Máy khách VPN cho bộ định tuyến là gì. Kết nối VPN - nó là gì, tại sao cần thiết và nó hoạt động như thế nào?

VPN và máy chủ proxy có một điểm chung: chúng được thiết kế để bảo vệ thông tin nhạy cảm và ẩn địa chỉ IP của bạn. Đây là nơi mà sự tương đồng kết thúc.

Cách chọn VPN tốt nhất

Bây giờ bạn đã hiểu tại sao bạn cần VPN trong thế giới kỹ thuật số ngày nay. Làm sao để lựa chọn được dịch vụ lý tưởng cho mình? Dưới đây là một số lời khuyên hữu ích để giúp bạn có sự lựa chọn đúng đắn.

Giá

Giá cả luôn quan trọng, nhưng nhận được chính xác những gì bạn đã trả còn quan trọng hơn. Các dịch vụ VPN miễn phí thường có nhiều vấn đề - chúng hầu như luôn có một số hạn chế nghiêm ngặt. Và làm thế nào bạn có thể chắc chắn rằng họ sẽ không cố gắng kiếm tiền bằng cách bán dữ liệu của bạn? Xét cho cùng, việc duy trì một mạng lưới máy chủ VPN không phải là một nỗ lực rẻ tiền, vì vậy nếu bạn không trả tiền cho sản phẩm thì rất có thể bạn chính là sản phẩm.

Tốc độ

Nhiều yếu tố ảnh hưởng đến tốc độ của VPN. Mạng lưới máy chủ cần được tối ưu hóa tốt để đảm bảo bạn nhận được đầu ra, vì vậy hãy đảm bảo dịch vụ bạn chọn tối ưu hóa mạng của nó. Ngoài ra, một dịch vụ thực sự tốt sẽ không giới hạn lưu lượng và dung lượng truyền dữ liệu nên bạn có thể tận hưởng tốc độ cao bao nhiêu tùy thích.

Bảo mật

Một số dịch vụ VPN lưu trữ dữ liệu cá nhân của bạn, điều này làm mất đi toàn bộ mục đích sử dụng VPN để bảo vệ quyền riêng tư của bạn! Nếu quyền riêng tư là quan trọng đối với bạn, thì chỉ có dịch vụ tuân thủ nghiêm ngặt nguyên tắc “Không có hồ sơ” mới phù hợp với bạn. Việc duy trì quyền riêng tư cũng rất tốt nếu dịch vụ VPN chấp nhận thanh toán bằng Bitcoin.

Sự an toàn

Để đảm bảo rằng một dịch vụ cung cấp khả năng bảo vệ tốt trước các mối đe dọa khác nhau, hãy xem nó sử dụng giao thức mã hóa nào. Ngoài ra, ứng dụng khách dịch vụ phải có chức năng “Dừng vòi” để chặn mọi liên lạc giữa thiết bị và Mạng nếu kết nối VPN bị gián đoạn hoặc ngắt kết nối.

Số lượng máy chủ/quốc gia

Đây là điều bắt buộc để đảm bảo kết nối VPN nhanh và ổn định. Dịch vụ VPN càng có nhiều máy chủ và danh sách các quốc gia nơi chúng được đặt càng lớn thì càng tốt. Nhưng đó không phải là tất cả. Kiểm tra xem dịch vụ có cho phép bạn chuyển đổi giữa các máy chủ VPN khác nhau mà không bị hạn chế hay không. Bạn phải có khả năng thay đổi điểm truy cập Internet của mình bất kỳ lúc nào.

Số lượng kết nối đồng thời

Một số dịch vụ chỉ cho phép một thiết bị kết nối với mạng VPN của họ tại một thời điểm. Những người khác cho phép bạn kết nối đồng thời PC, máy tính xách tay, điện thoại thông minh, Xbox và máy tính bảng. Tại SaferVPN, chúng tôi tin rằng càng nhiều càng tốt. Do đó, chúng tôi cho phép bạn kết nối đồng thời tối đa năm thiết bị cho mỗi tài khoản.

Ủng hộ

Nhiều người dùng VPN ban đầu cần trợ giúp để làm quen với công nghệ mới, vì vậy, yếu tố quan trọng khi chọn dịch vụ có thể là sự hiện diện của dịch vụ hỗ trợ kỹ thuật tốt, trước hết là trả lời kịp thời các câu hỏi của người dùng và thứ hai là đưa ra lời khuyên thực sự hợp lý. . Nhóm SaferVPN luôn sẵn sàng trả lời câu hỏi của bạn qua email. gửi thư hoặc qua trò chuyện trực tuyến.

Dùng thử miễn phí, đảm bảo hoàn tiền

Dùng thử sản phẩm trước khi mua là điều có thật. Không phải mọi dịch vụ VPN đều sẵn sàng cung cấp nó. Nhưng không có cách nào tốt hơn để tìm hiểu xem một dịch vụ có phù hợp với bạn hay không hơn là tự mình dùng thử. Sẽ rất tốt nếu có đảm bảo hoàn lại tiền, đặc biệt nếu việc hoàn trả được thực hiện kịp thời.

Phần mềm

Không dễ để tìm được một dịch vụ VPN thuận tiện sử dụng, dễ cài đặt, đồng thời cung cấp khả năng bảo vệ tốt và có chức năng phong phú. Tính năng kết nối một chạm của chúng tôi cực kỳ tiện lợi và tính năng tự động của chúng tôi đảm bảo an toàn cho bạn.

Khả năng tương thích đa nền tảng

Một máy khách VPN riêng biệt cần được phát triển cho từng nền tảng. Đây không phải là một nhiệm vụ dễ dàng, nhưng một dịch vụ VPN tốt phải có ứng dụng khách cho mọi thiết bị, cung cấp ứng dụng khách cho người dùng trên nhiều nền tảng khác nhau, đồng thời cung cấp hỗ trợ kỹ thuật kịp thời và giúp người dùng khắc phục sự cố.

Từ điển VPN

Thuật ngữ trong lĩnh vực bảo mật Internet là một thứ khá phức tạp và khó hiểu. Nhưng đừng vội tuyệt vọng! Nhóm SaferVPN sẽ giúp bạn hiểu tất cả những điều phức tạp.

Chặn quảng cáo

Tiếng Anh Tiêu chuẩn mã hóa nâng cao – tiêu chuẩn mã hóa nâng cao. AES 256-bit hiện được coi là “tiêu chuẩn vàng” về mã hóa, được chính phủ Mỹ sử dụng để bảo vệ dữ liệu nhạy cảm. AES là tiêu chuẩn mã hóa tốt nhất dành cho người dùng VPN.

Cửa sau

Một cửa hậu toán học, một mã mật mã bí mật được nhúng vào một chuỗi mã hóa để sau này mật mã có thể bị phá vỡ.

bitcoin

Ngang hàng phi tập trung (được chuyển trực tiếp từ người dùng này sang người dùng khác) tiền ảo mở (tiền điện tử). Giống như tiền truyền thống, Bitcoin có thể được trao đổi để lấy sản phẩm và dịch vụ cũng như các loại tiền tệ khác. SaferVPN chấp nhận thanh toán bằng Bitcoin.

Nhật ký kết nối (siêu dữ liệu)

Sổ đăng ký lưu trữ các bản ghi về ngày kết nối của bạn, thời lượng, tần suất, địa chỉ, v.v. Sự cần thiết phải duy trì những hồ sơ như vậy thường được giải thích bởi thực tế là chúng giúp giải quyết các vấn đề kỹ thuật khác nhau và chống lại mọi loại vi phạm. SaferVPN không lưu giữ những hồ sơ như vậy về mặt nguyên tắc.

Tốc độ kết nối

Lượng dữ liệu được truyền trong một khoảng thời gian nhất định. Thường được đo bằng kilobit hoặc megabit trên giây.

Bánh quy

Tiếng Anh cookie - cookie. Đây là những mẩu dữ liệu nhỏ được trình duyệt lưu trữ dưới dạng tệp văn bản. Chúng có thể được sử dụng để làm nhiều việc hữu ích (ví dụ: ghi nhớ thông tin đăng nhập của người dùng hoặc cài đặt cá nhân trên một trang web), nhưng cookie thường được sử dụng để theo dõi người dùng.

DD-WRT là chương trình cơ sở mở dành cho bộ định tuyến, cung cấp cho bạn các tùy chọn mở rộng để quản lý bộ định tuyến của mình. Một giải pháp thay thế tuyệt vời cho chương trình cơ sở độc quyền dành cho những ai muốn cấu hình bộ định tuyến một cách độc lập để phù hợp với nhu cầu của mình.

Tiếng Anh Hệ thống tên miền – hệ thống tên miền. Đây là cơ sở dữ liệu có khả năng chuyển đổi các địa chỉ trang web (URL) từ dạng mà chúng ta quen thuộc và dễ hiểu đối với chúng ta thành định dạng kỹ thuật số “thực” mà máy tính có thể hiểu được. Việc dịch DNS thường được thực hiện bởi nhà cung cấp dịch vụ Internet của bạn, đồng thời kiểm tra và kiểm duyệt tất cả lưu lượng truy cập của bạn.

