Navidezna zasebna omrežja (vpn). Kaj je strežnik VPN

domov / Usposabljanje in izobraževanje

Za danes bi bilo koristno razmisliti o nekaj vprašanjih, povezanih z VPN - kaj je, kakšne so njegove funkcije in kako je konfiguriran.

Dejstvo je, da veliko ljudi danes ne ve ničesar o tej tehnologiji, čeprav je zdaj takšno znanje lahko zelo koristno.

Tudi če na to gledate s trgovskega vidika, postavitev VPN stane zelo dober denar.

Torej bi bilo dobro v preprostem jeziku pojasnite, kaj je VPN in kako lahko konfigurirate to tehnologijo v sistemih Windows 7 in Windows 10, najbolj priljubljenih na ta trenutek operacijski sistemi.

Osnovni podatki

Na splošno VPN pomeni Virtual Private Network, to je navidezno zasebno omrežje.

Poenostavljeno povedano, to je tehnologija, ki omogoča, vendar ne z uporabo fizičnih naprav, kot so stikala in usmerjevalniki, temveč z uporabo internetnih virov.

V bistvu VPN ustvari eno lokalno omrežje na vrhu drugega.

Na Microsoftovem spletnem mestu najdete sliko, prikazano na sliki 1. Tam lahko jasno vidite, kaj pomeni stavek "ustvari eno lokalno omrežje na vrhu drugega."

V praksi se zgodi točno to.

Na tej sliki lahko vidite naprave v obliki računalnikov. Oblak pomeni skupno ali javno omrežje, največkrat je to najpogostejši internet.

Oba strežnika sta med seboj povezana prek VPN-ja.

Poleg tega so te naprave med seboj tudi fizično povezane. Toda v praksi to sploh ni potrebno.

Ravno zato je potrebna ta tehnologija – ne za uporabo kablov in naprav, temveč za zadovoljitev s konvencionalnimi tehnologijami za prenos informacij.

Da, zahtevajo tudi kable, vendar niso potrebni za določeno napravo VPN.

Referenca: Lokalno omrežje je povezava več naprav v eno omrežje, ki jim omogoča medsebojno uporabo virov.

Kot je navedeno zgoraj, so v fizičnih lokalnih omrežjih naprave med seboj povezane z optičnimi kabli, sukanimi paricami, radijskimi kanali, pa tudi z Wi-Fi, Bluetooth, GPRS, pa tudi z različnimi napravami, kot so usmerjevalniki.

Tako se v virtualnih omrežjih namesto vsega tega uporablja najpogostejša internetna povezava.

Dostop do različnih naprav seveda ni omogočen kar tako, temveč imajo svoje nivoje identifikacije, ki so usmerjeni v to, da v določeno omrežje VPN "ne spustijo tujcev".

Zdaj pa se podrobneje pogovorimo o tem, kako se vzpostavi povezava v navideznem zasebnem omrežju.

Malo o strukturi

Obstajata dva dela strukture VPN: notranji in zunanji.

Vsak posamezen računalnik je povezan z obema deloma hkrati. To se naredi s pomočjo strežnika.

Server v tem primeru deluje kot nekakšen face control na vhodu v klub. Določa, kdo se prijavi v virtualno omrežje in kdo gre srečo iskat drugam.

Računalnik, ki se poveže z VPN, mora imeti s seboj podatke za preverjanje pristnosti, to je nekakšno enkratno geslo, pametno kartico ali drugo sredstvo, ki bo omogočilo dostop ta postopek.

Za nas to ni posebej pomembno, pomembno je, da postopek avtentikacije sploh obstaja.

Danes strokovnjaki iz različnih velikih podjetij razvijajo nove metode avtentikacije.

Če se vrnemo k istemu primeru z nadzorom obraza na vhodu v klub, potem mora oseba, ki pride v klub, vedeti:

  1. Prvič, njegovo ime, ki mu bo omogočilo, da gre skozi postopek identifikacije;
  2. Drugič, poznati mora na primer enkratno geslo, ki je potrebno za avtorizacijo.

Na popolnoma enak način računalnik, ki pride in se želi pridružiti enemu od omrežij VPN, »nosi« s seboj svoje ime s sredstvom avtorizacije.

Strežnik vnese zgornje podatke v svojo bazo podatkov, zlasti ime povezanega računalnika.

V prihodnosti "nadzor obraza" ne bo več zahteval, da vhodni "stranka" posreduje svoje podatke.

Načeloma bi moralo biti zdaj jasno, kako VPN delujejo in kaj so.

Pravzaprav je v praksi vse veliko bolj zapleteno in če želite postati omrežni specialist, boste morali vedeti precej informacij.

Te informacije se nanašajo zlasti na vrste VPN-jev.

Klasifikacija VPN

Popolna razvrstitev Ta vrsta tehnologije je prikazana na sliki št. 2.

Zdaj pa si podrobneje oglejmo vsako vrsto klasifikacije.

Merila za razvrstitev so:

  • Stopnja zaščite. Po tem kriteriju obstajajo taka omrežja:
  1. Popolnoma zaščiten– temelji na inherentno varnih omrežjih;
  2. “Zanesljivo” zaščiten– nižja stopnja varnosti, ki se uporablja, ko ima »nadrejeno« omrežje zadostno stopnjo zanesljivosti.
  • Način izvedbe. Po tem kriteriju se razlikujejo naslednje vrste omrežij:
  1. Po strojni opremi, torej z uporabo pravih naprav (ta vrsta še vedno nekoliko odstopa od kanonov klasičnega virtualnega omrežja, ki ne uporablja vseh vrst naprav);
  2. S programsko opremo;
  3. Kombinirana metoda.
  • Namen. Znotraj tega kriterija obstajajo naslednje vrste VPN:
  1. Intranet– najpogosteje se uporablja v podjetjih, kjer je združenih več podružnic;
  2. Ekstranet– uporablja se za organizacijo omrežij, kjer niso samo notranji udeleženci podjetja, ampak tudi stranke;
  3. Oddaljen dostop– uporablja se za organiziranje omrežij, v katerih so oddaljene podružnice (najpogosteje imajo te poslovalnice eno osebo, ki dela na daljavo).
  • Po protokolu.Čeprav je mogoče implementirati VPN z uporabo protokolov, kot sta IPX in AppleTalk, se v praksi uporablja le TCP/IP. Razlog je zelo preprost - ta poseben protokol se uporablja povsod po internetu in razvijalci preprosto ne vidijo smisla v "ponovnem odkrivanju kolesa".
  • Po stopnji dela. Tu vse ustreza klasičnemu modelu OSI, VPN pa deluje le na nivoju podatkovne povezave (prenos informacij preko kanalov), omrežja (zagotavlja povezavo) in transporta (zagotavlja prenos podatkov).

Seveda v praksi eno omrežje vključuje več klasifikacijskih značilnosti hkrati.

Zdaj pa pojdimo neposredno na nastavitev omrežja VPN z uporabo zelo običajnega računalnika.

Postavitev virtualnega omrežja

Najprej poglejmo, kako se to naredi v sistemu Windows 7.

V tem operacijski sistem nastavitev poteka po naslednjih razmeroma preprostih korakih:

  • Odprite »Center za omrežje in skupno rabo«. Če želite to narediti, z desno tipko miške kliknite ikono omrežne povezave na plošči za hitri dostop in v spustnem meniju izberite ustrezen element.
  • Vredno je povedati, da ikona omrežne povezave morda ne bo videti enako, kot je prikazano na sliki 3. Lahko ima tudi videz, ki ga lahko vidite na sliki 4.
  • V oknu, ki se odpre, morate klikniti element z imenom »Nastavitev nove povezave ali omrežja« (označeno na sliki št. 5).

  • V oknu, ki se odpre, morate izbrati postavko »Poveži se z delovnim mestom« in klikniti gumb »Naprej« (označeno na sliki št. 6).

  • Če v tem računalniku že obstajajo povezave VPN, se prikaže okno, prikazano na sliki 7. V njem morate izbrati postavko »Ne, ustvari novo povezavo« in znova klikniti gumb »Naprej«.

  • V oknu, ki se prikaže, kliknite element »Uporabi mojo internetno povezavo (VPN)«. Tukaj ni gumba Naprej. S tem ni nič narobe.

  • Zdaj boste morali vnesti naslov in ime omrežja VPN. Kot nakazuje okno za ustvarjanje povezave v sistemu Windows 7, lahko o tem izveste pri skrbniku omrežja.

Če se pridružujete obstoječemu omrežju, morate skrbnika vprašati za te podatke. Ponavadi to ni težko.

