Услуги 

Что такое виртуальная сеть vpn. Защита коммерческой тайны

В нашей необъятной стране всё любят блокировать. Если раньше блокировки ограничивались лишь сайтами, то теперь очередь дошла до мессенджеров. И пока мессенджеры уже блокируют, а VPN ещё только планируют запретить, я расскажу, зачем же нужны эти три буквы. Кроме этого, вы узнаете, как настроить VPN на любом устройстве бесплатно или платно. Как выбрать правильный VPN и почему это нужно сделать сейчас.

Что такое VPN?

Зачем мне нужен VPN, если я не хожу на запрещённые ресурсы?

Для большинства из нас я составил список из , которые доказывают, что VPN нужен всем:

  1. Доступ к заблокированным в стране ресурсам;
  2. Безопасность в публичных сетях;
  3. Безопасность в домашней сети;
  4. Защищённое соединение с друзьями;
  5. Анонимность.

Наиболее важными пунктами являются первый и пятый. В то время как люди, которых волнует анонимность, сами прекрасно разберутся, что да как. Остальным придётся читать статьи типа этой.

Блокировка доступа к определённым сайтам или приложения в интернете - не всегда плохо. Также не всегда блокировка идёт со стороны государства. Некоторые сервисы, как Spotify, просто не работают в России и сами ограничивают доступ для нас. Доступ к ресурсам может блокировать и сам интернет-провайдер по своим причинам. И, конечно же, государство может блокировать доступ к запрещённым в стране ресурсам.

Здесь я не буду обсуждать, правильно это или нет. И имеет ли вообще смысл такая блокировка. Важно понимать, что при блокировке одного ресурса, может быть случайно ограничен доступ к нескольким другим абсолютно легальным сайтам. Часто такие ошибки не замечает обычный посетитель сети. Но иногда под раздачу по ошибке попадают такие крупные ресурсы, как Google.

Отсюда легко сделать вывод, что VPN нужно иметь под рукой всегда. По крайней мере до тех пор, пока VPN не запретили тоже.

Как же выбрать VPN?

Выбрать VPN-сервис очень сложно. Неискушённый пользователь не видит разницы между сотнями различных программ (а она есть). Продвинутые пользователи сравнивают сервисы по таким параметрам, как анонимность, скорость доступа, хранение логов и многое-многое другое. Немного упростить задачу поможет эта таблица :

Разработчики гарантируют полную безопасность и анонимность (при правильном использовании). При этом скорость не ограничивается, но любителей торрентов здесь не жалуют. Безопасность гарантируется тем, что IVPN - члены организации EFF (Фонд электронных рубежей), а сама компания зарегистрирована на Гибралтаре и готова свалить оттуда при малейшем давлении на себя. На серверах не хранится никакая личная информация, которая может выдать пользователей. Поэтому при запросе от государства, им просто нечего будет предоставить. А ещё есть поддержка OpenVPN, а значит, VPN можно настроить на любом устройстве.

Но за такое удовольствие придётся заплатить $8.33 в месяц, что значительно дороже, чем у конкурентов.

Среди достоинств программы:

  • демократичные цены на лицензию (5 устройств);
  • русский язык;
  • кроссплатформенность;
  • никаких ограничений по скорости и трафику, даже для торрентов;
  • есть бесплатная версия.

В бесплатной версии вас ждёт реклама и «прослушка» трафика для показа этой рекламы. Но большинству плевать на это, смиритесь. В мобильной версии - это промо-ролик при включении соединения, а в браузере - баннеры от партнеров. Кроме этого, вы можете подключиться только к серверу в США.

А ещё программа может сама включать VPN-соединение (при работе с определёнными приложениями). Таким образом, вы можете работать через VPN со списком программ, а для остальных будет использоваться обычное соединение.

Платная версия стоит €6.99 в месяц или €139.99 за пожизненную лицензию. пока ещё можно купить пожизненную лицензию на 10 устройств за $69.99.

Что-то среднее между двумя вариантами выше. Здесь в бесплатной версии вы получаете несколько серверов на выбор: Германия, Гонкконг, Румыния и США. Свобода выбора компенсируется ограничением по скорости подключения, но не трафику.

Платная подписка стоит 2 100 рублей в год.

Cargo VPN

Замер скорости при соединении через VPN

Многие не хотят устанавливать VPN потому что боятся потерять в скорости соединения. Да, такая проблема может быть. Скорость может быть ограничена на бесплатных тарифах VPN-сервисов. А вот крупные VPN-провайдеры гарантируют соединение без потери скорости, но в этом случае придется оплатить подписку. С другой стороны, купить подписку на VPN я рекомендую в любом случае. Потому что бесплатные сервисы так или иначе пытаются «заработать» на своих пользователях. В этом случае страдает защищенность соединения, ваши личные данные или даже информация на устройстве.

При подключении к правильному VPN-сервису вы не ощутите заметного снижения скорости или увеличения потребления трафика.

Что теперь?

По большей части ничего. Установите нужный вам клиент на все устройства и радуйтесь жизни без ограничений, прослушки и слежки. Пользуйтесь любыми программами, ходите на любые сайты и будьте собой!


Сегодня популярны вопросы о VPN – что это такое, каковые его особенности и как лучше всего настроить VPN. Все дело в том, что не все знают суть самой технологии, когда это может понадобиться.

Даже со стороны финансов и наживы, настройка VPN – это прибыльное дело, за которое можно получать легкие деньги.
Хорошо бы объяснить пользователю, что представляет собой ВПН, и как лучше всего настраивать его на Win 7 и 10.

