Hãy tưởng tượng một cảnh trong một bộ phim hành động, trong đó nhân vật phản diện trốn thoát khỏi hiện trường vụ án dọc đường cao tốc trên một chiếc ô tô thể thao. Anh ta đang bị truy đuổi bởi một chiếc trực thăng của cảnh sát. Ôtô đi vào một đường hầm có nhiều lối ra. Phi công trực thăng không biết chiếc xe sẽ xuất hiện từ lối thoát nào và kẻ thủ ác đã thoát khỏi cuộc truy đuổi.

VPN là một đường hầm kết nối nhiều con đường. Không ai từ bên ngoài biết những chiếc xe đi vào đó sẽ đi về đâu. Không ai ở bên ngoài biết chuyện gì đang xảy ra trong đường hầm.

Có lẽ bạn đã nhiều lần nghe nói về VPN. Lifehacker cũng nói về điều này. Thông thường, VPN được khuyên dùng vì sử dụng mạng, bạn có thể truy cập nội dung bị chặn địa lý và nói chung là tăng cường bảo mật khi sử dụng Internet. Sự thật là việc truy cập Internet thông qua VPN có thể nguy hiểm không kém so với truy cập trực tiếp.

VPN hoạt động như thế nào?

Rất có thể bạn có bộ định tuyến Wi-Fi ở nhà. Các thiết bị được kết nối với nó có thể trao đổi dữ liệu ngay cả khi không có Internet. Hóa ra là bạn có mạng riêng của mình, nhưng để kết nối với mạng đó, bạn cần phải ở trong phạm vi tín hiệu của bộ định tuyến.

VPN (Mạng riêng ảo) là một mạng riêng ảo. Nó chạy trên Internet nên bạn có thể kết nối với nó từ mọi nơi.

Ví dụ: công ty bạn làm việc có thể sử dụng mạng riêng ảo cho nhân viên ở xa. Bằng cách sử dụng VPN, họ kết nối với mạng làm việc của mình. Đồng thời, máy tính, điện thoại thông minh hoặc máy tính bảng của họ hầu như được chuyển đến văn phòng và được kết nối mạng từ bên trong. Để đăng nhập vào mạng riêng ảo, bạn cần biết địa chỉ máy chủ VPN, thông tin đăng nhập và mật khẩu.

Sử dụng VPN khá đơn giản. Thông thường, một công ty cài đặt máy chủ VPN ở đâu đó trên máy tính, máy chủ hoặc trung tâm dữ liệu cục bộ và kết nối với máy chủ đó bằng máy khách VPN trên thiết bị của người dùng.

Ngày nay, máy khách VPN tích hợp có sẵn trong tất cả các hệ điều hành hiện tại, bao gồm Android, iOS, Windows, macOS và Linux.

Kết nối VPN giữa máy khách và máy chủ thường được mã hóa.

Vậy VPN có tốt không?

Có, nếu bạn là chủ doanh nghiệp và muốn bảo mật dữ liệu và dịch vụ của công ty. Bằng cách chỉ cho phép nhân viên vào môi trường làm việc thông qua VPN và sử dụng tài khoản, bạn sẽ luôn biết ai đã và đang làm gì.

Hơn nữa, chủ sở hữu VPN có thể giám sát và kiểm soát tất cả lưu lượng truy cập giữa máy chủ và người dùng.

Nhân viên của bạn có dành nhiều thời gian cho VKontakte không? Bạn có thể chặn quyền truy cập vào dịch vụ này. Gennady Andreevich có dành nửa ngày làm việc của mình trên các trang web có meme không? Tất cả hoạt động của anh ta sẽ tự động được ghi lại vào nhật ký và sẽ trở thành lý lẽ cứng rắn cho việc sa thải.

Tại sao lại là VPN?

VPN cho phép bạn bỏ qua các hạn chế về địa lý và pháp lý.

Ví dụ, bạn đang ở Nga và muốn. Chúng tôi rất tiếc khi biết rằng dịch vụ này không có sẵn ở Liên bang Nga. Bạn chỉ có thể sử dụng nó bằng cách truy cập Internet thông qua máy chủ VPN ở quốc gia nơi Spotify hoạt động.

Ở một số quốc gia, có sự kiểm duyệt Internet hạn chế quyền truy cập vào một số trang web nhất định. Bạn muốn truy cập một số tài nguyên nhưng nó bị chặn ở Nga. Bạn chỉ có thể mở trang web bằng cách truy cập Internet thông qua máy chủ VPN của một quốc gia không bị chặn, nghĩa là từ hầu hết mọi quốc gia ngoại trừ Liên bang Nga.

VPN là một công nghệ hữu ích và cần thiết có thể đáp ứng tốt một loạt nhiệm vụ nhất định. Nhưng tính bảo mật của dữ liệu cá nhân vẫn phụ thuộc vào tính toàn vẹn của nhà cung cấp dịch vụ VPN, ý thức chung, sự chú ý và trình độ hiểu biết về Internet của bạn.

VPN và máy chủ proxy có một điểm chung: chúng được thiết kế để bảo vệ thông tin nhạy cảm và ẩn địa chỉ IP của bạn. Đây là nơi mà sự tương đồng kết thúc.

Cách chọn VPN tốt nhất

Bây giờ bạn đã hiểu tại sao bạn cần VPN trong thế giới kỹ thuật số ngày nay. Làm sao để lựa chọn được dịch vụ lý tưởng cho mình? Dưới đây là một số lời khuyên hữu ích để giúp bạn có sự lựa chọn đúng đắn.

Giá

Giá cả luôn quan trọng, nhưng nhận được chính xác những gì bạn đã trả còn quan trọng hơn. Các dịch vụ VPN miễn phí thường có nhiều vấn đề - chúng hầu như luôn có một số hạn chế nghiêm ngặt. Và làm thế nào bạn có thể chắc chắn rằng họ sẽ không cố gắng kiếm tiền bằng cách bán dữ liệu của bạn? Xét cho cùng, việc duy trì một mạng lưới máy chủ VPN không phải là một nỗ lực rẻ tiền, vì vậy nếu bạn không trả tiền cho sản phẩm thì rất có thể bạn chính là sản phẩm.

Tốc độ

Có nhiều yếu tố ảnh hưởng đến tốc độ của VPN. Mạng lưới máy chủ cần được tối ưu hóa tốt để đảm bảo bạn nhận được đầu ra, vì vậy hãy đảm bảo dịch vụ bạn chọn tối ưu hóa mạng của nó. Ngoài ra, một dịch vụ thực sự tốt sẽ không giới hạn lưu lượng và dung lượng truyền dữ liệu nên bạn có thể tận hưởng tốc độ cao bao nhiêu tùy thích.

Bảo mật

Một số dịch vụ VPN lưu trữ dữ liệu cá nhân của bạn, điều này làm mất đi toàn bộ mục đích sử dụng VPN để bảo vệ quyền riêng tư của bạn! Nếu quyền riêng tư là quan trọng đối với bạn, thì chỉ có dịch vụ tuân thủ nghiêm ngặt nguyên tắc “Không có hồ sơ” mới phù hợp với bạn. Việc duy trì quyền riêng tư cũng rất tốt nếu dịch vụ VPN chấp nhận thanh toán bằng Bitcoin.

Sự an toàn

Để đảm bảo rằng một dịch vụ cung cấp khả năng bảo vệ tốt trước các mối đe dọa khác nhau, hãy xem nó sử dụng giao thức mã hóa nào. Ngoài ra, ứng dụng khách dịch vụ phải có chức năng “Dừng vòi” để chặn mọi liên lạc giữa thiết bị và Mạng nếu kết nối VPN bị gián đoạn hoặc ngắt kết nối.

Số lượng máy chủ/quốc gia

Đây là điều bắt buộc để đảm bảo kết nối VPN nhanh và ổn định. Dịch vụ VPN càng có nhiều máy chủ và danh sách các quốc gia nơi chúng được đặt càng lớn thì càng tốt. Nhưng đó không phải là tất cả. Kiểm tra xem dịch vụ có cho phép bạn chuyển đổi giữa các máy chủ VPN khác nhau mà không bị hạn chế hay không. Bạn phải có khả năng thay đổi điểm truy cập Internet của mình bất kỳ lúc nào.

Số lượng kết nối đồng thời

Một số dịch vụ chỉ cho phép một thiết bị kết nối với mạng VPN của họ tại một thời điểm. Những người khác cho phép bạn kết nối đồng thời PC, máy tính xách tay, điện thoại thông minh, Xbox và máy tính bảng. Tại SaferVPN, chúng tôi tin rằng càng nhiều càng tốt. Do đó, chúng tôi cho phép bạn kết nối đồng thời tối đa năm thiết bị cho mỗi tài khoản.