Vnesejo se v polja, označena na sliki 9.

  • V istem oknu morate potrditi polje poleg besed »Ne poveži se zdaj ...« in nato kliknite gumb »Naprej«.

  • Zdaj ostane le še vnesti prijavo in geslo za ustrezno omrežje. Polja za to so označena na sliki 10.

Če se v omrežje povezujete prvič, boste te podatke morali ustvariti, nato pa jih bo strežnik preveril in jim v primeru ujemanja “dovolil” vstop v omrežje, vi pa jih boste lahko uporabljali takoj.

Če se povezava ne zgodi prvič, jih strežnik ne bo preveril, ampak jih bo takoj "spustil" v omrežje.

  • Po vnosu ustreznih podatkov morate samo klikniti gumb »Poveži«.

  • Nato se bo pojavilo okno, ki vas bo pozvalo, da se takoj povežete s povezanim omrežjem. Vendar je bolje, da to okno zaprete s klikom na ustrezen gumb, označen na sliki 11.

Zdaj je nastavitev končana in vse, kar ostane, je povezava z ustvarjenim omrežjem. Če želite to narediti, morate znova odpreti »Center za omrežje in skupno rabo«.

  • V oknu, ki se odpre, izberite postavko »Poveži se z omrežjem«, označeno na sliki 12.

  • V njem morate le izbrati ustvarjeno povezavo in klikniti gumb, označen na isti sliki.

Torej, že vemo, kako nastaviti povezavo VPN v sistemu Windows 7.

Kar zadeva Windows 10, je algoritem dejanj skoraj enak. Le nekateri elementi vmesnika in dostopne poti do njih se lahko razlikujejo.

Na primer, »Center za omrežje in skupno rabo« izgleda skoraj enako kot v sistemu Windows 7.

Poleg tega obstaja zelo podoben element, imenovan »Ustvarjanje in nastavitev nove povezave ali omrežja«.

V prihodnje so koraki nastavitve skoraj enaki, le vmesnik bo nekoliko drugačen.

Nevšečnosti se lahko pojavijo le pri tistih uporabnikih sistema Windows 10, ki ne uporabljajo tako imenovanega klasičnega pogleda, ampak v pogledu »Nadzorna plošča - domača stran« boste morali najprej iti v razdelek »Omrežje in internet« in nato izbrati »; Ogled stanja omrežja in opravil" "

V vsakem primeru v postopku nastavitve ni in ne more biti nič zapletenega. Zanimivo je, da je VPN povezavo mogoče uporabljati celo na napravah Android.

Internet se vedno bolj uporablja kot sredstvo komunikacije med računalniki, saj ponuja učinkovito in poceni komunikacijo. Vendar pa je internet javno omrežje in za zagotovitev varne komunikacije prek njega je potreben nek mehanizem, ki izpolnjuje vsaj naslednje naloge:

    zaupnost informacij;

    celovitost podatkov;

    dostopnost informacij;

Te zahteve izpolnjuje mehanizem, imenovan VPN (navidezno zasebno omrežje) – posplošeno ime za tehnologije, ki omogočajo zagotavljanje ene ali več omrežnih povezav (logično omrežje) prek drugega omrežja (na primer interneta) z uporabo kriptografije (šifriranje, avtentikacija , infrastruktura) javni ključi, sredstva za zaščito pred ponavljanji in spremembami sporočil, ki se prenašajo po logičnem omrežju).

Ustvarjanje VPN ne zahteva dodatnih naložb in vam omogoča, da prenehate uporabljati namenske linije. Glede na uporabljene protokole in namen lahko VPN nudi tri vrste povezav: gostitelj-gostitelj, gostitelj-omrežje in omrežje-omrežje.

Za jasnost si predstavljajmo naslednji primer: podjetje ima več geografsko oddaljenih podružnic in »mobilne« zaposlene, ki delajo doma ali na poti. Potrebno je združiti vse zaposlene v podjetju v eno samo mrežo. Najlažji način je, da v vsako podružnico namestite modeme in po potrebi organizirate komunikacije. Ta rešitev pa ni vedno priročna in donosna - včasih sta potrebna stalna komunikacija in velika pasovna širina. Če želite to narediti, boste morali bodisi položiti namensko linijo med podružnicami ali jih najeti. Oboje je precej drago. In tukaj lahko kot alternativo, ko gradite enotno varno omrežje, uporabite povezave VPN vseh podružnic podjetja prek interneta in konfigurirate orodja VPN na gostiteljih omrežja.

riž. 6.4. Povezava VPN od mesta do mesta

riž. 6.5. Vrsta povezave VPN gostiteljsko omrežje

V tem primeru je veliko težav rešenih - podružnice se lahko nahajajo kjer koli po svetu.

Nevarnost tukaj je, prvič, da je odprto omrežje odprto za napade napadalcev po vsem svetu. Drugič, prek interneta se vsi podatki prenesejo na odprta oblika, in napadalci, ki bodo vdrli v omrežje, bodo imeli vse informacije prenesene po omrežju. In tretjič, podatkov ni mogoče le prestreči, ampak tudi zamenjati med prenosom po omrežju. Napadalec bi lahko na primer kršil celovitost baz podatkov tako, da bi deloval v imenu strank ene od zaupanja vrednih podružnic.

Da bi preprečili, da bi se to zgodilo, rešitve VPN uporabljajo funkcije, kot so šifriranje podatkov za zagotavljanje celovitosti in zaupnosti, avtentikacija in avtorizacija za preverjanje pravic uporabnikov in omogočanje dostopa do navideznega zasebnega omrežja.

Povezava VPN je vedno sestavljena iz kanala od točke do točke, znanega tudi kot tunel. Tunel se ustvari na nezaščitenem omrežju, ki je najpogosteje internet.

Tuneliranje ali enkapsulacija je metoda prenosa uporabnih informacij prek vmesnega omrežja. Te informacije so lahko okvirji (ali paketi) drugega protokola. Pri enkapsulaciji se okvir ne prenaša tako, kot ga je ustvaril gostitelj pošiljatelj, ampak je opremljen z dodatno glavo, ki vsebuje informacije o usmerjanju, ki enkapsuliranim paketom omogoča prehod skozi vmesno omrežje (internet). Na koncu tunela se okvirji dekapsulirajo in pošljejo prejemniku. Običajno predor ustvarita dve robni napravi, nameščeni na vstopnih točkah v javno omrežje. Ena od očitnih prednosti tuneliranja je, da vam ta tehnologija omogoča šifriranje celotnega izvornega paketa, vključno z glavo, ki lahko vsebuje podatke, ki vsebujejo informacije, ki jih napadalci uporabljajo za vdor v omrežje (na primer naslove IP, število podomrežij itd.). ) .

Čeprav je tunel VPN vzpostavljen med dvema točkama, lahko vsako vozlišče vzpostavi dodatne tunele z drugimi vozlišči. Na primer, ko morajo tri oddaljene postaje vzpostaviti stik z isto pisarno, bodo za to pisarno ustvarjeni trije ločeni tuneli VPN. Za vse tunele je lahko vozlišče na strani pisarne enako. To je mogoče, ker lahko vozlišče šifrira in dešifrira podatke v imenu celotnega omrežja, kot je prikazano na sliki:

riž. 6.6. Ustvarjanje tunelov VPN za več oddaljenih lokacij

Uporabnik vzpostavi povezavo z VPN prehodom, nakar ima uporabnik dostop do internega omrežja.

Znotraj zasebnega omrežja se samo šifriranje ne zgodi. Razlog je v tem, da ta del omrežja velja za varnega in pod neposrednim nadzorom, v nasprotju z internetom. To velja tudi pri povezovanju pisarn z uporabo prehodov VPN. To zagotavlja, da so šifrirane samo informacije, ki se prenašajo po nevarnem kanalu med uradi.

Obstaja veliko različnih rešitev za gradnjo virtualnih zasebnih omrežij. Najbolj znani in razširjeni protokoli so:

    PPTP (Point-to-Point Tunneling Protocol) – ta protokol je postal precej priljubljen zaradi vključitve v Microsoftove operacijske sisteme.

    L2TP (Layer-2 Tunneling Protocol) – združuje protokol L2F (Layer 2 Forwarding) in protokol PPTP. Običajno se uporablja v povezavi z IPSec.

    IPSec (Internet Protocol Security) je uradni internetni standard, ki ga je razvila skupnost IETF (Internet Engineering Task Force).

Navedene protokole podpirajo naprave D-Link.