1. Основное

VPN (Virtual Private Network) – это частная виртуальная сеть. Еще проще – технология создания локальной сети, но без физических устройств в виде маршрутизаторов и прочего, а с реальными ресурсами из интернета. VPN – это дополнительная сеть созданная поверх другой.

На сайте Майкрософт была найдена такая познавательная картинка, которая поможет понять что выражение «Дополнительна сеть созданная поверх другой».


На показанном изображение выводится устройство в виде компьютера. Облако – это общая или публичная сеть, чаще – стандартный интернет. Каждый из серверов объединен друг с другом с помощью того самого VPN.

Так устройства между собой соединяются е физически. Но практика показала, что это не обязательно.

Специально для того, чтобы не использовать провода, кабели и другие мешающие устройства, и настраивается VPN.

Локальные устройства соединяются между собой не через кабели, а через Wi-FI, GPS, Bluetooth и другие устройства.
Виртуальные сети, чаще всего – это стандартное интернет-соединение. Конечно же получить доступ к устройствам просто так не получится, ведь везде есть уровни идентификации направленные на то, чтобы избежать взлома и недоброжелателей в ВПН Сеть.

2. Пару слов о структуре VPN

Структура VPN разделена на две части: внешнюю и внутреннюю.
Каждый ПК подключается к двум частям одновременно. Делается это с помощью сервера.


Сервер, в нашем случае, - это так называемый охранник на входе. Он определит и зарегистрирует входящих в виртуальную сеть.

Компьютер или устройство подключенное к VPN, должно иметь все данные для авторизации и, так называемой, аутентификации, то есть специальный, обычно единоразовый, пароль или другое средство, что могло бы помочь пройти процедуру.

Этот процесс не особо важен нам. Специалистами создаются все более мощные и серьезные способы авторизации на серверах.

Чтобы оказаться в такой сети, то на входе Вы должны знать следующее:
1. Имя, имя пк например или другой используемый логин, чтобы пройти идентификацию в сети;
2. Пароль, если такой установлен, чтобы завершить авторизацию.
Также, компьютер желающий подключиться к очередной VPN-сети, «несёт» все данные для авторизации. Сервер занесет эти данные в свою базу. После регистрации вашего ПК в базе, Вам больше не нужно будет вышеупомянутых данных.

3. VPN и их классификация

Классификации VPN сетей показаны ниже.

Попробуем разобраться подробнее.
- СТЕПЕНЬ ЗАЩИТЫ . Подобранные по этому критерию сети:
1. Защищенные полностью – это изначально защищенные сети;
2. Защищенные «доверительно» - менее защищенные сети, используются в случаях, когда первоначальная или «родительская» сеть является надежной.
- РЕАЛИЗАЦИЯ . Способы реализации. Подобранные по этому критерию сети:
1. Комбинированный и программный способы;
2. Аппаратный способ – при помощи устройств реальных.
- НАЗНАЧЕНИЕ . Подобранные по этому критерию VPN:
1. Интранет (Intranet) – используется чаще всего в компаниях, где нужно объединить несколько филиалов;
2. Экстранет (Extranet) – применяется специально для организации сетей, в которых есть различные участники, а также клиенты компании;
3. Аксесс (Remote Access) – это организация VPN сетей, где присутствуют, так называемые, удаленные филиалы.
- ПО ПРОТОКОЛУ . Реализация VPN Сетей возможна по протоколам AppleTalk и IPX, но на деле использую чаще всего и эффективнее TCP/IP. Причина – популярность этого протокола в основных сетях.
- УРОВЕНЬ РАБОТЫ . Здесь предпочтение отдают OSI, но сеть VPN может работать только на канальных, сетевых и транспортных уровнях.
Конечно же, на практике одна сеть, можно включать в себя несколько признаков одновременно. Перейдем к пунктам о непосредственной настройке VPN сети, с помощью вашего ПК или ноутбука.

4. Как настроить VPN сеть (виртуальную сеть)

Первый способ разработан специально под Windows 7.
На Windows 7 настройка происходит при помощи достаточно несложных действий и следуя следующей инструкции:
1. Переходим в «Центр управления сетями и общим доступом ». Нажимаем на панели быстрого доступа на значок соединения и в окошке выбираем требуемый нам пункт.

2. Программа не всегда имеет такой вид как на рисунке выше, она может быть еще такой:

3. В новом окне находим раздел «Настройка нового подключения или сети ». На рисунке этот раздел выделен.


4. В следующем пункте находим «Подключение к рабочему месту » и переходим «Далее ».


5. В том случае, если какое-либо соединение VPN уже существует на ПК, должно появиться специальное окошко, как на рисунке ниже. Выбираем «Нет, создать новое подключение» и снова перейти «Далее ».


6. В новом окне находим «Использовать мое подключение к интернету (VPN) »


7. Теперь вводим адрес, имя сети VPN. Узнать все детали можно у сетевого администратора, что подскажет Вам еще и специальное окошко.

Если подсоединение произошло к уже функционирующей сети, лучше всего узнать у администратора этой сети данные. Обычно эта процедура не занимает много времени. Вводим данные в предназначенные поля.
8. В этом же окошке ставим галочку к «Не подключаться сейчас... », а после переходим «Далее ».


9. Вводим свои данные (логин и пароль) от сети. На следующем рисунке эти поля выделены.

Если соединение является первым с сетью, то данные придется создать новые, после проверки их сервером вы будете пропущены в сеть, и пользоваться ею.

Если соединение не первичное, то сервер не станет проверять Ваши данные и напрямую пустит Вас в нужную сеть.

