Что такое vpn на пк.  Что такое VPN

VPN (Virtual Private Networks) — виртуальные частные сети. VPN является одной из таких технологий, про которых неизвестно, откуда они появились. Однако, когда такие технологии укореняются в инфраструктуре компании, все удивляются, как раньше обходились без них. Виртуальные частные сети позволяют вам использовать Интернет как собственную частную сеть. Таким образом, распространение VPN связано с развитием Интернета. Сама технология в качестве базы для своей работы использует стек протоколов TCP/IP.

Для того, чтобы понять, что такое VPN, необходимо уяснить два понятия: шифрование и виртуальность.

Шифрование — это обратимое преобразование сообщения, с целью скрытия от неавторизованных лиц.

Виртуальность — это объект или состояние, которые реально не существуют, но могут возникнуть при определенных условиях.

Шифрование преобразует сообщение из одного вида, например, «Привет!» в другой вид «*&878hJf7*&8723». С другой стороны есть еще обратное преобразование, которые называется дешифрованием, т.е. преобразование сообщения «*&878hJf7*&8723» в сообщение «Привет!». Подход безопасности в виртуальных частных сетях предполагает, что никто, кроме предполагаемого получателя, не сможет выполнить дешифрование.

Понятие «виртуальность» относится к ситуации «как будто». Например ситуация, когда вы получаете доступ к удаленному компьютеру с помощью планшета. В данном случае планшет имитирует работу удаленного компьюетра.

У термина VPN есть точное определение:

VPN — это зашифрованный или инкапсулированный процесс коммуникации, который безопасным образом передает данные из одной точки в другую; безопасность этих данных обеспечена устойчивой технологией шифрования и передаваемые данные проходят через открытую, незащищенную, маршрутизируемую сеть.

Так как VPN является зашифрованным при коммуникации между узлами данные передаются безопасно и гарантируется их целостность. Данные проходят через открытую, незащищенную, маршрутизируемую сеть, поэтому при передаче через коллективную линию они могут иметь много путей к окончательному месту назначения. Таким образом, VPN можно представить как процесс отправления зашифрованных данных из одной точки в другую через сеть Интернет.

Инкапсуляция — это процесс размещения пакета данных внутри IP-пакета. Инкапсуляция позволяет добавить дополнительный слой защиты. Инкапсуляция позволяет создавать VPN-туннели и передавать данные поверх сети с другими протоколами. Наиболее распространенный способ создания VPN-туннелей — инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и др.) в PPP и последующая инкапсуляция образованных пакетов в протоколов туннелирования. В качестве последнего чаще всего выступает протокол IP, хотя, в редких случаях, могут выступать и протоколы ATM, Frame Relay. Такой подход называется туннелированием второго уровня, так как пассажиром здесь является непосредственно протокол второго уровня (PPP).

Альтернативный подход — инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

По назначению VPN подразделяются на три вида:

1. Интранет — используется для объединения в единую защищенную сеть нескольких распределенных филиалов одной организации, обменивающихся данными по открытым каналам связи.
2. Экстранет — используется для сетей, к которым подключаются внешние пользователи (например, заказчики или клиенты). В связи с тем, что уровень доверия к таким пользователям ниже, чем к сотрудникам компании, требуется обеспечение особой защиты, предотвращающей доступ внешних пользователей к особо ценной информации.
3. Удаленный доступ — создается между центральными корпоративными офисами и удаленными мобильными пользователями. При наличии программного обеспечения шифрования, загруженного на удаленный переносной компьютер, удаленный пользователь устанавливает зашифрованный туннель с устройством VPN в центральных корпоративных офисах.

Существует множество вариантов реализации VPN. При выборе способа реализации VPN необходимо учитывать факторы производительности систем VPN. Например, если маршрутизатор работает на пределе мощности своего процессора, то дополнительное добавление туннелей VPN и применение шифрования / дешифрования могут повлечь за собой остановку работы всей сети, так как маршрутизатор не будет справляться с обычным трафиком.

Варианты реализации VPN:

1. VPN на базе брандмауэров. Брандмауэр (межсетевой экран) представляет из себя программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. На сегодняшний день брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что трафик, проходящий через через брандмауэр шифруется.
2. VPN на базе маршрутизаторов. Так как вся информация, исходящая из локальной сети, поступает сначала на маршрутизатор, то целесообразно возложить на него функции шифрования. Маршрутизаторы компании Cisco, к примеру, поддерживают протоколы шифрования L2TP, IPSec. Помимо простого шифрования, они также поддерживают другие функции VPN, такие как идентификация при установлении соединения и обмен ключами.
3. VPN на базе сетевой операционной системы. В Linux для подключения VPN обычно используются такие технологии как OpenVPN, OpenConnect или NetworkManager. В создания VPN в Windows используется протокол PPTP, который интегрирован в систему Windows.