Protokol PPTP je namenjen predvsem navideznim zasebnim omrežjem, ki temeljijo na povezavah na klic. Protokol omogoča oddaljen dostop, kar uporabnikom omogoča vzpostavitev klicnih povezav z internetnimi ponudniki in ustvarjanje varnega tunela do njihovih poslovnih omrežij. Za razliko od IPSec PPTP prvotno ni bil namenjen ustvarjanju tunelov med lokalnimi omrežji. PPTP razširja zmožnosti PPP, protokola podatkovne povezave, ki je bil prvotno zasnovan za enkapsulacijo podatkov in njihovo dostavo prek povezav od točke do točke.

Protokol PPTP omogoča ustvarjanje varnih kanalov za izmenjavo podatkov preko različnih protokolov - IP, IPX, NetBEUI itd. Podatki iz teh protokolov so zapakirani v okvirje PPP in enkapsulirani s protokolom PPTP v pakete protokola IP. Nato se prenesejo z uporabo IP-ja v šifrirani obliki prek katerega koli omrežja TCP/IP. Sprejemno vozlišče ekstrahira okvirje PPP iz paketov IP in jih nato obdela na standarden način, tj. ekstrahira paket IP, IPX ali NetBEUI iz okvira PPP in ga pošlje lokalno omrežje. Tako protokol PPTP ustvari povezavo od točke do točke v omrežju in prenaša podatke po ustvarjenem varnem kanalu. Glavna prednost enkapsuliranih protokolov, kot je PPTP, je njihova večprotokolna narava. Tisti. Zaščita podatkov na ravni podatkovne povezave je pregledna za protokole omrežne in aplikacijske plasti. Zato se znotraj omrežja lahko kot transport uporablja tako protokol IP (kot v primeru VPN, ki temelji na IPSec) kot kateri koli drug protokol.

Trenutno se protokol PPTP zaradi enostavnosti implementacije pogosto uporablja tako za pridobitev zanesljivega varnega dostopa do omrežja podjetja kot tudi za dostop do omrežij internetnih ponudnikov, ko mora odjemalec za dostop vzpostaviti PPTP povezavo z internetnim ponudnikom. na internet.

Metoda šifriranja, uporabljena v PPTP, je določena na ravni PPP. Običajno je odjemalec PPP namizni računalnik z Microsoftovim operacijskim sistemom, šifrirni protokol pa je Microsoftovo šifriranje od točke do točke (MPPE). Ta protokol temelji na standardu RSA RC4 in podpira 40- ali 128-bitno šifriranje. Za številne aplikacije te stopnje šifriranja uporaba tega algoritma povsem zadostuje, čeprav velja za manj varnega kot nekateri drugi algoritmi šifriranja, ki jih ponuja IPSec, zlasti 168-bitni standard šifriranja s trojnimi podatki (3DES). .

Kako se povezava vzpostaviPPTP?

PPTP enkapsulira pakete IP za prenos po omrežju IP. Odjemalci PPTP ustvarijo povezavo za nadzor tunela, ki ohranja delovanje kanala. Ta postopek se izvede na transportni ravni modela OSI. Ko je tunel ustvarjen, odjemalski računalnik in strežnik začneta izmenjevati servisne pakete.

Poleg nadzorne povezave PPTP se ustvari povezava za posredovanje podatkov skozi tunel. Enkapsulacija podatkov pred pošiljanjem v tunel vključuje dva koraka. Najprej se ustvari informacijski del okvira PPP. Podatki tečejo od zgoraj navzdol, od aplikacijske plasti OSI do plasti podatkovne povezave. Prejeti podatki se nato pošljejo v model OSI in enkapsulirajo s protokoli zgornje plasti.

Podatki s povezovalne plasti dosežejo transportno plast. Vendar informacij ni mogoče poslati na cilj, saj je za to odgovorna plast podatkovne povezave OSI. Zato PPTP šifrira polje koristnega tovora paketa in prevzame funkcije druge plasti, ki običajno pripadajo PPP, tj. dodajanje glave in napovednika PPP v paket PPTP. S tem je izdelava okvirja povezovalne plasti zaključena. Nato PPTP enkapsulira okvir PPP v paket Generic Routing Encapsulation (GRE), ki pripada omrežni plasti. GRE enkapsulira protokole omrežnega sloja, kot sta IP, IPX, da omogoči njihov prenos prek omrežij IP. Vendar uporaba samo protokola GRE ne bo zagotovila vzpostavitve seje in varnosti podatkov. To uporablja zmožnost PPTP za ustvarjanje povezave za nadzor tunela. Uporaba GRE kot metode enkapsulacije omejuje obseg PPTP samo na omrežja IP.

Ko je bil okvir PPP enkapsuliran v okvir z glavo GRE, se izvede enkapsulacija v okvir z glavo IP. Glava IP vsebuje izvorni in ciljni naslov paketa. Končno PPTP doda glavo PPP in konec.

Vklopljeno riž. 6.7 Prikazana je struktura podatkov za posredovanje preko tunela PPTP:

riž. 6.7. Podatkovna struktura za posredovanje preko tunela PPTP

Vzpostavitev VPN na podlagi PPTP ne zahteva velikih stroškov ali zapletenih nastavitev: dovolj je, da v centralni pisarni namestite strežnik PPTP (rešitve PPTP obstajajo tako za platformo Windows kot Linux) in izvedete potrebne nastavitve na odjemalskih računalnikih. Če morate združiti več vej, je namesto nastavitve PPTP na vseh odjemalskih postajah bolje uporabiti internetni usmerjevalnik ali požarni zid s podporo za PPTP: nastavitve se izvajajo samo na robnem usmerjevalniku (požarni zid), ki je povezan z internetom, vse je za uporabnike popolnoma pregledno. Primeri takih naprav so večnamenski internetni usmerjevalniki serije DIR/DSR in požarni zidovi serije DFL.

GRE- tuneli

Generic Routing Encapsulation (GRE) je protokol enkapsulacije omrežnih paketov, ki zagotavlja tuneliranje prometa skozi omrežja brez šifriranja. Primeri uporabe GRE:

    prenos prometa (vključno z oddajanjem) prek opreme, ki ne podpira določenega protokola;

    tuneliranje prometa IPv6 prek omrežja IPv4;

    prenos podatkov prek javnih omrežij za vzpostavitev varne povezave VPN.

riž. 6.8. Primer delovanja tunela GRE

Med dvema usmerjevalnikoma A in B ( riž. 6.8) obstaja več usmerjevalnikov, vam tunel GRE omogoča povezavo med lokalnimi omrežji 192.168.1.0/24 in 192.168.3.0/24, kot da bi bila usmerjevalnik A in B povezana neposredno.

L2 TP

Protokol L2TP je nastal kot rezultat kombinacije protokolov PPTP in L2F. Glavna prednost protokola L2TP je, da omogoča ustvarjanje tunela ne samo v omrežjih IP, ampak tudi v omrežjih ATM, X.25 in Frame relay. L2TP uporablja UDP kot transport in uporablja isto obliko sporočila tako za nadzor tunela kot za posredovanje podatkov.

Tako kot pri PPTP tudi L2TP začne sestavljati paket za prenos v tunel tako, da najprej doda glavo PPP v podatkovno polje informacij PPP, nato pa še glavo L2TP. Nastali paket je enkapsuliran z UDP. Odvisno od vrste izbranega varnostnega pravilnika IPSec lahko L2TP šifrira sporočila UDP in doda glavo in konec ESP (Encapsulating Security Payload) ter konec preverjanja pristnosti IPSec (glejte razdelek »L2TP prek IPSec«). Nato je enkapsuliran v IP. Dodana je glava IP, ki vsebuje naslova pošiljatelja in prejemnika. Končno L2TP izvede drugo inkapsulacijo PPP, da pripravi podatke za prenos. Vklopljeno riž. 6.9 prikazuje strukturo podatkov za posredovanje preko tunela L2TP.

riž. 6.9. Struktura podatkov za posredovanje preko tunela L2TP

Prejemni računalnik sprejme podatke, obdela glavo PPP in zaključek ter odstrani glavo IP. Preverjanje pristnosti IPSec preverja pristnost informacijskega polja IP, glava IPSec ESP pa pomaga dešifrirati paket.

Računalnik nato obdela glavo UDP in uporabi glavo L2TP za identifikacijo tunela. Paket PPP zdaj vsebuje samo koristne podatke, ki so obdelani ali posredovani navedenemu prejemniku.