10. После ввода нужных данных нажимаем на «Подключить ».


11. Следующее окно предложит подключиться к сети сейчас. Лучше закрыть его.


Настройка благополучно завершена и осталось лишь подключиться к сети. Чтобы это сделать нужно снова перейти к первому пункту «Центр управление сетями и общим доступом ».
12. В новом окне выбираем «Подключиться к сети ».


13. Здесь выбираем наше соединение и подключаемся к нему.

Настройка VPN на Windows 7 завершена.

Перейдем к настройке VPN на Windows 10, алгоритм и действия там почти такие же. Отличие лишь в некоторых элементах интерфейса и доступа к ним.

Так, например, чтобы попасть в «Центр управления сетями и общим доступом» нужно проделать всё то же, что и на Windows 7, к тому же там есть специальный пункт «Создание и настройка нового подключения или... ».
Дальше, настройка производится таким же образом, как и на Windows 7, только вот интерфейс будет немного другим.


Некоторые неудобства пользователей Windows 10, могут быть связаны с тем, что они будут искать классический вид сети. Следует перейти в «Сеть и интернет », а после выбрать «Просмотр состояния задач и сети» для дальнейшей работы с настройкой ВПН сетей.

По сути ничего сложного в настройке нет. К слову, такое VPN соединение возможно настроить даже на устройствах Андроид, ниже будет посвящен этому раздел.

5. Настройка VPN на Android

Чтобы выполнить такую операцию нужно будет установить и скачать инструмент под названием SuperVPN Free VPM Client из официальных магазинов Android.

Окошко программы, которое предложит создание VPN сети на Андроиде.


В целом здесь всё понятно, нажимаем на «Connect », после чего начнется поиск доступных сетей и дальнейшее соединение с ними. Настройка VPN на Андроид производится без дополнительных программ.

В 21 веке информационные технологии занимают неотъемлемое место в жизни практически любого человека. Даже 80-летняя бабушка из деревни, не знающая, как включить компьютер, косвенно связанна с ними. Базы данных, банковские счета, учетные записи в мессенджерах — все это требует высокого уровня безопасности. Интернет, разросшийся до глобальных масштабов, как и любой другой механизм, с усложнением конструкции — становится более уязвимым. Чтобы защитить конфиденциальную информацию, была изобретена технология VPN.

VPN подключение (от англ. Virtual Private Network — виртуальная частная сеть) — технология, позволяющая искусственно сформировать локальную сеть из участников сети интернет, не связанных физически прямым соединением. Это — надстройка над глобальной сетью, обеспечивающая между узлами связь, которая со стороны клиента кажется прямой.


Как работает VPN соединение

Виртуальная сеть VPN работает по принципу установки фиксированного подключения. Связь может устанавливаться напрямую, между двумя узлами одного уровня (по принципу «сеть-сеть» или «клиент-клиент»), или (что более распространено) — между сетью и клиентом. Один из элементов (сервер-инициатор подключения) должен иметь статический (постоянный) адрес IP, по которому его будут находить другие узлы сети. На сервере создается точка доступа в виде шлюза, с доступом в интернет. К ней присоединяются другие участники сети, подключение выполняется в виде изолированного тоннеля.

Для всех узлов коммутации, через которые проходят пакеты данных, информация зашифрована. Она передается в виде неразборчивого потока, перехват которого не даст хакерам ничего. Ключи кодирования-декодирования у многих протоколов (например, OpenVPN) хранятся только на конечных устройствах. А без них злоумышленники не могут сделать с перехваченными данными ничего. Для максимальной безопасности, архив с сертификатами и ключами (без которых не получится поднять защищенный VPN) можно переслать в зашифрованном виде, или вручную передать на флешке. В таком случае вероятность постороннего проникновения в компьютеры сети сводится к нулю.

Зачем нужен VPN

Прямая связь

В сети интернет не имеет значения физическая дистанция между участниками и сложность маршрута, по которому они обмениваются данными. Благодаря IP-адресации и DNS узлам, получить доступ к другому компьютеру во всемирной паутине можно из любого уголка земного шара. Гораздо важнее уровень безопасности соединения, особенно, при обмене конфиденциальной информацией. Чем больше точек коммутации (маршрутизаторов, шлюзов, мостов, узлов) проходят данные — тем выше вероятность их перехвата злоумышленниками. Имея физические параметры ПК или сервера (например, его IP-адрес) — посредством уязвимых методов подключения хакеры могут проникнуть в него, взломав парольную защиту. Именно от таких посягательств призван защитить протокол VPN.

Разблокировка доступа к ресурсам

Вторая функция VPN-сетей — открытие доступа к заблокированным ресурсам. Если на территории страны, в том или ином виде, действует цензура интернета (как в Китае) — ее граждане могут быть ограничены в доступе некоторым ресурсам. Выход в сеть через зарубежные сервера VPN позволяет избежать угрозы репрессий представителям оппозиционных сил в тоталитарных странах. Гос. органы, препятствующие свободе слова (как в Китае или КНДР), не смогут предъявить обвинений в просмотре «идеологически вредных» ресурсов, даже если провайдеры предоставят им бэкап всех перехваченных данных.

Некоторые онлайн-сервисы могут блокировать доступ клиентам из стран и регионов, где они официально не представлены. Такое иногда делают онлайн-игры, международные платежные системы, торговые площадки, интернет-магазины, системы онлайн-дистрибьюции цифрового контента (музыки, фильмов, игр). VPN-сервер, базирующийся в стране, где доступ открыт, снимает такие ограничения и позволяет совершать покупки.

