VPN

Поделиться в:

VPN или Virtual Private Network (виртуальная частная сеть) позволяет вам создать безопасное соединение с другой сетью через Интернет. VPN можно использовать для доступа к веб-сайтам, ограниченным по региону, для защиты вашего браузера от любопытных глаз на общественном Wi-Fi и т. Д. 

VPN - это расширение частной сети, которая включает в себя соединения в общедоступных сетях, таких как Интернет. VPN-соединения позволяют организациям отправлять данные между двумя компьютерами через Интернет способом, который эмулирует свойства частной связи «точка-точка». 

Архитектура VPN 

Используя VPN, организация может помочь защитить частный сетевой трафик по незащищенной сети, такой как Интернет. VPN помогает обеспечить безопасный механизм шифрования и инкапсуляции частного сетевого трафика и перемещения его через промежуточную сеть. Данные зашифровываются для обеспечения конфиденциальности, а пакеты, которые могут быть перехвачены в общей или общедоступной сети, неразборчивы без правильных ключей шифрования. Данные также инкапсулированы или завернуты в заголовок IP, содержащий информацию о маршрутизации. 

VPN помогают пользователям, работающим дома, в дороге или в филиале, безопасно подключаться к удаленному корпоративному серверу с использованием Интернета. С точки зрения пользователей VPN представляет собой двухточечное соединение между компьютером пользователя и корпоративным сервером. Характер промежуточной сети, Интернета, не имеет отношения к пользователю, поскольку он выглядит так, как будто данные отправляются по выделенном частном линке. 

Существует несколько способов использования VPN. Наиболее распространенный сценарий - это когда удаленный пользователь обращается к частной сети через Интернет с помощью VPN-соединения удаленного доступа. В другом случае удаленный офис подключается к корпоративной сети, используя либо постоянное, либо site-to-site VPN-соединение (также известное как VPN-соединение маршрутизатор-маршрутизатор).

Каждый из этих сценариев VPN может быть развернут для обеспечения подключения через общедоступную сеть, такую как Интернет, или через частную интрасеть. VPN-соединения также могут быть развернуты в сценарии экстрасети для безопасного взаимодействия с деловыми партнерами. Экстранет функционирует как интрасеть, которая может быть надежно разделена с назначенным деловым партнером. 

Благодаря подключению удаленного доступа и соединения «site-to-site», VPN позволяет организации заменять междугородные или лизинговые линии локальным набором или выделенными линиями поставщику услуг Интернета (ISP). 

VPN имеет три основных компонента: 

  1. Протоколы безопасности. VPN используют протокол безопасности, который защищает любую информацию, проходящую через сервер. Этот протокол создает безопасное соединение, а также влияет на тип шифрования, который использует VPN. Хотя протоколы безопасности не так хороши, как настоящая частная сеть (или физический кабель). Существуют разные типы протоколов, которые используются по разным причинам. В общем, тем не менее, самым безопасным протоколом является OpenVPN, и обычно это лучший протокол для использования.
  2. Шифрование. Шифрование идет рука об руку с протоколом безопасности. Эта функция защищает ваши данные, шифруя их. Таким образом, даже если хакер или кто-то другой захватит ваши данные, они не смогут его расшифровать. Лучшие VPN используют AES 128-bit и 256-bit. AES означает Advanced Encryption Standard, и это самый распространенный шифр. Большинство виртуальных частных сетей используют его, и он совместим со всеми основными протоколами VPN. Номера 128 и 256 соответствуют длине ключа и представляют собой возможное количество комбинаций. Чтобы представить это в перспективе, самый быстрый компьютер займет более миллиарда лет, чтобы придумать все возможные комбинации для AES 128-бит. Шифрование является решающим фактором, когда дело доходит до VPN.
  3. Серверы.Много раз вы слышите, как определенные VPN-серверы хвастаются своим количеством серверов. Это связано с тем, что обычно лучше иметь широкий спектр серверов и локаций. Зачем? Обычно, когда вы пользуетесь Интернетом, вы отправляете свои данные на сервер с запросом на определенный сайт. Затем этот сервер отправляет информацию веб-сайта обратно на ваше устройство. Когда вы используете VPN, ваши данные сначала отправляются на сервер VPN, а затем VPN отправляет его на предполагаемый сервер. Это важно, потому что, когда вы пинговали сервер для веб-сайта, вы постоянно отправляете данные по этому соединению. Если вы вставляете VPN посередине, ваш запрос на веб-сайт отправляется на сервер, но ваши данные перемещаются только между вашим устройством и сервером VPN (который также проходит через зашифрованный туннель). Поэтому предполагаемый сервер не получает никакой информации. Так пользователи VPN остаются анонимными в Интернете. Это также то, как VPN могут изменить ваше местоположение, чтобы разблокировать определенные сайты.