IPsec (okrajšava za IP Security) je nabor protokolov za zagotavljanje zaščite podatkov, ki se prenašajo prek internetnega protokola (IP), ki omogoča avtentikacijo in/ali šifriranje paketov IP. IPsec vključuje tudi protokole za varno izmenjavo ključev prek interneta.

IPSec varnost je dosežena z dodatnimi protokoli, ki IP paketu dodajo svoje glave – enkapsulacija. Ker IPSec je internetni standard in zanj obstajajo RFC-ji:

    RFC 2401 (Security Architecture for the Internet Protocol) – varnostna arhitektura za IP protokol.

    RFC 2402 (glava avtentikacije IP) – glava avtentikacije IP.

    RFC 2404 (Uporaba HMAC-SHA-1-96 znotraj ESP in AH) – uporaba algoritma zgoščevanja SHA-1 za ustvarjanje glave za preverjanje pristnosti.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - uporaba šifrirnega algoritma DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – šifriranje podatkov.

    RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) je področje uporabe protokola za upravljanje ključev.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – upravljanje ključev in avtentifikatorjev za varne povezave.

    RFC 2409 (The Internet Key Exchange (IKE)) – izmenjava ključev.

    RFC 2410 (Algoritem za šifriranje NULL in njegova uporaba z IPsec) – algoritem za šifriranje in njegova uporaba.

    RFC 2411 (IP Security Document Roadmap) je nadaljnji razvoj standarda.

    RFC 2412 (OAKLEY Key Determination Protocol) – preverjanje pristnosti ključa.

IPsec je sestavni del internetnega protokola IPv6 in neobvezna razširitev različice internetnega protokola IPv4.

Mehanizem IPSec rešuje naslednje težave:

    avtentikacija uporabnikov ali računalnikov pri inicializaciji varnega kanala;

    šifriranje in avtentikacijo podatkov, ki se prenašajo med končne točke varen kanal;

    samodejno zagotavljanje končnih točk kanala s tajnimi ključi, potrebnimi za delovanje protokolov za avtentikacijo in šifriranje podatkov.

Komponente IPSec

AH (Authentication Header) protokol – identifikacijski protokol glave. Zagotavlja celovitost s preverjanjem, da med prenosom ni bil spremenjen noben bit v zaščitenem delu paketa. Toda uporaba AH lahko povzroči težave, na primer, ko gre paket skozi napravo NAT. NAT spremeni naslov IP paketa, da omogoči dostop do interneta z zasebnega lokalnega naslova. Ker V tem primeru se bo paket spremenil, nato pa bo kontrolna vsota AH postala napačna (za odpravo te težave je bil razvit protokol NAT-Traversal (NAT-T), ki omogoča prenos ESP prek UDP in pri svojem delovanju uporablja vrata UDP 4500) . Prav tako je treba omeniti, da je bil AH zasnovan samo za celovitost. Ne zagotavlja zaupnosti s šifriranjem vsebine paketa.

Protokol ESP (Encapsulation Security Payload) ne zagotavlja le celovitosti in avtentikacije prenesenih podatkov, temveč tudi šifriranje podatkov ter zaščito pred lažnim ponovnim predvajanjem paketov.

Protokol ESP je enkapsulacijski varnostni protokol, ki zagotavlja celovitost in zaupnost. V transportnem načinu se glava ESP nahaja med izvirno glavo IP in glavo TCP ali UDP. V tunelskem načinu je glava ESP postavljena med novo glavo IP in popolnoma šifriran originalni paket IP.

Ker Oba protokola - AH in ESP - dodajata svoje glave IP, vsak od njih ima svojo številko protokola (ID), s katero lahko določite, kaj sledi glavi IP. Vsak protokol ima po IANA (Internet Assigned Numbers Authority – organizacija, odgovorna za internetni naslovni prostor) svojo številko (ID). Na primer, za TCP je to število 6, za UDP pa 17. Zato je pri delu prek požarnega zidu zelo pomembno, da konfigurirate filtre tako, da omogočite prehod paketom z ID-jem AH in/ali protokolom ESP skozi.

Za označevanje, da je AH prisoten v glavi IP, je ID protokola nastavljen na 51, za ESP pa je številka 50.

POZOR: ID protokola ni enak številki vrat.

Protokol IKE (Internet Key Exchange) je standardni protokol IPsec, ki se uporablja za zagotavljanje varne komunikacije v navideznih zasebnih omrežjih. Namen IKE je varno pogajanje in dostava identificiranega materiala varnostnemu združenju (SA).

SA je izraz IPSec za povezavo. Vzpostavljen SA (varen kanal, imenovan varnostno združenje ali SA) vključuje skupni tajni ključ in nabor kriptografskih algoritmov.

Protokol IKE opravlja tri glavne naloge:

    zagotavlja sredstvo za preverjanje pristnosti med dvema končnima točkama VPN;

    vzpostavi nove IPSec povezave (ustvari SA par);

    upravlja obstoječe povezave.

IKE uporablja vrata UDP številka 500. Pri uporabi funkcije NAT Traversal, kot smo že omenili, protokol IKE uporablja vrata UDP številka 4500.

Izmenjava podatkov v IKE poteka v dveh fazah. V prvi fazi se ustanovi IKE SA. V tem primeru se končne točke kanala overijo in izberejo se parametri za zaščito podatkov, kot so algoritem šifriranja, ključ seje itd.

V drugi fazi se IKE SA uporablja za pogajanja o protokolu (običajno IPSec).

Ko je konfiguriran tunel VPN, se ustvari en par SA za vsak uporabljeni protokol. SA se ustvarjajo v parih, ker Vsak SA je enosmerna povezava in podatke je treba prenašati v dveh smereh. Nastali pari SA so shranjeni na vsakem vozlišču.

Ker lahko vsako vozlišče vzpostavi več tunelov z drugimi vozlišči, ima vsak SA edinstveno številko za identifikacijo, kateremu vozlišču pripada. Ta številka se imenuje SPI (indeks varnostnih parametrov).

SA je shranjen v bazi podatkov (DB) S.A.D.(Baza podatkov združenja za varnost).

Vsako vozlišče IPSec ima tudi drugi DB − SPD(Security Policy Database) – zbirka varnostnih politik. Vsebuje konfigurirano politiko spletnega mesta. Večina rešitev VPN omogoča ustvarjanje več politik s kombinacijami ustreznih algoritmov za vsakega gostitelja, s katerim je treba vzpostaviti povezavo.

Prilagodljivost IPSec je v tem, da za vsako nalogo obstaja več načinov za njeno rešitev, metode, izbrane za eno nalogo, pa so običajno neodvisne od metod za izvajanje drugih nalog. Hkrati je delovna skupina IETF definirala osnovni nabor podprtih funkcij in algoritmov, ki naj bi bili enotno implementirani v vse izdelke, ki podpirajo IPSec. Mehanizme AH in ESP je mogoče uporabiti z različnimi shemami za preverjanje pristnosti in šifriranjem, od katerih so nekatere obvezne. Na primer, IPSec določa, da so paketi overjeni z enosmerno funkcijo MD5 ali enosmerno funkcijo SHA-1, šifriranje pa se izvaja z algoritmom DES. Proizvajalci izdelkov, ki uporabljajo IPSec, lahko dodajo druge algoritme za preverjanje pristnosti in šifriranje. Nekateri izdelki na primer podpirajo algoritme šifriranja, kot so 3DES, Blowfish, Cast, RC5 itd.

Za šifriranje podatkov v IPSec je mogoče uporabiti kateri koli simetrični algoritem šifriranja, ki uporablja tajne ključe.

Zaščitni protokoli za oddani tok (AH in ESP) lahko delujejo v dveh načinih: način prevoza in v tunelski način. Ko deluje v transportnem načinu, IPsec deluje samo z informacijami transportnega sloja, tj. Šifrirano je samo podatkovno polje paketa, ki vsebuje protokole TCP/UDP (glava paketa IP se ne spremeni (ni šifrirano)). Transportni način se običajno uporablja za vzpostavljanje povezav med gostitelji.

V načinu tuneliranja je celoten paket IP šifriran, vključno z glavo omrežne plasti. Da se lahko prenaša po omrežju, se postavi v drug paket IP. V bistvu gre za varen tunel IP. Tunelski način se lahko uporablja za povezavo oddaljenih računalnikov z navideznim zasebnim omrežjem (shema povezave med gostiteljem in omrežjem) ali za organiziranje varnega prenosa podatkov prek odprtih komunikacijskih kanalov (na primer internet) med prehodi za povezavo različnih delov navideznega zasebnega omrežja. omrežje (shema omrežne povezave -net").

Načini IPsec se med seboj ne izključujejo. Na istem vozlišču lahko nekateri SA uporabljajo transportni način, medtem ko drugi uporabljajo tunelski način.

Med fazo preverjanja pristnosti se izračuna ICV (Integrity Check Value) paketa. To predpostavlja, da obe vozlišči poznata skrivni ključ, ki prejemniku omogoča izračun ICV in ga primerja z rezultatom, ki ga pošlje pošiljatelj. Če je primerjava ICV uspešna, se šteje, da je pošiljatelj paketa overjen.

V načinu transportA.H.

    celoten paket IP, razen nekaterih polj v glavi IP, ki se lahko med prenosom spremenijo. Ta polja, katerih vrednosti so 0 za izračun ICV, so lahko vrsta storitve (TOS), zastavice, odmik fragmenta, čas življenja (TTL) in glava kontrolne vsote;

    vsa polja v AH;

    Koristna obremenitev paketa IP.

AH v transportnem načinu ščiti glavo IP (razen polj, za katera so dovoljene spremembe) in obremenitev v izvirnem paketu IP (slika 3.39).

V tunelskem načinu se originalni paket postavi v nov paket IP, prenos podatkov pa se izvede na podlagi glave novega paketa IP.

Za tunelski načinA.H. Pri izvajanju izračuna kontrolna vsota ICV vključuje naslednje komponente:

    vsa polja zunanje glave IP, razen nekaterih polj v glavi IP, ki jih je mogoče spremeniti med prenosom. Ta polja, katerih vrednosti so 0 za izračun ICV, so lahko vrsta storitve (TOS), zastavice, odmik fragmenta, čas življenja (TTL) in glava kontrolne vsote;

    vsa polja AH;

    originalni IP paket.

Kot lahko vidite na naslednji sliki, način tuneliranja AH ščiti celoten izvirni paket IP z uporabo dodatne zunanje glave, ki je transportni način AH ne uporablja:

riž. 6.10. Tunelski in transportni načini delovanja protokola AN

V načinu transportESP ne preverja pristnosti celotnega paketa, ampak samo ščiti tovor IP. Glava ESP v transportnem načinu ESP je dodana paketu IP takoj za glavo IP, napovednik ESP (ESP Trailer) pa je ustrezno dodan za podatki.

Prenosni način ESP šifrira naslednje dele paketa:

    obremenitev IP;

Algoritem šifriranja, ki uporablja način veriženja šifriranih blokov (CBC), ima nešifrirano polje med glavo ESP in koristnim tovorom. To polje se imenuje IV (inicializacijski vektor) za izračun CBC, ki se izvede na sprejemniku. Ker se to polje uporablja za začetek postopka dešifriranja, ga ni mogoče šifrirati. Čeprav ima napadalec možnost ogleda IV, ne more dešifrirati šifriranega dela paketa brez šifrirnega ključa. Da preprečimo napadalcem spreminjanje inicializacijskega vektorja, je zaščiten s kontrolno vsoto ICV. V tem primeru ICV izvede naslednje izračune:

    vsa polja v glavi ESP;

    tovor, vključno z golim besedilom IV;

    vsa polja v ESP Trailer razen podatkovnega polja za preverjanje pristnosti.

Način tunela ESP enkapsulira celoten izvirni paket IP v novo glavo IP, glavo ESP in napovednik ESP. Za označevanje, da je ESP prisoten v glavi IP, je identifikator protokola IP nastavljen na 50, pri čemer izvirna glava IP in koristni tovor ostaneta nespremenjena. Tako kot pri načinu tunela AH tudi zunanja glava IP temelji na konfiguraciji tunela IPSec. V primeru tunelskega načina ESP območje za preverjanje pristnosti paketa IP prikazuje, kje je bil podpis postavljen za potrditev njegove celovitosti in pristnosti, šifrirani del pa kaže, da so informacije varne in zaupne. Izvorna glava je postavljena za glavo ESP. Ko je šifrirani del enkapsuliran v novo glavo tunela, ki ni šifriran, se paket IP prenese. Ko je paket poslan prek javnega omrežja, je paket usmerjen na naslov IP prehoda sprejemnega omrežja, prehod pa dešifrira paket in zavrže glavo ESP z uporabo izvirne glave IP, da nato paket usmeri v računalnik v notranjem omrežju. Način tuneliranja ESP šifrira naslednje dele paketa:

    izvirni IP paket;

  • Za tunelski način ESP se ICV izračuna na naslednji način:

    vsa polja v glavi ESP;

    izvirni paket IP, vključno z golim besedilom IV;

    vsa polja glave ESP razen podatkovnega polja za preverjanje pristnosti.

riž. 6.11. Tunelski in transportni način protokola ESP

riž. 6.12. Primerjava protokolov ESP in AH

Povzetek načinov uporabeIPSec:

    Protokol – ESP (AH).

    Način – tunel (transport).

    Metoda izmenjave ključev je IKE (ročno).

    Način IKE – glavni (agresivni).

    DH ključ – skupina 5 (skupina 2, skupina 1) – številka skupine za izbiro dinamično kreiranih ključev seje, dolžina skupine.

    Avtentikacija – SHA1 (SHA, MD5).

    Šifriranje – DES (3DES, Blowfish, AES).

Pri ustvarjanju pravilnika je običajno mogoče ustvariti urejen seznam algoritmov in Diffie-Hellmanovih skupin. Diffie-Hellman (DH) je šifrirni protokol, ki se uporablja za vzpostavitev skupnih tajnih ključev za IKE, IPSec in PFS (Perfect Forward Secrecy). V tem primeru bo uporabljen prvi položaj, ki se ujema na obeh vozliščih. Zelo pomembno je, da vse v varnostni politiki omogoča to uskladitev. Če se vse ostalo ujema, razen enega dela pravilnika, vozlišča še vedno ne bodo mogla vzpostaviti povezave VPN. Ko nastavljate tunel VPN med različnimi sistemi, morate ugotoviti, katere algoritme podpira posamezna stran, da lahko izberete najbolj varno politiko.

Osnovne nastavitve, ki jih vključuje varnostna politika:

    Simetrični algoritmi za šifriranje/dešifriranje podatkov.

    Kriptografske kontrolne vsote za preverjanje celovitosti podatkov.

    Metoda identifikacije vozlišča. Najpogostejše metode so vnaprej deljene skrivnosti ali potrdila CA.

    Ali želite uporabiti tunelski ali transportni način.

    Katero Diffie-Hellmanovo skupino uporabiti (DH skupina 1 (768-bit); DH skupina 2 (1024-bit); DH skupina 5 (1536-bit)).

    Ali uporabiti AH, ESP ali oboje.

    Ali uporabiti PFS.

Omejitev IPSec je, da podpira le komunikacijo na ravni protokola IP.

Obstajata dve glavni shemi za uporabo IPSec, ki se razlikujeta po vlogi vozlišč, ki tvorijo varen kanal.

V prvi shemi se varen kanal oblikuje med končnimi gostitelji omrežja. V tej shemi protokol IPSec ščiti vozlišče, na katerem se izvaja naslednje:

riž. 6.13. Ustvarite varen kanal med dvema končnima točkama

V drugi shemi je varen kanal vzpostavljen med dvema varnostnima prehodoma. Ti prehodi sprejemajo podatke od končnih gostiteljev, povezanih z omrežji, ki se nahajajo za prehodi. Končni gostitelji v tem primeru ne podpirajo protokola IPSec; promet, poslan v javno omrežje, gre skozi varnostni prehod, ki v njegovem imenu izvaja zaščito.

riž. 6.14. Ustvarjanje varnega kanala med dvema prehodoma

Za gostitelje, ki podpirajo IPSec, je mogoče uporabiti tako transportni kot tunelski način. Prehodi lahko uporabljajo samo tunelski način.

Namestitev in podporaVPN

Kot že omenjeno, je namestitev in vzdrževanje tunela VPN postopek v dveh korakih. V prvi fazi (fazi) se dve vozlišči dogovorita o metodi identifikacije, algoritmu šifriranja, algoritmu zgoščevanja in Diffie-Hellmanovi skupini. Med seboj se tudi identificirajo. Vse to se lahko zgodi kot posledica izmenjave treh nešifriranih sporočil (t.i. agresivni način, Agresivno način) ali šest sporočil, z izmenjavo šifriranih identifikacijskih informacij (standardni način, Glavni način).