Защита от взлома частных ресурсов

Еще одна причина, зачем нужно VPN подключение частным клиентам — удаленное администрирование. Если хочется максимально защитить сервер от посторонних вмешательств, можно создать «белый список» IP-адресов, имеющих доступ к нему. Когда один из них (адресов) принадлежит частному VPN-серверу — к администрируемому серверу можно безопасно подключиться из любой точки мира, используя шифрованную связь. Объект администрирования будет считать, что к нему подключились с разрешенного терминала, а администратор может не беспокоиться о риске взлома.

Защита коммерческой тайны

Протоколы VPN пользуются спросом в коммерческих структурах, работающих с деньгами и экономической тайной. Виртуальная защищенная сеть не дает хакерам взломать счета или выведать промышленные секреты и технологии. Сотрудники, которым по долгу службы необходимо поучить доступ к сетевым ресурсам компании из дому или в командировке, через VPN могут организовать подключение, не подвергая корпоративную сеть угрозе взлома.

С каждым годом электронная связь совершенствуется, и к информационному обмену предъявляются все более высокие требования скорости, защищенности и качества обработки данных.

И здесь мы подробно рассмотрим vpn подключение: что это такое, для чего нужен vpn туннель, и как использовать впн соединение.

Данный материал является своего рода вступительным словом к циклу статей, где мы расскажем, как создать vpn на различных ОС.

vpn подключение что это такое?

Итак, виртуальная частная сеть vpn – это технология, обеспечивающая защищённую (закрытую от внешнего доступа) связь логической сети поверх частной или публичной при наличии высокоскоростного интернета.

Такое сетевое соединение компьютеров (географически удаленных друг от друга на солидное расстояние) использует подключение типа «точка - точка» (иными словами, «компьютер-компьютер»).

Научно, такой способ соединения называется vpn туннель (или туннельный протокол). Подключиться к такому туннелю можно при наличии компьютера с любой операционной системой, в которую интегрирован VPN-клиент, способный делать «проброс» виртуальных портов с использованием протокола TCP/IP в другую сеть.

Для чего нужен vpn?

Основное преимущество vpn заключается в том, что согласующим сторонам необходима платформа подключения, которая не только быстро масштабируется, но и (в первую очередь) обеспечивает конфиденциальность данных, целостность данных и аутентификацию.

На схеме наглядно представлено использование vpn сетей.

Предварительно на сервере и маршрутизаторе должны быть прописаны правила для соединений по защищённому каналу.

Принцип работы vpn

Когда происходит подключение через vpn, в заголовке сообщения передаётся информация об ip-адресе VPN-сервера и удалённом маршруте.

Инкапсулированные данные, проходящие по общей или публичной сети, невозможно перехватить, поскольку вся информация зашифрована.

Этап VPN шифрования реализуется на стороне отправителя, а расшифровываются данные у получателя по заголовку сообщения (при наличии общего ключа шифрования).

После правильной расшифровки сообщения между двумя сетями устанавливается впн соединение, которое позволяет также работать в публичной сети (например, обмениваться данными с клиентом 93.88.190.5).

Что касается информационной безопасности, то интернет является крайне незащищенной сетью, а сеть VPN с протоколами OpenVPN, L2TP /IPSec ,PPTP, PPPoE – вполне защищенным и безопасным способом передачи данных.

Для чего нужен vpn канал?

vpn туннелирование используется:

Внутри корпоративной сети;

Для объединения удалённых офисов, а также мелких отделений;

Для обслуживания цифровой телефонии с большим набором телекоммуникационных услуг;

Для доступа к внешним IT-ресурсам;

Для построения и реализации видеоконференций.

Зачем нужен vpn?

vpn соединение необходимо для:

Анонимной работы в сети интернет;

Загрузки приложений, в случае, когда ip адрес расположен в другой региональной зоне страны;

Безопасной работы в корпоративной среде с использованием коммуникаций;

Простоты и удобства настройки подключения;

Обеспечения высокой скорости соединения без обрывов;

Создания защищённого канала без хакерских атак.

Как пользоваться vpn?

Примеры того, как работает vpn, можно приводить бесконечно. Так, на любом компьютере в корпоративной сети при установке защищенного vpn соединения можно использовать почту для проверки сообщений, публикации материалов из любой точки страны или загрузки файлов из torrent-сетей.

Vpn: что это такое в телефоне?

Доступ через vpn в телефоне (айфоне или любом другом андроид-устройстве) позволяет при использовании интернета в общественных местах сохранить анонимность, а также предотвратить перехват трафика и взлом устройства.

VPN-клиент, установленный на любой ОС, позволяет обойти многие настройки и правила провайдера (если тот установил какие-то ограничения).

Какой vpn выбрать для телефона?

Мобильные телефоны и смартфоны на ОС Android могут использовать приложения из Google Playmarket:

  • - vpnRoot, droidVPN,
  • - браузер tor для сёрфинга сетей,он же orbot
  • - InBrowser, orfox (firefox+tor),
  • - SuperVPN Free VPN Client
  • - OpenVPN Connect
  • - TunnelBear VPN
  • - Hideman VPN

Большинство таких программ служат для удобства «горячей» настройки системы, размещения ярлыков запуска, анонимного сёрфинга интернета, выбора типа шифрования подключения.

Но основные задачи использования VPN в телефоне – это проверка корпоративной почты, создание видеоконференций с несколькими участниками, а также проведение совещаний за пределами организации (например, когда сотрудник в командировке).

Что такое vpn в айфоне?

Рассмотрим, какой впн выбрать и как его подключить в айфоне более подробно.