___________________________

Относительно с недавних пор технологии VPN стали весьма популярными среди пользователей компьютерной и мобильной техники. Большинство, правда, особо не задумывается над тем, зачем нужен VPN на телефоне, планшете, стационарном компьютере и ноутбуке, или как это все работает. Попробуем рассмотреть некоторые аспекты этих вопросов, особо не вдаваясь в технические термины и описания принципов функционирования.

Что такое VPN в общем смысле?

Сокращение VPN образовано от английского словосочетания что дословно означает «частная виртуальная сеть». К сожалению, данный термин далеко не в полной мере характеризует и саму организацию таких сетей, и принципы работы, и зачем нужен VPN вообще. Да, конечно, кое-какие выводы из определения сделать можно. В частности, совершенно четко можно понять, что под таким определением подразумевается сеть, к которой имеет доступ ограниченное число пользователей.

Однако сеть эта не простая, а защищенная, причем таким образом, что передаваемые и принимаемые данные проходят через своеобразный туннель в зашифрованном виде, а получить к ним доступ вне сети практически невозможно. Но это только общее понятие. Если копнуть глубже, можно найти немалое сходство VPN с анонимайзерами или аналогичными прокси-серверами, которые способны обеспечивать не только защиту информации, но еще и анонимность пребывания пользователя в Интернете, естественно, даже с сокрытием следов посещения тех или иных ресурсов.

Понимание технологии туннелирования

Говорить о том, зачем нужен VPN, без понимания того, как это все работает, хотя бы на самом примитивном уровне, не приходится. Поэтому кратко остановимся именно на принципах функционирования подключений такого типа. Для простоты объяснения воспользуемся следующим примером.

Передача данных от одного компьютера или мобильного устройства другому производится исключительно через специальный защищенный канал, называемый туннелем. На выходе трафик шифруется, а на входе дешифрование можно произвести только при наличии соответствующего ключа, который известен только передающей и принимающей стороне. Поскольку доступ к сети тоже ограничен, воспользоваться ею могут только зарегистрированные юзеры.

Но, говоря о том, зачем нужен VPN дома или в офисе и на разных устройствах при работе в Интернете, особо следует обратить внимание и на то, что при использовании таких технологий изменяется внешний IP-адрес девайса, с которого производится подключение к определенному ресурсу. Для чего это делается? Дело в том, что каждому устройству при подключении ко Всемирной паутине назначается уникальный внешний идентификатор (IP-адрес), пусть даже динамически изменяемый, который напрямую зависит от географического положения провайдера. Исходя из этого, нетрудно сообразить, что доступ к некоторым сервисам или сайтам в определенном регионе может быть попросту заблокирован. А VPN как раз и позволяет обойти такие ограничения.

Зачем нужен VPN?

Если же говорить о практической стороне необходимости использования VPN, можно привести несколько конкретных примеров. Предположим, вы приходите в кафе, где можно получить бесплатный доступ к Wi-Fi, и входите в какую-то социальную сеть с вводом логина и пароля. Поскольку сама публичная сеть Wi-Fi обладает очень низким уровнем защиты, или та отсутствует вовсе, получить доступ к вашим данным любому грамотному злоумышленнику путем взлома канала передачи труда не составит. Ладно, если дело касается только таких ресурсов. А что, если в данный момент вы пытаетесь выполнить какую-то банковскую операцию с использованием того же мобильного приложения? Где гарантия, что такая информация не будет украдена? Теперь-то, наверное, и становится понятно, зачем нужен VPN на iPhone или Android-устройстве. То же самое касается и всех стационарных или переносных компьютеров.

В качестве еще одного, правда, печального примера можно привести Украину, где относительно недавно на государственном уровне был принят один из самых нелепых законов о блокировании некоторых российских социальных сетей («Одноклассники», «ВКонтакте») и сервисов, включая поисковые и почтовые службы Yandex и Mail.Ru, не говоря уже о запрете некоторых информационных интернет-изданий. Поначалу среди пользовательской аудитории это вызвало настоящий шок, но потом многие быстро сообразили, что использование VPN позволяет обойти эти ограничения в два счета даже без особых знаний в области компьютерных технологий. Другое дело - Китай и Северная Корея. На территории этих стран даже VPN не помогает, поскольку там установлены такие мощные файрволы, что пробиться сквозь их защиту практически невозможно.

Еще один аспект можно связать с наличием в Интернете сервисов, которые доступны только для отдельно взятых регионов. Так, например, просто так послушать интернет-радио, предназначенное для вещания исключительно на территории США, не получится, поскольку для Восточной Европы этот сервис является закрытым. То есть после определения вашего региона на основе внешнего IP устройства, с которого производится попытка подключения, доступ вы к сервису попросту не получите. Смена адреса за счет использования VPN-клиента решает эту проблему запросто!