Ủng hộ

Nhiều người dùng VPN ban đầu cần trợ giúp để làm quen với công nghệ mới, vì vậy, yếu tố quan trọng khi chọn dịch vụ có thể là sự hiện diện của dịch vụ hỗ trợ kỹ thuật tốt, trước hết là trả lời kịp thời các câu hỏi của người dùng và thứ hai là đưa ra lời khuyên thực sự hợp lý. . Nhóm SaferVPN luôn sẵn sàng trả lời câu hỏi của bạn qua email. gửi thư hoặc qua trò chuyện trực tuyến.

Dùng thử miễn phí, đảm bảo hoàn tiền

Dùng thử sản phẩm trước khi mua là điều có thật. Không phải mọi dịch vụ VPN đều sẵn sàng cung cấp nó. Nhưng không có cách nào tốt hơn để tìm hiểu xem một dịch vụ có phù hợp với bạn hay không hơn là tự mình dùng thử. Sẽ rất tốt nếu có đảm bảo hoàn lại tiền, đặc biệt nếu việc hoàn trả được thực hiện kịp thời.

Phần mềm

Không dễ để tìm được một dịch vụ VPN thuận tiện sử dụng, dễ cài đặt, đồng thời cung cấp khả năng bảo vệ tốt và có chức năng phong phú. Tính năng kết nối một chạm của chúng tôi cực kỳ tiện lợi và tính năng tự động của chúng tôi đảm bảo an toàn cho bạn.

Khả năng tương thích đa nền tảng

Mỗi nền tảng yêu cầu phát triển một máy khách VPN riêng biệt. Đây không phải là một nhiệm vụ dễ dàng, nhưng một dịch vụ VPN tốt phải có ứng dụng khách cho mọi thiết bị, cung cấp ứng dụng khách cho người dùng trên nhiều nền tảng khác nhau, đồng thời cung cấp hỗ trợ kỹ thuật kịp thời và giúp người dùng khắc phục sự cố.

Từ điển VPN

Thuật ngữ trong lĩnh vực bảo mật Internet là một thứ khá phức tạp và khó hiểu. Nhưng đừng vội tuyệt vọng! Nhóm SaferVPN sẽ giúp bạn hiểu tất cả những điều phức tạp.

Chặn quảng cáo

Tiếng Anh Tiêu chuẩn mã hóa nâng cao – tiêu chuẩn mã hóa nâng cao. AES 256-bit hiện được coi là “tiêu chuẩn vàng” về mã hóa, được chính phủ Mỹ sử dụng để bảo vệ dữ liệu nhạy cảm. AES là tiêu chuẩn mã hóa tốt nhất dành cho người dùng VPN.

Cửa sau

Một cửa hậu toán học, một mã mật mã bí mật được nhúng vào một chuỗi mã hóa để sau này mật mã có thể bị phá vỡ.

bitcoin

Ngang hàng phi tập trung (được chuyển trực tiếp từ người dùng này sang người dùng khác) tiền ảo mở (tiền điện tử). Giống như tiền truyền thống, Bitcoin có thể được trao đổi để lấy sản phẩm và dịch vụ cũng như các loại tiền tệ khác. SaferVPN chấp nhận thanh toán bằng Bitcoin.

Nhật ký kết nối (siêu dữ liệu)

Sổ đăng ký lưu trữ các bản ghi về ngày kết nối của bạn, thời lượng, tần suất, địa chỉ, v.v. Sự cần thiết phải duy trì những hồ sơ như vậy thường được giải thích bởi thực tế là chúng giúp giải quyết các vấn đề kỹ thuật khác nhau và chống lại mọi loại vi phạm. SaferVPN không lưu giữ những hồ sơ như vậy về mặt nguyên tắc.

Tốc độ kết nối

Lượng dữ liệu được truyền trong một khoảng thời gian nhất định. Thường được đo bằng kilobit hoặc megabit trên giây.

Bánh quy

Tiếng Anh cookie - cookie. Đây là những mẩu dữ liệu nhỏ được trình duyệt lưu trữ dưới dạng tệp văn bản. Chúng có thể được sử dụng để làm nhiều việc hữu ích (ví dụ: ghi nhớ thông tin đăng nhập của người dùng hoặc cài đặt cá nhân trên một trang web), nhưng cookie thường được sử dụng để theo dõi người dùng.

DD-WRT là chương trình cơ sở mở dành cho bộ định tuyến, cung cấp cho bạn các tùy chọn mở rộng để quản lý bộ định tuyến của mình. Một giải pháp thay thế tuyệt vời cho chương trình cơ sở độc quyền dành cho những ai muốn cấu hình bộ định tuyến một cách độc lập để phù hợp với nhu cầu của mình.

Tiếng Anh Hệ thống tên miền – hệ thống tên miền. Đây là cơ sở dữ liệu có khả năng chuyển đổi các địa chỉ trang web (URL) từ dạng mà chúng ta quen thuộc và dễ hiểu thành định dạng kỹ thuật số “thực” mà máy tính có thể hiểu được. Việc dịch DNS thường được thực hiện bởi nhà cung cấp dịch vụ Internet của bạn, đồng thời kiểm tra và kiểm duyệt tất cả lưu lượng truy cập của bạn.

Bảo mật dữ liệu

Các quy tắc hoặc luật theo đó một công ty thu thập dữ liệu về người dùng của mình. Ở hầu hết các quốc gia, nhà cung cấp dịch vụ Internet được yêu cầu lưu trữ một số dữ liệu người dùng (chẳng hạn như lịch sử lướt web) trong vài tháng.

Mã hóa

Mã hóa dữ liệu bằng thuật toán toán học để ngăn chặn truy cập trái phép vào dữ liệu đó. Mã hóa là thứ duy nhất có thể bảo vệ dữ liệu số khỏi những người không được phép. Nó là nền tảng của bảo mật Internet.

Chặn địa lý

Hạn chế quyền truy cập vào các dịch vụ trực tuyến dựa trên vị trí địa lý. Những hạn chế này thường được đưa ra để người giữ bản quyền có thể tham gia vào các thỏa thuận cấp phép có lợi với các nhà phân phối trên toàn thế giới. Tất nhiên, người trung gian làm cho sản phẩm trở nên đắt hơn đối với người tiêu dùng cuối cùng.

HTTPS là giao thức dựa trên SSL/TLS để bảo vệ các trang web, được các ngân hàng và người bán trực tuyến sử dụng.

địa chỉ IP

Tiếng Anh Địa chỉ giao thức Internet – Địa chỉ giao thức Internet. Mỗi thiết bị trên Internet nhận được một địa chỉ kỹ thuật số duy nhất - địa chỉ IP. SaferVPN ẩn địa chỉ IP của bạn khỏi những người quan sát bên ngoài, do đó đảm bảo quyền riêng tư và quyền truy cập vào bất kỳ dịch vụ Internet nào.

cung cấp dịch vụ Internet

Một công ty cung cấp dịch vụ truy cập Internet. Quyền cung cấp các dịch vụ như vậy được quy định chặt chẽ: Pháp luật yêu cầu các nhà cung cấp dịch vụ Internet phải giám sát và kiểm duyệt lưu lượng truy cập của khách hàng.

"Chúng tôi đã nêu bật 5 phương pháp nổi tiếng nhất để duy trì tính ẩn danh và quyền riêng tư trên Internet.
Theo quan điểm của chúng tôi, hôm nay chúng tôi muốn tìm hiểu chi tiết hơn về phương pháp thuận tiện và đáng tin cậy nhất cho người dùng Internet trung bình, sử dụng VPN.

Đường hầm VPN là một kết nối ảo được mã hóa bằng thuật toán mạnh. Về mặt trực quan, nó có thể được trình bày dưới dạng một đường ống mờ đục, hoặc thậm chí tốt hơn là một loại đường hầm, một đầu nằm trên máy tính của người dùng thông thường và đầu kia trên một máy chủ chuyên dụng, theo quy luật, ở nước khác.

Hãy bắt đầu với thực tế là trên dịch vụ whoer.net, bạn có thể nhanh chóng tìm ra IP của mình và kiểm tra danh tính của bạn trên Internet.

Các dịch vụ VPN thường được trả phí; bằng cách tìm kiếm trên Internet, bạn luôn có thể tìm thấy các dịch vụ VPN rẻ tiền (chi phí dao động từ 5-50 USD mỗi tháng, tùy thuộc vào chất lượng dịch vụ).
Trước khi bắt đầu thử nghiệm, hãy cùng tìm hiểu loại dịch vụ VPN nào sẽ có sẵn cho chúng tôi trên các dịch vụ VPN trả phí hiện nay:

Các loại kết nối VPN hiện đại:
* PPTP (Giao thức đường hầm điểm-điểm)
* OpenVPN
* L2TP (Giao thức đường hầm lớp 2)

PPTP (Giao thức đường hầm điểm-điểm) là giao thức đường hầm điểm-điểm cho phép máy tính của người dùng thiết lập kết nối an toàn với máy chủ bằng cách tạo một đường hầm đặc biệt trong mạng tiêu chuẩn, không bảo mật. Giao thức này (PPTP) trở nên nổi tiếng vì đây là giao thức VPN đầu tiên được Microsoft hỗ trợ. Tất cả các phiên bản Windows, bắt đầu từ Windows 95 OSR2, đều đã bao gồm ứng dụng khách PPTP. Đây là tùy chọn nổi tiếng nhất và dễ thiết lập nhất để kết nối với dịch vụ VPN. Tuy nhiên, như người ta nói, cũng có một điểm tiêu cực: nhiều nhà cung cấp Internet chặn kết nối PPTP.

OpenVPN- đây là việc triển khai công nghệ miễn phí Mạng riêng ảo (VPN) nguồn mở để tạo các kênh điểm-điểm hoặc máy chủ-máy khách được mã hóa giữa các máy tính. Nó có thể thiết lập kết nối giữa các máy tính phía sau tường lửa NAT mà không cần phải thay đổi cài đặt của nó. Nhưng sử dụng công nghệ này sẽ yêu cầu bạn phải cài đặt thêm phần mềm cho tất cả các hệ điều hành.

L2TP (Giao thức đường hầm lớp 2) là giao thức đường hầm mạng lớp liên kết kết hợp giao thức L2F (Chuyển tiếp lớp 2) do công ty phát triển và giao thức của Tập đoàn Microsoft. Cho phép bạn tạo VPN với các ưu tiên truy cập được chỉ định, nhưng không chứa các công cụ mã hóa hoặc cơ chế xác thực (nó được sử dụng cùng với IPSec để tạo VPN an toàn). Theo các chuyên gia, đây là tùy chọn kết nối VPN an toàn nhất, mặc dù gặp khó khăn trong việc thiết lập.

Các dịch vụ VPN, theo quy định, hiện nay cung cấp 2 loại giao thức: OpenVPN hoặc PPTP. Loại kết nối, cũng như lựa chọn máy chủ (ở Hoa Kỳ, Hà Lan, Vương quốc Anh, v.v.), sẽ có sẵn cho bạn ngay khi bạn kích hoạt đăng ký dịch vụ VPN.

Vậy bạn nên chọn cái gì và sự khác biệt đáng kể giữa kết nối OpenVPN và PPTP là gì?

Hóa ra OpenVPN có một số lợi thế so với công nghệ PPTP VPN, cụ thể là:
Mã hóa 2048 bit, được triển khai qua SSL bằng chứng chỉ PKI;
Nén dữ liệu thích ứng trong kết nối bằng thuật toán nén LZO và tốc độ truyền dữ liệu qua OpenVPN cao hơn PPTP;
Khả năng sử dụng một cổng TCP/UDP (không bị ràng buộc với một cổng cụ thể);
Giao diện Ethernet có thể hoạt động ở chế độ cầu nối và truyền các gói quảng bá;
Việc thiết lập nó cũng dễ dàng (tất nhiên là có một số kinh nghiệm).

Ngoài ra, giao thức GRE là một phần không thể thiếu của PPTP VPN. Và hiện tại, những sự cố như vậy được biết rằng một số nhà cung cấp Internet (bao gồm cả nhà cung cấp dịch vụ di động) đã chặn hoàn toàn lưu lượng truy cập đó.
Nếu bạn đặt câu hỏi trực tiếp cho dịch vụ kỹ thuật. hỗ trợ của nhà cung cấp, thì bạn sẽ nhận được câu trả lời ranh mãnh: “Họ nói, chúng tôi không chặn bất cứ thứ gì.” Do đó, nếu bạn có một nhà cung cấp như vậy thì chúng tôi khuyên bạn nên sử dụng OpenVPN.

Ngay cả trước khi sử dụng dịch vụ VPN (cũng như các dịch vụ khác), bạn cần hiểu câu hỏi này: “Chính xác thì bạn định sử dụng dịch vụ này để làm gì?”

Nếu ban đầu bạn có ý định thực hiện hành vi phạm tội (, phá vỡ , và SPAM), thì bạn đang ở nhầm chỗ rồi. Với những khách hàng tham gia vào các hoạt động bất hợp pháp như vậy, bất kỳ dịch vụ VPN nàocắt đứt các mối quan hệ kinh doanh.

Điều quan trọng là phải hiểu rằng trước hết cần có một dịch vụ ẩn danh:

Để bảo vệ quyền riêng tư và bảo mật (lưu lượng truy cập của bạn) khỏi quá nhiều,
- để vượt qua những hạn chế lố bịch trong việc tải xuống torrent, truy cập mạng xã hội, sử dụng các chương trình như, v.v.
Chúng tôi đã nêu tên tất cả các lý do nên sử dụng dịch vụ VPN trong bài viết trước " "

Chà, bây giờ chúng ta hãy trực tiếp tiến hành thử nghiệm một trong các dịch vụ VPN trả phí:

1) Sau khi kích hoạt đăng ký của bạn và quyết định loại kết nối VPN (OpenVPN hoặc PPTP), hãy tải xuống chương trình để thiết lập kết nối VPN.

Ví dụ: bạn có thể sử dụng chương trình GUI OpenVPN miễn phí.

Đã tải Đại lý dịch vụ VPN

Khi sử dụng VPNServiceAgent, thực tế bạn không cần phải cấu hình bất cứ thứ gì, khi cài đặt chương trình này, bạn sẽ nhận được thông báo sau (cài đặt trình điều khiển).

Bạn sẽ nhận được một tin nhắn có thông tin đăng nhập và mật khẩu để kết nối với e-mail mà bạn đã nhập khi đăng ký dịch vụ. Nếu đăng ký đang hoạt động, thì trong chương trình VPNServiceAgent, bạn chỉ cần nhấp vào nút "kết nối" và đợi cho đến khi kết nối VPN với máy chủ được thiết lập.

Nếu bạn quyết định sử dụng chương trình GUI OpenVPN:

Để tải xuống tệp cấu hình, hãy truy cập “Tài khoản cá nhân” của bạn, đến phần “Đăng ký của tôi”. Nhấp vào đăng ký giao thức OpenVPN và nhấp vào biểu tượng "Tải xuống tệp cấu hình và khóa (trong một tệp)". Sau khi tải xuống tệp, hãy lưu nó vào thư mục con \config\ (ví dụ: C:\Program Files\OpenVPN\config).

Tiếp theo, chạy GUI OpenVPN với tư cách quản trị viên. Để thực hiện việc này, nhấp chuột phải vào biểu tượng chương trình và chọn "Chạy với tư cách quản trị viên". Nhấp chuột phải vào biểu tượng khay chương trình, chọn máy chủ và nhấp vào "Kết nối".
Chà, đó là tất cả về cài đặt và cài đặt. Kết nối VPN đang hoạt động!!!

2) Hãy kiểm tra IP của bạn thông qua bất kỳ dịch vụ kiểm tra địa chỉ IP phổ biến nào:
http://2ip.ru hoặc http://ip-whois.net/ip.php
Và chúng tôi thấy rằng IP của chúng tôi hoàn toàn khác, không phải IP được nhà cung cấp cấp cho chúng tôi trước đó :)
108.XX.5.XXXĐây gần đúng là IP mà chúng tôi nhận được.

3) Sau đó, chúng tôi sẽ theo dõi lộ trình để kiểm tra xem lưu lượng truy cập của bạn đi qua máy chủ trung gian nào. Hãy sử dụng tiện ích traceroute.

Đối với Windows, việc này được thực hiện như thế này:

Nút bắt đầu -> Chạy -> cmd.exe
nhập lệnh "tracert google.com"

Kết quả theo dõi có trong ảnh chụp màn hình.

4) Chà, tất nhiên, việc lướt web đã được ẩn danh đối với chúng tôi :) Nhưng mọi thứ diễn ra như thế nào với việc ẩn danh các ứng dụng?

Hãy chuyển tiếp email bằng cách sử dụng
Chà, các hộp thư trên mail.ru, yahoo, cũng như các hộp thư công ty do nhà cung cấp dịch vụ lưu trữ của chúng tôi cấp thậm chí còn không thề khi IP được thay đổi!!!
Nhưng gmail đã quyết định “chơi an toàn”, à, đúng rồi… “Chúa bảo vệ những người cẩn thận”.
Đây là những gì chúng tôi có:

Vì vậy chúng tôi phải vào gmail thông qua trình duyệt và xác nhận bằng điện thoại di động nên chúng tôi đã bỏ chặn tài khoản.

Chà, nói chung, thư của chúng tôi được gửi từ ứng dụng email mà không cho biết IP thực của chúng tôi:

5) Đối với các ứng dụng có cài đặt bảo mật bao gồm “chặn truy cập bằng IP”, chúng tôi đã khởi chạy ví Webmoney làm ví dụ.
Chúng tôi ngay lập tức nhận được một tin nhắn, xem hình.

Tất cả các giao dịch tiếp theo phải được xác nhận bằng điện thoại di động. Nhưng bạn vẫn có thể làm việc với ví mà không gặp vấn đề gì khi sử dụng IP được cấp cho chúng tôi thông qua dịch vụ VPN.

Tùy chọn tương tự sẽ tồn tại nếu bạn đang sử dụng tài khoản ở

Internet ngày càng được sử dụng như một phương tiện liên lạc giữa các máy tính vì nó mang lại khả năng liên lạc hiệu quả và không tốn kém. Tuy nhiên, Internet là một mạng công cộng và để đảm bảo liên lạc an toàn thông qua nó, cần có một số cơ chế đáp ứng ít nhất các nhiệm vụ sau:

bảo mật thông tin;

toàn vẹn dữ liệu;

sự sẵn có của thông tin;

Các yêu cầu này được đáp ứng bởi một cơ chế gọi là VPN (Mạng riêng ảo) - tên gọi chung cho các công nghệ cho phép một hoặc nhiều kết nối mạng (mạng logic) được cung cấp qua một mạng khác (ví dụ: Internet) bằng cách sử dụng mật mã (mã hóa, xác thực). , cơ sở hạ tầng) khóa công khai, phương tiện để bảo vệ khỏi sự lặp lại và thay đổi trong các thông báo được truyền qua mạng logic).

Việc tạo VPN không cần đầu tư thêm và cho phép bạn ngừng sử dụng các đường dây chuyên dụng. Tùy thuộc vào giao thức được sử dụng và mục đích, VPN có thể cung cấp ba loại kết nối: máy chủ với máy chủ, máy chủ với mạng và mạng với mạng.

Để rõ ràng hơn, hãy tưởng tượng ví dụ sau: một doanh nghiệp có một số chi nhánh cách xa nhau về mặt địa lý và các nhân viên “di động” làm việc tại nhà hoặc trên đường. Cần phải đoàn kết tất cả nhân viên của doanh nghiệp thành một mạng lưới duy nhất. Cách dễ nhất là cài đặt modem ở từng chi nhánh và tổ chức liên lạc khi cần thiết. Tuy nhiên, giải pháp này không phải lúc nào cũng thuận tiện và mang lại lợi nhuận - đôi khi cần liên lạc liên tục và băng thông lớn. Để làm điều này, bạn sẽ phải đặt một đường dây chuyên dụng giữa các chi nhánh hoặc thuê chúng. Cả hai đều khá đắt tiền. Và ở đây, như một giải pháp thay thế, khi xây dựng một mạng an toàn duy nhất, bạn có thể sử dụng kết nối VPN của tất cả các chi nhánh của công ty thông qua Internet và định cấu hình các công cụ VPN trên máy chủ mạng.

Cơm. 6.4. Kết nối VPN site-to-site

Cơm. 6.5. Mạng máy chủ loại kết nối VPN

Trong trường hợp này, nhiều vấn đề đã được giải quyết - các chi nhánh có thể được đặt ở bất kỳ đâu trên thế giới.

Điều nguy hiểm ở đây là trước hết, một mạng mở có thể bị tấn công bởi những kẻ tấn công trên toàn thế giới. Thứ hai, tất cả dữ liệu được truyền qua Internet ở dạng văn bản rõ ràng và những kẻ tấn công sau khi hack mạng sẽ có tất cả thông tin được truyền qua mạng. Và thứ ba, dữ liệu không chỉ có thể bị chặn mà còn có thể bị thay thế trong quá trình truyền qua mạng. Ví dụ, kẻ tấn công có thể vi phạm tính toàn vẹn của cơ sở dữ liệu bằng cách hành động thay mặt khách hàng của một trong những chi nhánh đáng tin cậy.

Để ngăn chặn điều này xảy ra, các giải pháp VPN sử dụng các tính năng như mã hóa dữ liệu để đảm bảo tính toàn vẹn và bảo mật, xác thực và ủy quyền để xác minh quyền của người dùng và cho phép truy cập vào mạng riêng ảo.

Kết nối VPN luôn bao gồm một kênh điểm-điểm, còn được gọi là đường hầm. Đường hầm được tạo trên một mạng không được bảo vệ, thường là Internet.

Đường hầm hoặc đóng gói là một phương pháp truyền thông tin hữu ích thông qua mạng trung gian. Thông tin này có thể là các khung (hoặc gói) của giao thức khác. Với tính năng đóng gói, khung không được truyền đi như được tạo bởi máy chủ gửi mà được cung cấp một tiêu đề bổ sung chứa thông tin định tuyến cho phép các gói được đóng gói đi qua mạng trung gian (Internet). Ở cuối đường hầm, các khung được giải đóng gói và truyền đến người nhận. Thông thường, một đường hầm được tạo bởi hai thiết bị biên được đặt tại các điểm vào mạng công cộng. Một trong những ưu điểm rõ ràng của đường hầm là công nghệ này cho phép bạn mã hóa toàn bộ gói nguồn, bao gồm cả tiêu đề, có thể chứa dữ liệu chứa thông tin mà kẻ tấn công sử dụng để hack mạng (ví dụ: địa chỉ IP, số lượng mạng con, v.v.). ) .

Mặc dù đường hầm VPN được thiết lập giữa hai điểm, mỗi nút có thể thiết lập các đường hầm bổ sung với các nút khác. Ví dụ: khi ba trạm từ xa cần liên lạc với cùng một văn phòng, ba đường hầm VPN riêng biệt sẽ được tạo cho văn phòng đó. Đối với tất cả các đường hầm, nút ở phía văn phòng có thể giống nhau. Điều này có thể thực hiện được vì một nút có thể mã hóa và giải mã dữ liệu thay mặt cho toàn bộ mạng, như trong hình:

Cơm. 6.6. Tạo đường hầm VPN cho nhiều vị trí từ xa

Người dùng thiết lập kết nối với cổng VPN, sau đó người dùng có quyền truy cập vào mạng nội bộ.

Bên trong mạng riêng, việc mã hóa không xảy ra. Lý do là phần mạng này được coi là an toàn và được kiểm soát trực tiếp, trái ngược với Internet. Điều này cũng đúng khi kết nối các văn phòng bằng cổng VPN. Điều này đảm bảo rằng chỉ thông tin được truyền qua kênh không an toàn giữa các văn phòng mới được mã hóa.

Có nhiều giải pháp khác nhau để xây dựng mạng riêng ảo. Các giao thức nổi tiếng và được sử dụng rộng rãi nhất là:

PPTP (Giao thức đường hầm điểm-điểm) - giao thức này đã trở nên khá phổ biến do được đưa vào hệ điều hành Microsoft.

L2TP (Giao thức đường hầm lớp 2) - kết hợp giao thức L2F (Chuyển tiếp lớp 2) và giao thức PPTP. Thường được sử dụng kết hợp với IPSec.

IPSec (Bảo mật Giao thức Internet) là một tiêu chuẩn Internet chính thức được phát triển bởi cộng đồng IETF (Lực lượng Đặc nhiệm Kỹ thuật Internet).

Các giao thức được liệt kê được hỗ trợ bởi các thiết bị D-Link.

Giao thức PPTP chủ yếu dành cho các mạng riêng ảo dựa trên kết nối quay số. Giao thức cho phép truy cập từ xa, cho phép người dùng thiết lập kết nối quay số với các nhà cung cấp Internet và tạo đường hầm an toàn cho mạng công ty của họ. Không giống như IPSec, PPTP ban đầu không nhằm mục đích tạo đường hầm giữa các mạng cục bộ. PPTP mở rộng khả năng của PPP, một giao thức liên kết dữ liệu ban đầu được thiết kế để đóng gói dữ liệu và phân phối dữ liệu qua các kết nối điểm-điểm.

Giao thức PPTP cho phép bạn tạo các kênh bảo mật để trao đổi dữ liệu qua nhiều giao thức khác nhau - IP, IPX, NetBEUI, v.v. Dữ liệu từ các giao thức này được đóng gói trong khung PPP và được đóng gói bằng giao thức PPTP trong các gói giao thức IP. Sau đó, chúng được chuyển bằng IP ở dạng được mã hóa qua bất kỳ mạng TCP/IP nào. Nút nhận trích xuất các khung PPP từ các gói IP và sau đó xử lý chúng theo cách tiêu chuẩn, tức là. trích xuất gói IP, IPX hoặc NetBEUI từ khung PPP và gửi nó qua mạng cục bộ. Do đó, giao thức PPTP tạo kết nối điểm-điểm trong mạng và truyền dữ liệu qua kênh bảo mật đã tạo. Ưu điểm chính của việc đóng gói các giao thức như PPTP là tính chất đa giao thức của chúng. Những thứ kia. Bảo vệ dữ liệu ở lớp liên kết dữ liệu là minh bạch đối với các giao thức lớp mạng và ứng dụng. Do đó, trong mạng, cả giao thức IP (như trong trường hợp VPN dựa trên IPSec) và bất kỳ giao thức nào khác đều có thể được sử dụng làm phương tiện truyền tải.

Hiện tại, do tính dễ thực hiện, giao thức PPTP được sử dụng rộng rãi để có được quyền truy cập an toàn đáng tin cậy vào mạng công ty và truy cập mạng của các nhà cung cấp Internet, khi khách hàng cần thiết lập kết nối PPTP với nhà cung cấp Internet để có quyền truy cập tới Internet.

Phương thức mã hóa được sử dụng trong PPTP được chỉ định ở cấp độ PPP. Thông thường, máy khách PPP là một máy tính để bàn chạy hệ điều hành Microsoft và giao thức mã hóa là Mã hóa điểm-điểm của Microsoft (MPPE). Giao thức này dựa trên tiêu chuẩn RSA RC4 và hỗ trợ mã hóa 40 hoặc 128 bit. Đối với nhiều ứng dụng ở mức mã hóa này, việc sử dụng thuật toán này là khá đủ, mặc dù nó được coi là kém an toàn hơn so với một số thuật toán mã hóa khác do IPSec cung cấp, đặc biệt là Tiêu chuẩn mã hóa ba dữ liệu 168 bit (3DES) .

Cách kết nối được thiết lậpPPTP?

PPTP đóng gói các gói IP để truyền qua mạng IP. Máy khách PPTP tạo kết nối điều khiển đường hầm để duy trì hoạt động của kênh. Quá trình này được thực hiện ở lớp vận chuyển của mô hình OSI. Sau khi đường hầm được tạo, máy khách và máy chủ bắt đầu trao đổi các gói dịch vụ.

Ngoài kết nối điều khiển PPTP, một kết nối được tạo để chuyển tiếp dữ liệu qua đường hầm. Việc đóng gói dữ liệu trước khi gửi vào đường hầm bao gồm hai bước. Đầu tiên, phần thông tin của khung PPP được tạo. Dữ liệu chảy từ trên xuống dưới, từ lớp ứng dụng OSI đến lớp liên kết dữ liệu. Dữ liệu nhận được sau đó sẽ được gửi lên mô hình OSI và được đóng gói bởi các giao thức lớp trên.

Dữ liệu từ lớp liên kết đến lớp vận chuyển. Tuy nhiên, thông tin không thể được gửi đến đích vì lớp liên kết dữ liệu OSI chịu trách nhiệm về việc này. Do đó, PPTP mã hóa trường tải trọng của gói và đảm nhận các chức năng lớp thứ hai thường thuộc về PPP, tức là thêm tiêu đề và đoạn giới thiệu PPP vào gói PPTP. Điều này hoàn thành việc tạo khung lớp liên kết. Tiếp theo, PPTP đóng gói khung PPP trong gói Đóng gói định tuyến chung (GRE), thuộc lớp mạng. GRE đóng gói các giao thức lớp mạng như IP, IPX để cho phép truyền chúng qua mạng IP. Tuy nhiên, chỉ sử dụng giao thức GRE sẽ không đảm bảo việc thiết lập phiên và bảo mật dữ liệu. Điều này sử dụng khả năng của PPTP để tạo kết nối điều khiển đường hầm. Việc sử dụng GRE làm phương pháp đóng gói chỉ giới hạn phạm vi của PPTP đối với các mạng IP.

Sau khi khung PPP được đóng gói trong khung có tiêu đề GRE, việc đóng gói được thực hiện trong khung có tiêu đề IP. Tiêu đề IP chứa địa chỉ nguồn và đích của gói. Cuối cùng, PPTP thêm tiêu đề và kết thúc PPP.

TRÊN cơm. 6,7 Cấu trúc dữ liệu để chuyển tiếp qua đường hầm PPTP được hiển thị:

Cơm. 6.7. Cấu trúc dữ liệu để chuyển tiếp qua đường hầm PPTP

Thiết lập VPN dựa trên PPTP không yêu cầu chi phí lớn hoặc cài đặt phức tạp: chỉ cần cài đặt máy chủ PPTP trong văn phòng trung tâm là đủ (giải pháp PPTP tồn tại cho cả nền tảng Windows và Linux) và thực hiện các cài đặt cần thiết trên máy khách. Nếu bạn cần kết hợp nhiều nhánh thì thay vì thiết lập PPTP trên tất cả các trạm máy khách, tốt hơn nên sử dụng bộ định tuyến Internet hoặc tường lửa có hỗ trợ PPTP: cài đặt chỉ được thực hiện trên bộ định tuyến biên (tường lửa) được kết nối với Internet, mọi thứ đều hoàn toàn minh bạch đối với người dùng. Ví dụ về các thiết bị như vậy là bộ định tuyến Internet đa chức năng của dòng DIR/DSR và tường lửa của dòng DFL.

GRE-đường hầm

Đóng gói định tuyến chung (GRE) là một giao thức đóng gói gói mạng cung cấp đường hầm lưu lượng truy cập qua mạng mà không cần mã hóa. Ví dụ về việc sử dụng GRE:

truyền lưu lượng (bao gồm cả phát sóng) qua thiết bị không hỗ trợ giao thức cụ thể;

tạo đường hầm lưu lượng IPv6 qua mạng IPv4;

truyền dữ liệu qua mạng công cộng để thực hiện kết nối VPN an toàn.

Cơm. 6.8. Một ví dụ về cách hoạt động của đường hầm GRE

Giữa hai bộ định tuyến A và B ( cơm. 6,8) có một số bộ định tuyến, đường hầm GRE cho phép bạn cung cấp kết nối giữa các mạng cục bộ 192.168.1.0/24 và 192.168.3.0/24 như thể bộ định tuyến A và B được kết nối trực tiếp.

L2 TP

Giao thức L2TP xuất hiện là kết quả của sự kết hợp giữa giao thức PPTP và L2F. Ưu điểm chính của giao thức L2TP là nó cho phép bạn tạo một đường hầm không chỉ trong mạng IP mà còn trong các mạng ATM, X.25 và Frame Relay. L2TP sử dụng UDP làm phương tiện truyền tải và sử dụng cùng một định dạng thông báo cho cả điều khiển đường hầm và chuyển tiếp dữ liệu.

Giống như PPTP, L2TP bắt đầu tập hợp gói để truyền vào đường hầm bằng cách trước tiên thêm tiêu đề PPP vào trường dữ liệu thông tin PPP, sau đó là tiêu đề L2TP. Gói kết quả được đóng gói bởi UDP. Tùy thuộc vào loại chính sách bảo mật IPSec được chọn, L2TP có thể mã hóa tin nhắn UDP và thêm tiêu đề và kết thúc Tải trọng bảo mật đóng gói (ESP), cũng như kết thúc Xác thực IPSec (xem phần "L2TP qua IPSec"). Sau đó nó được đóng gói trong IP. Một tiêu đề IP được thêm vào chứa địa chỉ người gửi và người nhận. Cuối cùng, L2TP thực hiện đóng gói PPP thứ hai để chuẩn bị dữ liệu cho việc truyền tải. TRÊN cơm. 6,9 hiển thị cấu trúc dữ liệu để chuyển tiếp qua đường hầm L2TP.

Cơm. 6.9. Cấu trúc dữ liệu để chuyển tiếp qua đường hầm L2TP

Máy tính nhận nhận dữ liệu, xử lý tiêu đề và kết thúc PPP, đồng thời loại bỏ tiêu đề IP. Xác thực IPSec xác thực trường thông tin IP và tiêu đề IPSec ESP giúp giải mã gói tin.

Sau đó, máy tính xử lý tiêu đề UDP và sử dụng tiêu đề L2TP để xác định đường hầm. Gói PPP hiện chỉ chứa dữ liệu tải trọng được xử lý hoặc chuyển tiếp đến người nhận được chỉ định.

IPsec (viết tắt của IP Security) là bộ giao thức nhằm đảm bảo bảo vệ dữ liệu được truyền qua Giao thức Internet (IP), cho phép xác thực và/hoặc mã hóa các gói IP. IPsec cũng bao gồm các giao thức trao đổi khóa an toàn qua Internet.

Bảo mật IPSec đạt được thông qua các giao thức bổ sung thêm các tiêu đề của riêng chúng vào gói IP - đóng gói. Bởi vì IPSec là một tiêu chuẩn Internet và có RFC cho nó:

RFC 2401 (Kiến trúc bảo mật cho giao thức Internet) – kiến ​​trúc bảo mật cho giao thức IP.

RFC 2402 (Tiêu đề xác thực IP) – Tiêu đề xác thực IP.

RFC 2404 (Việc sử dụng HMAC-SHA-1-96 trong ESP và AH) – sử dụng thuật toán băm SHA-1 để tạo tiêu đề xác thực.

RFC 2405 (Thuật toán mã hóa ESP DES-CBC với rõ ràng IV) - sử dụng thuật toán mã hóa DES.

RFC 2406 (Tải trọng bảo mật đóng gói IP (ESP)) – mã hóa dữ liệu.

RFC 2407 (Miền giải thích bảo mật IP Internet cho ISAKMP) là phạm vi của giao thức quản lý khóa.

RFC 2408 (Hiệp hội bảo mật Internet và Giao thức quản lý khóa (ISAKMP)) – quản lý khóa và trình xác thực để kết nối an toàn.

RFC 2409 (Trao đổi khóa Internet (IKE)) – trao đổi khóa.

RFC 2410 (Thuật toán mã hóa NULL và cách sử dụng nó với IPsec) – thuật toán mã hóa null và cách sử dụng nó.

RFC 2411 (Lộ trình tài liệu bảo mật IP) là sự phát triển hơn nữa của tiêu chuẩn.

RFC 2412 (Giao thức xác định khóa OAKLEY) - kiểm tra tính xác thực của khóa.

IPsec là một phần không thể thiếu của Giao thức Internet IPv6 và là phần mở rộng tùy chọn cho phiên bản Giao thức Internet IPv4.

Cơ chế IPSec giải quyết các vấn đề sau:

xác thực người dùng hoặc máy tính khi khởi tạo kênh bảo mật;

mã hóa và xác thực dữ liệu được truyền giữa các điểm cuối kênh an toàn;

tự động cung cấp các điểm cuối kênh với các khóa bí mật cần thiết cho hoạt động của các giao thức xác thực và mã hóa dữ liệu.

Thành phần IPSec

Giao thức AH (Authentication Header) – giao thức nhận dạng tiêu đề. Đảm bảo tính toàn vẹn bằng cách xác minh rằng không có bit nào trong phần được bảo vệ của gói bị thay đổi trong quá trình truyền. Nhưng việc sử dụng AH có thể gây ra sự cố, chẳng hạn như khi gói đi qua thiết bị NAT. NAT thay đổi địa chỉ IP của gói để cho phép truy cập Internet từ một địa chỉ cục bộ riêng. Bởi vì Trong trường hợp này, gói sẽ thay đổi, khi đó tổng kiểm tra AH sẽ không chính xác (để loại bỏ vấn đề này, giao thức NAT-Traversal (NAT-T) đã được phát triển, cung cấp khả năng truyền ESP qua UDP và sử dụng cổng UDP 4500 trong hoạt động của nó) . Cũng cần lưu ý rằng AH được thiết kế chỉ nhằm mục đích đảm bảo tính toàn vẹn. Nó không đảm bảo tính bảo mật bằng cách mã hóa nội dung của gói.

Giao thức ESP (Encapsulation Security Payload) không chỉ cung cấp tính toàn vẹn và xác thực của dữ liệu được truyền mà còn mã hóa dữ liệu cũng như bảo vệ chống lại các gói tin bị phát lại sai.

Giao thức ESP là một giao thức bảo mật đóng gói cung cấp cả tính toàn vẹn và bảo mật. Trong chế độ vận chuyển, tiêu đề ESP nằm giữa tiêu đề IP gốc và tiêu đề TCP hoặc UDP. Ở chế độ đường hầm, tiêu đề ESP được đặt giữa tiêu đề IP mới và gói IP gốc được mã hóa hoàn toàn.

Bởi vì Cả hai giao thức - AH và ESP - đều thêm các tiêu đề IP của riêng mình, mỗi giao thức có số giao thức (ID) riêng, có thể được sử dụng để xác định nội dung nào theo sau tiêu đề IP. Mỗi giao thức, theo IANA (Cơ quan cấp số được gán Internet - tổ chức chịu trách nhiệm về không gian địa chỉ Internet), đều có số (ID) riêng. Ví dụ: đối với TCP, con số này là 6 và đối với UDP là 17. Do đó, khi làm việc qua tường lửa, điều quan trọng là phải định cấu hình các bộ lọc theo cách cho phép các gói có giao thức ID AH và/hoặc ESP đi qua. bởi vì.

Để chỉ ra rằng AH có trong tiêu đề IP, ID giao thức được đặt thành 51 và đối với ESP, số này là 50.

CHÚ Ý: ID giao thức không giống với số cổng.

Giao thức IKE (Internet Key Exchange) là giao thức IPsec tiêu chuẩn được sử dụng để đảm bảo liên lạc an toàn trong mạng riêng ảo. Mục đích của IKE là thương lượng và cung cấp tài liệu được xác định một cách an toàn cho hiệp hội bảo mật (SA).

SA là thuật ngữ IPSec để chỉ kết nối. Một SA được thiết lập (một kênh bảo mật được gọi là Hiệp hội bảo mật hoặc SA) bao gồm khóa bí mật chung và một bộ thuật toán mã hóa.

Giao thức IKE thực hiện ba nhiệm vụ chính:

cung cấp phương tiện xác thực giữa hai điểm cuối VPN;

thiết lập các kết nối IPSec mới (tạo cặp SA);

quản lý các kết nối hiện có.

IKE sử dụng số cổng UDP 500. Khi sử dụng tính năng NAT Traversal, như đã đề cập trước đó, giao thức IKE sử dụng số cổng UDP 4500.

Trao đổi dữ liệu trong IKE diễn ra theo 2 giai đoạn. Trong giai đoạn đầu tiên, IKE SA được thành lập. Trong trường hợp này, điểm cuối của kênh được xác thực và các tham số bảo vệ dữ liệu được chọn, chẳng hạn như thuật toán mã hóa, khóa phiên, v.v.

Trong giai đoạn thứ hai, IKE SA được sử dụng để đàm phán một giao thức (thường là IPSec).

Khi một đường hầm VPN được cấu hình, một cặp SA sẽ được tạo cho mỗi giao thức được sử dụng. SA được tạo theo cặp, bởi vì Mỗi SA là một kết nối một chiều và dữ liệu phải được truyền theo hai hướng. Các cặp SA kết quả được lưu trữ trên mỗi nút.

Vì mỗi nút có khả năng thiết lập nhiều đường hầm với các nút khác nên mỗi SA có một số duy nhất để xác định nút đó thuộc về nút nào. Con số này được gọi là SPI (Chỉ số tham số bảo mật).

SA được lưu trữ trong cơ sở dữ liệu (DB) BUỒN.(Cơ sở dữ liệu của Hiệp hội An ninh).

Mỗi nút IPSec cũng có một DB thứ hai - SPD(Cơ sở dữ liệu chính sách bảo mật) – cơ sở dữ liệu chính sách bảo mật. Nó chứa chính sách trang web được cấu hình. Hầu hết các giải pháp VPN cho phép tạo nhiều chính sách với sự kết hợp của các thuật toán phù hợp cho từng máy chủ cần thiết lập kết nối.

Tính linh hoạt của IPSec nằm ở chỗ mỗi tác vụ có một số cách để giải quyết nó và các phương pháp được chọn cho một tác vụ thường độc lập với các phương pháp thực hiện các tác vụ khác. Đồng thời, nhóm làm việc của IETF đã xác định một bộ chức năng và thuật toán được hỗ trợ cơ bản, cần được triển khai thống nhất trong tất cả các sản phẩm hỗ trợ IPSec. Cơ chế AH và ESP có thể được sử dụng với nhiều sơ đồ xác thực và mã hóa khác nhau, một số trong đó là bắt buộc. Ví dụ: IPSec chỉ định rằng các gói được xác thực bằng chức năng MD5 một chiều hoặc chức năng SHA-1 một chiều và mã hóa được thực hiện bằng thuật toán DES. Các nhà sản xuất sản phẩm chạy IPSec có thể thêm các thuật toán xác thực và mã hóa khác. Ví dụ: một số sản phẩm hỗ trợ thuật toán mã hóa như 3DES, Blowfish, Cast, RC5, v.v.

Để mã hóa dữ liệu trong IPSec, có thể sử dụng bất kỳ thuật toán mã hóa đối xứng nào sử dụng khóa bí mật.

Các giao thức bảo vệ luồng truyền (AH và ESP) có thể hoạt động ở hai chế độ: phương tiện giao thông và trong chế độ đào hầm. Khi hoạt động ở chế độ vận chuyển, IPsec chỉ hoạt động với thông tin lớp vận chuyển, tức là. Chỉ trường dữ liệu của gói chứa giao thức TCP/UDP được mã hóa (tiêu đề gói IP không bị thay đổi (không được mã hóa)). Chế độ vận chuyển thường được sử dụng để thiết lập kết nối giữa các máy chủ.

Trong chế độ đường hầm, toàn bộ gói IP được mã hóa, bao gồm cả tiêu đề lớp mạng. Để nó được truyền qua mạng, nó được đặt trong một gói IP khác. Về cơ bản, nó là một đường hầm IP an toàn. Chế độ đường hầm có thể được sử dụng để kết nối các máy tính từ xa với mạng riêng ảo (sơ đồ kết nối máy chủ với mạng) hoặc để tổ chức truyền dữ liệu an toàn thông qua các kênh liên lạc mở (ví dụ: Internet) giữa các cổng để kết nối các phần khác nhau của mạng riêng ảo mạng (sơ đồ kết nối mạng -net").

Các chế độ IPsec không loại trừ lẫn nhau. Trên cùng một nút, một số SA có thể sử dụng chế độ vận chuyển trong khi một số SA khác sử dụng chế độ đường hầm.

Trong giai đoạn xác thực, ICV (Giá trị kiểm tra tính toàn vẹn) của gói được tính toán. Điều này giả định rằng cả hai nút đều biết khóa bí mật, cho phép người nhận tính toán ICV và so sánh nó với kết quả do người gửi gửi. Nếu so sánh ICV thành công, người gửi gói tin được coi là đã được xác thực.

Đang ở chế độ chuyên chởAH.

toàn bộ gói IP, ngoại trừ một số trường trong tiêu đề IP có thể bị sửa đổi trong quá trình truyền. Các trường này, được đặt thành 0 để tính toán ICV, có thể là Loại dịch vụ (TOS), cờ, độ lệch phân đoạn, thời gian tồn tại (TTL) và tiêu đề tổng kiểm tra;

tất cả các trường trong AH;

Tải trọng gói IP.

AH ở chế độ vận chuyển bảo vệ tiêu đề IP (không bao gồm các trường được phép thay đổi) và tải trọng trong gói IP gốc (Hình 3.39).

Ở chế độ đường hầm, gói gốc được đặt trong gói IP mới và việc truyền dữ liệu được thực hiện dựa trên tiêu đề của gói IP mới.

Vì chế độ đường hầmAH. Khi thực hiện tính toán, tổng kiểm tra ICV bao gồm các thành phần sau:

tất cả các trường của tiêu đề IP bên ngoài, ngoại trừ một số trường trong tiêu đề IP có thể được sửa đổi trong quá trình truyền. Các trường này, được đặt thành 0 để tính toán ICV, có thể là Loại dịch vụ (TOS), cờ, độ lệch phân đoạn, thời gian tồn tại (TTL) và tiêu đề tổng kiểm tra;

tất cả các trường AH;

gói IP gốc.

Như bạn có thể thấy trong hình minh họa sau, chế độ đường hầm AH bảo vệ toàn bộ gói IP gốc bằng cách sử dụng tiêu đề bên ngoài bổ sung mà chế độ truyền tải AH không sử dụng:

Cơm. 6.10. Các phương thức hoạt động của đường hầm và vận chuyển của giao thức AN

Đang ở chế độ chuyên chởESP không xác thực toàn bộ gói mà chỉ bảo vệ tải trọng IP. Tiêu đề ESP trong chế độ truyền tải ESP được thêm vào gói IP ngay sau tiêu đề IP và đoạn giới thiệu ESP (Trailer ESP) tương ứng được thêm vào sau dữ liệu.

Chế độ truyền tải ESP mã hóa các phần sau của gói:

Tải trọng IP;

Thuật toán mã hóa sử dụng chế độ Chuỗi khối mã hóa (CBC) có trường không được mã hóa giữa tiêu đề ESP và tải trọng. Trường này được gọi là IV (Vector khởi tạo) để tính toán CBC được thực hiện trên máy thu. Vì trường này được sử dụng để bắt đầu quá trình giải mã nên nó không thể được mã hóa. Mặc dù kẻ tấn công có khả năng xem IV nhưng không có cách nào để giải mã phần được mã hóa của gói nếu không có khóa mã hóa. Để ngăn chặn kẻ tấn công thay đổi vectơ khởi tạo, nó được bảo vệ bằng tổng kiểm tra ICV. Trong trường hợp này, ICV thực hiện các phép tính sau:

tất cả các trường trong tiêu đề ESP;

tải trọng bao gồm cả bản rõ IV;

tất cả các trường trong ESP Trailer ngoại trừ trường dữ liệu xác thực.

Chế độ đường hầm ESP đóng gói toàn bộ gói IP gốc trong tiêu đề IP mới, tiêu đề ESP và Đoạn giới thiệu ESP. Để chỉ ra rằng ESP có trong tiêu đề IP, mã định danh giao thức IP được đặt thành 50, giữ nguyên tiêu đề IP và tải trọng ban đầu. Giống như chế độ đường hầm AH, tiêu đề IP bên ngoài dựa trên cấu hình đường hầm IPSec. Trong trường hợp chế độ đường hầm ESP, khu vực xác thực của gói IP hiển thị nơi đặt chữ ký để xác nhận tính toàn vẹn và xác thực của nó, còn phần được mã hóa cho thấy thông tin được bảo mật và bí mật. Tiêu đề nguồn được đặt sau tiêu đề ESP. Sau khi phần được mã hóa được gói gọn trong tiêu đề đường hầm mới, phần tiêu đề này không được mã hóa, gói IP sẽ được truyền đi. Khi được gửi qua mạng công cộng, gói sẽ được định tuyến đến địa chỉ IP của cổng của mạng nhận và cổng sẽ giải mã gói và loại bỏ tiêu đề ESP bằng tiêu đề IP ban đầu để định tuyến gói đến máy tính trên mạng nội bộ. Chế độ đường hầm ESP mã hóa các phần sau của gói:

gói IP gốc;

• Đối với chế độ đường hầm ESP, ICV được tính như sau:

  tất cả các trường trong tiêu đề ESP;

  gói IP gốc bao gồm bản rõ IV;

  tất cả các trường tiêu đề ESP ngoại trừ trường dữ liệu xác thực.

Cơm. 6.11.Đường hầm và chế độ vận chuyển của giao thức ESP

Cơm. 6.12. So sánh giao thức ESP và AH

Tổng hợp các chế độ ứng dụngIPSec:

Giao thức – ESP (AH).

Phương thức – đường hầm (vận chuyển).

Phương thức trao đổi khóa là IKE (thủ công).

Chế độ IKE – chính (tích cực).

Khóa DH – nhóm 5 (nhóm 2, nhóm 1) – số nhóm để chọn khóa phiên được tạo động, độ dài nhóm.

Xác thực – SHA1 (SHA, MD5).

Mã hóa – DES (3DES, Blowfish, AES).

Khi tạo chính sách, thông thường có thể tạo danh sách có thứ tự các thuật toán và nhóm Diffie-Hellman. Diffie-Hellman (DH) là một giao thức mã hóa được sử dụng để thiết lập các khóa bí mật dùng chung cho IKE, IPSec và PFS (Perfect Forward Secrecy). Trong trường hợp này, vị trí đầu tiên khớp với cả hai nút sẽ được sử dụng. Điều rất quan trọng là mọi thứ trong chính sách bảo mật đều cho phép sự liên kết này. Nếu mọi thứ khác đều khớp ngoại trừ một phần của chính sách thì các nút sẽ vẫn không thể thiết lập kết nối VPN. Khi thiết lập đường hầm VPN giữa các hệ thống khác nhau, bạn cần tìm hiểu xem mỗi bên hỗ trợ thuật toán nào để có thể lựa chọn chính sách an toàn nhất có thể.

Các cài đặt cơ bản mà chính sách bảo mật bao gồm:

Các thuật toán đối xứng để mã hóa/giải mã dữ liệu.

Tổng kiểm tra mật mã để xác minh tính toàn vẹn dữ liệu.

Phương pháp nhận dạng nút. Các phương pháp phổ biến nhất là bí mật được chia sẻ trước hoặc chứng chỉ CA.

Nên sử dụng chế độ đường hầm hay chế độ vận chuyển.

Nên sử dụng nhóm Diffie-Hellman nào (nhóm DH 1 (768-bit); nhóm DH 2 (1024-bit); nhóm DH 5 (1536-bit)).

Nên sử dụng AH, ESP hay cả hai.

Có nên sử dụng PFS hay không.

Một hạn chế của IPSec là nó chỉ hỗ trợ truyền thông lớp giao thức IP.

Có hai sơ đồ chính để sử dụng IPSec, khác nhau về vai trò của các nút tạo thành kênh bảo mật.

Trong sơ đồ đầu tiên, một kênh bảo mật được hình thành giữa các máy chủ cuối của mạng. Trong sơ đồ này, giao thức IPSec bảo vệ nút mà trên đó hoạt động sau đang chạy:

Cơm. 6.13. Tạo kênh an toàn giữa hai điểm cuối

Trong sơ đồ thứ hai, một kênh bảo mật được thiết lập giữa hai cổng bảo mật. Các cổng này chấp nhận dữ liệu từ máy chủ cuối được kết nối với mạng nằm phía sau cổng. Các máy chủ cuối trong trường hợp này không hỗ trợ giao thức IPSec; lưu lượng được gửi đến mạng công cộng sẽ đi qua cổng bảo mật, cổng này thay mặt nó thực hiện bảo vệ.

Cơm. 6.14. Tạo kênh an toàn giữa hai cổng

Đối với các máy chủ hỗ trợ IPSec, cả hai chế độ truyền tải và đường hầm đều có thể được sử dụng. Cổng chỉ được phép sử dụng chế độ đường hầm.

Cài đặt và hỗ trợVPN

Như đã đề cập ở trên, cài đặt và duy trì đường hầm VPN là một quá trình gồm hai bước. Trong giai đoạn đầu tiên (giai đoạn), hai nút đồng ý về phương pháp nhận dạng, thuật toán mã hóa, thuật toán băm và nhóm Diffie-Hellman. Họ cũng nhận dạng được nhau. Tất cả điều này có thể xảy ra do việc trao đổi ba tin nhắn không được mã hóa (được gọi là chế độ tích cực, Hung dữ cách thức) hoặc sáu tin nhắn, với việc trao đổi thông tin nhận dạng được mã hóa (chế độ tiêu chuẩn, Chủ yếu cách thức).

Ở Chế độ chính, có thể phối hợp tất cả các tham số cấu hình của thiết bị người gửi và người nhận, trong khi ở Chế độ linh hoạt thì không có khả năng đó và một số tham số (nhóm Diffie-Hellman, thuật toán mã hóa và xác thực, PFS) phải được cấu hình giống hệt trong tiến lên trên mỗi thiết bị. Tuy nhiên, ở chế độ này, cả số lượng trao đổi và số lượng gói được gửi đều thấp hơn, dẫn đến cần ít thời gian hơn để thiết lập phiên IPSec.

Cơm. 6.15. Nhắn tin ở chế độ tiêu chuẩn (a) và tích cực (b)

Giả sử hoạt động hoàn thành thành công, SA giai đoạn đầu tiên được tạo - Giai đoạn 1 SA(còn được gọi là IKESA) và quá trình chuyển sang giai đoạn thứ hai.

Trong giai đoạn thứ hai, dữ liệu chính được tạo và các nút đồng ý về chính sách sẽ sử dụng. Chế độ này, còn được gọi là Chế độ nhanh, khác với giai đoạn đầu tiên ở chỗ nó chỉ có thể được thiết lập sau giai đoạn đầu tiên, khi tất cả các gói của giai đoạn thứ hai được mã hóa. Việc hoàn thành đúng giai đoạn thứ hai dẫn đến sự xuất hiện của Giai đoạn 2 SA hoặc IPSecSA và lúc này việc lắp đặt đường hầm được coi là hoàn tất.

Đầu tiên, một gói có địa chỉ đích trong mạng khác đến nút và nút bắt đầu giai đoạn đầu tiên với nút chịu trách nhiệm về mạng kia. Giả sử một đường hầm giữa các nút đã được thiết lập thành công và đang chờ gói tin. Tuy nhiên, các nút cần phải nhận dạng lại nhau và so sánh các chính sách sau một khoảng thời gian nhất định. Giai đoạn này được gọi là vòng đời Giai đoạn Một hay vòng đời IKE SA.

Các nút cũng phải thay đổi khóa để mã hóa dữ liệu sau một khoảng thời gian được gọi là vòng đời Giai đoạn Hai hoặc IPSec SA.

Thời gian tồn tại của Giai đoạn Hai ngắn hơn giai đoạn đầu tiên, bởi vì... chìa khóa cần được thay đổi thường xuyên hơn. Bạn cần đặt các tham số trọn đời giống nhau cho cả hai nút. Nếu bạn không làm điều này thì có thể ban đầu đường hầm sẽ được thiết lập thành công nhưng sau vòng đời không nhất quán đầu tiên, kết nối sẽ bị gián đoạn. Các vấn đề cũng có thể nảy sinh khi thời gian tồn tại của giai đoạn đầu tiên ngắn hơn giai đoạn thứ hai. Nếu đường hầm được cấu hình trước đó ngừng hoạt động thì điều đầu tiên cần kiểm tra là thời gian tồn tại của cả hai nút.

Cũng cần lưu ý rằng nếu chính sách được thay đổi trên một trong các nút, những thay đổi đó sẽ chỉ có hiệu lực vào lần tiếp theo giai đoạn đầu tiên xảy ra. Để các thay đổi có hiệu lực ngay lập tức, SA cho đường hầm này phải được xóa khỏi cơ sở dữ liệu SAD. Điều này sẽ khiến thỏa thuận giữa các nút được đàm phán lại với các cài đặt chính sách bảo mật mới.

Đôi khi khi thiết lập đường hầm IPSec giữa các thiết bị của các nhà sản xuất khác nhau sẽ nảy sinh khó khăn do sự phối hợp các tham số khi thiết lập giai đoạn đầu. Bạn nên chú ý đến một tham số như Local ID - đây là mã định danh duy nhất của điểm cuối đường hầm (người gửi và người nhận). Điều này đặc biệt quan trọng khi tạo nhiều đường hầm và sử dụng giao thức NAT Traversal.

ChếtNgang nhauPhát hiện

Trong quá trình vận hành VPN, trong trường hợp không có lưu lượng giữa các điểm cuối của đường hầm hoặc khi dữ liệu ban đầu của nút từ xa thay đổi (ví dụ: thay đổi địa chỉ IP được gán động), một tình huống có thể phát sinh khi về cơ bản đường hầm không còn hoạt động nữa. một đường hầm, dường như trở thành một đường hầm ma quái. Để duy trì tính sẵn sàng liên tục cho việc trao đổi dữ liệu trong đường hầm IPSec đã tạo, cơ chế IKE (được mô tả trong RFC 3706) cho phép bạn giám sát sự hiện diện của lưu lượng truy cập từ một nút từ xa của đường hầm và nếu nó vắng mặt trong một thời gian nhất định, một tin nhắn xin chào được gửi (trong tường lửa Tin nhắn "DPD-R-U-THERE" được gửi tới D-Link. Nếu không có phản hồi cho thông báo này trong một thời gian nhất định, trong tường lửa D-Link được chỉ định bởi cài đặt "Thời gian hết hạn DPD", đường hầm sẽ bị dỡ bỏ. Tường lửa D-Link sau này bằng cách sử dụng cài đặt "DPD Keep Time" ( cơm. 6.18), tự động thử khôi phục đường hầm.

Giao thứcNATTruyền tải

Lưu lượng IPsec có thể được định tuyến theo các quy tắc giống như các giao thức IP khác, nhưng do bộ định tuyến không thể luôn trích xuất thông tin cụ thể cho các giao thức lớp vận chuyển nên IPsec không thể đi qua các cổng NAT. Như đã đề cập trước đó, để giải quyết vấn đề này, IETF đã xác định một cách đóng gói ESP trong UDP, được gọi là NAT-T (NAT Traversal).

Giao thức NAT Traversal đóng gói lưu lượng IPSec và đồng thời tạo các gói UDP mà NAT chuyển tiếp chính xác. Để thực hiện việc này, NAT-T đặt một tiêu đề UDP bổ sung trước gói IPSec để nó được coi như một gói UDP thông thường trên toàn mạng và máy chủ người nhận không thực hiện bất kỳ kiểm tra tính toàn vẹn nào. Khi gói đến đích, tiêu đề UDP sẽ bị xóa và gói dữ liệu tiếp tục đi trên đường dẫn của nó dưới dạng gói IPSec được đóng gói. Do đó, bằng cách sử dụng cơ chế NAT-T, có thể thiết lập liên lạc giữa các máy khách IPSec trên mạng an toàn và các máy chủ IPSec công cộng thông qua tường lửa.

Khi cấu hình tường lửa D-Link trên thiết bị người nhận, cần lưu ý hai điểm:

Trong trường Mạng từ xa và Điểm cuối từ xa, chỉ định mạng và địa chỉ IP của thiết bị gửi từ xa. Cần cho phép dịch địa chỉ IP của người khởi tạo (người gửi) bằng công nghệ NAT (Hình 3.48).

Khi sử dụng khóa chia sẻ với nhiều đường hầm được kết nối với cùng một tường lửa từ xa đã được NAT đến cùng một địa chỉ, điều quan trọng là phải đảm bảo rằng Local ID là duy nhất cho mỗi đường hầm.

Địa phương NHẬN DẠNG có thể là một trong:

Tự động– địa chỉ IP của giao diện lưu lượng đi được sử dụng làm mã định danh cục bộ.

IP– Địa chỉ IP cổng WAN của tường lửa từ xa

DNS– Địa chỉ DNS