В зависимости от типа поддерживаемой сети, при первом запуске конфигурации VPN в iphone можно выбрать следующие протоколы: L2TP, PPTP и Cisco IPSec (кроме того, «сделать» vpn подключение можно при помощи сторонних приложений).

Все перечисленные протоколы поддерживают ключи шифрования, осуществляется идентификация пользователя при помощи пароля и сертификация.

Среди дополнительных функций при настройке VPN-профиля в айфоне можно отметить: безопасность RSA, уровень шифрования и правила авторизации для подключения к серверу.

Для телефона iphone из магазина appstore стоит выбрать:

  • - бесплатное приложение Tunnelbear, с помощью которого можно подключаться к серверам VPN любой страны.
  • - OpenVPN connect – это один из лучших VPN-клиентов. Здесь для запуска приложения необходимо предварительно импортировать rsa-ключи через itunes в телефон.
  • - Cloak – это условно бесплатное приложение, поскольку некоторое время продукт можно «юзать» бесплатно, но для использования программы по истечении демо-срока ее придется купить.

Создания VPN: выбор и настройка оборудования

Для корпоративной связи в крупных организациях или объединения удалённых друг от друга офисов используют аппаратное оборудование, способное поддерживать беспрерывную, защищённую работу в сети.

Для реализации vpn-технологий в роли сетевого шлюза могут выступать: сервера Unix, сервера Windows, сетевой маршрутизатор и сетевой шлюз на котором поднят VPN.

Сервер или устройство, используемое для создания vpn сети предприятия или vpn канала между удаленными офисами, должно выполнять сложные технические задачи и обеспечивать весь спектр услуг пользователям как на рабочих станциях, так и на мобильных устройствах.

Любой роутер или vpn маршрутизатор должен обеспечивать надёжную работу в сети без «зависаний». А встроенная функция впн позволяет изменять конфигурацию сети для работы дома, в организации или удалённом офисе.

Настройка vpn на роутере

В общем случае настройка впн на роутере осуществляется с помощью веб-интерфейса маршрутизатора. На «классических» устройствах для организации vpn нужно зайти в раздел «settings» или «network settings», где выбрать раздел VPN, указать тип протокола, внести настройки адреса вашей подсети, маски и указать диапазон ip-адресов для пользователей.

Кроме того, для безопасности соединения потребуется указать алгоритмы кодирования, методы аутентификации, сгенерировать ключи согласования и указать сервера DNS WINS. В параметрах «Gateway» нужно указать ip-адрес шлюза (свой ip) и заполнить данные на всех сетевых адаптерах.

Если в сети несколько маршрутизаторов необходимо заполнить таблицу vpn маршрутизации для всех устройств в VPN туннеле.

Приведём список аппаратного оборудовании, используемого при построении VPN-сетей:

Маршрутизаторы компании Dlink: DIR-320, DIR-620, DSR-1000 с новыми прошивками или Роутер D-Link DI808HV.

Маршрутизаторы Cisco PIX 501, Cisco 871-SEC-K9

Роутер Linksys Rv082 с поддержкой около 50 VPN-туннелей

Netgear маршрутизатор DG834G и роутеры моделей FVS318G, FVS318N, FVS336G, SRX5308

Маршрутизатор Mikrotik с функцией OpenVPN. Пример RouterBoard RB/2011L-IN Mikrotik

Vpn оборудование RVPN S-Terra или VPN Gate

Маршрутизаторы ASUS моделей RT-N66U, RT-N16 и RT N-10

ZyXel маршрутизаторы ZyWALL 5, ZyWALL P1, ZyWALL USG

Интернет все чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:

    конфиденциальность информации;

    целостность данных;

    доступность информации;

Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть .

Для наглядности представим следующий пример: предприятие имеет несколько территориально отдаленных филиалов и "мобильных" сотрудников, работающих дома или в разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ – это поставить модемы в каждом филиале и организовывать связь по мере необходимости. Такое решение, однако, не всегда удобно и выгодно – порой нужна постоянная связь и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VPN-подключения всех филиалов фирмы через Интернет и настройку VPN-средств на хостах сети.

Рис. 6.4. VPN-соединение типа сеть-сеть

Рис. 6.5. VPN-соединение типа хост-сеть

В этом случае решаются многие проблемы – филиалы могут располагаться где угодно по всему миру.

Опасность здесь заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего мира. Во-вторых, по Интернету все данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.

Чтобы этого не произошло, в решениях VPN используются такие средства, как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизация для проверки прав пользователя и разрешения доступа к виртуальной частной сети.

VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.

Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).

Хотя VPN-туннель устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами. Для примера, когда трём удалённым станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:

Рис. 6.6. Создание VPN-туннелей для нескольких удаленных точек

Пользователь устанавливает соединение с VPN-шлюзом, после чего пользователю открывается доступ к внутренней сети.

Внутри частной сети самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернету. Это справедливо и при соединении офисов с помощью VPN-шлюзов. Таким образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.

Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

    PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.

    L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.

    IPSec(Internet Protocol Security) – официальный Интернет-стандарт, разработан сообществом IETF (Internet Engineering Task Force).

Перечисленные протоколы поддерживаются устройствами D-Link.

Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP – протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.

Протокол PPTP позволяет создавать защищенные каналы для обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются с помощью протокола PPTP в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PPTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VPN, основанного на IPSec), так и любой другой протокол.

В настоящее время за счет легкости реализации протокол PPTP широко используется как для получения надежного защищенного доступа к корпоративной сети, так и для доступа к сетям Интернет-провайдеров, когда клиенту требуется установить PPTP-соединение с Интернет-провайдером для получения доступа в Интернет.

Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).

Как происходит установление соединения PPTP ?

PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP создают управляющее туннелем соединение, которое обеспечивает работоспособность канала. Этот процесс выполняется на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.

В дополнение к управляющему соединению PPTP создается соединение для пересылки данных по туннелю. Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP-кадра. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Данные с канального уровня достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IP, IPX, чтобы обеспечить возможность их передачи по IP-сетям. Однако применение только GRE-протокола не обеспечит установление сессии и безопасность данных. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.

На рис. 6.7 показана структура данных для пересылки по туннелю PPTP:

Рис. 6.7. Структура данных для пересылки по туннелю PPTP

Для организации VPN на основе PPTP не требуется больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP (решения PPTP существуют как для Windows, так и для Linux платформ), а на клиентских компьютерах выполнить необходимые настройки. Если же нужно объединить несколько филиалов, то вместо настройки PPTP на всех клиентских станциях лучше воспользоваться Интернет-маршрутизатором или межсетевым экраном с поддержкой PPTP: настройки осуществляются только на пограничном маршрутизаторе (межсетевом экране), подключенном к Интернету, для пользователей все абсолютно прозрачно. Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы серии DIR/DSR и межсетевые экраны серии DFL.

GRE -туннели

Generic Routing Encapsulation (GRE) – протокол инкапсуляции сетевых пакетов, обеспечивающий туннелирование трафика через сети без шифрования. Примеры использования GRE:

    передача трафика (в том числе широковещательного) через оборудование, не поддерживающее определенный протокол;

    туннелирование IPv6-трафика через сеть IPv4;

    передача данных через публичные сети для реализации защищенного VPN-соединения.

Рис. 6.8. Пример работы GRE-туннеля

Между двумя маршрутизаторами A и B ( рис. 6.8 ) находится несколько маршрутизаторов, GRE-туннель позволяет обеспечить соединение между локальными сетями 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были подключены напрямую.

L 2 TP

Протокол L2TP появился в результате объединения протоколов PPTP и L2F. Главное достоинство протокола L2TP в том, что он позволяет создавать туннель не только в сетях IP, но и в сетях ATM, X.25 и Frame relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных.

Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication (см. в разделе "L2TP over IPSec"). Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На рис. 6.9 показана структура данных для пересылки по туннелю L2TP.

Рис. 6.9. Структура данных для пересылки по туннелю L2TP

Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.

Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.

IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Безопасность IPSec достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки – инкапсуляции. Т.к. IPSec – стандарт Интернет, то для него существуют документы RFC:

    RFC 2401 (Security Architecture for the Internet Protocol) – архитектура защиты для протокола IP.

    RFC 2402 (IP Authentication header) – аутентификационный заголовок IP.

    RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) – использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – использование алгоритма шифрования DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – шифрование данных.

    RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) – область применения протокола управления ключами.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – управление ключами и аутентификаторами защищенных соединений.

    RFC 2409 (The Internet Key Exchange (IKE)) – обмен ключами.

    RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) – нулевой алгоритм шифрования и его использование.

    RFC 2411 (IP Security Document Roadmap) – дальнейшее развитие стандарта.

    RFC 2412 (The OAKLEY Key Determination Protocol) – проверка аутентичности ключа.

IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4.

Механизм IPSec решает следующие задачи:

    аутентификацию пользователей или компьютеров при инициализации защищенного канала;

    шифрование и аутентификацию данных, передаваемых между конечными точками защищенного канала;

    автоматическое снабжение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.

Компоненты IPSec

Протокол AH (Authentication Header) – протокол идентификации заголовка. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Но использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP-адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной (для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечивающий передачу ESP через UDP и использующий в своей работе порт UDP 4500). Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.

Протокол ESP (Encapsulation Security Payload) обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов.

Протокол ESP – инкапсулирующий протокол безопасности, который обеспечивает и целостность, и конфиденциальность. В режиме транспорта ESP-заголовок находится между исходным IP-заголовком и заголовком TCP или UDP. В режиме туннеля ESP-заголовок размещается между новым IP-заголовком и полностью зашифрованным исходным IP-пакетом.

Т.к. оба протокола – AH и ESP – добавляют собственные заголовки IP, каждый из них имеет свой номер (ID) протокола, по которому можно определить, что последует за IP-заголовком. Каждый протокол, согласно IANA (Internet Assigned Numbers Authority – организация, ответственная за адресное пространство сети Интернет), имеет свой собственный номер (ID). Например, для TCP этот номер равен 6, а для UDP – 17. Поэтому, очень важно при работе через межсетевой экран настроить фильтры таким образом, чтобы пропускать пакеты с ID AH и/или ESP протокола.

Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается ID протокола 51, а для ESP – номер 50.

ВНИМАНИЕ : ID протокола не то же самое, что номер порта.

Протокол IKE (Internet Key Exchange) – стандартный протокол IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для ассоциации безопасности (SA).

SA – это термин IPSec для обозначения соединения. Установленный SA (защищенный канал, называемый "безопасной ассоциацией" или "ассоциацией безопасности" – Security Association, SA) включает в себя разделяемый секретный ключ и набор криптографических алгоритмов.

Протокол IKE выполняет три основные задачи:

    обеспечивает средства аутентификации между двумя конечными точками VPN;

    устанавливает новые связи IPSec (создаёт пару SA);

    управляет существующими связями.

IKE использует UDP-порт с номером 500. При использовании функции NAT Traversal, как упоминалось ранее, протокол IKE использует UDP-порт с номером 4500.