VPN удаленного доступа 

VPN-соединение удаленного доступа выполняется клиентом удаленного доступа. Клиент удаленного доступа является единственным пользователем компьютера, который подключается к частной сети из удаленного места. VPN-сервер обеспечивает доступ к ресурсам сети, к которой он подключен. Пакеты, отправленные через VPN-соединение, создаются на VPN-клиенте. 

Клиент VPN аутентифицируется на сервере VPN, и для взаимноcти наоборот VPN-сервер аутентифицируется с клиентом VPN. 

Site-to-site VPN 

VPN-соединение «site-to-site» соединяет две части частной сети или две частные сети. Например, это позволяет организации маршрутизировать соединения с отдельными офисами или с другими организациями через Интернет. Маршрутизируемое VPN-соединение через Интернет логически работает как выделенная глобальная сеть (WAN). 

VPN-сервер обеспечивает маршрутизированное соединение с сетью, к которой подключен. На VPN-соединении «site-to-site» пакеты, отправленные с любого маршрутизатора через VPN-соединение, обычно не возникают на маршрутизаторах. Вызывающий маршрутизатор (клиент VPN) аутентифицируется на VPN-сервер, а для взаимной аутентификации сервер аутентифицируется на вызывающем маршрутизаторе. 

Интернет VPN

Используя интернет-VPN-соединение, организация может избежать расходов на междугородную связь, используя преимущества глобальной доступности Интернета. 

VPN удаленного доступа через Интернет 

VPN-соединение удаленного доступа через Интернет позволяет клиенту инициировать коммутируемое подключение к локальному интернет-провайдеру вместо того, чтобы подключаться к корпоративному или внешнему серверу доступа к сети (NAS). Используя установленное физическое подключение к локальному интернет-провайдеру, клиент удаленного доступа инициирует VPN-подключение через Интернет к VPN-серверу организации. Когда создается VPN-соединение, клиент может получить доступ к ресурсам частной интрасети. На следующем рисунке показана схема удаленного VPN-доступа через Интернет. 

1.gif

Site-to-Site VPN соединение через Интернет 

Когда сети подключены через Интернет, как показано на следующем рисунке, маршрутизатор пересылает пакеты другому маршрутизатору через VPN-соединение. Для маршрутизаторов VPN-соединение работает как линк уровня канала передачи данных.

2.gif   

Туннелирование VPN 

Туннелирование - это сетевая технология, которая позволяет инкапсулировать один тип пакета протокола в дейтаграмму другого протокола. Например, соединения Windows VPN могут использовать пакеты протокола туннелирования (PPTP) от точки к точке, чтобы инкапсулировать и отправлять частный сетевой трафик, такой как трафик TCP / IP в общедоступной сети, такой как Интернет. 

Для протокола PPTP и L2TP туннель похож на сеанс. Обе конечные точки туннеля должны соглашаться с туннелем и должны согласовывать переменные конфигурации, такие как назначение адреса, шифрование или параметры сжатия. В большинстве случаев данные, передаваемые по туннелю, отправляются с использованием протокола на основе дейтаграммы. Протокол управления туннелем используется как механизм создания, обслуживания и завершения туннеля. 

После того, как туннель установлен, данные могут быть отправлены. Клиент туннеля или сервер использует протокол передачи данных туннеля для подготовки данных для передачи. Например, когда клиент туннеля отправляет полезную нагрузку на туннельный сервер, клиент туннеля сначала добавляет заголовок протокола передачи данных туннеля в полезную нагрузку. Затем клиент отправляет полученную инкапсулированную полезную нагрузку по сети, которая направляет ее на сервер туннелей. Сервер туннелей принимает пакеты, удаляет заголовок протокола передачи данных туннеля и пересылает полезную нагрузку в целевую сеть. Информация, передаваемая между туннельным сервером и клиентом туннеля, ведет себя аналогичным образом. 