V glavnem načinu je možno uskladiti vse konfiguracijske parametre naprave pošiljatelja in prejemnika, medtem ko v agresivnem načinu te možnosti ni in je treba nekatere parametre (skupina Diffie-Hellman, algoritmi šifriranja in avtentikacije, PFS) konfigurirati identično v napredovati na vsaki napravi. Vendar pa sta v tem načinu tako število izmenjav kot število poslanih paketov nižja, kar povzroči manj časa, potrebnega za vzpostavitev seje IPSec.

riž. 6.15. Sporočila v standardnem (a) in agresivnem (b) načinu

Ob predpostavki, da je bila operacija uspešno zaključena, se ustvari prva faza SA − Faza 1 S.A.(imenovano tudi IKES.A.) in postopek preide v drugo fazo.

V drugi fazi se ustvarijo ključni podatki in vozlišča se dogovorijo o politiki, ki jo bodo uporabili. Ta način, imenovan tudi hitri način, se od prve faze razlikuje po tem, da ga je mogoče vzpostaviti šele po prvi fazi, ko so vsi paketi druge faze šifrirani. Pravilen zaključek druge faze ima za posledico videz Faza 2 S.A. oz IPSecS.A. in na tej točki se šteje, da je namestitev predora končana.

Najprej v vozlišče prispe paket s ciljnim naslovom v drugem omrežju in vozlišče začne prvo fazo z vozliščem, odgovornim za drugo omrežje. Recimo, da je bil tunel med vozlišči uspešno vzpostavljen in čaka na pakete. Vendar se morajo vozlišča po določenem času med seboj ponovno identificirati in primerjati pravilnike. To obdobje se imenuje življenjska doba prve faze ali življenjska doba IKE SA.

Vozlišča morajo tudi spremeniti ključ za šifriranje podatkov po časovnem obdobju, imenovanem Phase Two ali življenjska doba IPSec SA.

Življenjska doba druge faze je krajša od življenjske dobe prve faze, ker ... ključ je treba menjati pogosteje. Za obe vozlišči morate nastaviti enake parametre življenjske dobe. Če tega ne storite, je možno, da bo tunel sprva uspešno vzpostavljen, vendar bo po prvi nedosledni življenjski dobi povezava prekinjena. Težave se lahko pojavijo tudi, če je življenjska doba prve faze krajša od življenjske dobe druge faze. Če predhodno konfiguriran tunel preneha delovati, je treba najprej preveriti življenjsko dobo na obeh vozliščih.

Upoštevati je treba tudi, da če se pravilnik spremeni na enem od vozlišč, bodo spremembe začele veljati šele ob naslednji prvi fazi. Da bi spremembe začele veljati takoj, je treba SA za ta predor odstraniti iz baze podatkov SAD. To bo povzročilo ponovno pogajanje o dogovoru med vozlišči z novimi nastavitvami varnostne politike.

Včasih se pri vzpostavitvi tunela IPSec med opremo različnih proizvajalcev pojavijo težave zaradi usklajevanja parametrov pri vzpostavitvi prve faze. Bodite pozorni na tak parameter, kot je lokalni ID - to je edinstven identifikator končne točke tunela (pošiljatelj in prejemnik). To je še posebej pomembno pri ustvarjanju več tunelov in uporabi protokola NAT Traversal.

MrtevPeerOdkrivanje

Med delovanjem VPN, če ni prometa med končnimi točkami predora ali ko se spremenijo začetni podatki oddaljenega vozlišča (na primer sprememba dinamično dodeljenega naslova IP), lahko pride do situacije, ko predor v bistvu ni več tako rekoč postane tunel duhov. Da bi ohranili stalno pripravljenost za izmenjavo podatkov v ustvarjenem tunelu IPSec, vam mehanizem IKE (opisan v RFC 3706) omogoča spremljanje prisotnosti prometa iz oddaljenega vozlišča tunela in če ga ni za določen čas, poslano je pozdravno sporočilo (v požarnih zidovih je sporočilo "DPD-R-U-THERE" poslano D-Linku. Če v določenem času ni odgovora na to sporočilo, se v požarnih zidovih D-Link, določenih z nastavitvami »Čas poteka DPD«, predor razgradi. Požarni zidovi D-Link po tem z uporabo nastavitev "DPD Keep Time" ( riž. 6.18), samodejno poskusite obnoviti tunel.

ProtokolNATPrehod

Promet IPsec je mogoče usmeriti v skladu z istimi pravili kot drugi protokoli IP, toda ker usmerjevalnik ne more vedno pridobiti informacij, specifičnih za protokole transportne plasti, IPsec ne more preiti skozi prehode NAT. Kot smo že omenili, je IETF za rešitev te težave opredelil način za enkapsulacijo ESP v UDP, imenovan NAT-T (NAT Traversal).

Protokol NAT Traversal enkapsulira promet IPSec in hkrati ustvari pakete UDP, ki jih NAT pravilno posreduje. Da bi to naredil, NAT-T postavi dodatno glavo UDP pred paket IPSec, tako da se v celotnem omrežju obravnava kot običajni paket UDP in gostitelj prejemnik ne izvaja nobenih preverjanj celovitosti. Ko paket prispe na cilj, se glava UDP odstrani in podatkovni paket nadaljuje svojo pot kot enkapsuliran paket IPSec. Tako je z uporabo mehanizma NAT-T mogoče prek požarnih zidov vzpostaviti komunikacijo med odjemalci IPSec v varnih omrežjih in javnimi gostitelji IPSec.

Pri konfiguraciji požarnih zidov D-Link na prejemni napravi je treba upoštevati dve točki:

    V poljih Oddaljeno omrežje in Oddaljena končna točka podajte omrežje in naslov IP naprave za oddaljeno pošiljanje. Omogočiti je treba prevod IP naslova iniciatorja (pošiljatelja) s tehnologijo NAT (slika 3.48).

    Ko uporabljate ključe v skupni rabi z več tuneli, povezanimi z istim oddaljenim požarnim zidom, ki so bili NAT na isti naslov, je pomembno zagotoviti, da je lokalni ID edinstven za vsak tunel.

Lokalno ID je lahko eden od:

    Avto– naslov IP vmesnika za odhodni promet se uporablja kot lokalni identifikator.

    IP– IP naslov vrat WAN oddaljenega požarnega zidu

    DNS– naslov DNS

    Takšna povezava je lahko potrebna, če se po omrežju prenašajo osebni podatki ali druge informacije, ki ne bi smele doseči neznancev. Poleg tega povezava VPN pomaga pri povezovanju osebnih računalnikov uporabnikov interneta, ki se včasih nahajajo celo na različnih celinah. Čeprav ni zelo poceni, je precej učinkovita rešitev vprašanje zaščite podatkov, ki se prenašajo po omrežju.

    Zanimivo je, da je virtualna tehnologija trenutno brezžična omrežja zavzema ključno mesto. Njegova posebnost je ustvarjanje posebnega komunikacijskega kanala. Uporablja se lahko za prenos kakršnih koli informacij iz velika verjetnost da bo ostal nedostopen zunanjim osebam.

    Za ustvarjanje takšne zaščite se uporablja protokol PPTP. Poleg tega tehnologija VPN zagotavlja šifriranje posebej pomembnih podatkov. Praviloma se zgodi med dvema točkama, ki sta povezani z varnim komunikacijskim kanalom.

    Zanimivo je, da če želite za kakršenkoli namen skriti naslov IP svojega računalnika, vam bo pomagala tudi povezava VPN. To je lahko na primer uporabno, če mora uporabnik dostopati do datoteke na spletnem mestu, ki zavrača dostop računalnikom z naslovi IP določene države. Z uporabo VPN bo uporabnik ostal anonimen za sistem. Največ, kar je mogoče izvedeti o njem, je naslov strežnika VPN. Vendar pa je verjetnost, da bo uporabnik izračunan, minimalna, saj se dnevniki samodejno počistijo enkrat na dan. Poleg tega virtualno omrežje pomaga šifrirati ne le informacije, ki se prenašajo, ampak tudi količino prometa.

    VPN v praksi

    Ni vam treba iskati daleč, da bi cenili VPN. Skoraj vsak človek v sodobni družbi uporablja wi-fi. Zakaj, ljudje trobijo o njem na vsakem križišču: ali kavarna z zastonj brezžični internet, ali tramvaj z njim. Težko ga je ne uporabiti. Ob tem le malo uporabnikov pomisli, da lahko njihova gesla, kot posledica dela na takšnem javnem omrežju, zlahka pridejo v napačne roke. In od tam ni več daleč do nadzora nad osebnim računalnikom.