Обмен данными в IKE происходит в 2 фазы. В первой фазе устанавливается ассоциация SA IKE. При этом выполняется аутентификация конечных точек канала и выбираются параметры защиты данных, такие как алгоритм шифрования, сессионный ключ и др.

Во второй фазе SA IKE используется для согласования протокола (обычно IPSec).

При настроенном VPN-туннеле для каждого используемого протокола создаётся одна пара SA. SA создаются парами, т.к. каждая SA – это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные пары SA хранятся на каждом узле.

Так как каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Этот номер называется SPI (Security Parameter Index) или индекс параметра безопасности.

SA храняться в базе данных (БД) SAD (Security Association Database).

Каждый узел IPSec также имеет вторую БД – SPD (Security Policy Database) – БД политики безопасности. Она содержит настроенную политику узла. Большинство VPN-решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.

Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения, и методы, выбранные для одной задачи, обычно не зависят от методов реализации других задач. Вместе с тем, рабочая группа IETF определила базовый набор поддерживаемых функций и алгоритмов, который должен быть однотипно реализован во всех продуктах, поддерживающих IPSec. Механизмы AH и ESP могут использоваться с различными схемами аутентификации и шифрования, некоторые из которых являются обязательными. Например, в IPSec определяется, что пакеты аутентифицируются либо с помощью односторонней функции MD5, либо с помощью односторонней функции SHA-1, а шифрование осуществляется с использованием алгоритма DES. Производители продуктов, в которых работает IPSec, могут добавлять другие алгоритмы аутентификации и шифрования. Например, некоторые продукты поддерживают такие алгоритмы шифрования, как 3DES, Blowfish, Cast, RC5 и др.

Для шифрования данных в IPSec может быть применен любой симметричный алгоритм шифрования, использующий секретные ключи.

Протоколы защиты передаваемого потока (AH и ESP) могут работать в двух режимах – в транспортном режиме и в режиме туннелирования . При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, т.е. шифруется только поле данных пакета, содержащего протоколы TCP / UDP (заголовок IP-пакета не изменяется (не шифруется)). Транспортный режим, как правило, используется для установления соединения между хостами.

В режиме туннелирования шифруется весь IP-пакет, включая заголовок сетевого уровня. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети (схема подключения "хост-сеть") или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети (схема подключения "сеть-сеть").

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие – туннельный.

На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета. При этом предполагается, что оба узла знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован.

В режиме транспорта AH

    весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

    все поля в AH;

    полезные данные пакетов IP.

AH в режиме транспорта защищает IP-заголовок (за исключением полей, для которых разрешены изменения) и полезные данные в исходном IP-пакете (рисунок 3.39).

В туннельном режиме исходный пакет помещается в новый IP-пакет, и передача данных выполняется на основании заголовка нового IP-пакета.

Для туннельного режима AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:

    все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

    все поля AH;

    исходный IP-пакет.

Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:

Рис. 6.10. Туннельный и транспортный режимы работы протокола АН

В режиме транспорта ESP аутентифицирует не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-пакет сразу после заголовка IP, а окончание ESP (ESP Trailer), соответственно, добавляется после данных.

Режим транспорта ESP шифрует следующие части пакета:

    полезные данные IP;

Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации IV (Initialization Vector) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения вектора инициализации, он охраняется контрольной суммой ICV. В этом случае ICV выполняет следующие расчеты:

    все поля в заголовке ESP;

    полезные данные, включая открытый текст IV;

    все поля в ESP Trailer, за исключением поля данных проверки подлинности.

Туннельный режим ESP инкапсулирует весь исходный IP-пакет в заголовок нового IP, заголовок ESP и ESP Trailer. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50, причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP область аутентификации IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. Исходный заголовок помещается после заголовка ESP. После того, как зашифрованная часть инкапсулируется в новый туннельный заголовок, который не зашифровывается, осуществляется передача IP-пакета. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей сети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер, находящийся во внутренней сети. Режим туннелирования ESP шифрует следующие части пакета:

    исходный IP-пакет;

  • Для туннельного режима ESP расчет ICV производится следующим образом:

    все поля в заголовке ESP;

    исходный IP-пакет, включая открытый текст IV;

    все поля заголовка ESP, за исключением поля данных проверки подлинности.

Рис. 6.11. Туннельный и транспортный режим протокола ESP

Рис. 6.12. Сравнение протоколов ESP и AH

Резюме по применению режимов IPSec :

    Протокол – ESP (AH).

    Режим – туннельный (транспортный).

    Способ обмена ключами – IKE (ручной).

    Режим IKE – main (aggressive).

    Ключ DH – group 5 (group 2, group 1) – номер группы для выбора динамически создаваемых ключей сеанса, длина группы.

    Аутентификация – SHA1 (SHA, MD5).

    Шифрование – DES (3DES, Blowfish, AES).

При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie-Hellman групп. Diffie-Hellman (DH) – протокол шифрования, используемый для установления общих секретных ключей для IKE, IPSec и PFS (Perfect Forward Secrecy – совершенная прямая секретность). В таком случае будет использована первая позиция, совпавшая на обоих узлах. Очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN-соединение. При настройке VPN-туннеля между различными системами нужно выяснить, какие алгоритмы поддерживаются каждой стороной, чтобы была возможность выбора наиболее безопасной политики из всех возможных.

Основные настройки, которые включает в себя политика безопасности:

    Симметричные алгоритмы для шифрования/дешифрования данных.

    Криптографические контрольные суммы для проверки целостности данных.