Bảo mật dữ liệu

Các quy tắc hoặc luật theo đó một công ty thu thập dữ liệu về người dùng của mình. Ở hầu hết các quốc gia, nhà cung cấp dịch vụ Internet được yêu cầu lưu trữ một số dữ liệu người dùng (chẳng hạn như lịch sử lướt web) trong vài tháng.

Mã hóa

Mã hóa dữ liệu bằng thuật toán toán học để ngăn chặn truy cập trái phép vào dữ liệu đó. Mã hóa là thứ duy nhất có thể bảo vệ dữ liệu số khỏi những người không được phép. Nó là nền tảng của bảo mật Internet.

Chặn địa lý

Hạn chế quyền truy cập vào các dịch vụ trực tuyến dựa trên vị trí địa lý. Những hạn chế này thường được đưa ra để người giữ bản quyền có thể tham gia vào các thỏa thuận cấp phép có lợi với các nhà phân phối trên toàn thế giới. Tất nhiên, người trung gian làm cho sản phẩm trở nên đắt hơn đối với người tiêu dùng cuối cùng.

HTTPS là giao thức dựa trên SSL/TLS để bảo vệ các trang web, được các ngân hàng và người bán trực tuyến sử dụng.

địa chỉ IP

Tiếng Anh Địa chỉ giao thức Internet – Địa chỉ giao thức Internet. Mỗi thiết bị trên Internet nhận được một địa chỉ kỹ thuật số duy nhất - địa chỉ IP. SaferVPN ẩn địa chỉ IP của bạn khỏi những người quan sát bên ngoài, do đó đảm bảo quyền riêng tư và quyền truy cập vào bất kỳ dịch vụ Internet nào.

cung cấp dịch vụ Internet

Một công ty cung cấp dịch vụ truy cập Internet. Quyền cung cấp các dịch vụ như vậy được quy định chặt chẽ: Pháp luật yêu cầu các nhà cung cấp dịch vụ Internet phải giám sát và kiểm duyệt lưu lượng truy cập của khách hàng.

Nếu bạn còn sống, truy cập Internet vào năm 2017 và không sống trên một hoang đảo, thì có lẽ bạn đã nghe thấy thuật ngữ “VPN” hơn một hoặc hai lần. Nếu bạn vẫn không biết nó là gì, tại sao cần thiết và nó cải thiện cuộc sống như thế nào (và đặc biệt là chất lượng công việc trên Internet), thì chúng tôi, nhóm trang web vpnMentor, sẽ sẵn lòng thực hiện một chương trình giáo dục cho bạn . Chúng ta bắt đầu nhé?

VPN là gì?

VPN (từ tiếng Anh Virtual Private Network - mạng riêng ảo) là một công nghệ đặc biệt để tạo kết nối mạng an toàn trên mạng công cộng (cùng Internet) hoặc mạng riêng. Mọi người và mọi thứ, từ các công ty lớn đến cơ quan chính phủ, đều sử dụng công nghệ này để cung cấp kết nối an toàn tới cơ sở hạ tầng của họ cho người dùng từ xa.

Thực sự có hàng chục dịch vụ VPN trên Internet có thể giúp bạn kết nối trực tuyến một cách an toàn và bảo mật với chi phí $5-$10 một tháng. Điều này sẽ cho phép bạn mã hóa an toàn dữ liệu cá nhân của mình và mọi thứ bạn làm trên Internet. Ngoài ra, hầu hết các hệ điều hành đều có kết nối VPN được hỗ trợ từ lâu và cũng có các phiên bản (và/hoặc miễn phí) của VPN trả phí.

Tại sao bạn cần dịch vụ VPN?

Mạng công cộng đã trở nên quá nguy hiểm đối với người dùng bình thường - có tin tặc, kẻ tấn công và kẻ đánh hơi ở khắp mọi nơi đang cố gắng đánh cắp dữ liệu của bạn. Vậy tại sao phải ăn một cây xương rồng và khóc (đọc, tiếp tục sử dụng mạng công cộng và hy vọng điều tốt nhất) khi bạn có thể làm điều thông minh là sử dụng dịch vụ VPN?

Ban đầu, công nghệ VPN được phát triển để nhân viên công ty có thể kết nối với mạng công ty địa phương khi ở nhà. Hiện nay, kết nối VPN được sử dụng chủ yếu trong trường hợp mọi người muốn che giấu hoạt động Internet của mình khỏi con mắt tò mò của người lạ, từ đó đảm bảo quyền riêng tư trực tuyến của họ và bỏ qua việc chặn quyền truy cập vào nội dung (cả địa phương và quốc gia). Các mục đích khác khi sử dụng dịch vụ VPN bao gồm bảo vệ khỏi tin tặc khi làm việc trên mạng WiFi công cộng và vượt qua các trang web chặn địa lý (để truy cập nội dung chỉ khả dụng ở một số khu vực nhất định).

VPN hoạt động như thế nào?

Tường lửa bảo vệ dữ liệu trên máy tính của bạn, trong khi VPN bảo vệ dữ liệu của bạn trực tuyến. Về mặt kỹ thuật, VPN là một mạng WAN (Mạng diện rộng) cung cấp mức độ bảo mật và chức năng tương tự như mạng riêng. Có hai loại kết nối VPN: truy cập từ xa (máy tính kết nối với mạng) và kết nối mạng với mạng.

Khi lướt web mà không có VPN, bạn kết nối với máy chủ của ISP, từ đó kết nối bạn với trang web mong muốn. Điều này có nghĩa là tất cả lưu lượng truy cập Internet của bạn đều đi qua máy chủ của nhà cung cấp và do đó, nhà cung cấp có thể giám sát lưu lượng truy cập của bạn.

Khi bạn kết nối qua máy chủ VPN, lưu lượng truy cập của bạn sẽ đi qua một “đường hầm” được mã hóa ở đó. Điều này có nghĩa là chỉ bạn và máy chủ VPN mới có quyền truy cập vào lưu lượng truy cập của bạn. Tuy nhiên, điều đáng chú ý là có sự khác biệt nhất định giữa quyền riêng tư và ẩn danh. Việc sử dụng dịch vụ VPN không khiến bạn ẩn danh vì dịch vụ VPN của bạn biết chính xác bạn là ai và có thể xem dữ liệu về hoạt động trực tuyến của bạn. Nhưng dịch vụ VPN cung cấp cho bạn quyền riêng tư khi làm việc trực tuyến - nói cách khác, ISP, giáo viên, hiệu trưởng hoặc thậm chí chính phủ của bạn sẽ không thể theo dõi bạn nữa. Để đảm bảo rằng một dịch vụ VPN có thể thực sự bảo vệ bạn, việc lựa chọn là vô cùng quan trọng. Và điều này là hợp lý, vì nếu dịch vụ VPN lưu giữ nhật ký hành động của người dùng thì chính quyền luôn có thể yêu cầu chuyển dữ liệu này cho họ và trong trường hợp này, dữ liệu của bạn sẽ không còn là của riêng bạn nữa.

Tuy nhiên, ngay cả khi dịch vụ bạn chọn không lưu giữ nhật ký, nó vẫn có thể (nếu cần) giám sát các hoạt động trực tuyến của bạn trong thời gian thực - ví dụ: để khắc phục các sự cố kỹ thuật. Và mặc dù hầu hết các VPN “không đăng nhập” cũng hứa hẹn không theo dõi hoạt động của bạn trong thời gian thực, nhưng ở hầu hết các quốc gia, luật pháp cho phép chính quyền yêu cầu dịch vụ VPN bắt đầu ghi lại hoạt động của một người dùng cụ thể mà không cần thông báo cho họ. Tuy nhiên, không có lý do gì để lo lắng về điều này... à, chỉ khi bạn không trốn tránh các cơ quan thực thi pháp luật đang truy lùng bạn.

Khi chọn dịch vụ VPN, điều quan trọng không kém là chọn dịch vụ cung cấp cho người dùng khả năng sử dụng các địa chỉ IP dùng chung (nói cách khác là có nhiều người dùng sử dụng cùng một địa chỉ cùng một lúc). Trong trường hợp này, bất kỳ bên thứ ba nào sẽ khó khăn hơn rất nhiều trong việc xác định rằng chính bạn là người thực hiện hành động này hoặc hành động đó trực tuyến chứ không phải ai khác.

Làm cách nào để sử dụng VPN trên thiết bị di động?

VPN được hỗ trợ đầy đủ trên cả iOS và Android. VPN cũng có thể bảo vệ bạn khi tải torrent. Thật không may, các ứng dụng di động bạn cài đặt trên điện thoại không chỉ có quyền truy cập vào địa chỉ IP của bạn, qua đó chúng có thể truy cập vào lịch sử tất cả các hoạt động trực tuyến của bạn mà còn cả tọa độ GPS, danh sách liên hệ, ID App Store và hơn thế nữa. Các ứng dụng này gửi dữ liệu đã thu thập đến máy chủ của công ty họ, điều này làm giảm lợi ích của việc sử dụng kết nối VPN xuống bằng không.