Существует два типа туннелирования: 

●     Добровольное туннелирование

●     Обязательное туннелирование 

Добровольное туннелирование

Пользовательский или клиентский компьютер может выдать запрос VPN для настройки и создания добровольного туннеля. В этом случае компьютер пользователя является конечной точкой туннеля и действует как клиент туннеля. 

Добровольное туннелирование происходит, когда клиентский компьютер или сервер маршрутизации создает виртуальное соединение с целевым сервером туннелей. Для этого на клиентском компьютере должно быть установлено туннельное клиентское программное обеспечение и соответствующий протокол туннелирования. Для протоколов, обсуждаемых в этой технической справочной информации, для добровольных туннелей требуется IP-соединение (LAN или dial-up). 

В ситуации коммутируемого доступа клиент должен установить коммутируемое соединение с сетью до того, как клиент сможет настроить туннель. Это самый распространенный случай. Лучшим примером этого является пользователь удаленного доступа в Интернет, который должен набирать ISP и получать интернет-соединение до того, как туннель через Интернет может быть создан. 

Для клиентского компьютера, подключенного к локальной сети, уже есть соединение с сетью, которая может обеспечить маршрутизацию инкапсулированных полезных нагрузок на выбранный сервер туннеля LAN. Это будет иметь место для клиента, который использует постоянное широкополосное подключение к Интернету. 

Это распространенное заблуждение, что для VPN-соединений требуется подключение по коммутируемому соединению. Они требуют только IP-соединения между VPN-клиентом и VPN-сервером. Некоторые клиенты (например, домашние компьютеры) используют коммутируемые подключения к Интернету для установления IP-транспорта. Это предварительный шаг в подготовке к созданию туннеля и не является частью самого туннельного протокола. 

Обязательное туннелирование 

При принудительном туннелировании сервер удаленного доступа с поддержкой VPN настраивает и создает принудительный туннель. При использовании обязательного туннеля компьютер пользователя не является конечной точкой туннеля. Другим устройством, сервером удаленного доступа, между компьютером пользователя и туннельным сервером является конечная точка туннеля и действует как клиент туннеля. 

Ряд поставщиков, которые продают серверы удаленного доступа, реализовали возможность создания туннеля от имени удаленного клиента. Компьютер или сетевое устройство, предоставляющее туннель для клиентского компьютера, по-разному известен как процессор переднего конца (FEP) для PPTP или концентратор доступа L2TP (LAC) для L2TP. Для целей этой ссылки термин FEP используется для описания этой функциональности независимо от протокола туннелирования. Для выполнения своей функции FEP должен иметь соответствующий протокол туннелирования и должен быть способен установить туннель при подключении клиентского компьютера. 

При принудительном туннелировании клиентский компьютер помещает вызов удаленного доступа в NAS с поддержкой туннелирования в ISP. Например, корпорация могла бы заключить контракт с интернет-провайдером для развертывания общенационального набора FEP. Эти FEP могут устанавливать туннели через Интернет на туннельный сервер, подключенный к частной сети организации, тем самым объединяя вызовы из географически разных мест в одно подключение к Интернету в организации. 

Эта конфигурация известна как принудительное туннелирование, потому что клиент вынужден использовать туннель, созданный FEP. После первоначального подключения весь сетевой трафик с клиентом и от него автоматически отправляется через туннель. При принудительном туннелировании клиентский компьютер делает одно PPP-соединение. Когда клиент набирает номер в NAS, создается туннель, и весь трафик автоматически маршрутизируется через туннель. FEP можно настроить для туннелирования всех клиентов удаленного доступа на определенный туннельный сервер. FEP также может туннелировать отдельных клиентов на основе имени пользователя или адресата. 

В отличие от отдельных туннелей, созданных для каждого добровольного клиента, несколько клиентов удаленного доступа могут совместно использовать туннель между FEP и сервером туннелей. Когда второй клиент набирает сервер доступа (FEP) для достижения адресата, для которого уже существует туннель, нет необходимости создавать новый экземпляр туннеля между сервером FEP и туннелем. Вместо этого трафик данных для нового клиента переносится поверх существующего туннеля. Поскольку в одном туннеле может быть несколько клиентов, туннель не прерывается до тех пор, пока последний пользователь туннеля не отключится. 

PPTP 

Point-to-Point Tunneling Protocol (PPTP) инкапсулирует кадры протокола PPP (PPP) в IP-датаграммы для передачи по сети на основе IP, например, через Интернет или через частную интрасеть. PPTP описан в RFC 2637 в базе данных IETF RFC. 

PPTP использует TCP-соединение, известное как соединение управления PPTP, для создания, обслуживания и завершения туннеля. PPTP использует модифицированную версию инкапсуляции общей маршрутизации (GRE) для инкапсуляции кадров PPP в виде туннелированных данных. Полезные нагрузки инкапсулированных кадров PPP могут быть зашифрованы, сжаты или и то, и другое. 

PPTP предполагает наличие сети IP между клиентом PPTP (VPN-клиент, использующим протокол туннелирования PPTP) и PPTP-сервером (VPN-сервер, использующий протокол туннелирования PPTP). Клиент PPTP уже может быть подключен к IP-сети, которая может достигать PPTP-сервера, или PPTP-клиент может использовать коммутируемое соединение с NAS для установления IP-подключения, как в случае пользователей удаленного доступа в Интернете. 

Аутентификация, возникающая при создании VPN-соединения на основе PPTP, использует те же механизмы аутентификации, что и PPP-соединения, такие как протокол расширяемой аутентификации (EAP), протокол проверки подлинности Microsoft Challenge-Handshake (MS-CHAP), версия протокола проверки подлинности Microsoft Challenge-Handshake 2 (MS-CHAP v2), CHAP, протокол аутентификации паролей Shiva (SPAP) и протокол аутентификации пароля (PAP). PPTP наследует шифрование, сжатие или обе PPP-нагрузки от PPP. Для PPTP-соединений для использования PPP-данных, которые должны быть зашифрованы с использованием Microsoft Point-to-Point Encryption (MPPE), необходимо использовать EAP-Transport Layer Security (EAP-TLS), MS-CHAP или MS-CHAP v2. 

MPPE обеспечивает только шифрование ссылок между VPN-клиентом и VPN-сервером. Он не обеспечивает сквозного шифрования, которое представляет собой шифрование данных между клиентским приложением и сервером, на котором размещается ресурс или услуга, к которой обращается клиентское приложение. Если требуется сквозное шифрование, IPSec можно использовать для шифрования IP-трафика из конца в конец после того, как будет создан туннель PPTP. 

L2TP 

Протокол туннелирования второго уровня (L2TP) представляет собой комбинацию PPTP и Layer 2 Forwarding (L2F) - технологии, разработанной Cisco Systems, Inc. Вместо того, чтобы иметь два несовместимых протокола туннелирования, конкурирующих на рынке и вызывающих путаницу с клиентами, Целевая группа Internet Engineering Task Force (IETF) поручил объединить две технологии в один протокол туннелирования, который представляет лучшие функции PPTP и L2F. L2TP описан в RFC 2661 в базе данных IETF RFC. 

L2TP инкапсулирует кадры PPP для отправки по IP, X.25, ретрансляции кадров или сетей ATM. При отправке по IP-сети кадры L2TP инкапсулируются как сообщения протокола пользовательской дейтаграммы (UDP). L2TP может использоваться как протокол туннелирования через Интернет или через частные интрасети. 

L2TP использует сообщения UDP через IP-сети для обслуживания туннелей и туннелированных данных. Полезные нагрузки инкапсулированных кадров PPP могут быть зашифрованы или сжаты (или оба); однако клиенты L2TP не согласовывают использование MPPE для соединений L2TP. Шифрование для L2TP-соединений обеспечивается посредством IPSec Encapsulating Security Payload (ESP) в транспортном режиме. 