в браузерах?

Зачем нужен VPN, немного разобрались. Теперь давайте посмотрим на практическое использование таких технологий применительно к самым обычным интернет-браузерам. Для всех обозревателей сегодня можно найти массу плагинов в виде дополнительно устанавливаемых расширений, среди которых присутствуют и специализированные VPN-клиенты вроде friGate, Browsec и им подобные. Выгодно отличается от всех остальных обозревателей браузер Opera, в котором такой клиент является встроенным.

Для его первой активации необходимо использовать раздел безопасности основного меню, а для повторного включения или отключения - специальный переключатель, внесенный на панель слева от адресной строки. При этом можно довериться автоматическим настройкам или же выбрать предпочитаемый регион самостоятельно.

На изображении выше показан пример доступа к стартовой странице «Яндекса» в Украине с выключенным и включенным клиентом. Как видите, обход блокировки осуществляется элементарно.

Программы общего назначения

Однако только браузерами дело может и не ограничиваться, поскольку доступ к Интернету в любой момент может быть затребован и некоторыми программами, установленными на компьютере или мобильном девайсе. Официальные сайты таких приложений тоже могут быть заблокированы. В частности, речь идет об обновлениях антивирусов «Лаборатории Касперского» и пакетов Dr. Web. Зачем нужен VPN в этом случае, наверное, понятно и так. Без обновления антивирусных баз или компонентов защитных программ полноценное обеспечение защиты станет попросту невозможным. Но ведь установка апдейтов производится не через браузер, а напрямую при обращении к ресурсу самой программой. В такой ситуации помогают специальные приложения, изменяющие внешний IP компьютера для всех установленных апплетов.

Одним из самых интересных приложений можно назвать программу SafeIP, которая может настраивать адреса и автоматически, и с предоставлением выбора региона самому пользователю. В равной степени этот относится и ко всевозможным почтовым клиентам вроде Mail.Ru Agent, для которых обход блокировки осуществляется аналогичным методом.

Зачем нужен VPN-сервер?

Что же касается серверов этого типа, их предназначение состоит больше в обеспечении безопасности сети с ограничением пользовательского доступа и шифрованием информации. Это позволяет в более высокой степени защитить собственное беспроводное соединение. Опять же, после подключения к такому серверу производить обход блокировок разного уровня на отдельно взятых устройствах будет не нужно. Кроме того, это позволяет организовать сеть на основе подключения через Интернет из разных точек мира.

Создание и средствами Windows

В принципе, создать сервер в домашних условиях можно даже с использованием средств Windows. Правда, используемые принципы несколько отличаются от того, что предлагают сторонние программы.

В Windows сначала нужно войти в сетевые настройки (ncpa.cpl), создать новое входящее подключение, выбрать пользователя с максимальным набором административных прав, активировать разрешение подключения пользователей через Интернет (VPN), задействовать нужный протокол TCP/IP и указать пользователей, которым будет разрешено подключение.

Для подключения нужно будет изначально знать интернет-адрес созданного сервера и логин с паролем.

Примечание: эта методика работает только для устройств со статическими адресами, а в некоторых случаях (если соединение VPN осуществляется через роутер) на маршрутизаторе нужно выполнить открытие (проброс) порта 1723, что напрямую зависит от модели используемого маршрутизатора.

Мобильные настройки и приложения

Наконец, посмотрим, зачем нужен VPN на Android. В принципе, назначение таких технологий практически ничем не отличается от обычных компьютеров. Разница может быть только в настройке. Например, создать сервер (точку доступа) можно средствами самой системы или использовать сторонние приложения. Для комфортного доступа к сайтам можно воспользоваться мобильной версией браузера Opera. Но зачем нужен VPN Master - одна из самых популярных программ для мобильных девайсов?

В некотором смысле она представляет собой аналог упомянутого выше приложения SafeIP и позволяет обойти возможные ограничения для всех без исключения сервисов, включая новости, обновления антивирусов, прослушивание интернет-радио или музыки в специальных приложениях вроде Spotify, не рассчитанных на использование в определенном регионе.

В этой статье Mr. Whoer расскажет вам о 12 возможных проблемах с vpn. Это не подробное руководство по устранению неполадок, возникающих при использовании VPN, но, мы надеемся, статья подскажет вам, что делать, если перестал работать vpn и как настроить vpn соединение.

1. Соединение с VPN осуществляется, но я не вижу определенного веб-сайта

Вполне возможно, что вы не можете подключится к одному определенному веб-сайту, особенно если вы видите, что ваша VPN работает нормально, и другие веб-сайты доступны. Попробуйте очистить кеш в используемом браузере (Ctrl + F5). Перезагрузите на всякий случай компьютер.

