocol de încapsulare (de exemplu, GRE) - folosit ca strat între protocolul de transport și protocolul de transport intern.
  3. Un protocol încapsulat (transportat) (de exemplu, IP, IPX, IPSec) reprezintă pachetele reale ale rețelei intra-tunel; utilizatorul conectat la VPN trimite pachete care, la intrarea în tunel, devin încapsulate, de exemplu, în GRE, care, la rândul său, încapsulat într-un protocol de transport.

Astfel, ordinea generală de încapsulare, în cazul utilizării VPN site-to-site, este următoarea: utilizatorul trimite un pachet obișnuit, pachetul ajunge la dispozitivul pe care este ridicat tunelul, dispozitivul împachetează acest pachet util în câmpul „date” al protocolului de încapsulare, care, în coada sa, este împachetat în câmpul „date” al protocolului de transport. După aceea, un pachet IP aparent obișnuit, de exemplu, părăsește dispozitivul, în care, de fapt, câmpul de sarcină utilă conține un pachet GRE, care, la rândul său, conține un alt pachet IP intern. Acest lucru permite adresarea independentă în interiorul tunelului și în afara tunelului. Când dispozitivul țintă primește un astfel de pachet, îl extinde, decapsulând GRE și apoi pachetul IP interior din acesta. După care pachetul intern este trimis destinatarului. În această situație, după cum ați putea ghici, expeditorul și destinatarul nu știu nimic despre prezența unui tunel și se comportă ca și cum acesta nu ar exista. În același timp, în protocol de transport se folosește o singură adresare (de exemplu, adrese IP publice), iar protocolul transportat poate folosi adrese private, ceea ce nu împiedică transportul acestuia pe Internet (întrucât rutarea este efectuată pentru un pachet de transport extern).

În acest articol ne vom uita la procesul de configurare în detaliu. server VPNși în sistemul de operare Windows Server și, de asemenea, răspundeți la întrebările: Ce este un VPN și cum să îl configurați conexiune VPN?

Ce este o conexiune VPN?

VPN (Virtual Private Network) este o rețea privată virtuală care este utilizată pentru a oferi o conexiune sigură la rețea. O tehnologie care vă permite să conectați orice număr de dispozitive într-o rețea privată. De regulă, prin internet.

Deși această tehnologie nu este nouă, ea a câștigat recent relevanță datorită dorinței utilizatorilor de a menține integritatea sau confidențialitatea datelor în timp real.

Această metodă de conectare se numește tunel VPN. Vă puteți conecta la un VPN de pe orice computer, cu orice sistem de operare care acceptă o conexiune VPN. Sau este instalat un client VPN, care este capabil să redirecționeze porturi folosind TCP/IP către o rețea virtuală.

Ce face un VPN?

VPN oferă conexiune la distanță la rețele private

De asemenea, puteți combina în siguranță mai multe rețele și servere

Calculatoarele cu adrese IP de la 192.168.0.10 la 192.168.0.125 sunt conectate printr-un gateway de rețea, care acționează ca un server VPN. Regulile pentru conexiunile prin canalul VPN trebuie mai întâi scrise pe server și router.

VPN vă permite să utilizați în siguranță Internetul atunci când vă conectați chiar și la rețele Wi-Fi deschise în zone publice (în centre comerciale, hoteluri sau aeroporturi)

Și, de asemenea, ocoliți restricțiile privind afișarea conținutului în anumite țări

VPN previne amenințările cibernetice de la interceptarea informațiilor de către un atacator din mers, neobservat de destinatar.

Cum funcționează VPN

Să vedem cum funcționează în principiu o conexiune VPN.

Să ne imaginăm că transmisia este mișcarea unui pachet de-a lungul unei autostrăzi de la punctul A la punctul B; de-a lungul traseului pachetului există puncte de control pentru trecerea pachetului de date. Când utilizați un VPN, această rută este protejată suplimentar de un sistem de criptare și de autentificare a utilizatorului pentru a securiza traficul care conține pachetul de date. Această metodă se numește „tunelare” (tunelare - folosind un tunel)

În acest canal, toate comunicațiile sunt protejate în mod fiabil, iar toate nodurile intermediare de transmisie a datelor se ocupă de un pachet criptat și numai atunci când datele sunt transmise destinatarului, datele din pachet sunt decriptate și devin disponibile destinatarului autorizat.

VPN va asigura confidențialitatea informațiilor dvs. împreună cu un antivirus cuprinzător.

VPN acceptă certificate precum OpenVPN, L2TP, IPSec, PPTP, PPOE și se dovedește a fi o metodă complet sigură și sigură de transfer de date.

Tunnelul VPN este utilizat:

  1. În interiorul rețelei corporative.
  2. Consolidarea birourilor la distanță, precum și a filialelor mici.
  3. Acces la resurse IT externe.
  4. Pentru construirea de videoconferințe.