    Способ идентификации узла. Самые распространенные способы – это предустановленные ключи (pre-shared secrets) или СА-сертификаты.

    Использовать ли режим туннеля или режим транспорта.

    Какую использовать группу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).

    Использовать ли AH, ESP, или оба вместе.

    Использовать ли PFS.

Ограничением IPSec является то, что он поддерживает только передачу данных на уровне протокола IP.

Существуют две основные схемы применения IPSec, отличающиеся ролью узлов, образующих защищенный канал.

В первой схеме защищенный канал образуется между конечными хостами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:

Рис. 6.13. Создание защищенного канала между двумя конечными точками

Во второй схеме защищенный канал устанавливается между двумя шлюзами безопасности. Эти шлюзы принимают данные от конечных хостов, подключенных к сетям, расположенным за шлюзами. Конечные хосты в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть, проходит через шлюз безопасности, который выполняет защиту от своего имени.

Рис. 6.14. Создание защищенного канала между двумя шлюзами

Для хостов, поддерживающих IPSec, возможно использование как транспортного, так и туннельного режимов. Для шлюзов разрешается использование только туннельного режима.

Установка и поддержка VPN

Как упоминалось выше, установка и поддержка VPN-туннеля выполняется в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie-Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными сообщениями (т.н. агрессивный режим, Aggressive mode ) или шестью сообщениями, с обменом зашифрованной информацией об идентификации (стандартный режим, Main mode ).

В режиме Main Mode обеспечивается возможность согласований всех параметров конфигурации устройств отправителя и получателя, в то время как в режиме Aggressive Mode такой возможности нет, и некоторые параметры (группа Diffie-Hellman, алгоритмы шифрования и аутентификации, PFS) должны быть заранее одинаково настроены на каждом устройстве. Однако, в данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec.

Рис. 6.15. Обмен сообщениями в стандартном (а) и агрессивном (б) режимах

Предполагая, что операция завершилась успешно, создаётся SA первой фазы – Phase 1 SA (также называемый IKE SA ) и процесс переходит ко второй фазе.

На втором этапе генерируются данные ключей, узлы договариваются об используемой политике. Этот режим, также называемый быстрым режимом (Quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA и на этом установка туннеля считается завершённой.

Сначала на узел прибывает пакет с адресом назначения в другой сети, и узел инициирует первую фазу с тем узлом, который отвечает за другую сеть. Допустим, туннель между узлами был успешно установлен и ожидает пакеты. Однако узлам необходимо переидентифицировать друг друга и сравнить политику по прошествие определённого периода времени. Этот период называется время жизни Phase One или IKE SA lifetime.

Узлы также должны сменить ключ для шифрования данных через отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime.

Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Нужно задать одинаковые параметры времени жизни для обоих узлов. Если не выполнить этого, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Проблемы могут возникнуть и в том случае, когда время жизни первой фазы меньше аналогичного параметра второй фазы. Если настроенный ранее туннель прекращает работу, то первое, что нуждается в проверке – это время жизни на обоих узлах.

Еще следует отметить, что при смене политики на одном из узлов изменения вступят в силу только при следующем наступлении первой фазы. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из базы данных SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.

Иногда при настройке IPSec-туннеля между оборудованием разных производителей возникают затруднения, связанные с согласованием параметров при установлении первой фазы. Следует обратить внимание на такой параметр, как Local ID – это уникальный идентификатор конечной точки туннеля (отправителя и получателя). Особенно это важно при создании нескольких туннелей и использовании протокола NAT Traversal.

Dead Peer Detection

В процессе работы VPN, при отсутствии трафика между конечными точками туннеля, или при изменении исходных данных удалённого узла (например, смена динамически назначенного IP-адреса), может возникнуть ситуация, когда туннель по сути таковым уже не является, становясь как бы туннелем-призраком. Для того чтобы поддерживать постоянную готовность к обмену данными в созданном IPSec-туннеле, механизм IKE (описанный в RFC 3706) позволяет контролировать наличие трафика от удалённого узла туннеля, и в случае его отсутствия на протяжении установленного времени, посылается hello- сообщение (в межсетевых экранах D-Link посылается сообщение "DPD-R-U-THERE"). При отсутствии ответа на это сообщение в течение определённого времени, в межсетевых экранах D-Link заданного настройками "DPD Expire Time", туннель демонтируется. Межсетевые экраны D-Link после этого, используя настройки "DPD Keep Time" ( рис. 6.18 ), автоматически пытаются восстановить туннель.

Протокол NAT Traversal

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Как упоминалось ранее, для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT Traversal).

Протокол NAT Traversal инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec. Таким образом, с помощью механизма NAT-T возможно установление связи между клиентами IPSec в защищённых сетях и общедоступными хостами IPSec через межсетевые экраны.

При настройке межсетевых экранов D-Link в устройстве-получателе нужно отметить два пункта:

    в полях Remote Network и Remote Endpoint указать сеть и IP-адрес удаленного устройства-отправителя. Необходимо разрешить преобразование IP-адреса инициатора (отправителя) с помощью технологии NAT (рисунок 3.48).

    при использовании общих ключей с несколькими туннелями, подключенными к одному удаленному межсетевому экрану, которые были преобразованы с помощью NAT в один и тот же адрес, важно убедиться в том, что Local ID является уникальным для каждого туннеля.

Local ID может быть одним из:

    Auto – в качестве локального идентификатора используется IP-адрес интерфейса исходящего трафика.

    IP – IP-адрес WAN-порта удаленного межсетевого экрана

    DNS – DNS-адрес



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить