Thực đơn
trang chủTiểu sử

Tổ chức VPN giữa các văn phòng. · Mức độ bảo mật của mạng công ty là gì. Tạo VPN, chọn và cấu hình thiết bị

Điều gì sẽ xảy ra nếu bạn cần kết nối các văn phòng từ xa và kết nối chúng với một mạng cục bộ hoặc kết nối nhân viên từ xa với mạng cục bộ của văn phòng?

Internet đang phát triển nhanh chóng, mang lại cho bất kỳ chủ sở hữu máy tính nào quyền truy cập vào nguồn thông tin không giới hạn. Khả năng truy cập vào Mạng lưới công ty mọi lúc, mọi nơi đang nhanh chóng trở thành một thứ không thể thiếu trong thế giới kinh doanh. Ngày càng có nhiều công ty nỗ lực triển khai các công nghệ giúp tổ chức làm việc cùng nhau, bất kể vị trí địa lý của nhân viên hoặc khách hàng. Nhân viên đi công tác có cơ hội đăng nhập vào mạng công ty trực tiếp từ phòng khách sạn của họ và những người làm việc tại nhà duy trì liên lạc với trụ sở công ty trong thời gian thực. Cho đến gần đây, điều này đòi hỏi các thiết bị và kênh liên lạc đắt tiền, chi phí thuê chúng cũng rất tốn kém.

VPN là gì?

Từ quan điểm của người tiêu dùng, VPN (mạng riêng ảo) là công nghệ cho phép bạn tổ chức truy cập an toàn từ xa thông qua các kênh Internet mở tới máy chủ, cơ sở dữ liệu và bất kỳ tài nguyên nào trên mạng công ty của bạn. Với sự trợ giúp của mạng riêng ảo, bạn có thể dễ dàng kết nối các văn phòng hoặc cơ sở sản xuất với nhau, đảm bảo liên lạc an toàn và chất lượng cao trên khắp nước Nga hoặc nước ngoài. Ưu điểm chính của VPN so với các kênh liên lạc chuyên dụng là tiết kiệm tiền cho công ty; bạn phải thừa nhận rằng đây không phải là vấn đề cuối cùng đối với bất kỳ người nào ở nước ta và thực sự là trên thế giới.

Tính năng VPN:

  • mức độ bảo vệ cao chống lại sự truy cập trái phép dựa trên mật mã;
  • công việc của nhân sự tại các văn phòng từ xa của tổ chức với các ứng dụng và chương trình đặt tại văn phòng chính (ví dụ: với hệ thống 1C: Enterprise);
  • luồng tài liệu an toàn giữa các văn phòng công ty;
  • tối ưu hóa chi phí cho việc cung cấp khả năng tiếp cận thông tin.

Các giải pháp:

Tất cả các sản phẩm tạo VPN có thể được chia thành hai loại - phần mềm và phần cứng. Một số công ty, chẳng hạn như Cisco Systems, NetScreen, Sonic, cung cấp nhiều giải pháp có thể mở rộng quy mô tùy thuộc vào số lượng kết nối VPN đồng thời mà bạn định làm việc cùng. Chúng thường dễ cấu hình hơn và nhanh hơn, nhưng nhược điểm chính của giải pháp phần cứng là giá thành rất cao.

Giải pháp phần mềm VPN - thường là một ứng dụng phần mềm thương mại hoặc miễn phí (OpenVPN) được cài đặt sẵn trên máy tính được kết nối mạng? thường là một cổng Internet. Vì lý do bảo mật và hiệu suất, tốt nhất nên phân bổ các máy riêng biệt để cài đặt ứng dụng VPN, tốt nhất là có hệ điều hành giống *nix.

Làm thế nào nó hoạt động?

Ở dạng đơn giản nhất, VPN kết nối người dùng từ xa hoặc văn phòng từ xa với mạng doanh nghiệp. Sơ đồ kết nối rất đơn giản - người dùng từ xa chạy chương trình máy khách trên máy tính của mình có truy cập Internet để kết nối với văn phòng từ xa. Trong trường hợp này nó được sử dụng Máy khách OpenVPN. Chương trình kết nối với máy chủ doanh nghiệp và mã hóa tất cả lưu lượng truy cập và quyền truy cập được tổ chức bằng khóa người dùng được mã hóa mà bạn có thể đặt mật khẩu.

Trong trường hợp này, một kênh VPN được hình thành, đây là một “đường hầm” mà qua đó dữ liệu có thể được trao đổi giữa hai nút cuối. Đường hầm này “không rõ ràng” đối với tất cả người dùng khác, bao gồm cả nhà cung cấp. Các kênh VPN được bảo vệ bằng thuật toán mã hóa mạnh mẽ dựa trên tiêu chuẩn Bảo mật Giao thức Internet (IPSec).

Bây giờ bạn đã có một số ý tưởng về VPN là gì và cách thức hoạt động của nó. Nếu bạn là người quản lý, hãy suy nghĩ về điều đó, có thể đây chính xác là điều bạn đang tìm kiếm.

Nếu bạn thấy bài viết này hữu ích,
đừng lười like và chia sẻ với bạn bè.

Gần đây, trong thế giới viễn thông đã có sự quan tâm ngày càng tăng đối với các mạng riêng ảo ( Riêng tư ảo Mạng - VPN). Điều này là do nhu cầu giảm chi phí duy trì mạng công ty bằng cách kết nối rẻ hơn giữa các văn phòng ở xa và người dùng ở xa thông qua Mạng internet. Thật vậy, khi so sánh chi phí dịch vụ để kết nối một số mạng qua Internet, chẳng hạn như với các mạng Rơle khung bạn có thể nhận thấy sự khác biệt đáng kể về chi phí. Tuy nhiên, cần lưu ý rằng khi kết nối mạng qua Internet, ngay lập tức nảy sinh vấn đề về bảo mật truyền dữ liệu nên cần tạo ra các cơ chế để đảm bảo tính bảo mật, toàn vẹn. thông tin được truyền đi. Các mạng được xây dựng trên cơ sở cơ chế như vậy được gọi là VPN.

Ngoài ra, một người hiện đại thường xuyên phát triển công việc kinh doanh của mình phải đi du lịch rất nhiều. Đó có thể là những chuyến đi đến những vùng xa xôi của đất nước hoặc ra nước ngoài. Thông thường mọi người cần truy cập vào thông tin được lưu trữ trên máy tính ở nhà hoặc công ty của họ. Vấn đề này có thể được giải quyết bằng cách tổ chức truy cập từ xa bằng modem và đường dây. Sử dụng đường dây điện thoại có những đặc điểm riêng. Nhược điểm của giải pháp này là gọi từ nước khác tốn rất nhiều tiền. Có một giải pháp khác gọi là VPN. Ưu điểm của công nghệ VPN là việc tổ chức truy cập từ xa không được thực hiện thông qua đường dây điện thoại, nhưng thông qua Internet, rẻ hơn và tốt hơn nhiều. Theo tôi, công nghệ. VPN có tiềm năng trở nên phổ biến trên toàn thế giới.

1. Khái niệm và phân loại mạng VPN, cấu trúc của chúng

1.1 VPN là gì

VPN(eng. Mạng riêng ảo - mạng riêng ảo) - một mạng logic được tạo trên đầu một mạng khác, ví dụ như Internet. Mặc dù thực tế là việc liên lạc được thực hiện thông qua mạng công cộng sử dụng các giao thức không an toàn, do mã hóa nên các kênh trao đổi thông tin được tạo ra đóng kín với người ngoài. Ví dụ: VPN cho phép bạn kết hợp một số văn phòng của một tổ chức vào một mạng duy nhất bằng cách sử dụng các kênh không được kiểm soát để liên lạc giữa chúng.

Theo cách riêng của nó bản chất của VPN có nhiều đặc tính của kênh thuê riêng, nhưng nó được triển khai trong mạng công cộng chẳng hạn. Với kỹ thuật đường hầm, các gói dữ liệu được phát trên mạng công cộng như thể chúng là kết nối điểm-điểm thông thường. Một loại đường hầm được thiết lập giữa mỗi cặp người gửi-nhận dữ liệu - một kết nối logic an toàn cho phép dữ liệu từ một giao thức được gói gọn trong các gói của giao thức khác. Các thành phần chính của đường hầm là:

  • người khởi xướng;
  • mạng định tuyến;
  • công tắc đường hầm;
  • một hoặc nhiều đầu cuối đường hầm.

Bản thân nguyên lý hoạt động của VPN không mâu thuẫn với các công nghệ và giao thức mạng cơ bản. Ví dụ: khi thiết lập kết nối Truy cập từ xa máy khách gửi một luồng gói đến máy chủ giao thức chuẩn PPP. Trong trường hợp tổ chức các đường thuê riêng ảo giữa các mạng cục bộ, các bộ định tuyến của họ cũng trao đổi các gói PPP. Tuy nhiên, một khía cạnh mới về cơ bản là việc chuyển tiếp các gói thông qua một đường hầm an toàn được tổ chức trong mạng công cộng.

Đường hầm cho phép bạn tổ chức việc truyền các gói có cùng giao thức trong môi trường logic bằng cách sử dụng một giao thức khác. Kết quả là có thể giải quyết các vấn đề tương tác giữa một số loại mạng khác nhau, bắt đầu từ nhu cầu đảm bảo tính toàn vẹn và bảo mật của dữ liệu được truyền và kết thúc bằng việc khắc phục sự không nhất quán trong các giao thức bên ngoài hoặc sơ đồ địa chỉ.

hiện có cơ sở hạ tầng mạng các tập đoàn có thể sẵn sàng sử dụng VPN bằng cả phần mềm và phần cứng. Thiết lập mạng riêng ảo có thể được so sánh với việc đặt cáp trên mạng toàn cầu. Thông thường, kết nối trực tiếp giữa người dùng từ xa và thiết bị đầu cuối đường hầm được thiết lập bằng giao thức PPP.

Phương pháp phổ biến nhất để tạo đường hầm VPN là đóng gói các giao thức mạng (IP, IPX, AppleTalk, v.v.) trong PPP, sau đó đóng gói các gói kết quả vào giao thức đường hầm. Thông thường cái sau là IP hoặc (ít thường xuyên hơn) ATM và Frame Relay. Cách tiếp cận này được gọi là đường hầm cấp hai, vì “hành khách” ở đây là giao thức cấp hai.

Một cách tiếp cận khác là đóng gói gói giao thức mạng trực tiếp vào giao thức đường hầm (chẳng hạn như VTP) được gọi là đường hầm lớp 3.

Bất kể giao thức nào được sử dụng hoặc mục đích gì được theo đuổi khi tổ chức một đường hầm, kỹ thuật cơ bản vẫnthực tế không thay đổi. Thông thường, một giao thức được sử dụng để thiết lập kết nối với một nút từ xa và một giao thức khác được sử dụng để đóng gói dữ liệu và thông tin dịch vụ để truyền qua đường hầm.

1.2 Phân loại mạng VPN

Các giải pháp VPN có thể được phân loại theo một số thông số chính:

1. Theo loại môi trường sử dụng:

  • Mạng VPN an toàn. Phiên bản phổ biến nhất của mạng riêng tư. Với sự trợ giúp của nó, có thể tạo một mạng con đáng tin cậy và an toàn dựa trên mạng không đáng tin cậy, thường là Internet. Ví dụ về VPN an toàn là: IPSec, OpenVPN và PPTP.
  • Mạng VPN đáng tin cậy. Chúng được sử dụng trong trường hợp phương tiện truyền dẫn có thể được coi là đáng tin cậy và chỉ cần giải quyết vấn đề tạo mạng con ảo trong một mạng lớn hơn. Các vấn đề bảo mật đang trở nên không còn phù hợp. Ví dụ về các giải pháp VPN như vậy là: MPLS và L2TP. Sẽ đúng hơn khi nói rằng các giao thức này chuyển nhiệm vụ đảm bảo an ninh cho những giao thức khác, chẳng hạn như L2TP, theo quy định, được sử dụng cùng với IPSec.