    Vsak uporabnik lahko na svoji napravi vzpostavi povezavo VPN in uporablja internet kjerkoli brez strahu pred izgubo podatkov.
    Povezava VPN je torej informacijska tehnologija, ki bo v prihodnosti nedvomno našla priznanje med številnimi uporabniki interneta.

    Vse več kavarn, hotelov in drugih javna mesta pridobijo svoje omrežja Wi-Fi. Toda z uporabo nezaščitenega prometa lastniki naprav ogrožajo varnost lastnih podatkov. Zato se povečuje pomen zasebnih omrežij. Da se zaščitite, lahko ustvarite povezavo VPN. Preberite naš članek o tem, kaj je in kako ga pravilno konfigurirati v sistemu Windows 7.

    Kaj je povezava VPN in zakaj je potrebna?

    Ta tehnologija vključuje varno omrežje, ustvarjeno na vrhu nezaščitenega omrežja. Odjemalec VPN se prek javnega omrežja poveže s strežnikom VPN prek posebnih protokolov. Strežnik sprejme zahtevo, preveri identiteto odjemalca in nato posreduje podatke. To zagotavlja kriptografija.

    Zmogljivosti VPN vam omogočajo, da ga uporabljate za naslednje namene:

    1. Skrijte svoj pravi IP in postanite anonimni.
    2. Prenesite datoteko iz omrežja, v katerem je dostop omejen za IP naslove države uporabnika (če uporabljate IP naslov države, ki ima dostop do tega omrežja.
    3. Šifriranje prenesenih podatkov.

    Kako vzpostaviti povezavo?

    1. Skozi »Start« odprite »Nadzorno ploščo« in nato zaženite »Center za omrežje in skupno rabo«.

      Izberite območje »Center za omrežje in skupno rabo«.

    2. Sledite povezavi »Nastavitev nove povezave ali omrežja«.

      Če želite ustvariti novo povezavo ali omrežje, morate klikniti ustrezno vrstico na seznamu

    3. Kliknite »Poveži se z delovnim mestom«.

      Izberite "Poveži se z delovnim mestom"

    4. Izberite "Uporabi mojo internetno povezavo (VPN)."

      Izberite "Uporabi mojo internetno povezavo (VPN)"

    5. V polje »Internet naslov« vnesite naslov svojega strežnika VPN.
    6. Če želite to ugotoviti, morate zagnati orodje Run (Win + R) in vnesti cmd.

      V vrstico morate vnesti cmd in pritisniti "Enter"

    7. Nato napišite ukaz ipconfig, ga zaženite in poiščite vrstico “Default gateway”, ki vsebuje želeni naslov.

      Potrebujete naslov, ki je v vrstici »Glavni prehod«.

    8. Zdaj morate vnesti naslov in potrditi potrditveno polje »Ne poveži se zdaj ...« in kliknite »Naprej«.

      V polje vnesite prejeti naslov, potrdite polje zraven »Ne povezuj se zdaj ...«

    9. Vnesite uporabniško ime in geslo, ki vam ga je posredoval ponudnik, in kliknite »Ustvari«.

      Vnesite prijavo in geslo

    10. Zaprite okno.
    11. Ponovno odprite Center za omrežje in skupno rabo in kliknite Spremeni nastavitve adapterja.
    12. Tukaj se prikaže ikona povezave VPN. Če želite vzpostaviti povezavo, morate z desno miškino tipko klikniti ikono in klikniti »Poveži«. Če želite onemogočiti, z desno tipko miške kliknite ikono in kliknite »Onemogoči«.

      Tukaj je ikona povezave VPN, prek katere se lahko povežete ali prekinete

    13. V oknu, ki se odpre, morate vnesti uporabniško ime in geslo ter se povezati.

      Vnesite svoje uporabniško ime in geslo (če je potrebno) in kliknite »Poveži«

    Video: ustvarjanje in nastavitev VPN

    Možne napake in rešitve težav

    400 Slaba zahteva

    1. Onemogočite požarni zid ali drug program, ki vpliva na vašo varnost in spletne dejavnosti.
    2. Posodobite različico brskalnika, ki ga uporabljate, ali uporabite drugega.
    3. Izbrišite vse, kar brskalnik zapiše na disk: nastavitve, certifikate, shranjene datoteke itd.

    611, 612

    1. Znova zaženite računalnik in preverite, ali lokalno omrežje deluje. Če s tem ne odpravite težave, pokličite tehnično pomoč.
    2. Zaprite nekatere programe, da izboljšate delovanje sistema.

    629

    Preverite nastavitve požarnega zidu. V skrajnem primeru ga je mogoče onemogočiti, vendar je to nezaželeno, saj se bo raven varnosti zmanjšala.

    630

    Znova namestite gonilnike omrežne kartice.

    650

    1. Preverite, ali "Lokalna povezava" deluje.
    2. Prišlo je do težave z omrežno kartico ali omrežnim kablom.

    738

    1. Morda so napadalci ukradli vašo prijavo in geslo.
    2. Seja se je zataknila. Po nekaj minutah poskusite znova vzpostaviti povezavo.

    752

    1. Lokalni požarni zid ni pravilno konfiguriran.
    2. Spremenjeni atributi dostopa (mednarodna telefonska številka namesto naslova strežnika VPN).

    789

    Odprite nastavitve povezave VPN, pojdite na zavihek »Omrežje« in med razpoložljivimi vrstami VPN izberite »Samodejno« ali »Protokol tunela od točke do točke (PPTP)«. Nato znova vzpostavite povezavo.

    800

    Kabel, usmerjevalnik ali usmerjevalnik so lahko poškodovani. Če so v redu, morate preveriti naslednje:

    1. lastnosti povezave LAN. Morda so se izgubili ali izbrisani. Odpreti morate lastnosti povezave VPN, izbrati »Internet Protocol Version 4 (TCP/IPv4)« in odpreti njene lastnosti. Nato preverite pravilnost parametrov: naslov IP, maska ​​podomrežja, privzeti prehod. Praviloma so navedeni v ponudnikovi pogodbi o internetni povezavi. Lahko pa potrdite tudi polja zraven »Samodejno pridobite naslov IP« in »Samodejno pridobite naslov strežnika DNS«.
    2. Če uporabljate usmerjevalnik ali usmerjevalnik, je polje »Privzeti prehod« 192.168.0.1 (192.168.0.1). Več podrobnosti o tem je opisanih v navodilih usmerjevalnika. Če je zagotovo znano, da ima dostopna točka privzeti prehod 192.168.0.1 ali 192.168.1.1, potem so naslovi IP v območju od 192.168.0.100 (192.168.1.100) in višje.
    3. Konflikt naslovov IP (v ikoni pladnja na monitorju je rumen klicaj). To pomeni, da je v lokalnem omrežju računalnik z istim naslovom IP. Če usmerjevalnika ni, je pa konflikt, pomeni, da naslov IP ni tisti, ki je naveden v pogodbi s ponudnikom. V tem primeru morate spremeniti naslov IP.
    4. Morda so težave z masko podomrežja ali strežnikom DNS. Navedeni morajo biti v pogodbi. V primerih, ko se uporablja usmerjevalnik, je DNS pogosto enak privzetemu prehodu.
    5. Omrežna kartica je izklopljena ali pregorela.Če želite preveriti napravo, morate klikniti »Start«, izbrati orodje »Zaženi« in v vrstico mmc vnesti devmgmt.msc. V oknu, ki se odpre, kliknite »Omrežni adapterji«. Če je izklopljen (prečrtano), ga morate zagnati. Če se kartica ne vklopi, pomeni, da je pregorela ali je prišla iz reže (druga možnost je možna le, če kartica ni vgrajena v matično ploščo). Če kartica deluje, jo onemogočite in zaženite znova. V skrajnem primeru lahko odstranite omrežno kartico iz konfiguracije in kliknete ikono »Posodobi konfiguracijo strojne opreme«. Sistem bo našel omrežno kartico in jo namestil.
    6. Napačen naslov strežnika VPN. To mora biti navedeno v navodilih. Če teh informacij ni, se morate obrniti na tehnično službo. Če internet deluje brez povezave VPN, pojdite na spletno mesto ponudnika in poiščite naslov strežnika VPN. Lahko je abecedni (vpn.lan) ali v obliki naslova IP. Če si želite ogledati naslov strežnika VPN, morate odpreti lastnosti povezave VPN.
    7. Na vašem osebnem računu ni denarja.

    Ne glede na napako, če je ne morete odpraviti sami, se boste morali obrniti na tehnično podporo.

    Kako omogočiti samodejni zagon?