Và do đó, để tận dụng tối đa tất cả lợi ích của việc kết nối với VPN từ thiết bị di động, bạn chỉ cần truy cập các trang web thông qua các trình duyệt nguồn mở hỗ trợ chế độ riêng tư (ví dụ: thông qua Firefox) chứ không phải thông qua đặc biệt “ các ứng dụng bản địa”.

Nếu bạn muốn tìm hiểu thêm về cách sử dụng VPN trên thiết bị di động của mình, hãy xem danh sách của chúng tôi và.

Ưu điểm và nhược điểm

Để giúp bạn hiểu những ưu và nhược điểm của việc sử dụng VPN, tôi đã chuẩn bị một bảng trong đó liệt kê những ưu và nhược điểm chính của việc sử dụng công nghệ này (*cảnh báo tiết lộ nội dung*: theo tác giả, ưu điểm nhiều hơn nhược điểm, nhưng quyết định là của bạn).

Về phương diện luật pháp

Bản thân việc sử dụng các dịch vụ VPN hiếm khi là bất hợp pháp (nhưng nội dung bạn cố truy cập bằng VPN có thể là bất hợp pháp). Điều này đúng ngay cả ở những quốc gia chặn quyền truy cập vào dịch vụ VPN (Trung Quốc, Syria, Iran). Tuy nhiên, điều này không ngăn được một số trang web chặn dịch vụ VPN.

Tuy nhiên, vào tháng 7 năm 2016, việc sử dụng dịch vụ VPN ở Các Tiểu vương quốc Ả Rập Thống nhất (UAE) đã được xem xét bất hợp pháp. Những người vi phạm phải đối mặt với án tù và phạt tiền từ 500.000 đến 2.000.000 dirham (136.130 USD đến 544.521 USD). Nói cách khác, nếu bạn đang có kế hoạch đến thăm UAE, thì bạn nên thực hiện ý thức chung và chỉ truy cập các trang web nằm trong danh sách trắng.

Đối với việc chặn quyền truy cập qua VPN tại trường học hoặc nơi làm việc của bạn, đây là điều bạn nên cân nhắc: nếu bạn bị phát hiện (trong mạng WiFi riêng tư và với kết nối loại LAN luôn có một cơ hội nhỏ), họ có thể bị trừng phạt tương ứng. Thật là chính xác? Ví dụ, phải chịu các biện pháp kỷ luật (phạt tiền, đình chỉ, sa thải). Vụ việc thậm chí có thể được chuyển đến cảnh sát! Nói chung, cần phải suy nghĩ trước xem trò chơi có xứng đáng với ngọn nến hay không.

Bắt đầu công việc

Tin vui là hiện có rất nhiều dịch vụ VPN muốn bạn làm khách hàng của họ.

Tin xấu: bạn rất dễ bị nhầm lẫn bởi tất cả các lựa chọn được cung cấp.

Khi đưa ra bất kỳ quyết định nào, bạn cần nghiên cứu kỹ vấn đề.

Hãy truy cập bài viết của chúng tôi về , đọc các bài đánh giá trực tuyến, đọc các đề xuất, khám phá các lựa chọn của bạn và chỉ sau đó mới đưa ra quyết định.

Sau đó hãy tự hỏi mình 10 câu hỏi sau:

1. Tôi sẽ trả bao nhiêu cho việc này? Các dịch vụ khác nhau có mức giá khác nhau, nhưng thông thường mọi thứ đều nằm trong khoảng từ 5 đến 10 USD mỗi tháng. Ngoài ra còn có các tùy chọn miễn phí, được mô tả chi tiết hơn trong bài viết.
2. Dịch vụ này là gìChính sách bảo mật? Chúng tôi đã đề cập đến điểm này trước đó: bạn cần đảm bảo rằng dịch vụ VPN sẽ bảo vệ bạn và dữ liệu của bạn.
3. Các biện pháp kỹ thuật và an ninh của dịch vụ tốt như thế nào? Liệu nó có thể chống lại tin tặc và các bên thứ ba quyết định truy cập vào dữ liệu của tôi một cách hiệu quả không?
4. Khoảng cách giữa các máy chủ VPN là bao lâu? và máy chủ tôi muốn đăng nhập?Đây là một điểm quan trọng vì tốc độ làm việc của bạn trên mạng được quyết định ở đây. Các yếu tố khác ảnh hưởng đến tốc độ kết nối bao gồm sức mạnh của chính máy chủ, băng thông của kênh và số lượng người truy cập máy chủ cùng lúc.
5. Dịch vụ này có bao nhiêu máy chủ và chúng được đặt ở đâu? Nếu bạn cần truy cập các trang web khác nhau nằm trên máy chủ từ các quốc gia khác nhau, bạn cần tìm một dịch vụ VPN có số lượng lớn vị trí máy chủ và máy chủ có sẵn - điều này sẽ làm tăng đáng kể cơ hội kết nối thành công của bạn.
6. Tôi có thể sử dụng bao nhiêu thiết bị cùng lúc? Dịch vụ VPN hỗ trợ hầu hết tất cả các loại máy tính, bao gồm máy tính để bàn, máy tính xách tay, máy tính xách tay, điện thoại thông minh và máy tính bảng. Một số dịch vụ sẽ chỉ cho phép bạn kết nối một thiết bị với máy chủ của họ cùng một lúc, trong khi những dịch vụ khác sẽ cho phép bạn kết nối nhiều thiết bị cùng một lúc.
7. Hỗ trợ người dùng cho dịch vụ này tốt như thế nào? Sau khi đọc

Hãy tưởng tượng một cảnh trong một bộ phim hành động, trong đó nhân vật phản diện trốn thoát khỏi hiện trường vụ án dọc đường cao tốc trên một chiếc ô tô thể thao. Anh ta đang bị truy đuổi bởi một chiếc trực thăng của cảnh sát. Ô tô đi vào một đường hầm có nhiều lối ra. Phi công trực thăng không biết chiếc xe sẽ xuất hiện từ lối ra nào và kẻ thủ ác đã thoát khỏi cuộc truy đuổi.

VPN là một đường hầm kết nối nhiều con đường. Không ai từ bên ngoài biết những chiếc xe đi vào đó sẽ đi về đâu. Không ai ở bên ngoài biết chuyện gì đang xảy ra trong đường hầm.

Có lẽ bạn đã nhiều lần nghe nói về VPN. Lifehacker cũng nói về điều này. Thông thường, VPN được khuyên dùng vì sử dụng mạng, bạn có thể truy cập nội dung bị chặn địa lý và nói chung là tăng cường bảo mật khi sử dụng Internet. Sự thật là việc truy cập Internet thông qua VPN có thể nguy hiểm không kém so với truy cập trực tiếp.

VPN hoạt động như thế nào?

Rất có thể bạn có bộ định tuyến Wi-Fi ở nhà. Các thiết bị được kết nối với nó có thể trao đổi dữ liệu ngay cả khi không có Internet. Hóa ra là bạn có mạng riêng của mình, nhưng để kết nối với mạng đó, bạn cần ở trong tầm phủ sóng của bộ định tuyến.

VPN (Mạng riêng ảo) là một mạng riêng ảo. Nó chạy trên Internet nên bạn có thể kết nối với nó từ mọi nơi.

Ví dụ: công ty bạn làm việc có thể sử dụng mạng riêng ảo cho nhân viên ở xa. Bằng cách sử dụng VPN, họ kết nối với mạng làm việc của mình. Đồng thời, máy tính, điện thoại thông minh hoặc máy tính bảng của họ hầu như được chuyển đến văn phòng và được kết nối mạng từ bên trong. Để đăng nhập vào mạng riêng ảo, bạn cần biết địa chỉ máy chủ VPN, thông tin đăng nhập và mật khẩu.

Sử dụng VPN khá đơn giản. Thông thường, một công ty cài đặt máy chủ VPN ở đâu đó trên máy tính, máy chủ hoặc trung tâm dữ liệu cục bộ và kết nối với nó bằng máy khách VPN trên thiết bị của người dùng.

Ngày nay, máy khách VPN tích hợp có sẵn trong tất cả các hệ điều hành hiện tại, bao gồm Android, iOS, Windows, macOS và Linux.

Kết nối VPN giữa máy khách và máy chủ thường được mã hóa.

Vậy VPN có tốt không?

Có, nếu bạn là chủ doanh nghiệp và muốn bảo mật dữ liệu và dịch vụ của công ty. Bằng cách chỉ cho phép nhân viên vào môi trường làm việc thông qua VPN và sử dụng tài khoản, bạn sẽ luôn biết ai đã và đang làm gì.

Hơn nữa, chủ sở hữu VPN có thể giám sát và kiểm soát tất cả lưu lượng truy cập giữa máy chủ và người dùng.