Настройки DNS могут также мешать загрузке определенных сайтов, читайте об этом подробнее в пункте 3.

Кроме того, сайт может быть недоступен с выбранного вами сервера VPN из-за географических ограничений. Попробуйте поменять страну сервера.

2. Соединение с VPN осуществляется, но данные не передаются

Проверьте, не используете ли вы одновременно с вашим еще один VPN клиент. Вам нужно найти vpn среди запущенных программ, даже если она находится в фоновом режиме. Отключите и выйдите из всех программ VPN, которые установлены на вашем компьютере, кроме той, которую вы планируете использовать в данный момент.

Также проблема с подключением к интернету может иногда возникнуть, если вы используете один VPN клиент одновременно на нескольких устройствах (к примеру, на мобильном устройстве и стационарном компьютере) и эти устройства подключены к одному VPN серверу. Способ решения: если выяснится, например, что на компьютере в VPN клиенте выбрана страна сервера Германия, и на мобильном устройстве тоже, то попробуйте на одном из устройств поменять страну, скажем, на Швейцарию.

3. Подключение к сайту работает по IP-адресу, но не по имени домена

Вы также можете попробовать подключиться к нужному вам сайту по его IP-адресу, а не по имени. Если вы можете получить доступ к ранее недоступным ресурсам с помощью IP-адресов, это может указывать на проблему с DNS. Проверьте, какие DNS серверы настроены для использования на вашем компьютере.

Инструкцию, что такое DNS и как его изменить, можно найти .

4. Есть соединение с VPN, но сайты не загружаются

Запустите свой браузер и зайдите на несколько разных сайтов, чтобы убедиться, что ваше подключение к интернету действительно работает. Если ваш компьютер находится в беспроводной сети и у вас проблемы с подключением к Интернету или точке доступа, то прежде чем вы сможете использовать VPN, вам нужно решить проблемы с беспроводным подключением.

5. Проблемы с VPN-клиентом

Убедитесь, что установка VPN-клиента производилась, именно так, как указано в ; переустановите клиент, повторно введите данные для входа.

1. Удалите приложение
2. Перезагрузите компьютер
3. Установите клиент
4. Перезагрузите компьютер
5. Попробуйте подключиться

6. Подключились к VPN-серверу, но нет интернета

Если одни серверы подключаются, а другие нет, то проблема связана с местоположением сервера, к которому вы подключались при запуске VPN клиента. Попробуйте переподключиться, возможно, не работает один конкретный сервер, а другие серверы в этой стране действуют. Вы также можете попробовать перезапустить клиент, особенно это рекомендуется если вы впервые пытаетесь подключиться к серверу с момента установки.

7. Проблемы с VPN протоколом

Выберите в настройках опцию «Использовать соединение по UPD».

8. VPN не работает в домашней сети

Если вы используете ноутбук или мобильное устройство, посетите бесплатную общественную точку доступа wi-fi (кафе, библиотеку) и попробуйте подключиться к VPN оттуда.

Если VPN работает при подключении через сеть хот-спота, проблему стоит поискать в вашей домашней сети. Возможно, вам нужно изменить некоторые сетевые настройки, которые могут вызывать проблемы с доступом через vpn.

9. Программы блокируют работу VPN

Брандмауэр и антишпионское ПО могут влиять на работу VPN. В антивирусном ПО также могут быть выставлены по умолчанию ограничения vpn. Обычно брандмауэры не являются проблемой. Однако некоторые старые версии не работают должным образом с VPN-соединением. Чтобы выяснить не ваш ли это случай, временно отключите брандмауэр и попытайтесь снова подключиться к VPN-серверу. Если проблема связана с брандмауэром, вам, вероятно, придется открыть некоторые исходящие порты, которые в зависимости от VPN и программного обеспечения брандмауэра могут меняться.

Также можете попробовать отключить защитное ПО и вновь попытаться подключится к VPN клиенту. Если это не помогло, попробуйте добавить VPN клиент в качестве исключения в брандмауэр и антивирусное ПО и разблокировать порты, обычно используемые для подключения VPN: TCP 443, TCP 1701 и TCP 1723.

10. Ваш домашний маршрутизатор (роутер) не поддерживает VPN

Некоторые роутеры не поддерживают VPN Passthrough (функцию роутера, которая позволяет трафику свободно проходить через Интернет) и/или протоколы, необходимые для работы определенных типов VPN. При покупке нового роутера обязательно проверьте, отмечен ли он как поддерживающий VPN.