    1. Če želite, da se povezava samodejno zažene, morate iti na »Nadzorna plošča« - »Omrežje in internet« - »Omrežne povezave«.

      Poiščite VPN na nadzorni plošči

    2. Najdemo VPN, odpremo lastnosti, nato gremo na zavihek »Možnosti« in počistimo potrditvena polja »Prikaži napredek povezave«, »Poziv za ime, geslo« in »Vključi domeno za prijavo v Windows«.
    3. Nato morate odpreti Windows Task Scheduler. Pojdite na "Nadzorna plošča" - "Sistem in varnost" - "Administracija" - "Razporejevalnik opravil". Lahko pa greste skozi register: Win + R, vnesite vrstico taskschd.msc.

      Odprite razporejevalnik opravil

    4. V meniju izberite »Dejanje« in nato »Ustvari preprosto opravilo«.

    Navidezno zasebno omrežje je navidezno zasebno omrežje, ki se uporablja za zagotavljanje varnih povezav znotraj povezav podjetja in dostopa do interneta. Glavna prednost VPN je visoka varnost zaradi šifriranja internega prometa, kar je pomembno pri prenosu podatkov.

    Kaj je povezava VPN

    Mnogi ljudje, ko naletijo na to kratico, vprašajo: VPN – kaj je to in zakaj je potreben? Ta tehnologija odpira možnost ustvarjanja omrežne povezave na drugi. VPN deluje v več načinih:

    • vozlišče-omrežje;
    • omrežje-omrežje;
    • vozlišče-vozlišče.

    Organizacija zasebnega virtualnega omrežja na omrežnih ravneh omogoča uporabo protokolov TCP in UDP. Vsi podatki, ki gredo skozi računalnike, so šifrirani. To je dodatna zaščita za vašo povezavo. Obstaja veliko primerov, ki pojasnjujejo, kaj je povezava VPN in zakaj bi jo morali uporabljati. To vprašanje bo podrobno obravnavano spodaj.

    Zakaj potrebujete VPN?

    Vsak ponudnik lahko na zahtevo ustreznih organov zagotovi dnevnike dejavnosti uporabnikov. Vaše internetno podjetje beleži vsako vašo dejavnost na spletu. S tem se ponudnik razbremeni odgovornosti za dejanja naročnika. Obstaja veliko situacij, v katerih morate zaščititi svoje podatke in pridobiti svobodo, na primer:

    1. Storitev VPN se uporablja za pošiljanje zaupnih podatkov podjetja med podružnicami. To pomaga zaščititi pomembna informacija od prestrezanja.
    2. Če morate zaobiti geografsko lokacijo storitve. Na primer, storitev Yandex Music je na voljo samo prebivalcem Rusije in prebivalcem nekdanjih držav SND. Če ste rusko govoreči prebivalec Združenih držav, potem ne boste mogli poslušati posnetkov. Storitev VPN vam bo pomagala zaobiti to prepoved z zamenjavo omrežnega naslova z ruskim.
    3. Skrij obiske spletnega mesta od svojega ponudnika. Vsaka oseba ni pripravljena deliti svojih dejavnosti na internetu, zato bo svoje obiske zaščitila z uporabo VPN.

    Kako deluje VPN

    Ko uporabljate drug kanal VPN, bo vaš IP pripadal državi, kjer se nahaja to varno omrežje. Ko se vzpostavi povezava, se med strežnikom VPN in vašim računalnikom ustvari tunel. Po tem bodo ponudnikovi dnevniki (zapisi) vsebovali nabor nerazumljivih znakov. Analiza podatkov poseben program ne bo dalo rezultatov. Če te tehnologije ne uporabljate, bo protokol HTTP takoj pokazal, s katerim mestom se povezujete.

    Struktura VPN

    Ta povezava je sestavljena iz dveh delov. Prvo se imenuje "notranje" omrežje; ustvarite jih lahko več. Drugi je "zunanji", prek katerega se praviloma uporablja enkapsulirana povezava. Možna je tudi povezava z omrežjem ločenega računalnika. Uporabnik je na določen VPN povezan preko dostopovnega strežnika, ki je hkrati povezan v zunanje in notranje omrežje.

    Ko program VPN poveže oddaljenega uporabnika, potrebuje strežnik dva pomembna postopka: najprej identifikacijo, nato avtentikacijo. To je potrebno za pridobitev pravic za uporabo te povezave. Če ste v celoti opravili ta dva koraka, je vaše omrežje opolnomočeno, kar odpira možnost za delo. V bistvu je to postopek avtorizacije.

    Klasifikacija VPN

    Obstaja več vrst virtualnih zasebnih omrežij. Na voljo so možnosti glede stopnje varnosti, načina implementacije, stopnje delovanja po modelu ISO/OSI in uporabljenega protokola. Uporabite lahko plačan dostop ali brezplačno Googlovo storitev VPN. Glede na stopnjo varnosti so lahko kanali »varni« ali »zaupanja vredni«. Slednji so potrebni, če ima povezava sama zahtevano stopnjo zaščite. Za organizacijo prve možnosti je treba uporabiti naslednje tehnologije:

    • PPTP;
    • OpenVPN;
    • IPSec.

    Kako ustvariti strežnik VPN

    Za vse uporabnike računalnikov obstaja način, da sami povežete VPN. Spodaj bomo obravnavali možnost v operacijskem sistemu Windows. To navodilo ne predvideva uporabe dodatne programske opreme. Nastavitev se izvede na naslednji način:

    1. Če želite vzpostaviti novo povezavo, morate odpreti ploščo za ogled dostopa do omrežja. V iskanje začnite vnašati besede »Omrežne povezave«.
    2. Pritisnite gumb "Alt", v meniju kliknite razdelek "Datoteka" in izberite "Nova dohodna povezava".
    3. Nato nastavite uporabnika, ki bo imel povezavo s tem računalnikom prek VPN (če imate v računalniku samo en račun, boste morali zanj ustvariti geslo). Potrdite polje in kliknite »Naprej«.
    4. Nato boste pozvani, da izberete vrsto povezave; lahko pustite kljukico poleg »Internet«.
    5. Naslednji korak je omogočiti omrežne protokole, ki bodo delovali na tem VPN-ju. Označite vsa polja razen drugega. Če želite, lahko nastavite določen IP, DNS prehode in vrata v protokolu IPv4, vendar je lažje pustiti dodelitev samodejno.
    6. Ko kliknete gumb »Dovoli dostop«, bo operacijski sistem samodejno ustvaril strežnik in prikazal okno z imenom računalnika. Potrebovali ga boste za povezavo.
    7. S tem je izdelava domačega strežnika VPN zaključena.

    Kako nastaviti VPN v sistemu Android

    Zgoraj opisana metoda je, kako ustvariti povezavo VPN na osebnem računalniku. Vendar mnogi že dolgo počnejo vse s svojim telefonom. Če ne veste, kaj je VPN na Androidu, potem vsa zgoraj opisana dejstva o tej vrsti povezave veljajo tudi za pametni telefon. Konfiguracija sodobne naprave zagotavlja udobno uporabo interneta pri visokih hitrostih. V nekaterih primerih (za zagon iger, odpiranje spletnih mest) se uporabljajo zamenjave posrednikov ali anonimizatorji, vendar je za stabilno in hitro povezavo bolj primeren VPN.

    Če že razumete, kaj je VPN na telefonu, lahko nadaljujete neposredno z ustvarjanjem tunela. To je mogoče storiti na kateri koli napravi, ki podpira Android. Povezava je narejena na naslednji način:

    1. Pojdite v razdelek z nastavitvami, kliknite razdelek »Omrežje«.
    2. Poiščite element z imenom »Napredne nastavitve« in pojdite na razdelek »VPN«. Nato boste potrebovali kodo PIN ali geslo, ki bo odklenilo možnost ustvarjanja omrežja.
    3. Naslednji korak je dodajanje povezave VPN. Določite ime v polju »Strežnik«, ime v polju »uporabniško ime«, nastavite vrsto povezave. Kliknite na gumb "Shrani".
    4. Po tem se bo na seznamu pojavila nova povezava, s katero lahko spremenite svojo standardno povezavo.
    5. Na zaslonu se prikaže ikona, ki označuje, da obstaja povezava. Če se ga dotaknete, se vam prikaže statistika prejetih/poslanih podatkov. Tu lahko tudi onemogočite povezavo VPN.

    Video: Brezplačna storitev VPN



Izbira urednika

© 2024 rupeek.ru -- Psihologija in razvoj. Osnovna šola. Višji razredi