Nhân viên của bạn có dành nhiều thời gian cho VKontakte không? Bạn có thể chặn quyền truy cập vào dịch vụ này. Gennady Andreevich có dành nửa ngày làm việc của mình trên các trang web có meme không? Tất cả hoạt động của anh ta sẽ tự động được ghi lại vào nhật ký và sẽ trở thành lý lẽ cứng rắn cho việc sa thải.

Tại sao lại là VPN?

VPN cho phép bạn bỏ qua các hạn chế về địa lý và pháp lý.

Ví dụ, bạn đang ở Nga và muốn. Chúng tôi rất tiếc khi biết rằng dịch vụ này không có sẵn ở Liên bang Nga. Bạn chỉ có thể sử dụng nó bằng cách truy cập Internet thông qua máy chủ VPN ở quốc gia nơi Spotify hoạt động.

Ở một số quốc gia, có sự kiểm duyệt Internet hạn chế quyền truy cập vào một số trang web nhất định. Bạn muốn truy cập một số tài nguyên nhưng nó bị chặn ở Nga. Bạn chỉ có thể mở trang web bằng cách truy cập Internet thông qua máy chủ VPN của một quốc gia không bị chặn, nghĩa là từ hầu hết mọi quốc gia ngoại trừ Liên bang Nga.

VPN là một công nghệ hữu ích và cần thiết có thể đáp ứng tốt một loạt nhiệm vụ nhất định. Nhưng tính bảo mật của dữ liệu cá nhân vẫn phụ thuộc vào tính toàn vẹn của nhà cung cấp dịch vụ VPN, ý thức chung, sự chú ý và trình độ hiểu biết về Internet của bạn.

Internet ngày càng được sử dụng như một phương tiện liên lạc giữa các máy tính vì nó mang lại khả năng liên lạc hiệu quả và không tốn kém. Tuy nhiên, Internet là một mạng công cộng và để đảm bảo liên lạc an toàn thông qua nó, cần có một số cơ chế đáp ứng ít nhất các nhiệm vụ sau:

bảo mật thông tin;

toàn vẹn dữ liệu;

sự sẵn có của thông tin;

Các yêu cầu này được đáp ứng bởi một cơ chế gọi là VPN (Mạng riêng ảo) - tên gọi chung cho các công nghệ cho phép một hoặc nhiều kết nối mạng (mạng logic) được cung cấp qua một mạng khác (ví dụ: Internet) bằng cách sử dụng mật mã (mã hóa, xác thực). , cơ sở hạ tầng) khóa công khai, phương tiện để bảo vệ khỏi sự lặp lại và thay đổi trong các thông báo được truyền qua mạng logic).

Việc tạo VPN không cần đầu tư thêm và cho phép bạn ngừng sử dụng các đường dây chuyên dụng. Tùy thuộc vào giao thức được sử dụng và mục đích, VPN có thể cung cấp ba loại kết nối: máy chủ với máy chủ, máy chủ với mạng và mạng với mạng.

Để rõ ràng hơn, hãy tưởng tượng ví dụ sau: một doanh nghiệp có một số chi nhánh cách xa nhau về mặt địa lý và các nhân viên “di động” làm việc tại nhà hoặc trên đường. Cần phải đoàn kết tất cả nhân viên của doanh nghiệp thành một mạng lưới duy nhất. Cách dễ nhất là cài đặt modem ở mỗi chi nhánh và tổ chức liên lạc khi cần thiết. Tuy nhiên, giải pháp này không phải lúc nào cũng thuận tiện và mang lại lợi nhuận - đôi khi cần liên lạc liên tục và băng thông lớn. Để làm điều này, bạn sẽ phải đặt một đường dây chuyên dụng giữa các chi nhánh hoặc thuê chúng. Cả hai đều khá đắt tiền. Và ở đây, như một giải pháp thay thế, khi xây dựng một mạng an toàn duy nhất, bạn có thể sử dụng kết nối VPN của tất cả các chi nhánh của công ty thông qua Internet và định cấu hình các công cụ VPN trên máy chủ mạng.

Cơm. 6.4. Kết nối VPN site-to-site

Cơm. 6.5. Mạng máy chủ loại kết nối VPN

Trong trường hợp này, nhiều vấn đề đã được giải quyết - các chi nhánh có thể được đặt ở bất kỳ đâu trên thế giới.

Điều nguy hiểm ở đây là trước hết, một mạng mở có thể bị tấn công bởi những kẻ tấn công trên toàn thế giới. Thứ hai, tất cả dữ liệu được truyền qua Internet ở dạng văn bản rõ ràng và những kẻ tấn công sau khi hack mạng sẽ có tất cả thông tin được truyền qua mạng. Và thứ ba, dữ liệu không chỉ có thể bị chặn mà còn có thể bị thay thế trong quá trình truyền qua mạng. Ví dụ, kẻ tấn công có thể vi phạm tính toàn vẹn của cơ sở dữ liệu bằng cách hành động thay mặt khách hàng của một trong những chi nhánh đáng tin cậy.

Để ngăn điều này xảy ra, các giải pháp VPN sử dụng các tính năng như mã hóa dữ liệu để đảm bảo tính toàn vẹn và bảo mật, xác thực và ủy quyền để xác minh quyền của người dùng và cho phép truy cập vào mạng riêng ảo.

Kết nối VPN luôn bao gồm một kênh điểm-điểm, còn được gọi là đường hầm. Đường hầm được tạo trên một mạng không được bảo vệ, thường là Internet.

Đường hầm hoặc đóng gói là một phương pháp truyền thông tin hữu ích thông qua mạng trung gian. Thông tin này có thể là các khung (hoặc gói) của giao thức khác. Với tính năng đóng gói, khung không được truyền đi như được tạo bởi máy chủ gửi mà được cung cấp một tiêu đề bổ sung chứa thông tin định tuyến cho phép các gói được đóng gói đi qua mạng trung gian (Internet). Ở cuối đường hầm, các khung được giải đóng gói và truyền đến người nhận. Thông thường, một đường hầm được tạo bởi hai thiết bị biên được đặt tại các điểm vào mạng công cộng. Một trong những ưu điểm rõ ràng của đường hầm là công nghệ này cho phép bạn mã hóa toàn bộ gói nguồn, bao gồm cả tiêu đề, có thể chứa dữ liệu chứa thông tin mà kẻ tấn công sử dụng để hack mạng (ví dụ: địa chỉ IP, số lượng mạng con, v.v.). ) .

Mặc dù đường hầm VPN được thiết lập giữa hai điểm, mỗi nút có thể thiết lập các đường hầm bổ sung với các nút khác. Ví dụ: khi ba trạm từ xa cần liên lạc với cùng một văn phòng, ba đường hầm VPN riêng biệt sẽ được tạo cho văn phòng đó. Đối với tất cả các đường hầm, nút ở phía văn phòng có thể giống nhau. Điều này có thể thực hiện được vì một nút có thể mã hóa và giải mã dữ liệu thay mặt cho toàn bộ mạng, như trong hình:

Cơm. 6.6. Tạo đường hầm VPN cho nhiều vị trí từ xa

Người dùng thiết lập kết nối với cổng VPN, sau đó người dùng có quyền truy cập vào mạng nội bộ.

Bên trong mạng riêng, việc mã hóa không xảy ra. Lý do là phần mạng này được coi là an toàn và được kiểm soát trực tiếp, trái ngược với Internet. Điều này cũng đúng khi kết nối các văn phòng bằng cổng VPN. Điều này đảm bảo rằng chỉ thông tin được truyền qua kênh không an toàn giữa các văn phòng mới được mã hóa.

Có nhiều giải pháp khác nhau để xây dựng mạng riêng ảo. Các giao thức nổi tiếng và được sử dụng rộng rãi nhất là:

PPTP (Giao thức đường hầm điểm-điểm) - giao thức này đã trở nên khá phổ biến do được đưa vào hệ điều hành Microsoft.

L2TP (Giao thức đường hầm lớp 2) - kết hợp giao thức L2F (Chuyển tiếp lớp 2) và giao thức PPTP. Thường được sử dụng kết hợp với IPSec.

IPSec (Bảo mật Giao thức Internet) là một tiêu chuẩn Internet chính thức được phát triển bởi cộng đồng IETF (Lực lượng Đặc nhiệm Kỹ thuật Internet).

Các giao thức được liệt kê được hỗ trợ bởi các thiết bị D-Link.

Giao thức PPTP chủ yếu dành cho các mạng riêng ảo dựa trên kết nối quay số. Giao thức cho phép truy cập từ xa, cho phép người dùng thiết lập kết nối quay số với các nhà cung cấp Internet và tạo đường hầm an toàn cho mạng công ty của họ. Không giống như IPSec, PPTP ban đầu không nhằm mục đích tạo đường hầm giữa các mạng cục bộ. PPTP mở rộng khả năng của PPP, một giao thức liên kết dữ liệu ban đầu được thiết kế để đóng gói dữ liệu và phân phối dữ liệu qua các kết nối điểm-điểm.

Giao thức PPTP cho phép bạn tạo các kênh bảo mật để trao đổi dữ liệu qua nhiều giao thức khác nhau - IP, IPX, NetBEUI, v.v. Dữ liệu từ các giao thức này được đóng gói trong khung PPP và được gói gọn bằng giao thức PPTP trong các gói giao thức IP. Sau đó, chúng được chuyển bằng IP ở dạng được mã hóa qua bất kỳ mạng TCP/IP nào. Nút nhận trích xuất các khung PPP từ các gói IP và sau đó xử lý chúng theo cách tiêu chuẩn, tức là. trích xuất gói IP, IPX hoặc NetBEUI từ khung PPP và gửi nó qua mạng cục bộ. Do đó, giao thức PPTP tạo kết nối điểm-điểm trong mạng và truyền dữ liệu qua kênh bảo mật đã tạo. Ưu điểm chính của việc đóng gói các giao thức như PPTP là tính chất đa giao thức của chúng. Những thứ kia. Bảo vệ dữ liệu ở lớp liên kết dữ liệu là minh bạch đối với các giao thức lớp mạng và ứng dụng. Do đó, trong mạng, cả giao thức IP (như trong trường hợp VPN dựa trên IPSec) và bất kỳ giao thức nào khác đều có thể được sử dụng làm phương tiện truyền tải.

Hiện tại, do tính dễ thực hiện, giao thức PPTP được sử dụng rộng rãi để có được quyền truy cập an toàn đáng tin cậy vào mạng công ty và truy cập mạng của các nhà cung cấp Internet, khi khách hàng cần thiết lập kết nối PPTP với nhà cung cấp Internet để có quyền truy cập tới Internet.

Phương thức mã hóa được sử dụng trong PPTP được chỉ định ở cấp độ PPP. Thông thường, máy khách PPP là một máy tính để bàn chạy hệ điều hành Microsoft và giao thức mã hóa là Mã hóa điểm-điểm của Microsoft (MPPE). Giao thức này dựa trên tiêu chuẩn RSA RC4 và hỗ trợ mã hóa 40 hoặc 128 bit. Đối với nhiều ứng dụng ở mức mã hóa này, việc sử dụng thuật toán này là khá đủ, mặc dù nó được coi là kém an toàn hơn so với một số thuật toán mã hóa khác do IPSec cung cấp, đặc biệt là Tiêu chuẩn mã hóa ba dữ liệu 168 bit (3DES) .

Cách kết nối được thiết lậpPPTP?

PPTP đóng gói các gói IP để truyền qua mạng IP. Máy khách PPTP tạo kết nối điều khiển đường hầm để duy trì hoạt động của kênh. Quá trình này được thực hiện ở lớp vận chuyển của mô hình OSI. Sau khi đường hầm được tạo, máy khách và máy chủ bắt đầu trao đổi các gói dịch vụ.

Ngoài kết nối điều khiển PPTP, một kết nối được tạo để chuyển tiếp dữ liệu qua đường hầm. Việc đóng gói dữ liệu trước khi gửi vào đường hầm bao gồm hai bước. Đầu tiên, phần thông tin của khung PPP được tạo. Dữ liệu chảy từ trên xuống dưới, từ lớp ứng dụng OSI đến lớp liên kết dữ liệu. Dữ liệu nhận được sau đó sẽ được gửi lên mô hình OSI và được đóng gói bởi các giao thức lớp trên.

Dữ liệu từ lớp liên kết đến lớp vận chuyển. Tuy nhiên, thông tin không thể được gửi đến đích vì lớp liên kết dữ liệu OSI chịu trách nhiệm về việc này. Do đó, PPTP mã hóa trường tải trọng của gói và đảm nhận các chức năng lớp thứ hai thường thuộc về PPP, tức là thêm tiêu đề và đoạn giới thiệu PPP vào gói PPTP. Điều này hoàn thành việc tạo khung lớp liên kết. Tiếp theo, PPTP đóng gói khung PPP trong gói Đóng gói định tuyến chung (GRE), thuộc lớp mạng. GRE đóng gói các giao thức lớp mạng như IP, IPX để cho phép truyền chúng qua mạng IP. Tuy nhiên, chỉ sử dụng giao thức GRE sẽ không đảm bảo việc thiết lập phiên và bảo mật dữ liệu. Điều này sử dụng khả năng của PPTP để tạo kết nối điều khiển đường hầm. Việc sử dụng GRE làm phương pháp đóng gói chỉ giới hạn phạm vi của PPTP đối với các mạng IP.

Sau khi khung PPP được đóng gói trong khung có tiêu đề GRE, việc đóng gói được thực hiện trong khung có tiêu đề IP. Tiêu đề IP chứa địa chỉ nguồn và đích của gói. Cuối cùng, PPTP thêm tiêu đề và kết thúc PPP.

TRÊN cơm. 6,7 Cấu trúc dữ liệu để chuyển tiếp qua đường hầm PPTP được hiển thị:

Cơm. 6.7. Cấu trúc dữ liệu để chuyển tiếp qua đường hầm PPTP

Thiết lập VPN dựa trên PPTP không yêu cầu chi phí lớn hoặc cài đặt phức tạp: chỉ cần cài đặt máy chủ PPTP trong văn phòng trung tâm là đủ (giải pháp PPTP tồn tại cho cả nền tảng Windows và Linux) và thực hiện các cài đặt cần thiết trên máy khách. Nếu bạn cần kết hợp nhiều nhánh thì thay vì thiết lập PPTP trên tất cả các trạm máy khách, tốt hơn nên sử dụng bộ định tuyến Internet hoặc tường lửa có hỗ trợ PPTP: cài đặt chỉ được thực hiện trên bộ định tuyến biên (tường lửa) được kết nối với Internet, mọi thứ đều hoàn toàn minh bạch đối với người dùng. Ví dụ về các thiết bị như vậy là bộ định tuyến Internet đa chức năng của dòng DIR/DSR và tường lửa của dòng DFL.

GRE-đường hầm

Đóng gói định tuyến chung (GRE) là một giao thức đóng gói gói mạng cung cấp đường hầm lưu lượng truy cập qua mạng mà không cần mã hóa. Ví dụ về việc sử dụng GRE:

truyền lưu lượng (bao gồm cả phát sóng) qua thiết bị không hỗ trợ giao thức cụ thể;

tạo đường hầm lưu lượng IPv6 qua mạng IPv4;

truyền dữ liệu qua mạng công cộng để thực hiện kết nối VPN an toàn.

Cơm. 6.8. Một ví dụ về cách hoạt động của đường hầm GRE

Giữa hai bộ định tuyến A và B ( cơm. 6,8) có một số bộ định tuyến, đường hầm GRE cho phép bạn cung cấp kết nối giữa các mạng cục bộ 192.168.1.0/24 và 192.168.3.0/24 như thể bộ định tuyến A và B được kết nối trực tiếp.

L2 TP

Giao thức L2TP xuất hiện là kết quả của sự kết hợp giữa giao thức PPTP và L2F. Ưu điểm chính của giao thức L2TP là nó cho phép bạn tạo một đường hầm không chỉ trong mạng IP mà còn trong các mạng ATM, X.25 và Frame Relay. L2TP sử dụng UDP làm phương tiện truyền tải và sử dụng cùng một định dạng thông báo cho cả điều khiển đường hầm và chuyển tiếp dữ liệu.

Giống như PPTP, L2TP bắt đầu tập hợp gói để truyền vào đường hầm bằng cách trước tiên thêm tiêu đề PPP vào trường dữ liệu thông tin PPP, sau đó là tiêu đề L2TP. Gói kết quả được đóng gói bởi UDP. Tùy thuộc vào loại chính sách bảo mật IPSec được chọn, L2TP có thể mã hóa tin nhắn UDP và thêm tiêu đề và kết thúc Tải trọng bảo mật đóng gói (ESP), cũng như kết thúc Xác thực IPSec (xem phần "L2TP qua IPSec"). Sau đó nó được đóng gói trong IP. Một tiêu đề IP được thêm vào chứa địa chỉ người gửi và người nhận. Cuối cùng, L2TP thực hiện đóng gói PPP thứ hai để chuẩn bị dữ liệu cho việc truyền tải. TRÊN cơm. 6,9 hiển thị cấu trúc dữ liệu để chuyển tiếp qua đường hầm L2TP.

Cơm. 6.9. Cấu trúc dữ liệu để chuyển tiếp qua đường hầm L2TP

Máy tính nhận nhận dữ liệu, xử lý tiêu đề và kết thúc PPP cũng như xóa tiêu đề IP. Xác thực IPSec xác thực trường thông tin IP và tiêu đề IPSec ESP giúp giải mã gói tin.

Sau đó, máy tính xử lý tiêu đề UDP và sử dụng tiêu đề L2TP để xác định đường hầm. Gói PPP hiện chỉ chứa dữ liệu tải trọng được xử lý hoặc chuyển tiếp đến người nhận được chỉ định.

IPsec (viết tắt của IP Security) là bộ giao thức nhằm đảm bảo bảo vệ dữ liệu được truyền qua Giao thức Internet (IP), cho phép xác thực và/hoặc mã hóa các gói IP. IPsec cũng bao gồm các giao thức trao đổi khóa an toàn qua Internet.

Bảo mật IPSec đạt được thông qua các giao thức bổ sung thêm các tiêu đề của riêng chúng vào gói IP - đóng gói. Bởi vì IPSec là một tiêu chuẩn Internet và có RFC cho nó:

RFC 2401 (Kiến trúc bảo mật cho giao thức Internet) – kiến ​​trúc bảo mật cho giao thức IP.

RFC 2402 (Tiêu đề xác thực IP) – Tiêu đề xác thực IP.

RFC 2404 (Việc sử dụng HMAC-SHA-1-96 trong ESP và AH) – sử dụng thuật toán băm SHA-1 để tạo tiêu đề xác thực.

RFC 2405 (Thuật toán mật mã ESP DES-CBC với rõ ràng IV) - sử dụng thuật toán mã hóa DES.

RFC 2406 (Tải trọng bảo mật đóng gói IP (ESP)) – mã hóa dữ liệu.

RFC 2407 (Miền giải thích bảo mật IP Internet cho ISAKMP) là phạm vi của giao thức quản lý khóa.

RFC 2408 (Hiệp hội bảo mật Internet và Giao thức quản lý khóa (ISAKMP)) – quản lý khóa và trình xác thực để kết nối an toàn.

RFC 2409 (Trao đổi khóa Internet (IKE)) – trao đổi khóa.

RFC 2410 (Thuật toán mã hóa NULL và cách sử dụng nó với IPsec) – thuật toán mã hóa null và cách sử dụng nó.

RFC 2411 (Lộ trình tài liệu bảo mật IP) là sự phát triển hơn nữa của tiêu chuẩn.

RFC 2412 (Giao thức xác định khóa OAKLEY) - kiểm tra tính xác thực của khóa.

IPsec là một phần không thể thiếu của Giao thức Internet IPv6 và là phần mở rộng tùy chọn cho phiên bản Giao thức Internet IPv4.

Cơ chế IPSec giải quyết các vấn đề sau:

xác thực người dùng hoặc máy tính khi khởi tạo kênh bảo mật;

mã hóa và xác thực dữ liệu được truyền giữa các điểm cuối kênh an toàn;

tự động cung cấp các điểm cuối kênh với các khóa bí mật cần thiết cho hoạt động của các giao thức xác thực và mã hóa dữ liệu.

Thành phần IPSec

Giao thức AH (Authentication Header) – giao thức nhận dạng tiêu đề. Đảm bảo tính toàn vẹn bằng cách xác minh rằng không có bit nào trong phần được bảo vệ của gói bị thay đổi trong quá trình truyền. Nhưng việc sử dụng AH có thể gây ra sự cố, chẳng hạn như khi gói đi qua thiết bị NAT. NAT thay đổi địa chỉ IP của gói để cho phép truy cập Internet từ một địa chỉ cục bộ riêng. Bởi vì Trong trường hợp này, gói sẽ thay đổi, khi đó tổng kiểm tra AH sẽ không chính xác (để loại bỏ vấn đề này, giao thức NAT-Traversal (NAT-T) đã được phát triển, cung cấp khả năng truyền ESP qua UDP và sử dụng cổng UDP 4500 trong hoạt động của nó) . Cũng cần lưu ý rằng AH được thiết kế chỉ nhằm mục đích đảm bảo tính toàn vẹn. Nó không đảm bảo tính bảo mật bằng cách mã hóa nội dung của gói.

Giao thức ESP (Encapsulation Security Payload) không chỉ cung cấp tính toàn vẹn và xác thực của dữ liệu được truyền mà còn mã hóa dữ liệu cũng như bảo vệ chống lại các gói tin bị phát lại sai.

Giao thức ESP là một giao thức bảo mật đóng gói cung cấp cả tính toàn vẹn và bảo mật. Trong chế độ vận chuyển, tiêu đề ESP nằm giữa tiêu đề IP gốc và tiêu đề TCP hoặc UDP. Ở chế độ đường hầm, tiêu đề ESP được đặt giữa tiêu đề IP mới và gói IP gốc được mã hóa hoàn toàn.

Bởi vì Cả hai giao thức - AH và ESP - đều thêm các tiêu đề IP của riêng mình, mỗi giao thức có số giao thức (ID) riêng, có thể được sử dụng để xác định nội dung nào theo sau tiêu đề IP. Mỗi giao thức, theo IANA (Cơ quan cấp số được gán Internet - tổ chức chịu trách nhiệm về không gian địa chỉ Internet), đều có số (ID) riêng. Ví dụ: đối với TCP, con số này là 6 và đối với UDP là 17. Do đó, khi làm việc qua tường lửa, điều rất quan trọng là phải định cấu hình các bộ lọc theo cách cho phép các gói có giao thức ID AH và/hoặc ESP đi qua. bởi vì.

Để chỉ ra rằng AH có trong tiêu đề IP, ID giao thức được đặt thành 51 và đối với ESP, số này là 50.

CHÚ Ý: ID giao thức không giống với số cổng.

Giao thức IKE (Internet Key Exchange) là giao thức IPsec tiêu chuẩn được sử dụng để đảm bảo liên lạc an toàn trong mạng riêng ảo. Mục đích của IKE là thương lượng và cung cấp tài liệu được xác định một cách an toàn cho hiệp hội bảo mật (SA).

SA là thuật ngữ IPSec để chỉ kết nối. Một SA được thiết lập (một kênh bảo mật được gọi là Hiệp hội bảo mật hoặc SA) bao gồm khóa bí mật chung và một bộ thuật toán mã hóa.

Giao thức IKE thực hiện ba nhiệm vụ chính:

cung cấp phương tiện xác thực giữa hai điểm cuối VPN;

thiết lập các kết nối IPSec mới (tạo cặp SA);

quản lý các kết nối hiện có.

IKE sử dụng số cổng UDP 500. Khi sử dụng tính năng NAT Traversal, như đã đề cập trước đó, giao thức IKE sử dụng số cổng UDP 4500.

Trao đổi dữ liệu trong IKE diễn ra theo 2 giai đoạn. Trong giai đoạn đầu tiên, IKE SA được thành lập. Trong trường hợp này, điểm cuối của kênh được xác thực và các tham số bảo vệ dữ liệu được chọn, chẳng hạn như thuật toán mã hóa, khóa phiên, v.v.

Trong giai đoạn thứ hai, IKE SA được sử dụng để đàm phán một giao thức (thường là IPSec).

Khi một đường hầm VPN được cấu hình, một cặp SA sẽ được tạo cho mỗi giao thức được sử dụng. SA được tạo theo cặp, bởi vì Mỗi SA là một kết nối một chiều và dữ liệu phải được truyền theo hai hướng. Các cặp SA kết quả được lưu trữ trên mỗi nút.

Vì mỗi nút có khả năng thiết lập nhiều đường hầm với các nút khác nên mỗi SA có một số duy nhất để xác định nút đó thuộc về nút nào. Con số này được gọi là SPI (Chỉ số tham số bảo mật).

SA được lưu trữ trong cơ sở dữ liệu (DB) BUỒN.(Cơ sở dữ liệu của Hiệp hội An ninh).

Mỗi nút IPSec cũng có DB thứ hai - SPD(Cơ sở dữ liệu chính sách bảo mật) – cơ sở dữ liệu chính sách bảo mật. Nó chứa chính sách trang web được cấu hình. Hầu hết các giải pháp VPN cho phép tạo nhiều chính sách với sự kết hợp của các thuật toán phù hợp cho từng máy chủ mà kết nối phải được thiết lập.

Tính linh hoạt của IPSec nằm ở chỗ mỗi tác vụ có một số cách để giải quyết nó và các phương pháp được chọn cho một tác vụ thường độc lập với các phương pháp thực hiện các tác vụ khác. Đồng thời, nhóm làm việc của IETF đã xác định một bộ chức năng và thuật toán được hỗ trợ cơ bản, cần được triển khai thống nhất trong tất cả các sản phẩm hỗ trợ IPSec. Cơ chế AH và ESP có thể được sử dụng với nhiều sơ đồ xác thực và mã hóa khác nhau, một số trong đó là bắt buộc. Ví dụ: IPSec chỉ định rằng các gói được xác thực bằng chức năng MD5 một chiều hoặc chức năng SHA-1 một chiều và mã hóa được thực hiện bằng thuật toán DES. Các nhà sản xuất sản phẩm chạy IPSec có thể thêm các thuật toán xác thực và mã hóa khác. Ví dụ: một số sản phẩm hỗ trợ thuật toán mã hóa như 3DES, Blowfish, Cast, RC5, v.v.

Để mã hóa dữ liệu trong IPSec, có thể sử dụng bất kỳ thuật toán mã hóa đối xứng nào sử dụng khóa bí mật.