Если у вас возникли проблемы с подключением к VPN, выполните поиск в Интернете по определенному бренду и модели роутера плюс слово «VPN», чтобы узнать, есть ли сообщения о том, что ваша модель роутера не работает с VPN, и существует ли возможность это исправить.

Производитель вашего маршрутизатора может предлагать обновление прошивки, включающее поддержку VPN. Если такого обновления нет, вам придется приобрести новый домашний роутер, но сперва обратитесь в службу технической поддержки вашего интернет-провайдера за советом.

11. Проблемы в настройках роутера, VPN-транзит и VPN-порты и протоколы

Если вы выяснили, что ваша модель роутера поддерживает пересылку VPN (VPN Passthrough), проверьте в своей домашней сети параметры конфигурации маршрутизатора и персонального брандмауэра для следующих параметров:

В настройках безопасности вы можете найти такие опции настройки vpn соединения, как включение IPSec Passthrough и PPTP Passthrough. Это два наиболее распространенных типа VPN-соединения. Вы можете попробовать включить оба.

Проверьте переадресацию портов и протоколы. В вашем брандмауэре (внутри маршрутизатора и отдельно в любых установленных программах брандмауэра) может потребоваться передача через определенные порты и открытые протоколы. IPSec VPN должны иметь перенаправленный порт UDP 500 (IKE), а также протоколы 50 (ESP) и 51 (AH). Для PPTP, протокола туннелирования VPN Microsoft, вам понадобится переадресованный порт TCP 1723 и IP-протокол 47 (GRE).

Это не так сложно, как кажется. Для начала проштудируйте руководство пользователя роутера либо поищите на сайте производителя информацию, касающуюся «VPN». Вам нужно найти то, что относится именно к вашей конкретной модели устройства.

12. Проблемы, возникающие при подключении к локальной сети.

VPN не будет работать, если ваш IP-адрес находится в том же диапазоне IP-адресов, которые использует ваша локальная сеть. Примером этого является IP-адрес вашего компьютера 192.168.1. , это означает, что сеть использует схему адресации 192.168.1. .

Чтобы найти IP-адрес вашего компьютера в Windows, откройте «Пуск»> «Выполнить …» и введите cmd для запуска командного окна. В этом окне введите ipconfig / all и нажмите Enter. Найдите сетевой адаптер и проверьте поле «IP-адрес».

Если вы выяснили, что ваш IP-адрес совпадает с диапазоном IP-адресов, вам нужно внести некоторые изменения в настройки домашнего маршрутизатора.

Перейдите на страницу конфигурации вашего маршрутизатора и измените IP-адрес маршрутизатора, чтобы первые три блока номеров в IP-адресе отличались от IP-подсети (в нашем примере: на 192.168.2.1.)

Также найдите настройки сервера DHCP и измените его, чтобы маршрутизатор выдавал IP-адреса в необходимом диапазоне адресов (в нашем примере: от 192.168.2.2 до 192.168.2.255.)

Дополнительно посмотрите наше видео, где мы также рассказываем о возникающих проблемах с VPN у пользователей

Интернет все чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:

конфиденциальность информации;

целостность данных;

доступность информации;

Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть .

Для наглядности представим следующий пример: предприятие имеет несколько территориально отдаленных филиалов и "мобильных" сотрудников, работающих дома или в разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ – это поставить модемы в каждом филиале и организовывать связь по мере необходимости. Такое решение, однако, не всегда удобно и выгодно – порой нужна постоянная связь и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VPN-подключения всех филиалов фирмы через Интернет и настройку VPN-средств на хостах сети.

Рис. 6.4. VPN-соединение типа сеть-сеть

Рис. 6.5. VPN-соединение типа хост-сеть

В этом случае решаются многие проблемы – филиалы могут располагаться где угодно по всему миру.

Опасность здесь заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего мира. Во-вторых, по Интернету все данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.

Чтобы этого не произошло, в решениях VPN используются такие средства, как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизация для проверки прав пользователя и разрешения доступа к виртуальной частной сети.

VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.

Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).

Хотя VPN-туннель устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами. Для примера, когда трём удалённым станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:

Рис. 6.6. Создание VPN-туннелей для нескольких удаленных точек

Пользователь устанавливает соединение с VPN-шлюзом, после чего пользователю открывается доступ к внутренней сети.

Внутри частной сети самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернету. Это справедливо и при соединении офисов с помощью VPN-шлюзов. Таким образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.

Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.

L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.

IPSec(Internet Protocol Security) – официальный Интернет-стандарт, разработан сообществом IETF (Internet Engineering Task Force).

Перечисленные протоколы поддерживаются устройствами D-Link.

Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP – протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.

Протокол PPTP позволяет создавать защищенные каналы для обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются с помощью протокола PPTP в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PPTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VPN, основанного на IPSec), так и любой другой протокол.