Возможно создание подключений L2TP на базе Windows, которые не шифруются IPSec. Однако это не относится к VPN-соединению, поскольку частные данные, инкапсулированные L2TP, уже не зашифрованы. Нешифрованные соединения L2TP могут временно использоваться для устранения неполадок соединения L2TP через IPSec, устраняя процесс аутентификации и согласования IPSec. 

L2TP для Windows предполагает наличие сети IP между клиентом L2TP (VPN-клиент с использованием протокола туннелирования L2TP и IPSec) и сервером L2TP (VPN-сервер, использующий протокол туннелирования L2TP и IPSec). Клиент L2TP уже может быть подключен к IP-сети, которая может достигать L2TP-сервера, или клиенту L2TP, возможно, придется подключиться к NAS для установления соединения с IP-сетью, как в случае пользователей удаленного доступа в Интернете. 

Аутентификация, возникающая при создании туннелей L2TP, должна использовать те же механизмы аутентификации, что и PPP-соединения. 

Интернет-сервер L2TP - это сервер удаленного доступа с поддержкой L2TP с одним интерфейсом в Интернете и второй интерфейс в частной интрасети. 

Обслуживание туннеля L2TP и туннелированные данные имеют одинаковую структуру пакетов. 

OpenVPN

Относительно новая технология с открытым исходным кодом OpenVPN использует протоколы SSLv3 / TLSv1 и библиотеку OpenSSL с использованием комбинации других технологий для предоставления пользователям надежного и надежного VPN-решения. Протокол очень настраивается и работает лучше всего на UDP-порту, но его можно настроить для работы на любом порту; что делает его чрезвычайно сложным для Google и других подобных служб, чтобы блокировать их. 

Другим большим преимуществом этого протокола является то, что его библиотека OpenSSL поддерживает множество криптографических алгоритмов, таких как 3DES, AES, Camellia, Blowfish, CAST-128, хотя Blowfish и AES почти исключительно используются провайдерами VPN. OpenVPN имеет встроенное 128-битное шифрование Blowfish. Хотя он обычно считается защищенным, он также имеет некоторые известные недостатки. 

Когда дело доходит до шифрования, AES является новейшей технологией и считается «золотым стандартом», поскольку она не имеет известных недостатков. Правительством и ведомствами США даже было принято решение защищать «безопасные» данные. Он может обрабатывать более крупные файлы сравнительно лучше, чем Blowfish, благодаря 128-битовому размеру блока по сравнению с 64-битным размером блока Blowfish. Но оба они являются сертифицированными NIST шифрами, и, хотя они не могут быть признаны широко как проблема, есть некоторые проблемы, которые мы смотрим ниже. 

Во-первых, насколько быстро работает протокол OpenVPN, зависит от используемого уровня шифрования; но обычно это быстрее, чем IPsec. Хотя OpenVPN теперь является VPN-соединением по умолчанию для большинства служб VPN, он по-прежнему не поддерживается ни одной платформой. Тем не менее, он поддерживается большинством сторонних программ, включая Android и iOS. 

Когда дело доходит до настройки, это немного сложно по сравнению с L2TP / IPsec и PPTP, особенно когда используется общее программное обеспечение OpenVPN. Вы не только загружаете и устанавливаете клиента, но и должны настраиваться дополнительные файлы конфигурации, которые необходимо изучить. Некоторые поставщики VPN сталкиваются с этой проблемой конфигурации из-за поставки настроенных VPN-клиентов. 

Однако, принимая во внимание все факторы и учитывая информацию, предоставленную Эдвардом Сноуденом, кажется, что OpenVPN не был ослаблен и не был включен NSA. Он также считается невосприимчивым к атакам NSA из-за использования эфемерных обменов ключами. Несомненно, никто не знает о полных возможностях NSA, однако, как математика, так и данные свидетельствуют о том, что OpenVPN, в сочетании с сильным шифром, является единственным протоколом VPN, который можно считать безопасным.

logo
Отзывы покупателей
Рейтинг покупателей
0 / 5
На основе 0 оценок покупателей
0%
0%
0%
0%
0%
Отзыв
Отлично
Заголовок*
Достоинства
Недостатки
Комментарий*
Представьтесь

Возврат к списку


Популярное оборудование

Авторизуйтесь, чтобы добавить отзыв

x