Các giao thức bảo vệ luồng truyền (AH và ESP) có thể hoạt động ở hai chế độ: phương tiện giao thông và trong chế độ đào hầm. Khi hoạt động ở chế độ vận chuyển, IPsec chỉ hoạt động với thông tin lớp vận chuyển, tức là. Chỉ có trường dữ liệu của gói chứa giao thức TCP/UDP được mã hóa (tiêu đề gói IP không bị thay đổi (không được mã hóa)). Chế độ vận chuyển thường được sử dụng để thiết lập kết nối giữa các máy chủ.

Trong chế độ đường hầm, toàn bộ gói IP được mã hóa, bao gồm cả tiêu đề lớp mạng. Để nó được truyền qua mạng, nó được đặt trong một gói IP khác. Về cơ bản, nó là một đường hầm IP an toàn. Chế độ đường hầm có thể được sử dụng để kết nối các máy tính từ xa với mạng riêng ảo (sơ đồ kết nối máy chủ với mạng) hoặc để tổ chức truyền dữ liệu an toàn thông qua các kênh liên lạc mở (ví dụ: Internet) giữa các cổng để kết nối các phần khác nhau của mạng riêng ảo mạng (sơ đồ kết nối mạng -net").

Các chế độ IPsec không loại trừ lẫn nhau. Trên cùng một nút, một số SA có thể sử dụng chế độ vận chuyển trong khi một số SA khác sử dụng chế độ đường hầm.

Trong giai đoạn xác thực, ICV (Giá trị kiểm tra tính toàn vẹn) của gói được tính toán. Điều này giả định rằng cả hai nút đều biết khóa bí mật, cho phép người nhận tính toán ICV và so sánh nó với kết quả do người gửi gửi. Nếu so sánh ICV thành công, người gửi gói tin được coi là đã được xác thực.

Đang ở chế độ chuyên chởAH.

toàn bộ gói IP, ngoại trừ một số trường trong tiêu đề IP có thể bị sửa đổi trong quá trình truyền. Các trường này, được đặt thành 0 để tính toán ICV, có thể là Loại dịch vụ (TOS), cờ, độ lệch phân đoạn, thời gian tồn tại (TTL) và tiêu đề tổng kiểm tra;

tất cả các trường trong AH;

Tải trọng gói IP.

AH ở chế độ vận chuyển bảo vệ tiêu đề IP (không bao gồm các trường được phép thay đổi) và tải trọng trong gói IP gốc (Hình 3.39).

Ở chế độ đường hầm, gói gốc được đặt trong gói IP mới và việc truyền dữ liệu được thực hiện dựa trên tiêu đề của gói IP mới.

Vì chế độ đường hầmAH. Khi thực hiện tính toán, tổng kiểm tra ICV bao gồm các thành phần sau:

tất cả các trường của tiêu đề IP bên ngoài, ngoại trừ một số trường trong tiêu đề IP có thể được sửa đổi trong quá trình truyền. Các trường này, được đặt thành 0 để tính toán ICV, có thể là Loại dịch vụ (TOS), cờ, độ lệch phân đoạn, thời gian tồn tại (TTL) và tiêu đề tổng kiểm tra;

tất cả các trường AH;

gói IP gốc.

Như bạn có thể thấy trong hình minh họa sau, chế độ đường hầm AH bảo vệ toàn bộ gói IP gốc bằng cách sử dụng tiêu đề bên ngoài bổ sung mà chế độ truyền tải AH không sử dụng:

Cơm. 6.10. Các phương thức hoạt động của đường hầm và vận chuyển của giao thức AN

Đang ở chế độ chuyên chởESP không xác thực toàn bộ gói mà chỉ bảo vệ tải trọng IP. Tiêu đề ESP trong chế độ truyền tải ESP được thêm vào gói IP ngay sau tiêu đề IP và đoạn giới thiệu ESP (Trailer ESP) tương ứng được thêm vào sau dữ liệu.

Chế độ truyền tải ESP mã hóa các phần sau của gói:

Tải trọng IP;

Thuật toán mã hóa sử dụng chế độ Chuỗi khối mã hóa (CBC) có trường không được mã hóa giữa tiêu đề ESP và tải trọng. Trường này được gọi là IV (Vector khởi tạo) để tính toán CBC được thực hiện trên máy thu. Vì trường này được sử dụng để bắt đầu quá trình giải mã nên nó không thể được mã hóa. Mặc dù kẻ tấn công có khả năng xem IV nhưng không có cách nào để giải mã phần được mã hóa của gói nếu không có khóa mã hóa. Để ngăn chặn kẻ tấn công thay đổi vectơ khởi tạo, nó được bảo vệ bằng tổng kiểm tra ICV. Trong trường hợp này, ICV thực hiện các phép tính sau:

tất cả các trường trong tiêu đề ESP;

tải trọng bao gồm cả bản rõ IV;

tất cả các trường trong ESP Trailer ngoại trừ trường dữ liệu xác thực.

Chế độ đường hầm ESP đóng gói toàn bộ gói IP gốc trong tiêu đề IP mới, tiêu đề ESP và Đoạn giới thiệu ESP. Để chỉ ra rằng ESP có trong tiêu đề IP, mã định danh giao thức IP được đặt thành 50, giữ nguyên tiêu đề IP và tải trọng ban đầu. Giống như chế độ đường hầm AH, tiêu đề IP bên ngoài dựa trên cấu hình đường hầm IPSec. Trong trường hợp chế độ đường hầm ESP, khu vực xác thực của gói IP hiển thị nơi đặt chữ ký để xác nhận tính toàn vẹn và xác thực của nó, còn phần được mã hóa cho thấy thông tin được bảo mật và bí mật. Tiêu đề nguồn được đặt sau tiêu đề ESP. Sau khi phần được mã hóa được gói gọn trong tiêu đề đường hầm mới, phần tiêu đề này không được mã hóa, gói IP sẽ được truyền đi. Khi được gửi qua mạng công cộng, gói sẽ được định tuyến đến địa chỉ IP của cổng của mạng nhận và cổng sẽ giải mã gói và loại bỏ tiêu đề ESP bằng tiêu đề IP ban đầu để định tuyến gói đến máy tính trên mạng nội bộ. Chế độ đường hầm ESP mã hóa các phần sau của gói:

gói IP gốc;

• Đối với chế độ đường hầm ESP, ICV được tính như sau:

  tất cả các trường trong tiêu đề ESP;

  gói IP gốc bao gồm Cleartext IV;

  tất cả các trường tiêu đề ESP ngoại trừ trường dữ liệu xác thực.

Cơm. 6.11.Đường hầm và chế độ vận chuyển của giao thức ESP

Cơm. 6.12. So sánh giao thức ESP và AH

Tổng hợp các chế độ ứng dụngIPSec:

Giao thức – ESP (AH).

Phương thức – đường hầm (vận chuyển).

Phương thức trao đổi khóa là IKE (thủ công).

Chế độ IKE – chính (tích cực).

Khóa DH – nhóm 5 (nhóm 2, nhóm 1) – số nhóm để chọn khóa phiên được tạo động, độ dài nhóm.

Xác thực – SHA1 (SHA, MD5).

Mã hóa – DES (3DES, Blowfish, AES).

Khi tạo chính sách, thông thường có thể tạo danh sách có thứ tự các thuật toán và nhóm Diffie-Hellman. Diffie-Hellman (DH) là một giao thức mã hóa được sử dụng để thiết lập các khóa bí mật dùng chung cho IKE, IPSec và PFS (Perfect Forward Secrecy). Trong trường hợp này, vị trí đầu tiên khớp với cả hai nút sẽ được sử dụng. Điều rất quan trọng là mọi thứ trong chính sách bảo mật đều cho phép sự liên kết này. Nếu mọi thứ khác đều khớp ngoại trừ một phần của chính sách thì các nút sẽ vẫn không thể thiết lập kết nối VPN. Khi thiết lập đường hầm VPN giữa các hệ thống khác nhau, bạn cần tìm hiểu xem mỗi bên hỗ trợ thuật toán nào để có thể lựa chọn chính sách an toàn nhất có thể.

Các cài đặt cơ bản mà chính sách bảo mật bao gồm:

Các thuật toán đối xứng để mã hóa/giải mã dữ liệu.

Tổng kiểm tra mật mã để xác minh tính toàn vẹn dữ liệu.

Phương pháp nhận dạng nút. Các phương pháp phổ biến nhất là bí mật được chia sẻ trước hoặc chứng chỉ CA.

Nên sử dụng chế độ đường hầm hay chế độ vận chuyển.

Nên sử dụng nhóm Diffie-Hellman nào (nhóm DH 1 (768-bit); nhóm DH 2 (1024-bit); nhóm DH 5 (1536-bit)).

Nên sử dụng AH, ESP hay cả hai.

Có nên sử dụng PFS hay không.

Một hạn chế của IPSec là nó chỉ hỗ trợ truyền thông lớp giao thức IP.

Có hai sơ đồ chính để sử dụng IPSec, khác nhau về vai trò của các nút tạo thành kênh bảo mật.