В настоящее время за счет легкости реализации протокол PPTP широко используется как для получения надежного защищенного доступа к корпоративной сети, так и для доступа к сетям Интернет-провайдеров, когда клиенту требуется установить PPTP-соединение с Интернет-провайдером для получения доступа в Интернет.

Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).

Как происходит установление соединения PPTP ?

PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP создают управляющее туннелем соединение, которое обеспечивает работоспособность канала. Этот процесс выполняется на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.

В дополнение к управляющему соединению PPTP создается соединение для пересылки данных по туннелю. Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP-кадра. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Данные с канального уровня достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IP, IPX, чтобы обеспечить возможность их передачи по IP-сетям. Однако применение только GRE-протокола не обеспечит установление сессии и безопасность данных. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.

На рис. 6.7 показана структура данных для пересылки по туннелю PPTP:

Рис. 6.7. Структура данных для пересылки по туннелю PPTP

Для организации VPN на основе PPTP не требуется больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP (решения PPTP существуют как для Windows, так и для Linux платформ), а на клиентских компьютерах выполнить необходимые настройки. Если же нужно объединить несколько филиалов, то вместо настройки PPTP на всех клиентских станциях лучше воспользоваться Интернет-маршрутизатором или межсетевым экраном с поддержкой PPTP: настройки осуществляются только на пограничном маршрутизаторе (межсетевом экране), подключенном к Интернету, для пользователей все абсолютно прозрачно. Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы серии DIR/DSR и межсетевые экраны серии DFL.

GRE -туннели

Generic Routing Encapsulation (GRE) – протокол инкапсуляции сетевых пакетов, обеспечивающий туннелирование трафика через сети без шифрования. Примеры использования GRE:

передача трафика (в том числе широковещательного) через оборудование, не поддерживающее определенный протокол;

туннелирование IPv6-трафика через сеть IPv4;

передача данных через публичные сети для реализации защищенного VPN-соединения.

Рис. 6.8. Пример работы GRE-туннеля

Между двумя маршрутизаторами A и B ( рис. 6.8 ) находится несколько маршрутизаторов, GRE-туннель позволяет обеспечить соединение между локальными сетями 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были подключены напрямую.

L 2 TP

Протокол L2TP появился в результате объединения протоколов PPTP и L2F. Главное достоинство протокола L2TP в том, что он позволяет создавать туннель не только в сетях IP, но и в сетях ATM, X.25 и Frame relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных.

Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication (см. в разделе "L2TP over IPSec"). Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На рис. 6.9 показана структура данных для пересылки по туннелю L2TP.

Рис. 6.9. Структура данных для пересылки по туннелю L2TP

Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.

Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.

IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Безопасность IPSec достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки – инкапсуляции. Т.к. IPSec – стандарт Интернет, то для него существуют документы RFC:

RFC 2401 (Security Architecture for the Internet Protocol) – архитектура защиты для протокола IP.

RFC 2402 (IP Authentication header) – аутентификационный заголовок IP.

RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) – использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.

RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – использование алгоритма шифрования DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) – шифрование данных.

RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) – область применения протокола управления ключами.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – управление ключами и аутентификаторами защищенных соединений.

RFC 2409 (The Internet Key Exchange (IKE)) – обмен ключами.

RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) – нулевой алгоритм шифрования и его использование.

RFC 2411 (IP Security Document Roadmap) – дальнейшее развитие стандарта.

RFC 2412 (The OAKLEY Key Determination Protocol) – проверка аутентичности ключа.

IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4.

Механизм IPSec решает следующие задачи:

аутентификацию пользователей или компьютеров при инициализации защищенного канала;

шифрование и аутентификацию данных, передаваемых между конечными точками защищенного канала;

автоматическое снабжение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.

Компоненты IPSec

Протокол AH (Authentication Header) – протокол идентификации заголовка. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Но использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP-адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной (для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечивающий передачу ESP через UDP и использующий в своей работе порт UDP 4500). Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.

Протокол ESP (Encapsulation Security Payload) обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов.

Протокол ESP – инкапсулирующий протокол безопасности, который обеспечивает и целостность, и конфиденциальность. В режиме транспорта ESP-заголовок находится между исходным IP-заголовком и заголовком TCP или UDP. В режиме туннеля ESP-заголовок размещается между новым IP-заголовком и полностью зашифрованным исходным IP-пакетом.

Т.к. оба протокола – AH и ESP – добавляют собственные заголовки IP, каждый из них имеет свой номер (ID) протокола, по которому можно определить, что последует за IP-заголовком. Каждый протокол, согласно IANA (Internet Assigned Numbers Authority – организация, ответственная за адресное пространство сети Интернет), имеет свой собственный номер (ID). Например, для TCP этот номер равен 6, а для UDP – 17. Поэтому, очень важно при работе через межсетевой экран настроить фильтры таким образом, чтобы пропускать пакеты с ID AH и/или ESP протокола.

Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается ID протокола 51, а для ESP – номер 50.

ВНИМАНИЕ : ID протокола не то же самое, что номер порта.

Протокол IKE (Internet Key Exchange) – стандартный протокол IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для ассоциации безопасности (SA).

SA – это термин IPSec для обозначения соединения. Установленный SA (защищенный канал, называемый "безопасной ассоциацией" или "ассоциацией безопасности" – Security Association, SA) включает в себя разделяемый секретный ключ и набор криптографических алгоритмов.

Протокол IKE выполняет три основные задачи:

обеспечивает средства аутентификации между двумя конечными точками VPN;

устанавливает новые связи IPSec (создаёт пару SA);

управляет существующими связями.

IKE использует UDP-порт с номером 500. При использовании функции NAT Traversal, как упоминалось ранее, протокол IKE использует UDP-порт с номером 4500.

Обмен данными в IKE происходит в 2 фазы. В первой фазе устанавливается ассоциация SA IKE. При этом выполняется аутентификация конечных точек канала и выбираются параметры защиты данных, такие как алгоритм шифрования, сессионный ключ и др.

Во второй фазе SA IKE используется для согласования протокола (обычно IPSec).

При настроенном VPN-туннеле для каждого используемого протокола создаётся одна пара SA. SA создаются парами, т.к. каждая SA – это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные пары SA хранятся на каждом узле.

Так как каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Этот номер называется SPI (Security Parameter Index) или индекс параметра безопасности.

SA храняться в базе данных (БД) SAD (Security Association Database).

Каждый узел IPSec также имеет вторую БД – SPD (Security Policy Database) – БД политики безопасности. Она содержит настроенную политику узла. Большинство VPN-решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.

Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения, и методы, выбранные для одной задачи, обычно не зависят от методов реализации других задач. Вместе с тем, рабочая группа IETF определила базовый набор поддерживаемых функций и алгоритмов, который должен быть однотипно реализован во всех продуктах, поддерживающих IPSec. Механизмы AH и ESP могут использоваться с различными схемами аутентификации и шифрования, некоторые из которых являются обязательными. Например, в IPSec определяется, что пакеты аутентифицируются либо с помощью односторонней функции MD5, либо с помощью односторонней функции SHA-1, а шифрование осуществляется с использованием алгоритма DES. Производители продуктов, в которых работает IPSec, могут добавлять другие алгоритмы аутентификации и шифрования. Например, некоторые продукты поддерживают такие алгоритмы шифрования, как 3DES, Blowfish, Cast, RC5 и др.

Для шифрования данных в IPSec может быть применен любой симметричный алгоритм шифрования, использующий секретные ключи.

Протоколы защиты передаваемого потока (AH и ESP) могут работать в двух режимах – в транспортном режиме и в режиме туннелирования . При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, т.е. шифруется только поле данных пакета, содержащего протоколы TCP / UDP (заголовок IP-пакета не изменяется (не шифруется)). Транспортный режим, как правило, используется для установления соединения между хостами.

В режиме туннелирования шифруется весь IP-пакет, включая заголовок сетевого уровня. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети (схема подключения "хост-сеть") или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети (схема подключения "сеть-сеть").

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие – туннельный.

На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета. При этом предполагается, что оба узла знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован.

В режиме транспорта AH

весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

все поля в AH;

полезные данные пакетов IP.

AH в режиме транспорта защищает IP-заголовок (за исключением полей, для которых разрешены изменения) и полезные данные в исходном IP-пакете (рисунок 3.39).

В туннельном режиме исходный пакет помещается в новый IP-пакет, и передача данных выполняется на основании заголовка нового IP-пакета.

Для туннельного режима AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:

все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

все поля AH;

исходный IP-пакет.

Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:

Рис. 6.10. Туннельный и транспортный режимы работы протокола АН

В режиме транспорта ESP аутентифицирует не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-пакет сразу после заголовка IP, а окончание ESP (ESP Trailer), соответственно, добавляется после данных.

Режим транспорта ESP шифрует следующие части пакета:

полезные данные IP;

Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации IV (Initialization Vector) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения вектора инициализации, он охраняется контрольной суммой ICV. В этом случае ICV выполняет следующие расчеты:

все поля в заголовке ESP;

полезные данные, включая открытый текст IV;

все поля в ESP Trailer, за исключением поля данных проверки подлинности.