2. Theo phương thức thực hiện:

  • Mạng VPN ở dạng phần mềm và phần cứng đặc biệt. Việc triển khai mạng VPN được thực hiện bằng cách sử dụng một bộ phần mềm và phần cứng đặc biệt. Việc triển khai này mang lại hiệu suất cao và theo quy định, mức độ bảo mật cao.
  • Mạng VPN như một giải pháp phần mềm. Họ sử dụng máy tính cá nhân có phần mềm đặc biệt cung cấp chức năng VPN.
  • Mạng VPN với giải pháp tích hợp. Chức năng VPN được cung cấp bởi một tổ hợp cũng giải quyết các vấn đề lọc lưu lượng mạng, tổ chức tường lửa và đảm bảo chất lượng dịch vụ.

3. Theo mục đích:

  • VPN mạng nội bộ. Được sử dụng để hợp nhất một số chi nhánh phân tán của một tổ chức thành một mạng an toàn duy nhất, trao đổi dữ liệu qua kênh mở thông tin liên lạc.
  • VPN truy cập từ xa. Chúng được sử dụng để tạo kênh an toàn giữa phân khúc mạng công ty (văn phòng trung tâm hoặc chi nhánh) và một người dùng, làm việc tại nhà, kết nối với tài nguyên của công ty từ máy tính ở nhà hoặc khi đi công tác, kết nối với tài nguyên của công ty bằng cách sử dụng máy tính xách tay.
  • VPN ngoại mạng. Được sử dụng cho các mạng mà người dùng “bên ngoài” (ví dụ: khách hàng hoặc khách hàng) kết nối. Mức độ tin cậy đối với họ thấp hơn nhiều so với nhân viên của công ty, do đó cần phải cung cấp các “đường dây” bảo vệ đặc biệt để ngăn chặn hoặc hạn chế quyền truy cập của họ vào các tài sản đặc biệt có giá trị, thông tin bí mật.

4. Theo loại giao thức:

  • Có các triển khai mạng riêng ảo cho TCP/IP, IPX và AppleTalk. Nhưng ngày nay có xu hướng chuyển đổi chung sang giao thức TCP/IP và phần lớn Giải pháp VPNủng hộ anh ấy.

5. Theo cấp độ giao thức mạng:

  • Theo cấp độ giao thức mạng dựa trên so sánh với các cấp độ tham chiếu mô hình mạng ISO/OSI.

1.3. Xây dựng VPN

Có nhiều tùy chọn khác nhau để xây dựng VPN. Khi chọn giải pháp, bạn cần xem xét các yếu tố hiệu suất của các nhà xây dựng VPN. Ví dụ: nếu một bộ định tuyến đã hoạt động ở công suất tối đa thì việc thêm đường hầm VPN và áp dụng mã hóa/giải mã thông tin có thể dừng toàn bộ mạng do thực tế là bộ định tuyến này sẽ không thể đối phó với lưu lượng truy cập đơn giản, chưa nói đến một VPN. Kinh nghiệm cho thấy để xây dựng VPN tốt hơn Hơn hết, hãy sử dụng thiết bị chuyên dụng, nhưng nếu có hạn chế về kinh phí thì bạn có thể chú ý đến giải pháp phần mềm thuần túy. Hãy xem xét một số tùy chọn để xây dựng VPN.

  • VPN dựa trên tường lửa. Hầu hết các nhà cung cấp tường lửa đều hỗ trợ tạo đường hầm và mã hóa dữ liệu. Tất cả các sản phẩm như vậy đều dựa trên thực tế là lưu lượng truy cập đi qua tường lửa đều được mã hóa. Một mô-đun mã hóa được thêm vào chính phần mềm tường lửa. Nhược điểm của phương pháp này là hiệu suất phụ thuộc vào phần cứng mà tường lửa chạy trên đó. Khi sử dụng tường lửa dựa trên PC, bạn phải nhớ rằng giải pháp như vậy chỉ có thể được sử dụng cho các mạng nhỏ với một lượng nhỏ thông tin được truyền đi.
  • VPN dựa trên bộ định tuyến. Một cách khác để xây dựng VPN là sử dụng bộ định tuyến để tạo các kênh bảo mật. Vì tất cả thông tin đến từ mạng cục bộ đều đi qua bộ định tuyến nên bạn nên chỉ định tác vụ mã hóa cho bộ định tuyến này.Một ví dụ về thiết bị xây dựng VPN trên bộ định tuyến là thiết bị của Cisco Systems. Bắt đầu từ phiên bản phần mềm Phần mềm iOS 11.3, bộ định tuyến của Cisco hỗ trợ giao thức L2TP và IPSec. Bên cạnh đó mã hóa đơn giản Cisco cũng hỗ trợ các tính năng VPN khác như xác thực khi thiết lập kết nối đường hầm và trao đổi khóa.Có thể được sử dụng để cải thiện hiệu suất của bộ định tuyến mô-đun bổ sung Mã hóa ESA. Ngoài ra, Cisco System đã phát hành một thiết bị chuyên dụng dành cho VPN, được gọi là Bộ định tuyến truy cập VPN Cisco 1720 (bộ định tuyến truy cập VPN), dành cho việc cài đặt trong các công ty vừa và nhỏ, cũng như trong các chi nhánh của các tổ chức lớn.
  • VPN dựa trên phần mềm. Cách tiếp cận tiếp theo để xây dựng VPN là hoàn toàn giải pháp phần mềm. Khi thực hiện giải pháp như vậy, chuyên gia phần mềm, chạy trên một máy tính chuyên dụng và trong hầu hết các trường hợp hoạt động như một máy chủ proxy. Máy tính chạy phần mềm này có thể nằm phía sau tường lửa.
  • VPN dựa trên hệ điều hành mạng.Chúng tôi sẽ xem xét các giải pháp dựa trên HĐH mạng bằng ví dụ về HĐH Công ty Windows Microsoft. Để tạo VPN, Microsoft sử dụng giao thức PPTP, được tích hợp vào hệ thống Windows. Giải pháp này rất hấp dẫn đối với các tổ chức sử dụng Windows làm hệ điều hành công ty. Cần lưu ý rằng chi phí của giải pháp như vậy thấp hơn đáng kể so với chi phí của các giải pháp khác. VPN đang hoạt động Dựa trên Windows cơ sở dữ liệu người dùng được lưu trữ trên Bộ điều khiển miền chính (PDC) được sử dụng. Khi kết nối với máy chủ PPTP, người dùng được xác thực bằng giao thức PAP, CHAP hoặc MS-CHAP. Các gói truyền được gói gọn trong các gói GRE/PPTP. Để mã hóa các gói, giao thức không chuẩn từ Mã hóa điểm-điểm của Microsoft được sử dụng với khóa 40 hoặc 128 bit nhận được tại thời điểm kết nối được thiết lập. Nhược điểm của hệ thống này là thiếu khả năng kiểm tra tính toàn vẹn dữ liệu và không thể thay đổi khóa trong quá trình kết nối. Các khía cạnh tích cực là dễ tích hợp với Windows và chi phí thấp.
  • VPN dựa trên phần cứng. Tùy chọn xây dựng VPN trên các thiết bị đặc biệt có thể được sử dụng trong các mạng yêu cầu hiệu suất cao. Một ví dụ về giải pháp như vậy là sản phẩm IPro-VPN của Radguard. Sản phẩm này sử dụng mã hóa phần cứng của thông tin được truyền, có khả năng truyền luồng 100 Mbit/s. IPro-VPN hỗ trợ giao thức IPSec và cơ chế quản lý khóa ISAKMP/Oakley. Trong số những thứ khác, thiết bị này hỗ trợ các công cụ phát sóng địa chỉ mạng và có thể được bổ sung bảng đặc biệt, bổ sung thêm chức năng tường lửa

2. Giao thức VPN

Mạng VPN được xây dựng bằng cách sử dụng các giao thức để truyền dữ liệu qua mạng truyền thông sử dụng chung Internet, với các giao thức đường hầm cung cấp mã hóa dữ liệu và truyền tải từ đầu đến cuối giữa những người dùng. Theo quy định, ngày nay các cấp độ giao thức sau được sử dụng để xây dựng mạng VPN:

  • Lớp liên kết dữ liệu
  • Lớp mạng
  • Lớp vận chuyển.

2.1 Lớp liên kết

Ở lớp liên kết dữ liệu, có thể sử dụng các giao thức đường hầm dữ liệu L2TP và PPTP, sử dụng ủy quyền và xác thực.

PPTP.

Hiện nay, giao thức VPN phổ biến nhất là Giao thức đường hầm điểm-điểm - PPTP. Nó được phát triển bởi 3Com và Microsoft để cung cấp khả năng truy cập từ xa an toàn vào mạng công ty thông qua Internet. PPTP sử dụng các tiêu chuẩn TCP/IP mở hiện có và dựa chủ yếu vào giao thức điểm-điểm PPP truyền thống. Trong thực tế, RRR vẫn như vậy giao thức truyền thông Phiên kết nối PPTP. PPTP tạo một đường hầm xuyên mạng đến máy chủ NT của người nhận và truyền các gói PPP từ người dùng từ xa thông qua nó. Máy chủ và máy trạm sử dụng máy ảo Mạng riêng tư và không chú ý đến mức độ an toàn hoặc dễ tiếp cận của nó mạng lưới toàn cầu giữa họ. Kết thúc phiên kết nối theo chủ động của máy chủ, không giống như các máy chủ truy cập từ xa chuyên dụng, cho phép quản trị viên mạng cục bộ ngăn chặn người dùng từ xa rời khỏi hệ thống bảo mật máy chủ Windows.

Mặc dù khả năng của giao thức PPTP chỉ mở rộng cho các thiết bị hoạt động dưới Kiểm soát cửa sổ, nó cung cấp cho các công ty khả năng tương tác với cơ sở hạ tầng mạng hiện có mà không ảnh hưởng đến hệ thống bảo mật của chính họ. Do đó, người dùng từ xa có thể kết nối Internet thông qua ISP cục bộ thông qua đường dây điện thoại analog hoặc liên kết ISDN và thiết lập kết nối với máy chủ NT. Đồng thời, công ty không phải bỏ ra số tiền lớn để tổ chức và duy trì nhóm modem cung cấp dịch vụ truy cập từ xa.

Phần sau đây thảo luận về hoạt động của RRTR. PPTP đóng gói các gói IP để truyền qua mạng IP. Máy khách PPTP sử dụng cổng đích để tạo kết nối điều khiển đường hầm. Quá trình này xảy ra ở lớp vận chuyển của mô hình OSI. Sau khi đường hầm được tạo, máy khách và máy chủ bắt đầu trao đổi các gói dịch vụ. Ngoài kết nối điều khiển PPTP để đảm bảo liên kết hoạt động, một kết nối được tạo để chuyển tiếp dữ liệu qua đường hầm. Việc đóng gói dữ liệu trước khi gửi nó qua đường hầm diễn ra hơi khác so với quá trình truyền thông thường. Việc đóng gói dữ liệu trước khi gửi đến đường hầm bao gồm hai bước:

  1. Đầu tiên, phần thông tin PPP được tạo. Dữ liệu chảy từ trên xuống dưới, từ lớp ứng dụng OSI đến lớp liên kết dữ liệu.
  2. Dữ liệu nhận được sau đó sẽ được gửi lên mô hình OSI và được đóng gói bởi các giao thức lớp trên.

Do đó, trong lần truyền thứ hai, dữ liệu sẽ đến lớp vận chuyển. Tuy nhiên, thông tin không thể được gửi đến đích vì lớp liên kết dữ liệu OSI chịu trách nhiệm về việc này. Do đó, PPTP mã hóa trường tải trọng của gói và đảm nhận các chức năng lớp thứ hai thường được liên kết với PPP, tức là. thêm tiêu đề PPP và kết thúc vào gói PPTP. Điều này hoàn thành việc tạo khung lớp liên kết.

Tiếp theo, PPTP đóng gói khung PPP trong gói Đóng gói định tuyến chung (GRE), thuộc lớp mạng. GRE đóng gói các giao thức lớp mạng như IPX, AppleTalk, DECnet để cho phép chúng được vận chuyển qua mạng IP. Tuy nhiên, GRE không có khả năng thiết lập phiên và bảo vệ dữ liệu khỏi những kẻ xâm nhập. Điều này sử dụng khả năng của PPTP để tạo kết nối điều khiển đường hầm. Việc sử dụng GRE làm phương pháp đóng gói chỉ giới hạn phạm vi của PPTP đối với các mạng IP.

Sau khi khung PPP được đóng gói trong khung có tiêu đề GRE, việc đóng gói được thực hiện trong khung có tiêu đề IP. Tiêu đề IP chứa địa chỉ nguồn và đích của gói. Cuối cùng, PPTP thêm tiêu đề và kết thúc PPP.

Hệ thống gửi gửi dữ liệu qua đường hầm. Hệ thống tiếp nhận sẽ xóa mọi thứ tiêu đề dịch vụ, chỉ để lại dữ liệu PPP.

L2TP

Trong tương lai gần, số lượng mạng riêng ảo dự kiến ​​sẽ tăng lên, được triển khai dựa trên giao thức đường hầm cấp hai mới Giao thức đường hầm lớp 2 - L2TP.

L2TP nổi lên là kết quả của việc kết hợp các giao thức PPTP và L2F (Chuyển tiếp lớp 2). PPTP cho phép các gói PPP được truyền qua đường hầm và các gói L2F SLIP và PPP. Để tránh nhầm lẫn và các vấn đề về khả năng tương tác trong thị trường viễn thông, Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) đã khuyến nghị Hệ thống Cisco kết hợp PPTP và L2F. Bởi tất cả các tài khoản, giao thức L2TP kết hợp tính năng tốt nhất PPTP và L2F. Ưu điểm chính của L2TP là giao thức này cho phép bạn tạo đường hầm không chỉ trong mạng IP mà còn trong các mạng như ATM, X.25 và Frame Relay. Thật không may, việc triển khai L2TP của Windows 2000 chỉ hỗ trợ IP.

L2TP sử dụng UDP làm phương tiện truyền tải và sử dụng cùng định dạng thông báo cho cả điều khiển đường hầm và chuyển tiếp dữ liệu. L2TP do Microsoft triển khai sử dụng các gói UDP chứa các gói PPP được mã hóa làm thông báo điều khiển. Độ tin cậy phân phối được đảm bảo bằng việc kiểm soát trình tự gói tin.

Chức năng của PPTP và L2TP là khác nhau. L2TP không chỉ có thể được sử dụng trong các mạng IP; các tin nhắn dịch vụ để tạo đường hầm và gửi dữ liệu qua nó sử dụng cùng định dạng và giao thức. PPTP chỉ có thể được sử dụng trên mạng IP và yêu cầu kết nối TCP riêng để tạo và sử dụng đường hầm. L2TP qua IPSec cung cấp nhiều lớp bảo mật hơn PPTP và có thể đảm bảo bảo mật gần như 100% cho dữ liệu quan trọng của tổ chức bạn. Các tính năng của L2TP làm cho nó trở thành một giao thức đầy hứa hẹn để xây dựng mạng ảo.

Các giao thức L2TP và PPTP khác với các giao thức đường hầm cấp ba ở một số tính năng:

  1. Cung cấp cho các công ty cơ hội độc lập lựa chọn phương pháp xác thực người dùng và xác minh thông tin đăng nhập của họ - trên “lãnh thổ” của riêng họ hoặc với nhà cung cấp dịch vụ Internet. Bằng cách xử lý các gói PPP được tạo đường hầm, các máy chủ mạng công ty sẽ nhận được tất cả thông tin cần thiết để nhận dạng người dùng.
  2. Hỗ trợ chuyển đổi đường hầm - kết thúc một đường hầm và bắt đầu một đường hầm khác đến một trong nhiều điểm kết thúc tiềm năng. Chuyển mạch đường hầm cho phép bạn mở rộng kết nối PPP đến điểm cuối được yêu cầu.
  3. Cho phép quản trị viên mạng công ty thực hiện chiến lược kiểm soát truy cập của người dùng trực tiếp trên tường lửa và máy chủ nội bộ. Bởi vì các thiết bị đầu cuối đường hầm nhận các gói PPP chứa thông tin người dùng nên chúng có thể áp dụng các chính sách bảo mật do quản trị viên xác định cho lưu lượng người dùng cá nhân. (Đường hầm cấp ba không cho phép phân biệt các gói đến từ nhà cung cấp, vì vậy các bộ lọc chính sách bảo mật phải được áp dụng cho các máy trạm cuối và thiết bị mạng.) Ngoài ra, nếu bạn sử dụng bộ chuyển mạch đường hầm, có thể tổ chức “tiếp tục” các đường hầm cấp độ thứ hai để truyền trực tiếp lưu lượng truy cập của cá nhânngười dùng đến các máy chủ nội bộ tương ứng. Những máy chủ như vậy có thể được giao nhiệm vụ lọc gói bổ sung.

MPLS

Ngoài ra ở cấp độ liên kết dữ liệu, nó có thể được sử dụng để tổ chức các đường hầm. Công nghệ MPLS ( Từ Chuyển mạch nhãn đa giao thức tiếng Anh - chuyển mạch nhãn đa giao thức - một cơ chế truyền dữ liệu mô phỏng các thuộc tính khác nhau của mạng chuyển mạch qua mạng chuyển mạch gói). MPLS hoạt động ở lớp có thể được định vị giữa lớp liên kết dữ liệu và lớp mạng thứ ba của mô hình OSI và do đó thường được gọi là giao thức lớp liên kết dữ liệu. Nó được thiết kế để cung cấp dịch vụ phổ quát truyền dữ liệu cho cả máy khách của mạng chuyển mạch và mạng chuyển mạch gói. MPLS có thể mang nhiều loại lưu lượng khác nhau, chẳng hạn như gói IP, khung ATM, SONET và Ethernet.

Các giải pháp tổ chức VPN ở cấp liên kết có phạm vi khá hạn chế, thường nằm trong miền của nhà cung cấp.

2.2 Lớp mạng

Lớp mạng (lớp IP). Giao thức IPSec được sử dụng để thực hiện mã hóa và bảo mật dữ liệu cũng như xác thực thuê bao. Việc sử dụng giao thức IPSec cho phép truy cập đầy đủ tính năng tương đương với kết nối vật lý với mạng công ty. Để thiết lập VPN, mỗi người tham gia phải định cấu hình các tham số IPSec nhất định, tức là. Mỗi khách hàng phải có phần mềm triển khai IPSec.

IPSec

Đương nhiên, không có công ty nào muốn công khai chuyển giao Internet tài chính hoặc thông tin bí mật khác. Các kênh VPN được bảo vệ bằng thuật toán mã hóa mạnh mẽ dựa trên tiêu chuẩn giao thức bảo mật IPsec. IPSec hay Internet Protocol Security - tiêu chuẩn được cộng đồng quốc tế IETF - Internet Engineering Task Force lựa chọn, tạo ra khung bảo mật cho Internet Protocol (giao thức IP/IPSec cung cấp bảo mật trên cấp độ mạng và chỉ yêu cầu hỗ trợ tiêu chuẩn IPSec từ các thiết bị giao tiếp ở cả hai phía của kết nối. Tất cả các thiết bị khác nằm giữa chúng chỉ cung cấp lưu lượng gói IP.

Phương thức tương tác giữa những người sử dụng công nghệ IPSec thường được định nghĩa bằng thuật ngữ “secure Association” - Hiệp hội bảo mật (SA). Một liên kết an toàn hoạt động dựa trên thỏa thuận giữa các bên sử dụng IPSec để bảo vệ đã truyền lại cho một người bạn thông tin bạn bè. Thỏa thuận này quy định một số tham số: địa chỉ IP của người gửi và người nhận, thuật toán mật mã, thứ tự trao đổi khóa, kích thước khóa, thời gian tồn tại của khóa, thuật toán xác thực.

IPSec là một bộ tiêu chuẩn mở nhất quán với lõi có thể dễ dàng mở rộng bằng các tính năng và giao thức mới. Cốt lõi của IPSec bao gồm ba giao thức:

· MỘT hoặc Authentication Header - tiêu đề xác thực - đảm bảo tính toàn vẹn và xác thực của dữ liệu. Mục đích chính của giao thức AH là nó cho phép bên nhận đảm bảo rằng:

  • gói được gửi bởi một bên đã được thiết lập liên kết an toàn;
  • nội dung của gói không bị biến dạng trong quá trình truyền qua mạng;
  • gói không phải là bản sao của gói đã nhận được.

Hai chức năng đầu tiên là bắt buộc đối với giao thức AH và chức năng cuối cùng được chọn tùy chọn khi thiết lập liên kết. Để thực hiện các chức năng này, giao thức AH sử dụng một tiêu đề đặc biệt. Cấu trúc của nó được xem xét theo sơ đồ sau:

  1. Trường tiêu đề tiếp theo cho biết mã của giao thức cấp cao hơn, nghĩa là giao thức có thông báo nằm trong trường dữ liệu của gói IP.
  2. Trường độ dài tải trọng chứa độ dài của tiêu đề AH.
  3. Chỉ số tham số bảo mật (SPI) được sử dụng để liên kết một gói với liên kết bảo mật dự định của nó.
  4. Trường Số thứ tự (SN) cho biết số thứ tự của gói và được sử dụng để bảo vệ chống giả mạo (khi bên thứ ba cố gắng sử dụng lại các gói an toàn bị chặn do người gửi được xác thực thực tế gửi).
  5. Trường dữ liệu xác thực, chứa cái gọi là Giá trị kiểm tra tính toàn vẹn (ICV), được sử dụng để xác thực và kiểm tra tính toàn vẹn của gói. Giá trị này, còn được gọi là giá trị tóm tắt, được tính toán bằng cách sử dụng một trong hai hàm không thể đảo ngược về mặt tính toán MD5 hoặc SAH-1 mà giao thức AH yêu cầu, nhưng bất kỳ hàm nào khác đều có thể được sử dụng.

· ESP hoặc Tải trọng bảo mật đóng gói- đóng gói dữ liệu được mã hóa - mã hóa dữ liệu được truyền, đảm bảo tính bảo mật, cũng có thể hỗ trợ xác thực và tính toàn vẹn dữ liệu;

Giao thức ESP giải quyết hai nhóm vấn đề.

  1. Phần đầu tiên bao gồm các nhiệm vụ tương tự như các nhiệm vụ của giao thức AH - đảm bảo tính xác thực và tính toàn vẹn dữ liệu dựa trên bản tóm tắt,
  2. Thứ hai là dữ liệu được truyền đi bằng cách mã hóa nó khỏi bị xem trái phép.

Tiêu đề được chia thành hai phần, cách nhau bởi một trường dữ liệu.

  1. Phần đầu tiên, được gọi là tiêu đề ESP, được hình thành bởi hai trường (SPI và SN), mục đích của nó tương tự như các trường cùng tên trong giao thức AH và được đặt trước trường dữ liệu.
  2. Các trường dịch vụ giao thức ESP còn lại, được gọi là đoạn giới thiệu ESP, nằm ở cuối gói.

Hai trường trailer - tiêu đề tiếp theo và dữ liệu xác thực - tương tự như các trường của tiêu đề AH. Trường Dữ liệu xác thực sẽ không xuất hiện nếu có quyết định không sử dụng khả năng toàn vẹn của giao thức ESP khi thiết lập liên kết an toàn. Ngoài các trường này, đoạn giới thiệu còn chứa hai trường bổ sung - độ dài phụ và độ dài phụ.

Giao thức AH và ESP có thể bảo vệ dữ liệu ở hai chế độ:

  1. trong vận chuyển - truyền tải được thực hiện với các tiêu đề IP gốc;
  2. trong đường hầm - gói nguồnđược đặt trong một gói IP mới và được truyền đi với các tiêu đề mới.

Việc sử dụng chế độ này hay chế độ khác tùy thuộc vào yêu cầu bảo vệ dữ liệu, cũng như vai trò của nút kết thúc kênh bảo mật trong mạng. Do đó, một nút có thể là máy chủ (nút cuối) hoặc cổng (nút trung gian).

Theo đó, có ba sơ đồ sử dụng giao thức IPSec:

  1. máy chủ-máy chủ;
  2. cổng-cổng;
  3. cổng máy chủ.

Khả năng của giao thức AH và ESP chồng chéo một phần: giao thức AH chỉ chịu trách nhiệm đảm bảo tính toàn vẹn và xác thực dữ liệu, giao thức ESP có thể mã hóa dữ liệu và ngoài ra, thực hiện các chức năng của giao thức AH (ở dạng rút gọn). ). Một ESP có thể hỗ trợ các chức năng mã hóa và xác thực/toàn vẹn theo bất kỳ sự kết hợp nào, nghĩa là toàn bộ nhóm chức năng, chỉ xác thực/toàn vẹn hoặc chỉ mã hóa.

· IKE hoặc Internet Key Exchange - Trao đổi khóa Internet - giải quyết nhiệm vụ phụ trợ là tự động cung cấp các điểm cuối của kênh bảo mật với các khóa bí mật cần thiết cho hoạt động của các giao thức xác thực và mã hóa dữ liệu.

2.3 Lớp vận chuyển

Lớp vận chuyển sử dụng giao thức SSL/TLS hoặc Secure Socket Layer/Transport Layer Security, thực hiện mã hóa và xác thực giữa các lớp vận chuyển của máy thu và máy phát. SSL/TLS có thể được sử dụng để bảo mật lưu lượng TCP nhưng không thể sử dụng để bảo mật lưu lượng UDP. Để vận hành VPN dựa trên SSL/TLS, không cần triển khai phần mềm đặc biệt vì mọi trình duyệt và ứng dụng email đều được trang bị các giao thức này. Do thực tế là SSL/TLS được triển khai ở lớp vận chuyển nên một kết nối an toàn được thiết lập “từ đầu đến cuối”.

Giao thức TLS dựa trên giao thức Netscape SSL phiên bản 3.0 và bao gồm hai phần - Giao thức bản ghi TLS và Giao thức bắt tay TLS. Sự khác biệt giữa SSL 3.0 và TLS 1.0 là không đáng kể.

SSL/TLS bao gồm ba giai đoạn chính:

  1. Đối thoại giữa các bên, mục đích là lựa chọn thuật toán mã hóa;
  2. Trao đổi khóa dựa trên hệ thống mật mã khóa công khai hoặc xác thực dựa trên chứng chỉ;
  3. Truyền dữ liệu được mã hóa bằng thuật toán mã hóa đối xứng.

2.4 Triển khai VPN: IPSec hay SSL/TLS?

Các nhà quản lý bộ phận CNTT thường phải đối mặt với câu hỏi: nên chọn giao thức nào để xây dựng mạng VPN công ty? Câu trả lời là không rõ ràng vì mỗi cách tiếp cận đều có cả ưu và nhược điểm. Chúng tôi sẽ cố gắng tiến hành và xác định khi nào cần sử dụng IPSec và khi nào SSL/TLS. Như có thể thấy từ việc phân tích các đặc điểm của các giao thức này, chúng không thể thay thế cho nhau và có thể hoạt động riêng biệt và song song, xác định các tính năng chức năng của từng VPN được triển khai.

Việc lựa chọn giao thức để xây dựng mạng VPN công ty có thể được thực hiện theo các tiêu chí sau:

· Loại quyền truy cập cần thiết cho người dùng VPN.

  1. Đầy đủ tính năng kết nối vĩnh viễn vào mạng công ty. Lựa chọn được đề xuất là giao thức IPSec.
  2. Kết nối tạm thời, ví dụ: người dùng di động hoặc người dùng sử dụng máy tính công cộng để có quyền truy cập vào một số dịch vụ nhất định, chẳng hạn như email hoặc cơ sở dữ liệu. Lựa chọn được đề xuất là giao thức SSL/TLS, cho phép bạn tổ chức VPN cho từng dịch vụ riêng lẻ.

· Người dùng có phải là nhân viên của công ty hay không.

  1. Nếu người dùng là nhân viên của một công ty, thiết bị anh ta sử dụng để truy cập mạng công ty thông qua IPSec VPN có thể được cấu hình theo một cách cụ thể nào đó.
  2. Nếu người dùng không phải là nhân viên của công ty mà mạng công ty đang được truy cập thì nên sử dụng SSL/TLS. Điều này sẽ giới hạn quyền truy cập của khách vào một số dịch vụ nhất định.

· Mức độ bảo mật của mạng công ty là gì.

  1. Cao. Lựa chọn được đề xuất là giao thức IPSec. Thật vậy, mức độ bảo mật do IPSec cung cấp cao hơn nhiều so với mức độ bảo mật do giao thức SSL/TLS cung cấp do việc sử dụng phần mềm có thể định cấu hình ở phía người dùng và cổng bảo mật ở phía mạng công ty.
  2. Trung bình. Lựa chọn được đề xuất là giao thức SSL/TLS, cho phép truy cập từ bất kỳ thiết bị đầu cuối nào.

· Mức độ bảo mật của dữ liệu được truyền bởi người dùng.

  1. Cao, ví dụ, quản lý công ty. Lựa chọn được đề xuất là giao thức IPSec.
  2. Trung bình, ví dụ, đối tác. Lựa chọn được đề xuất là giao thức SSL/TLS.

Tùy thuộc vào dịch vụ - từ trung bình đến cao. Lựa chọn được đề xuất là sự kết hợp của các giao thức IPSec (đối với các dịch vụ yêu cầu cấp độ cao bảo mật) và SSL/TLS (đối với các dịch vụ yêu cầu mức độ bảo mật trung bình).

Điều quan trọng hơn triển khai nhanh Khả năng mở rộng VPN hoặc giải pháp trong tương lai.

  1. Triển khai VPN nhanh chóng với chi phí tối thiểu. Lựa chọn được đề xuất là giao thức SSL/TLS. Trong trường hợp này, không cần triển khai phần mềm đặc biệt ở phía người dùng như trong trường hợp IPSec.
  2. Khả năng mở rộng mạng VPN - thêm quyền truy cập vào các dịch vụ khác nhau. Lựa chọn được khuyến nghị là giao thức IPSec, cho phép truy cập vào tất cả các dịch vụ và tài nguyên của mạng công ty.
  3. Triển khai nhanh chóng và khả năng mở rộng. Lựa chọn được khuyến nghị là sự kết hợp giữa IPSec và SSL/TLS: sử dụng SSL/TLS trong giai đoạn đầu tiên để truy cập các dịch vụ cần thiết, sau đó là triển khai IPSec.

3. Các phương pháp triển khai mạng VPN

Mạng riêng ảo dựa trên ba phương pháp triển khai:

· Đào hầm;

· Mã hóa;

· Xác thực.

3.1 Đào hầm

Đường hầm đảm bảo việc truyền dữ liệu giữa hai điểm - điểm cuối của đường hầm - theo cách mà toàn bộ cơ sở hạ tầng mạng nằm giữa chúng được ẩn khỏi nguồn và người nhận dữ liệu.

Phương tiện vận chuyển của đường hầm, giống như một chiếc phà, nhận các gói giao thức mạng được sử dụng ở lối vào đường hầm và phân phối chúng không thay đổi đến lối ra. Việc xây dựng một đường hầm là đủ để kết nối hai nút mạng sao cho, từ quan điểm của phần mềm chạy trên chúng, chúng dường như được kết nối với cùng một mạng (cục bộ). Tuy nhiên, chúng ta không được quên rằng trên thực tế, “con phà” chở dữ liệu đi qua nhiều nút trung gian (bộ định tuyến) của mạng công cộng mở.

Tình trạng này đặt ra hai vấn đề. Đầu tiên là thông tin truyền qua đường hầm có thể bị kẻ tấn công chặn lại. Nếu nó là bí mật (số thẻ ngân hàng, báo cáo tài chính, thông tin cá nhân), thì mối đe dọa xâm phạm nó là khá thực tế, bản thân điều này đã gây khó chịu. Tệ hơn nữa, những kẻ tấn công có khả năng sửa đổi dữ liệu được truyền qua đường hầm để người nhận không thể xác minh tính xác thực của nó. Hậu quả có thể là thảm khốc nhất. Khi tính đến những điều trên, chúng tôi đi đến kết luận rằng đường hầm ở dạng thuần túy chỉ phù hợp với một số loại trò chơi máy tính mạng và không thể khẳng định là được sử dụng nghiêm túc hơn. Cả hai vấn đề đều được giải quyết phương tiện hiện đại bảo vệ thông tin mật mã. Để ngăn chặn những thay đổi trái phép được thực hiện đối với gói dữ liệu khi nó di chuyển qua đường hầm, một chữ ký số(). Bản chất của phương pháp này là mỗi gói được truyền đi cung cấp khối bổ sung thông tin được tạo ra theo cơ chế bất đối xứng thuật toán mật mã và là duy nhất đối với nội dung của gói và chìa khoá bí mật Chữ ký số của người gửi. Khối thông tin này là chữ ký số của gói và cho phép dữ liệu được xác thực bởi người nhận biết khóa công khai Chữ ký số của người gửi. Việc bảo vệ dữ liệu được truyền qua đường hầm khỏi bị xem trái phép đạt được bằng cách sử dụng các thuật toán mã hóa mạnh.

3.2 Xác thực

Bảo mật là chức năng chính của VPN. Tất cả dữ liệu từ máy khách đều đi qua Internet đến máy chủ VPN. Một máy chủ như vậy có thể được đặt ở một khoảng cách rất xa so với máy khách và dữ liệu trên đường đến mạng của tổ chức sẽ đi qua thiết bị của nhiều nhà cung cấp. Làm cách nào để đảm bảo rằng dữ liệu chưa được đọc hoặc sửa đổi? Đối với điều này, các phương pháp xác thực và mã hóa khác nhau được sử dụng.

PPTP có thể sử dụng bất kỳ giao thức nào được sử dụng cho PPP để xác thực người dùng

  • EAP hoặc Giao thức xác thực mở rộng;
  • MSCHAP hoặc Giao thức xác thực bắt tay Microsoft Challenge (phiên bản 1 và 2);
  • CHAP hoặc Giao thức xác thực bắt tay thử thách;
  • Giao thức xác thực mật khẩu SPAP hoặc Shiva;
  • PAP hoặc Giao thức xác thực mật khẩu.

Các giao thức tốt nhất là MSCHAP phiên bản 2 và Bảo mật lớp vận chuyển (EAP-TLS), vì chúng cung cấp xác thực lẫn nhau, tức là. Máy chủ VPN và máy khách nhận dạng lẫn nhau. Trong tất cả các giao thức khác, chỉ có máy chủ mới xác thực được máy khách.

Mặc dù PPTP cung cấp đủ bằng cấp bảo mật, nhưng L2TP trên IPSec vẫn đáng tin cậy hơn. L2TP qua IPSec cung cấp xác thực ở cấp độ người dùng và máy tính, đồng thời thực hiện xác thực và mã hóa dữ liệu.

Việc xác thực được thực hiện bằng thử nghiệm mở (mật khẩu văn bản rõ ràng) hoặc bằng sơ đồ thách thức/phản hồi. Mọi thứ đều rõ ràng với văn bản trực tiếp. Máy khách gửi cho máy chủ một mật khẩu. Máy chủ so sánh điều này với tiêu chuẩn và từ chối quyền truy cập hoặc nói “chào mừng”. Xác thực mở gần như không bao giờ được nhìn thấy.