Trong sơ đồ đầu tiên, một kênh bảo mật được hình thành giữa các máy chủ cuối của mạng. Trong sơ đồ này, giao thức IPSec bảo vệ nút mà nó đang chạy:

Cơm. 6.13. Tạo kênh an toàn giữa hai điểm cuối

Trong sơ đồ thứ hai, một kênh bảo mật được thiết lập giữa hai cổng bảo mật. Các cổng này chấp nhận dữ liệu từ máy chủ cuối được kết nối với mạng nằm phía sau cổng. Máy chủ cuối trong trường hợp này không hỗ trợ giao thức IPSec; lưu lượng được gửi đến mạng công cộng đi qua cổng bảo mật, cổng này thay mặt nó thực hiện bảo vệ.

Cơm. 6.14. Tạo kênh an toàn giữa hai cổng

Đối với các máy chủ hỗ trợ IPSec, cả hai chế độ truyền tải và đường hầm đều có thể được sử dụng. Cổng chỉ được phép sử dụng chế độ đường hầm.

Cài đặt và hỗ trợVPN

Như đã đề cập ở trên, cài đặt và duy trì đường hầm VPN là một quá trình gồm hai bước. Trong giai đoạn đầu tiên (giai đoạn), hai nút đồng ý về phương pháp nhận dạng, thuật toán mã hóa, thuật toán băm và nhóm Diffie-Hellman. Họ cũng nhận dạng được nhau. Tất cả điều này có thể xảy ra do việc trao đổi ba tin nhắn không được mã hóa (được gọi là chế độ tích cực, Hung dữ cách thức) hoặc sáu tin nhắn, với việc trao đổi thông tin nhận dạng được mã hóa (chế độ tiêu chuẩn, Chủ yếu cách thức).

Ở Chế độ chính, có thể phối hợp tất cả các tham số cấu hình của thiết bị người gửi và người nhận, trong khi ở Chế độ linh hoạt thì không có khả năng đó và một số tham số (nhóm Diffie-Hellman, thuật toán mã hóa và xác thực, PFS) phải được cấu hình giống hệt trong tiến lên trên mỗi thiết bị. Tuy nhiên, ở chế độ này, cả số lượng trao đổi và số lượng gói được gửi đều thấp hơn, dẫn đến cần ít thời gian hơn để thiết lập phiên IPSec.

Cơm. 6.15. Nhắn tin ở chế độ tiêu chuẩn (a) và tích cực (b)

Giả sử hoạt động hoàn thành thành công, SA giai đoạn đầu tiên được tạo - Giai đoạn 1 SA(còn được gọi là IKESA) và quá trình chuyển sang giai đoạn thứ hai.

Trong giai đoạn thứ hai, dữ liệu chính được tạo và các nút đồng ý về chính sách sẽ sử dụng. Chế độ này, còn được gọi là Chế độ nhanh, khác với giai đoạn đầu tiên ở chỗ nó chỉ có thể được thiết lập sau giai đoạn đầu tiên, khi tất cả các gói của giai đoạn thứ hai được mã hóa. Hoàn thành đúng giai đoạn thứ hai dẫn đến sự xuất hiện Giai đoạn 2 SA hoặc IPSecSA và lúc này việc lắp đặt đường hầm được coi là hoàn tất.

Đầu tiên, một gói có địa chỉ đích trong mạng khác đến nút và nút bắt đầu giai đoạn đầu tiên với nút chịu trách nhiệm về mạng kia. Giả sử một đường hầm giữa các nút đã được thiết lập thành công và đang chờ gói tin. Tuy nhiên, các nút cần phải nhận dạng lại nhau và so sánh các chính sách sau một khoảng thời gian nhất định. Giai đoạn này được gọi là vòng đời Giai đoạn Một hay vòng đời IKE SA.

Các nút cũng phải thay đổi khóa để mã hóa dữ liệu sau một khoảng thời gian được gọi là vòng đời Giai đoạn Hai hoặc IPSec SA.

Thời gian tồn tại của Giai đoạn Hai ngắn hơn giai đoạn đầu tiên, bởi vì... chìa khóa cần được thay đổi thường xuyên hơn. Bạn cần đặt các tham số trọn đời giống nhau cho cả hai nút. Nếu bạn không làm điều này thì có thể ban đầu đường hầm sẽ được thiết lập thành công, nhưng sau vòng đời không nhất quán đầu tiên, kết nối sẽ bị gián đoạn. Các vấn đề cũng có thể phát sinh khi thời gian tồn tại của giai đoạn đầu tiên ngắn hơn giai đoạn thứ hai. Nếu đường hầm được cấu hình trước đó ngừng hoạt động thì điều đầu tiên cần kiểm tra là thời gian tồn tại của cả hai nút.

Cũng cần lưu ý rằng nếu chính sách được thay đổi trên một trong các nút, những thay đổi đó sẽ chỉ có hiệu lực vào lần tiếp theo giai đoạn đầu tiên xảy ra. Để các thay đổi có hiệu lực ngay lập tức, SA cho đường hầm này phải được xóa khỏi cơ sở dữ liệu SAD. Điều này sẽ khiến thỏa thuận giữa các nút được đàm phán lại với các cài đặt chính sách bảo mật mới.

Đôi khi khi thiết lập đường hầm IPSec giữa các thiết bị của các nhà sản xuất khác nhau sẽ nảy sinh khó khăn do sự phối hợp các tham số khi thiết lập giai đoạn đầu. Bạn nên chú ý đến một tham số như Local ID - đây là mã định danh duy nhất của điểm cuối đường hầm (người gửi và người nhận). Điều này đặc biệt quan trọng khi tạo nhiều đường hầm và sử dụng giao thức NAT Traversal.

ChếtNgang nhauPhát hiện

Trong quá trình vận hành VPN, trong trường hợp không có lưu lượng giữa các điểm cuối của đường hầm hoặc khi dữ liệu ban đầu của nút từ xa thay đổi (ví dụ: thay đổi địa chỉ IP được gán động), có thể phát sinh tình huống khi về cơ bản đường hầm không còn hoạt động nữa. như vậy, trở thành một đường hầm ma quái . Để duy trì tính sẵn sàng liên tục cho việc trao đổi dữ liệu trong đường hầm IPSec đã tạo, cơ chế IKE (được mô tả trong RFC 3706) cho phép bạn giám sát sự hiện diện của lưu lượng truy cập từ một nút từ xa của đường hầm và nếu nó vắng mặt trong một thời gian nhất định, một tin nhắn xin chào được gửi (trong tường lửa Tin nhắn "DPD-R-U-THERE" được gửi tới D-Link. Nếu không có phản hồi cho thông báo này trong một thời gian nhất định, trong tường lửa D-Link được chỉ định bởi cài đặt “Thời gian hết hạn DPD”, đường hầm sẽ bị dỡ bỏ. Tường lửa D-Link sau này bằng cách sử dụng cài đặt "DPD Keep Time" ( cơm. 6.18), tự động thử khôi phục đường hầm.

Giao thứcNATTruyền tải

Lưu lượng IPsec có thể được định tuyến theo các quy tắc giống như các giao thức IP khác, nhưng do bộ định tuyến không thể luôn trích xuất thông tin cụ thể cho các giao thức lớp vận chuyển nên IPsec không thể đi qua các cổng NAT. Như đã đề cập trước đó, để giải quyết vấn đề này, IETF đã xác định một cách đóng gói ESP trong UDP, được gọi là NAT-T (NAT Traversal).

Giao thức NAT Traversal đóng gói lưu lượng IPSec và đồng thời tạo các gói UDP mà NAT chuyển tiếp chính xác. Để thực hiện việc này, NAT-T đặt một tiêu đề UDP bổ sung trước gói IPSec để nó được coi như một gói UDP thông thường trên toàn mạng và máy chủ người nhận không thực hiện bất kỳ kiểm tra tính toàn vẹn nào. Khi gói đến đích, tiêu đề UDP sẽ bị xóa và gói dữ liệu tiếp tục đi trên đường dẫn của nó dưới dạng gói IPSec được đóng gói. Do đó, bằng cách sử dụng cơ chế NAT-T, có thể thiết lập liên lạc giữa các máy khách IPSec trên mạng an toàn và các máy chủ IPSec công cộng thông qua tường lửa.

Khi cấu hình tường lửa D-Link trên thiết bị người nhận, bạn cần lưu ý hai điểm:

Trong trường Mạng từ xa và Điểm cuối từ xa, chỉ định mạng và địa chỉ IP của thiết bị gửi từ xa. Cần cho phép dịch địa chỉ IP của người khởi tạo (người gửi) bằng công nghệ NAT (Hình 3.48).

Khi sử dụng khóa chia sẻ với nhiều đường hầm được kết nối với cùng một tường lửa từ xa đã được NAT đến cùng một địa chỉ, điều quan trọng là phải đảm bảo rằng Local ID là duy nhất cho mỗi đường hầm.

Địa phương NHẬN DẠNG có thể là một trong:

Tự động– địa chỉ IP của giao diện lưu lượng đi được sử dụng làm mã định danh cục bộ.

IP– Địa chỉ IP cổng WAN của tường lửa từ xa

DNS– Địa chỉ DNS