Crearea unui VPN, selectarea și configurarea echipamentelor.

Pentru comunicații corporatiste Organizațiile mari sau asociațiile de birouri aflate la distanță unele de altele folosesc hardware capabil să mențină funcționarea neîntreruptă și securitatea în rețea.

Pentru a utiliza serviciul VPN, rolul gateway-ului de rețea poate fi: servere Linux/Windows, un router și un gateway de rețea pe care este instalat VPN-ul.

Routerul trebuie să ofere funcţionare fiabilă rețele fără înghețare. Funcția VPN încorporată vă permite să schimbați configurația pentru lucrul acasă, într-o organizație sau într-o sucursală.

Configurarea unui server VPN.

Dacă doriți să instalați și să utilizați un server VPN bazat pe familia Windows, atunci trebuie să înțelegeți că mașinile client sunt Windows XP/7/8/10 această funcție nu suport, aveți nevoie de un sistem de virtualizare sau server fizic pe platforma Windows 2000/2003/2008/2012/2016, dar ne vom uita la această caracteristică pe Windows Server 2008 R2.

1. Mai întâi, trebuie să instalați rolul de server „Politică de rețea și servicii de acces”. Pentru a face acest lucru, deschideți managerul de server și faceți clic pe linkul „Adăugați rol”:

Selectați rolul Network and Access Policy Services și faceți clic pe următorul:

Selectați „Servicii de rutare și acces la distanță” și faceți clic pe Următorul și Instalați.

2. După instalarea rolului, trebuie să-l configurați. Accesați Server Manager, extindeți ramura „Roluri”, selectați rolul „Servicii de politică de rețea și acces”, extindeți-l, faceți clic dreapta pe „Routare și acces la distanță” și selectați „Configurați și activați rutarea și accesul de la distanță”

După pornirea serviciului, considerăm că configurarea rolului este finalizată. Acum trebuie să permiteți accesul utilizatorilor la server și să configurați emiterea de adrese IP către clienți.

Porturi pe care le acceptă VPN. După ce serviciul este ridicat, se deschid în firewall.

Pentru PPTP: 1723 (TCP);

Pentru L2TP: 1701 (TCP)

Pentru SSTP: 443 (TCP).

Protocolul L2TP/IpSec este mai de preferat pentru construirea de rețele VPN, în principal pentru securitate și disponibilitate mai mare, datorită faptului că o singură sesiune UDP este utilizată pentru canalele de date și de control. Astăzi ne vom uita la configurarea unui server VPN L2TP/IpSec pe platforma Windows Server 2008 r2.

Puteți încerca să implementați următoarele protocoale: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

Să mergem la Server Manager: Roluri - Rutare și acces la distanță, faceți clic dreapta pe acest rol și selectați „ Proprietăți", în fila „General”, bifați caseta router IPv4, selectați „rețea locală și apel la cerere” și server de acces la distanță IPv4:

Acum trebuie să introducem cheia pre-partajată. Accesați fila Siguranță iar în câmp Permite politici speciale IPSec pentru conexiunile L2TP, bifați casetași introduceți cheia dvs. (Despre cheie. Puteți introduce o combinație arbitrară de litere și cifre acolo principiu principal, cu cât combinația este mai complexă, cu atât este mai sigură și amintiți-vă sau notați această combinație; vom avea nevoie de ea mai târziu). În fila Furnizor de autentificare, selectați Autentificare Windows.

Acum trebuie să configuram Securitatea conexiunii. Pentru a face acest lucru, accesați fila Siguranțăși alegeți Metode de autentificare, bifați casetele EAP și autentificare criptată (Microsoft versiunea 2, MS-CHAP v2):

Apoi, să mergem la fila IPv4, acolo indicăm ce interfață va accepta conexiuni VPNși, de asemenea, configurați grupul de adrese emise clienților VPN L2TP în fila IPv4 (Setați Interfața la „Permite RAS să selecteze un adaptor”):

Acum să mergem la fila care apare Porturi, faceți clic dreapta și Proprietăți, selectați o conexiune L2TPși apăsați Ton, îl vom afișa într-o fereastră nouă Conexiune de acces la distanță (doar pentru intrare)Și Conexiune la cerere (intrare și ieșire)și pune-l sus suma maxima porturi, numărul de porturi trebuie să corespundă sau să depășească numărul așteptat de clienți. Este mai bine să dezactivați protocoalele neutilizate debifând ambele casete de selectare din proprietățile lor.

Lista de porturi pe care ni le-au rămas în cantitatea specificată.

Aceasta completează configurarea serverului. Tot ce rămâne este să permiteți utilizatorilor să se conecteze la server. Mergi la Manager server Director activ utilizatorii – găsim utilizatorul dorit permite accesul presa proprietăți, accesați marcajul apeluri primite