Sơ đồ yêu cầu/phản hồi tiên tiến hơn nhiều. TRONG nhìn chung nó trông như thế này:

  • khách hàng gửi cho máy chủ yêu cầu xác thực;
  • máy chủ trả về một phản hồi ngẫu nhiên (thử thách);
  • khách hàng lấy hàm băm từ mật khẩu của mình (băm là kết quả của hàm băm chuyển đổi một mảng dữ liệu đầu vào có độ dài tùy ý thành chuỗi bit đầu ra có độ dài cố định), mã hóa phản hồi bằng nó và truyền nó đến máy chủ;
  • máy chủ cũng thực hiện tương tự, so sánh kết quả nhận được với phản hồi của máy khách;
  • nếu phản hồi được mã hóa khớp, xác thực được coi là thành công;

Trong bước đầu tiên của việc xác thực máy khách và máy chủ VPN, L2TP qua IPSec sử dụng các chứng chỉ cục bộ thu được từ cơ quan cấp chứng chỉ. Máy khách và máy chủ trao đổi chứng chỉ và tạo kết nối an toàn ESP SA (liên kết bảo mật). Sau khi L2TP (qua IPSec) hoàn tất quá trình xác thực máy tính, xác thực cấp độ người dùng sẽ được thực hiện. Để xác thực, bạn có thể sử dụng bất kỳ giao thức nào, thậm chí cả PAP, truyền tên người dùng và mật khẩu ở dạng văn bản rõ ràng. Điều này khá an toàn vì L2TP qua IPSec mã hóa toàn bộ phiên. Tuy nhiên, việc thực hiện xác thực người dùng bằng MSCHAP, sử dụng các khóa mã hóa khác nhau để xác thực máy tính và người dùng, có thể tăng cường bảo mật.

3.3. Mã hóa

Mã hóa PPTP đảm bảo rằng không ai có thể truy cập dữ liệu của bạn khi dữ liệu được gửi qua Internet. Hiện tại có hai phương thức mã hóa được hỗ trợ:

  • MPPE hoặc Mã hóa điểm-điểm của Microsoft chỉ tương thích với MSCHAP (phiên bản 1 và 2);
  • EAP-TLS có thể tự động chọn độ dài của khóa mã hóa khi đàm phán các tham số giữa máy khách và máy chủ.

MPPE hỗ trợ các khóa có độ dài 40, 56 hoặc 128 bit. Các hệ điều hành Windows cũ hơn chỉ hỗ trợ mã hóa độ dài khóa 40 bit, vì vậy trong môi trường Windows hỗn hợp, bạn nên chọn độ dài khóa tối thiểu.

PPTP thay đổi giá trị khóa mã hóa sau mỗi gói nhận được. Giao thức MMPE được thiết kế cho các liên kết truyền thông điểm-điểm trong đó các gói được truyền tuần tự và rất ít mất dữ liệu. Trong trường hợp này, giá trị khóa của gói tiếp theo phụ thuộc vào kết quả giải mã của gói trước đó. Khi xây dựng mạng ảo thông qua mạng công cộng, những điều kiện này không thể được đáp ứng vì các gói dữ liệu thường đến người nhận theo trình tự khác với trình tự chúng được gửi. Do đó, PPTP sử dụng số thứ tự gói để thay đổi khóa mã hóa. Điều này cho phép việc giải mã được thực hiện bất kể các gói đã nhận trước đó.

Cả hai giao thức đều được thực hiện như trong Microsoft Windows và bên ngoài nó (ví dụ: trong BSD), thuật toán vận hành VPN có thể khác nhau đáng kể.

Do đó, sự kết hợp “đường hầm + xác thực + mã hóa” cho phép bạn truyền dữ liệu giữa hai điểm thông qua mạng công cộng, mô phỏng hoạt động của mạng riêng (cục bộ). Nói cách khác, các công cụ được xem xét cho phép bạn xây dựng một mạng riêng ảo.

Một tác dụng thú vị khác của kết nối VPN là khả năng (và thậm chí là sự cần thiết) của việc sử dụng hệ thống địa chỉ được áp dụng trong mạng cục bộ.

Việc triển khai mạng riêng ảo trong thực tế trông như thế này: Một máy chủ VPN được cài đặt trong mạng máy tính cục bộ của văn phòng công ty. Người dùng từ xa (hoặc bộ định tuyến, nếu kết nối hai văn phòng) bằng phần mềm máy khách VPN sẽ bắt đầu quy trình kết nối với máy chủ. Quá trình xác thực người dùng diễn ra - giai đoạn đầu tiên của quá trình thiết lập kết nối VPN. Nếu quyền được xác nhận, giai đoạn thứ hai sẽ bắt đầu - các chi tiết đảm bảo tính bảo mật của kết nối được thỏa thuận giữa máy khách và máy chủ. Sau đó, một kết nối VPN được tổ chức, đảm bảo việc trao đổi thông tin giữa máy khách và máy chủ dưới dạng khi mỗi gói dữ liệu trải qua các thủ tục mã hóa/giải mã và kiểm tra tính toàn vẹn - xác thực dữ liệu.

Vấn đề chính với mạng VPN là thiếu các tiêu chuẩn đã được thiết lập để xác thực và trao đổi thông tin được mã hóa. Các tiêu chuẩn này vẫn đang được phát triển và do đó các sản phẩm từ các nhà sản xuất khác nhau không thể thiết lập kết nối VPN và tự động trao đổi khóa. Vấn đề này đang khiến việc áp dụng VPN bị chậm lại do khó có thể ép buộc nhiều công ty khác nhau sử dụng sản phẩm của một nhà sản xuất, do đó quá trình kết hợp mạng của các công ty đối tác thành cái gọi là mạng extranet rất khó khăn.

Ưu điểm của công nghệ VPN là việc truy cập từ xa được tổ chức không phải thông qua đường dây điện thoại mà thông qua Internet, rẻ hơn và tốt hơn nhiều. Nhược điểm của công nghệ VPN là các công cụ xây dựng VPN không phải là phương tiện chính thức để phát hiện và ngăn chặn các cuộc tấn công. Chúng có thể ngăn chặn một số hành động trái phép, nhưng không phải tất cả các khả năng có thể được sử dụng để xâm nhập mạng công ty. Nhưng bất chấp tất cả điều này Công nghệ VPN có triển vọng phát triển hơn nữa.

Chúng ta có thể mong đợi điều gì về sự phát triển công nghệ VPN trong tương lai? Không còn nghi ngờ gì nữa, một tiêu chuẩn thống nhất để xây dựng các mạng như vậy sẽ được phát triển và phê duyệt. Rất có thể, nền tảng của tiêu chuẩn này sẽ là giao thức IPSec đã được chứng minh. Tiếp theo, các nhà sản xuất sẽ tập trung vào việc cải thiện hiệu suất cho sản phẩm của mình và tạo ra các công cụ quản lý VPN thân thiện với người dùng. Rất có thể, việc phát triển các công cụ xây dựng VPN sẽ đi theo hướng VPN dựa trên bộ định tuyến, vì giải pháp này kết hợp hiệu suất khá cao, tích hợp VPN và định tuyến trong một thiết bị. Tuy nhiên, giải pháp chi phí thấp cho tổ chức nhỏ. Tóm lại, phải nói rằng, mặc dù thực tế là công nghệ VPN vẫn còn rất non trẻ nhưng nó còn có một tương lai tươi sáng phía trước.

Để lại bình luận của bạn!

Internet đã đi vào cuộc sống của chúng ta một cách vững chắc, và nếu trước đó, trong những năm modem analog thống trị, để truy cập Internet cần phải tính đến cả lưu lượng truy cập và thời gian kết nối, nhưng ngày nay Internet không giới hạn kết nối đã trở thành tiêu chuẩn. Nghĩa là, nếu không có Internet bất cứ lúc nào và ở bất kỳ “khối lượng” nào, thì đây đã là một điều gì đó khác thường. Hơn nữa, nếu có sẵn sớm hơn Internet không giới hạnđược coi là tiêu chuẩn thực tế cho mạng doanh nghiệp, ngày nay nó đã trở thành tiêu chuẩn cho người dùng cuối. Khi Internet phát triển, mô hình khái niệm về việc sử dụng nó cũng thay đổi. Ngày càng có nhiều dịch vụ mới xuất hiện như video theo yêu cầu và VoIP, mạng chia sẻ file ngang hàng (BitTorrent), v.v.. Gần đây, việc tổ chức các mạng riêng ảo (VPN) qua Internet với sự phát triển của mạng Internet. khả năng tổ chức truy cập từ xa vào bất kỳ máy tính nào như một phần của mạng này đã trở nên rất phổ biến. Làm thế nào điều này có thể được thực hiện sẽ được thảo luận trong bài viết này.

Tại sao điều này là cần thiết?

Việc tổ chức mạng VPN qua Internet hoặc trong mạng cục bộ có nhiều trường hợp sử dụng: trò chơi mạng trên Internet bỏ qua các máy chủ trò chơi (giống như trò chơi qua mạng cục bộ), tạo mạng đóng cửa với người ngoài để truyền thông tin bí mật, khả năng truy cập từ xa và quản lý máy tính một cách an toàn (toàn quyền kiểm soát PC từ xa), tổ chức truy cập an toàn cho nhân viên khi đi công tác tới các tài nguyên mạng của công ty, liên lạc qua mạng ảo của các văn phòng riêng lẻ (mạng cục bộ).

Cách tiếp cận truyền thống để triển khai mạng riêng ảo như vậy là máy chủ VPN (thường dựa trên hệ điều hành Linux) được cài đặt và định cấu hình trong mạng công ty và người dùng từ xa truy cập mạng công ty thông qua kết nối VPN.

Tuy nhiên, cách tiếp cận này không thể áp dụng khi người dùng cần truy cập từ xa vào máy tính ở nhà của mình. Khó có khả năng tình huống cài đặt một máy chủ VPN riêng tại nhà có thể được coi là bình thường. Tuy nhiên, đừng tuyệt vọng. Nhiệm vụ tạo mạng VPN có thể giải quyết được và ngay cả người dùng mới làm quen cũng có thể thực hiện được. Với mục đích này có chương trình đặc biệt Hamachi, có thể tải xuống miễn phí từ Internet (http://www.hamachi.cc/download/list.php). Điều đặc biệt hài lòng là sự hiện diện của phiên bản Nga hóa, để bất kỳ người dùng nào cũng có thể thành thạo chương trình.

Hamachi 1.0.2.2

Vậy là Hamachi ( Phiên bản hiện tại- 1.0.2.2) là chương trình cho phép bạn tạo một mạng riêng ảo (VPN) qua Internet và kết nối nhiều máy tính trong đó. Sau khi tạo một mạng như vậy, người dùng có thể thiết lập các phiên VPN với nhau và làm việc trên mạng này giống như trên mạng cục bộ (LAN) thông thường với khả năng chia sẻ tệp, quản trị máy tính từ xa, v.v. Ưu điểm của mạng VPN là nó được bảo vệ hoàn toàn khỏi sự can thiệp trái phép và vô hình khỏi Internet, mặc dù nó tồn tại trên đó.

Hamachi phải được cài đặt trên tất cả các máy tính sẽ được kết nối với mạng riêng ảo.

Mạng ảo được tạo bằng máy chủ Hamachi chuyên dụng trên Internet. Để kết nối với máy chủ này, cổng 12975 và 32976 được sử dụng. Cổng đầu tiên (12975) chỉ được sử dụng để thiết lập kết nối và cổng thứ hai - trong khi hoạt động. Tuy nhiên, người dùng thông thường khó có thể cần những thông tin chi tiết như vậy.

Sau khi mạng ảo được tạo giữa các máy tính được chọn bằng máy chủ Hamachi, việc trao đổi thông tin giữa các máy khách VPN diễn ra trực tiếp, nghĩa là không có sự tham gia của máy chủ Hamachi. Giao thức UDP được sử dụng để trao đổi dữ liệu giữa các máy khách VPN.

Cài đặt chương trình

Chương trình Hamachi được cài đặt trên các máy tính có hệ điều hành Windows 2000/XP/2003/Vista. Ngoài ra còn có phiên bản bảng điều khiển của chương trình dành cho Linux và Mac OS X. Tiếp theo, chúng ta sẽ xem xét việc cài đặt và định cấu hình chương trình bằng hệ điều hành Windows XP làm ví dụ.

Việc cài đặt chương trình Hamachi khá đơn giản và không gây ra vấn đề gì (đặc biệt vì giao diện của trình hướng dẫn cài đặt được khởi chạy là tiếng Nga). Sau khi bạn bắt đầu cài đặt chương trình trên máy tính của mình, trình hướng dẫn cài đặt sẽ khởi động và nhắc bạn đồng ý với thỏa thuận cấp phép, chọn thư mục để cài đặt chương trình (Hình 1), tạo biểu tượng trên màn hình nền, v.v.

Trong số các tính năng tùy chọn hữu ích có thể được kích hoạt trong quá trình cài đặt chương trình là tính năng tự động khởi chạy Hamachi khi máy tính khởi động và chặn các dịch vụ dễ bị tấn công đối với các kết nối Hamachi (Hình 2). Trong trường hợp sau, dịch vụ sẽ bị chặn Tệp Windows Chia sẻ về adapter mạng ảo Hamachi. Do đó, những người dùng khác của mạng VPN sẽ không có quyền truy cập vào các tệp và thư mục được chia sẻ trên máy tính của bạn. Đồng thời, những tệp và thư mục này sẽ vẫn có thể truy cập được đối với người dùng thông thường của mạng cục bộ để kết nối với những người không sử dụng kết nối VPN.

Cơm. 1. Trình hướng dẫn cài đặt Hamachi cho phép bạn chỉ định thư mục
để đặt chương trình, tạo biểu tượng trên màn hình nền
và chọn tùy chọn khởi động tự động chương trình
khi máy tính khởi động

Ngoài việc chặn Dịch vụ Windows Chia sẻ tệp, chặn các dịch vụ dễ bị tấn công đối với kết nối Hamachi cũng dẫn đến việc chặn quyền truy cập từ xa vào một số dịch vụ Windows thường bị tấn công. Theo đó, nếu bạn sử dụng chương trình Hamachi để kết nối với những khách hàng đáng tin cậy mà bạn tin tưởng, thì tốt hơn hết bạn nên tắt tùy chọn chặn các dịch vụ dễ bị tấn công.

Cơm. 2. Trình hướng dẫn cài đặt Hamachi cho phép bạn chặn
các dịch vụ dễ bị tấn công đối với các kết nối Hamachi

Ở giai đoạn cuối, trình hướng dẫn cài đặt sẽ yêu cầu bạn chọn phiên bản chương trình nào sẽ cài đặt: phiên bản cơ bản hoặc Premium. Hamachi có hai phiên bản. Phiên bản cơ bản là miễn phí và phiên bản Premium có thêm khả năng rộng lớn, - trả. Lưu ý rằng đối với hầu hết người dùng, phiên bản cơ bản miễn phí của chương trình là khá đủ (chúng ta sẽ nói về sự khác biệt chi tiết giữa phiên bản cơ bản và phiên bản Premium sau), nhưng cách tiếp cận tiêu chuẩn như sau: đầu tiên phiên bản Premium được cài đặt trong 45 ngày (miễn phí) và sau khoảng thời gian này, nó sẽ tự động chuyển sang phiên bản cơ bản.

Sau khi cài đặt và khởi chạy chương trình Hamachi trên máy tính của bạn, nếu đây là lần đầu tiên bạn cài đặt chương trình, một hướng dẫn ngắn gọn về Hamachi sẽ khởi chạy, mô tả cách làm việc với chương trình.

Buổi ra mắt đầu tiên của chương trình

Khi bạn khởi chạy chương trình lần đầu tiên, Tài khoản. Ở giai đoạn này, bạn cần đặt tên máy tính để những người dùng khác của mạng VPN hiển thị tên đó (Hình 3).

Cơm. 3. Chỉ định tên của máy tính chứa
nó sẽ hiển thị với những người dùng khác của mạng VPN

Khi tên máy tính được chỉ định, chương trình sẽ thiết lập kết nối đến máy chủ cơ sở dữ liệu Hamachi và yêu cầu địa chỉ IP sẽ được gán cho mạng ảo Bộ chuyển đổi Hamachi và sẽ được sử dụng trong tương lai để thiết lập kết nối VPN. Mỗi máy khách Hamachi được chỉ định một địa chỉ IP trong phạm vi 5.0.0.0/8 (mặt nạ mạng con 255.0.0.0), thường không dành riêng cho việc sử dụng Internet. Các phạm vi này dành riêng cho sử dụng riêng trên mạng cục bộ bao gồm các phạm vi sau: 10.0.0.0/8 (phạm vi từ 10.0.0.0 đến 10.255.255.254), 172.16.0.0/12 (phạm vi từ 172.16.0.0 đến 172.31.255.254) và 192.168. 0,0 /16 (phạm vi từ 192.168.0.0 đến 192.168.255.254). Tuy nhiên, dải 5.0.0.0/8 đã được IANA (Cơ quan cấp số hiệu Internet - một tổ chức của Mỹ quản lý không gian địa chỉ IP) dành riêng hơn 10 năm và không được sử dụng làm địa chỉ Internet công cộng (bên ngoài). Do đó, một mặt, phạm vi 5.0.0.0/8 đề cập đến phạm vi địa chỉ Internet bên ngoài (công cộng), nghĩa là loại trừ khả năng địa chỉ IP được gán cho bạn đã được sử dụng trong mạng cục bộ của bạn (trong các mạng cục bộ chỉ dành riêng cho các ứng dụng riêng của địa chỉ IP) và mặt khác, những địa chỉ này vẫn chưa bị ai chiếm giữ.

Sau khi gán cho bạn một địa chỉ IP trong phạm vi 5.0.0.0/8, nó sẽ trở thành một loại mã định danh cho máy tính của bạn trong mạng riêng ảo. Địa chỉ IP này được gán cho bộ điều hợp mạng ảo Hamachi. Vì vậy, nếu bạn gõ lệnh ipconfig / all trên dòng lệnh, thì ngoài cài đặt giao diện mạng của bộ điều hợp mạng thực (có trong PC của bạn), bạn có thể thấy rằng một bộ điều hợp Ethernet ảo Hamachi khác đã xuất hiện cùng với địa chỉ MAC và địa chỉ IP được gán cho nó, mặt nạ mạng con, địa chỉ IP cổng, v.v. (Hình 4).

Cơm. 4. Sau lần khởi chạy chương trình đầu tiên, bộ điều hợp mạng ảo
Hamachi được gán một địa chỉ IP trong phạm vi 5.0.0.0/8 và được định cấu hình
giao diện mạng

Vì vậy, sau khi chương trình Hamachi đã cấu hình ảo bộ điều hợp mạng, bạn có thể bắt đầu làm việc với chương trình.

Tại thời điểm này, máy tính của bạn chưa là thành viên của bất kỳ mạng riêng ảo nào, vì vậy bước đầu tiên là kết nối với mạng riêng ảo hiện có hoặc tạo mạng VPN mới.

Làm việc với chương trình

Giao diện chương trình rất đơn giản (Hình 5). Chỉ có ba nút chức năng: Bật/Tắt, Nút Menu Mạng và Nút Menu Hệ thống.

Cơm. 5. Giao diện chương trình
Hamachi rất đơn giản -
chỉ có ba nút chức năng

Để tạo mạng VPN mới hoặc kết nối máy tính với mạng hiện có, hãy nhấp vào nút menu mạng và chọn mục thích hợp (Hình 6).

Cơm. 6. Nút menu mạng cho phép bạn
tạo một mạng VPN mới hoặc tham gia
máy tính sang máy tính hiện có

Kết nối PC với và rời khỏi mạng ảo hiện có

Nếu bạn cần kết nối máy tính của mình với mạng ảo hiện có và bạn biết tên cũng như mật khẩu của mạng đó (nếu mạng này được sử dụng), thì trong menu mạng, hãy chọn Đăng nhập vào mạng hiện có... Tiếp theo, một cửa sổ sẽ mở ra trong đó bạn cần đặt tên mạng và mật khẩu (Hình 7).

Cơm. 7. Thêm máy tính
đến mạng ảo hiện có

Sau đó, tên của mạng và danh sách các máy tính được kết nối với mạng đó (trừ máy tính của bạn) sẽ xuất hiện trong cửa sổ chương trình - Hình. số 8.

Cơm. 8. Sau khi kết nối máy tính
vào mạng ảo trong cửa sổ chương trình
một danh sách những người được kết nối được hiển thị
máy tính cho cô ấy

Nếu có dấu chấm hoặc ngôi sao màu xanh lục bên cạnh tên máy tính, điều này có nghĩa là kết nối với máy tính đã được thiết lập. Dấu chấm màu xanh lục nhấp nháy cho biết kết nối đang trong quá trình thiết lập. Một vòng tròn sáng xung quanh chấm màu xanh lá cây cho biết rằng đi bằng máy tính trao đổi thông tin.

Điều tồi tệ nhất là khi có một chấm màu vàng bên cạnh tên máy tính - điều này có nghĩa là vì lý do nào đó mà kết nối trực tiếp tới nó không thể được thiết lập. Nếu tên máy tính hiển thị màu vàng, điều này có nghĩa là kết nối với nó đã bị mất.

Sự xuất hiện của chấm màu xanh lam cho biết không thể thiết lập kết nối trực tiếp với máy tính và quá trình liên lạc được thực hiện thông qua máy chủ Hamachi. Vấn đề là trong trường hợp này kênh liên lạc với máy tính có băng thông rất thấp và độ trễ dài.

Nếu tên của máy tính và dấu chấm bên cạnh tên của nó hiển thị màu xám, điều này có nghĩa là máy tính dù đã kết nối với mạng ảo này nhưng không thể truy cập được (ví dụ: PC bị tắt, không có kết nối Internet hoặc chương trình Hamachi không chạy).

Để đăng xuất khỏi mạng, chỉ cần nhấp vào click chuột phải chuột vào tên của nó và chọn mục từ danh sách thả xuống Ngắt kết nối hoặc Rời khỏi mạng. Trong trường hợp đầu tiên, bạn chỉ tạm thời rời khỏi mạng và danh sách các máy tính được kết nối với mạng vẫn hiển thị với bạn. Trong trường hợp thứ hai, để vào mạng, bạn sẽ phải lặp lại toàn bộ quy trình kết nối máy tính với mạng hiện có.

Tạo mạng mới và xóa mạng đã tạo

Nếu bạn cần tạo một mạng ảo mới thì trong menu mạng hãy chọn Tạo một mạng mới... Một cửa sổ sẽ mở trong đó bạn cần chỉ định tên của mạng đang được tạo và mật khẩu mà những người dùng khác sẽ sử dụng để tham gia mạng này (Hình 9).

Cơm. 9. Tạo mạng VPN mới

Sau khi tạo một mạng mới, bạn có thể kết nối máy tính người dùng với mạng đó. Nếu mạng do bạn tạo, thì bạn là quản trị viên của mạng và có toàn quyền kiểm soát mạng, điều mà những người dùng khác không có được. Điều quan trọng cần nhớ là mạng đã tạo chỉ có thể được quản lý từ máy tính mà nó được tạo trên đó. Chính xác hơn, mạng chỉ có thể được quản lý từ một máy tính được gán chính xác cùng địa chỉ IP ảo với địa chỉ được sử dụng để tạo mạng ảo. Tại sao nhận xét này lại quan trọng đến thế? Hãy tưởng tượng điều này: bạn đã cài đặt Hamachi và tạo một mạng VPN mới. Sau đó bạn đã xóa hoàn toàn (bao gồm tất cả tập tin cấu hình) Chương trình Hamachi và sau một thời gian cài đặt lại. Bạn sẽ được gán một địa chỉ IP ảo mới, tuy nhiên khi sử dụng nó, bạn sẽ không thể kiểm soát mạng VPN mà bạn đã tạo trước đó nữa.

Nếu bạn là quản trị viên mạng, bạn có thể xóa nó. Để thực hiện việc này, nhấp chuột phải vào tên mạng và chọn mục từ danh sách thả xuống Xóa bỏ. Lưu ý rằng khi một mạng bị xóa, tất cả các kết nối giữa những người dùng khác của mạng đó sẽ bị hủy hoàn toàn.

Các thao tác khác với máy tính mạng

Nếu bạn đã tham gia một mạng, bạn có thể thực hiện các hành động sau trên các máy tính được kết nối với mạng đó:

  • kiểm tra khả năng tiếp cận;
  • duyệt thư mục;
  • gửi tin nhắn;
  • sao chép địa chỉ;
  • chặn;
  • thiết lập nhãn.

Để thực hiện một trong số chúng, hãy nhấp chuột phải vào tên máy tính và chọn mục thích hợp từ menu thả xuống (Hình 10).

Cơm. 10. Danh sách các hành động có thể thực hiện
với máy tính được chọn trên mạng

Khi chọn một mục Sẵn sàng kiểm tra lệnh ping thông thường sẽ được thực thi tới địa chỉ của máy tính tương ứng.

Đoạn văn Duyệt thư mục cho phép bạn truy cập các thư mục được chia sẻ trên máy tính của bạn.

Đoạn văn Gửi tin nhắn cho phép trao đổi tin nhắn giữa máy tính riêng biệt mạng tương tự như cách nó được thực hiện trong ICQ.

Đoạn văn Sao chép địa chỉ chèn địa chỉ IP của máy tính đã chọn vào bảng nhớ tạm, điều này thuận tiện nếu bạn muốn sử dụng địa chỉ này trong các chương trình khác (ví dụ: quản trị từ xa).

Đoạn văn Khối cho phép bạn tạm thời chặn máy tính đã chọn, nghĩa là kênh VPN của bạn với máy tính đó sẽ bị chặn và việc trao đổi thông tin sẽ không thể thực hiện được.

Đoạn văn Đặt nhãn cho phép bạn chọn định dạng hiển thị các thuộc tính máy tính trên mạng. Theo mặc định, địa chỉ IP của máy tính và tên của nó được hiển thị. Bạn có thể chọn chỉ hiển thị tên máy tính hoặc chỉ địa chỉ IP.

Thiết lập chương trình

Để truy cập cài đặt chương trình, bạn phải nhấp vào nút menu hệ thống và chọn mục Cài đặt…(Hình 11).

Cơm. 11. Truy cập cài đặt
chương trình

Sau đó, một cửa sổ sẽ mở ra Trạng thái và cấu hình, cho phép sản xuất thiết lập chi tiết chương trình (Hình 12).

Cơm. 12. Cửa sổ cấu hình chương trình chi tiết

Trên thực tế, mọi thứ ở đây khá đơn giản và khó có thể cần những bình luận chi tiết, vì vậy chúng tôi sẽ chỉ liệt kê các tính năng có thể triển khai trong cửa sổ cấu hình. Vì vậy, trong cửa sổ này, bạn có thể thay đổi tên máy tính, thực hiện cài đặt kết nối chi tiết, đặt loại khởi động chương trình, chặn hoặc bỏ chặn các dịch vụ Windows dễ bị tấn công, chặn các thành viên mạng mới và triển khai các tính năng khác, ít hơn. lựa chọn quan trọng. Trong số các tính năng quan trọng, chúng tôi lưu ý việc vô hiệu hóa mã hóa khi truyền dữ liệu giữa các máy tính riêng lẻ trên mạng. Để thực hiện việc này, bạn cần nhấp vào biểu tượng Cửa sổ và trong nhóm Vẻ bề ngoài kiểm tra hộp Hiển thị "Nâng cao..." trên mỗi mục menu(Hình 13).

Cơm. 13. Thêm mục Nâng cao...
vào menu thả xuống

Sau này, nếu bạn nhấp chuột phải vào tên máy tính được kết nối với mạng, một mục sẽ xuất hiện trong menu thả xuống Trình độ cao… Nếu bạn chọn nó, một cửa sổ sẽ mở ra Cấu hình đường hầm, cho phép bạn thay đổi cài đặt đường hầm VPN. Để vô hiệu hóa mã hóa tại Mã hóa bạn cần chọn một giá trị Tắt. Trong trường hợp này, dữ liệu từ máy tính của bạn sẽ được chuyển đến PC đã chọn ở dạng không được mã hóa. Tuy nhiên, theo hướng ngược lại, dữ liệu sẽ được truyền đi được mã hóa. Để vô hiệu hóa hoàn toàn tính năng mã hóa cho đường hầm VPN giữa hai máy tính, tính năng này phải được tắt trên cả hai máy tính.

Lưu ý rằng chỉ nên tắt mã hóa trong những trường hợp ngoại lệ vì bản thân quy trình mã hóa khó có thể ảnh hưởng đến lưu lượng truy cập. Thực tế là lưu lượng truy cập sẽ được xác định bởi băng thông kênh Internet của bạn chứ không phải bởi việc sử dụng hoặc thiếu mã hóa. Chỉ khi một đường hầm VPN được hình thành giữa các máy tính trong cùng một mạng cục bộ và thông lượng là khoảng 100 Mbit/s, việc sử dụng mã hóa có thể làm giảm nhẹ tốc độ truyền tối đa (lên tới 70-80 Mbit/s).

Phần kết luận

Chương trình Hamachi là công cụ đắc lực, cho phép bạn tạo mạng VPN rất nhanh chóng. Lưu ý rằng ban đầu nó được tạo ra để cho phép người dùng chơi trò chơi trực tuyến bằng cách bỏ qua máy chủ trò chơi. Tuy nhiên, các tình huống có thể xảy ra khi sử dụng chương trình này rộng hơn nhiều. Do đó, sau khi tạo một mạng ảo và kết nối các máy tính với mạng đó, bạn có thể sử dụng các chương trình quản trị từ xa tiêu chuẩn để truy cập từ xa vào bất kỳ máy tính nào trong mạng ảo, vì mỗi máy tính trong mạng như vậy có địa chỉ IP chuyên dụng riêng.

Đồng thời, cần lưu ý rằng không phải lúc nào cũng có thể thiết lập kết nối trực tiếp giữa các máy tính cá nhân. Và mặc dù trang web của nhà sản xuất tuyên bố rằng chương trình này dễ dàng “xuyên thủng” các bộ định tuyến và thiết bị NAT, nhưng trên thực tế mọi thứ không hề lạc quan như vậy. Tài liệu của chương trình nêu rõ rằng trong 5% trường hợp, không thể thiết lập kết nối trực tiếp giữa các máy tính riêng lẻ, tuy nhiên, đối với chúng tôi, có vẻ như con số này rõ ràng đã bị đánh giá thấp. Tình hình thực sự là thế này: nếu Chúng ta đang nói về Khi kết nối hai máy tính được gán địa chỉ IP công cộng động hoặc tĩnh, không có vấn đề gì. Nghĩa là, nếu bạn chỉ có một máy tính có quyền truy cập Internet ở nhà và bạn cần kết nối với một người dùng cũng có một máy tính có quyền truy cập Internet thì sẽ không có vấn đề gì. Như thực tế cho thấy, không có vấn đề gì khi thiết lập kết nối giữa máy tính của người dùng với địa chỉ IP công cộng động hoặc tĩnh được gán cho nó và máy tính trên mạng cục bộ được bảo vệ bởi bộ định tuyến. Tuy nhiên, nếu một kết nối được thiết lập giữa hai máy tính thuộc các mạng cục bộ khác nhau được bảo vệ bởi bộ định tuyến thì có thể xảy ra sự cố và thực tế không phải là kết nối trực tiếp sẽ được thiết lập. Nghĩa là, một kết nối có thể được thiết lập, nhưng rất có thể nó sẽ không trực tiếp mà thông qua máy chủ Hamachi. Theo đó, tốc độ của kênh liên lạc như vậy sẽ rất thấp và kết nối như vậy sẽ ít được sử dụng. Ví dụ: tại nhà bạn, việc truy cập Internet được thực hiện bằng cách sử dụng bộ phát wifi, nghĩa là, máy tính của bạn là một phần của mạng cục bộ tại nhà và được gán một địa chỉ IP từ dải địa chỉ dành riêng cho mục đích sử dụng riêng tư và địa chỉ công cộng được gán cho cổng WAN của bộ định tuyến mà bạn truy cập Internet qua đó. Nếu bạn đang cố gắng thiết lập kết nối với một máy tính khác cũng là một phần của mạng cục bộ (ví dụ: với máy tính cơ quan ở văn phòng hoặc với máy tính của người dùng có mạng cục bộ được triển khai tại nhà và sử dụng bộ định tuyến), thì trong hầu hết các trường hợp đều có vấn đề phát sinh.

Hướng dẫn sử dụng Hamachi mô tả cách bạn có thể tránh những vấn đề này. Để thực hiện việc này, bạn nên sử dụng cổng UDP cố định (thay vì động) và triển khai chuyển tiếp cổng trên bộ định tuyến. Tuy nhiên, như thực tế cho thấy, việc chuyển tiếp cổng hoặc sử dụng vùng phi quân sự trong bộ định tuyến không phải lúc nào cũng hữu ích.

VPN (Mạng riêng ảo) là một công nghệ phổ biến cho phép bạn tổ chức các mạng ảo trên các mạng thực hiện có. Bài viết này sẽ tập trung vào thuật ngữ và nguyên tắc chung; việc thiết lập các mạng như vậy sẽ được xem xét riêng.

Bất chấp từ “Riêng tư” trong tên của công nghệ, vẫn có thể tổ chức các mạng công cộng – không được mã hóa. Ở tất cả, Tổ chức VPN có thể giải quyết một số lượng lớn phương pháp sử dụng các công nghệ khác nhau ( SSL VPN, IPSec, GRE và vân vân.).

Bất kỳ việc xây dựng VPN nào cũng có nghĩa là tạo ra các đường hầm; đường hầm có nghĩa là một kênh giữa hai thiết bị để truyền dữ liệu. Một điều kiện quan trọng là dữ liệu được tách biệt khỏi các chi tiết cụ thể của việc xây dựng kênh. Thiết bị truyền dữ liệu hữu ích thực hiện việc này như thể không có đường hầm và việc thiết lập đường hầm là một nhiệm vụ riêng biệt. Có hai loại đường hầm VPN:

  1. VPN truy cập từ xa– có nghĩa là một đường hầm được tổ chức giữa một ứng dụng trên máy tính của khách hàng và một số thiết bị hoạt động như một máy chủ và tổ chức các kết nối từ nhiều khách hàng khác nhau (ví dụ: bộ tập trung VPN, bộ định tuyến, Cisco ASA, v.v.)
  2. VPN site-to-site– ngụ ý sự hiện diện của hai thiết bị (ví dụ: bộ định tuyến), giữa đó có một đường hầm cố định; trong trường hợp này, người dùng ở phía sau thiết bị, trên mạng cục bộ và không cần cài đặt phần mềm đặc biệt trên máy tính của họ.

Loại đầu tiên được sử dụng để kết nối, ví dụ: nhân viên từ xa với mạng công ty của doanh nghiệp thông qua kênh bảo mật. Trong trường hợp này, nhân viên có thể ở bất kỳ nơi nào có Internet và phần mềm trên máy tính của anh ta sẽ xây dựng một đường hầm tới bộ định tuyến của công ty, qua đó dữ liệu hữu ích sẽ được truyền đi. Loại thứ hai được sử dụng nếu cần thiết kết nối cố định giữa hai chi nhánh ở xa, hoặc giữa chi nhánh và văn phòng trung tâm. Trong trường hợp này, nhân viên không có phần mềm đặc biệt sẽ làm việc trên mạng văn phòng địa phương và ở ranh giới của mạng này có một bộ định tuyến mà người dùng không chú ý sẽ tạo một đường hầm với bộ định tuyến từ xa và truyền lưu lượng truy cập hữu ích đến nó.

Một đường hầm thường sử dụng ba lớp giao thức:

  1. Giao thức vận chuyển (ví dụ: IP). Đây là giao thức mà trên đó hệ thống hiện có mạng thực, nghĩa là, ban đầu nó không được liên kết với VPN mà được sử dụng để vận chuyển các gói được đóng gói chứa thông tin được mã hóa hoặc rõ ràng liên quan đến mạng nội bộ của đường hầm.
  2. Giao thức đóng gói (ví dụ: GRE) - được sử dụng làm lớp giữa giao thức vận chuyển và giao thức vận chuyển nội bộ.
  3. Giao thức được đóng gói (được vận chuyển) (ví dụ: IP, IPX, IPSec) là các gói thực tế của mạng nội đường hầm; người dùng được kết nối với VPN sẽ gửi các gói mà ở lối vào đường hầm sẽ được đóng gói, chẳng hạn như: trong GRE, sau đó được gói gọn trong một giao thức vận chuyển.

Do đó, thứ tự chung của việc đóng gói, trong trường hợp sử dụng VPN site-to-site, như sau: người dùng gửi một gói thông thường, gói đến thiết bị nơi đường hầm được nâng lên, thiết bị gói gói hữu ích này trong trường “dữ liệu” của giao thức đóng gói, trong hàng đợi của nó được bọc trong trường “dữ liệu” của giao thức vận chuyển. Sau đó, một gói IP dường như bình thường sẽ rời khỏi thiết bị, trong đó trên thực tế, trường tải trọng chứa một gói GRE, đến lượt nó lại chứa một gói IP nội bộ khác. Điều này cho phép đánh địa chỉ độc lập bên trong đường hầm và bên ngoài đường hầm. Khi thiết bị mục tiêu nhận được một gói như vậy, nó sẽ mở rộng gói đó, giải mã GRE và sau đó là gói IP bên trong khỏi gói đó. Sau đó gói nội bộ được gửi đến người nhận. Trong tình huống này, như bạn có thể đoán, người gửi và người nhận không biết gì về sự hiện diện của đường hầm và hành động như thể nó không tồn tại. Đồng thời, trong giao thức vận chuyển một địa chỉ được sử dụng (ví dụ: địa chỉ IP công cộng) và giao thức được vận chuyển có thể sử dụng các địa chỉ riêng, điều này không ngăn cản nó được vận chuyển qua Internet (vì việc định tuyến được thực hiện cho gói truyền tải bên ngoài).

Trong bài viết này chúng ta sẽ xem xét kỹ hơn quá trình thiết lập Máy chủ VPN và trong hệ điều hành Windows Server, đồng thời trả lời các câu hỏi: VPN là gì và cách thiết lập nó Kết nối VPN?

Kết nối VPN là gì?

VPN (Mạng riêng ảo) là mạng riêng ảo được sử dụng để cung cấp kết nối an toàn cho mạng. Công nghệ cho phép bạn kết nối bất kỳ số lượng thiết bị nào vào mạng riêng. Theo quy định, thông qua Internet.

Mặc dù công nghệ này không phải là mới nhưng gần đây nó đã trở nên phù hợp do mong muốn của người dùng là duy trì tính toàn vẹn hoặc quyền riêng tư của dữ liệu trong thời gian thực.

Phương thức kết nối này được gọi là đường hầm VPN. Bạn có thể kết nối với VPN từ bất kỳ máy tính nào, với bất kỳ hệ điều hành nào hỗ trợ kết nối VPN. Hoặc VPN-Client được cài đặt, có khả năng chuyển tiếp các cổng sử dụng TCP/IP sang mạng ảo.

VPN làm gì?

VPN cung cấp kết nối từ xa tới các mạng riêng

Bạn cũng có thể kết hợp một số mạng và máy chủ một cách an toàn

Các máy tính có địa chỉ IP từ 192.168.0.10 đến 192.168.0.125 được kết nối thông qua một cổng mạng, hoạt động như một máy chủ VPN. Các quy tắc kết nối qua kênh VPN trước tiên phải được ghi trên máy chủ và bộ định tuyến.

VPN cho phép bạn sử dụng Internet một cách an toàn khi kết nối ngay cả với mạng Wi-Fi mở ở các khu vực công cộng (tại trung tâm mua sắm, khách sạn hoặc sân bay)

Và cũng bỏ qua các hạn chế về hiển thị nội dung ở một số quốc gia

VPN ngăn chặn các mối đe dọa trên mạng do kẻ tấn công chặn thông tin một cách nhanh chóng mà người nhận không chú ý.

Cách VPN hoạt động

Hãy xem xét nguyên tắc hoạt động của kết nối VPN.

Hãy tưởng tượng rằng việc truyền tải là sự chuyển động của một gói dọc theo đường cao tốc từ điểm A đến điểm B; dọc theo đường đi của gói có các điểm kiểm tra để truyền gói dữ liệu. Khi sử dụng VPN, tuyến đường này còn được bảo vệ bổ sung bởi hệ thống mã hóa và xác thực người dùng để bảo mật lưu lượng chứa gói dữ liệu. Phương pháp này gọi là “tunneling” (đường hầm - sử dụng đường hầm)

Trong kênh này, tất cả thông tin liên lạc đều được bảo vệ một cách đáng tin cậy và tất cả các nút truyền dữ liệu trung gian đều xử lý gói được mã hóa và chỉ khi dữ liệu được truyền đến người nhận, dữ liệu trong gói mới được giải mã và có sẵn cho người nhận được ủy quyền.

VPN sẽ đảm bảo quyền riêng tư cho thông tin của bạn cùng với tính năng chống vi-rút toàn diện.

VPN hỗ trợ các chứng chỉ như OpenVPN, L2TP, IPSec, PPTP, PPOE và hóa ra đây là một cách truyền dữ liệu hoàn toàn an toàn và bảo mật.

Đường hầm VPN được sử dụng:

  1. Bên trong mạng công ty.
  2. Hợp nhất các văn phòng ở xa, cũng như các chi nhánh nhỏ.
  3. Truy cập vào các tài nguyên CNTT bên ngoài.
  4. Để xây dựng hội nghị truyền hình.

Tạo VPN, chọn và cấu hình thiết bị.

truyền thông doanh nghiệp Các tổ chức lớn hoặc hiệp hội văn phòng ở xa nhau sử dụng phần cứng có khả năng duy trì hoạt động liên tục và bảo mật trên mạng.

Để sử dụng dịch vụ VPN, vai trò của cổng mạng có thể là: máy chủ Linux/Windows, bộ định tuyến và cổng mạng nơi VPN được cài đặt trên đó.

Bộ định tuyến phải cung cấp Hoạt động đáng tin cậy mạng không bị đóng băng. Chức năng VPN tích hợp cho phép bạn thay đổi cấu hình để làm việc tại nhà, trong tổ chức hoặc văn phòng chi nhánh.

Thiết lập máy chủ VPN.

Nếu bạn muốn cài đặt và sử dụng máy chủ VPN dựa trên họ Windows thì bạn cần hiểu rằng các máy khách là Windows XP/7/8/10 Chức năng này không hỗ trợ, bạn cần một hệ thống ảo hóa, hoặc máy chủ vật lý trên nền tảng Windows 2000/2003/2008/2012/2016, nhưng chúng ta sẽ xem xét tính năng này trên Windows Server 2008 R2.

1. Trước tiên, bạn cần cài đặt vai trò máy chủ “Chính sách mạng và Dịch vụ truy cập”. Để thực hiện việc này, hãy mở trình quản lý máy chủ và nhấp vào liên kết “Thêm vai trò”:

Chọn vai trò Dịch vụ chính sách truy cập và mạng và nhấp vào tiếp theo:

Chọn "Dịch vụ định tuyến và truy cập từ xa" và nhấp vào Tiếp theo và cài đặt.

2. Sau khi cài đặt vai trò, bạn cần cấu hình nó. Đi tới Trình quản lý máy chủ, mở rộng nhánh "Vai trò", chọn vai trò "Dịch vụ chính sách truy cập và mạng", mở rộng nó, nhấp chuột phải vào "Định tuyến và truy cập từ xa" và chọn "Định cấu hình và bật định tuyến và truy cập từ xa"

Sau khi bắt đầu dịch vụ, chúng tôi coi như cấu hình của vai trò đã hoàn tất. Bây giờ bạn cần cho phép người dùng truy cập vào máy chủ và định cấu hình cấp địa chỉ IP cho máy khách.

Các cổng mà VPN hỗ trợ. Sau khi dịch vụ được nâng lên, chúng sẽ mở trong tường lửa.

Đối với PPTP: 1723 (TCP);

Đối với L2TP: 1701 (TCP)

Đối với SSTP: 443 (TCP).

Giao thức L2TP/IpSec thích hợp hơn để xây dựng mạng VPN, chủ yếu vì mục đích bảo mật và tính sẵn sàng cao hơn do thực tế là một phiên UDP duy nhất được sử dụng cho các kênh dữ liệu và điều khiển. Hôm nay chúng ta sẽ xem xét việc thiết lập máy chủ L2TP/IpSec VPN trên nền tảng Windows Server 2008 r2.

Bạn có thể thử triển khai trên các giao thức sau: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

Chúng ta hãy đi đến Trình quản lý máy chủ: Vai trò - Định tuyến và truy cập từ xa, nhấp chuột phải vào vai trò này và chọn “ Của cải", trên tab “Chung”, chọn hộp bộ định tuyến IPv4, chọn “mạng cục bộ và cuộc gọi theo yêu cầu” và máy chủ truy cập từ xa IPv4:

Bây giờ chúng ta cần nhập khóa chia sẻ trước. Chuyển đến tab Sự an toàn và trong lĩnh vực này Cho phép các chính sách IPSec đặc biệt cho kết nối L2TP, chọn hộp và nhập chìa khóa của bạn. (Về phím. Bạn có thể nhập tổ hợp chữ và số tùy ý vào đó nguyên tắc chính, tổ hợp càng phức tạp thì càng an toàn và hãy ghi nhớ hoặc ghi lại tổ hợp này sau này chúng ta sẽ cần đến). Trong tab Nhà cung cấp xác thực, chọn Xác thực Windows.

Bây giờ chúng ta cần cấu hình Bảo mật kết nối. Để thực hiện việc này, hãy chuyển đến tab Sự an toàn và lựa chọn Phương thức xác thực, kiểm tra các hộp EAP và Xác thực được mã hóa (Microsoft phiên bản 2, MS-CHAP v2):

Tiếp theo chúng ta hãy chuyển đến tab IPv4, ở đó chúng tôi chỉ ra giao diện nào sẽ chấp nhận Kết nối VPN, đồng thời định cấu hình nhóm địa chỉ được cấp cho máy khách L2TP VPN trên tab IPv4 (Đặt Giao diện thành “Cho phép RAS chọn bộ điều hợp”):

Bây giờ chúng ta hãy chuyển đến tab xuất hiện Cổng, nhấp chuột phải và Của cải, chọn kết nối L2TP và hãy nhấn Điều chỉnh, chúng tôi sẽ hiển thị nó trong một cửa sổ mới Kết nối truy cập từ xa (chỉ đến)Kết nối theo yêu cầu (đến và đi) và đặt nó lên số tiền tối đa cổng, số lượng cổng phải phù hợp hoặc vượt quá số lượng khách hàng dự kiến. Tốt hơn hết bạn nên tắt các giao thức không sử dụng bằng cách bỏ chọn cả hai hộp kiểm trong thuộc tính của chúng.

Danh sách các cổng mà chúng tôi còn lại với số lượng quy định.

Điều này hoàn tất việc thiết lập máy chủ. Tất cả những gì còn lại là cho phép người dùng kết nối với máy chủ. Đi đến Quản lý máy chủ Thư mục hoạt động người dùng – chúng tôi tìm thấy người dùng mà chúng tôi muốn cho phép truy cập nhấn của cải, đi đến dấu trang cuộc gọi đến