Туннельный режим ESP инкапсулирует весь исходный IP-пакет в заголовок нового IP, заголовок ESP и ESP Trailer. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50, причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP область аутентификации IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. Исходный заголовок помещается после заголовка ESP. После того, как зашифрованная часть инкапсулируется в новый туннельный заголовок, который не зашифровывается, осуществляется передача IP-пакета. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей сети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер, находящийся во внутренней сети. Режим туннелирования ESP шифрует следующие части пакета:

исходный IP-пакет;

• Для туннельного режима ESP расчет ICV производится следующим образом:

  все поля в заголовке ESP;

  исходный IP-пакет, включая открытый текст IV;

  все поля заголовка ESP, за исключением поля данных проверки подлинности.

Рис. 6.11. Туннельный и транспортный режим протокола ESP

Рис. 6.12. Сравнение протоколов ESP и AH

Резюме по применению режимов IPSec :

Протокол – ESP (AH).

Режим – туннельный (транспортный).

Способ обмена ключами – IKE (ручной).

Режим IKE – main (aggressive).

Ключ DH – group 5 (group 2, group 1) – номер группы для выбора динамически создаваемых ключей сеанса, длина группы.

Аутентификация – SHA1 (SHA, MD5).

Шифрование – DES (3DES, Blowfish, AES).

При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie-Hellman групп. Diffie-Hellman (DH) – протокол шифрования, используемый для установления общих секретных ключей для IKE, IPSec и PFS (Perfect Forward Secrecy – совершенная прямая секретность). В таком случае будет использована первая позиция, совпавшая на обоих узлах. Очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN-соединение. При настройке VPN-туннеля между различными системами нужно выяснить, какие алгоритмы поддерживаются каждой стороной, чтобы была возможность выбора наиболее безопасной политики из всех возможных.

Основные настройки, которые включает в себя политика безопасности:

Симметричные алгоритмы для шифрования/дешифрования данных.

Криптографические контрольные суммы для проверки целостности данных.

Способ идентификации узла. Самые распространенные способы – это предустановленные ключи (pre-shared secrets) или СА-сертификаты.

Использовать ли режим туннеля или режим транспорта.

Какую использовать группу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).

Использовать ли AH, ESP, или оба вместе.

Использовать ли PFS.

Ограничением IPSec является то, что он поддерживает только передачу данных на уровне протокола IP.

Существуют две основные схемы применения IPSec, отличающиеся ролью узлов, образующих защищенный канал.

В первой схеме защищенный канал образуется между конечными хостами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:

Рис. 6.13. Создание защищенного канала между двумя конечными точками

Во второй схеме защищенный канал устанавливается между двумя шлюзами безопасности. Эти шлюзы принимают данные от конечных хостов, подключенных к сетям, расположенным за шлюзами. Конечные хосты в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть, проходит через шлюз безопасности, который выполняет защиту от своего имени.

Рис. 6.14. Создание защищенного канала между двумя шлюзами

Для хостов, поддерживающих IPSec, возможно использование как транспортного, так и туннельного режимов. Для шлюзов разрешается использование только туннельного режима.

Установка и поддержка VPN

Как упоминалось выше, установка и поддержка VPN-туннеля выполняется в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie-Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными сообщениями (т.н. агрессивный режим, Aggressive mode ) или шестью сообщениями, с обменом зашифрованной информацией об идентификации (стандартный режим, Main mode ).

В режиме Main Mode обеспечивается возможность согласований всех параметров конфигурации устройств отправителя и получателя, в то время как в режиме Aggressive Mode такой возможности нет, и некоторые параметры (группа Diffie-Hellman, алгоритмы шифрования и аутентификации, PFS) должны быть заранее одинаково настроены на каждом устройстве. Однако, в данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec.

Рис. 6.15. Обмен сообщениями в стандартном (а) и агрессивном (б) режимах

Предполагая, что операция завершилась успешно, создаётся SA первой фазы – Phase 1 SA (также называемый IKE SA ) и процесс переходит ко второй фазе.

На втором этапе генерируются данные ключей, узлы договариваются об используемой политике. Этот режим, также называемый быстрым режимом (Quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA и на этом установка туннеля считается завершённой.

Сначала на узел прибывает пакет с адресом назначения в другой сети, и узел инициирует первую фазу с тем узлом, который отвечает за другую сеть. Допустим, туннель между узлами был успешно установлен и ожидает пакеты. Однако узлам необходимо переидентифицировать друг друга и сравнить политику по прошествие определённого периода времени. Этот период называется время жизни Phase One или IKE SA lifetime.

Узлы также должны сменить ключ для шифрования данных через отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime.

Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Нужно задать одинаковые параметры времени жизни для обоих узлов. Если не выполнить этого, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Проблемы могут возникнуть и в том случае, когда время жизни первой фазы меньше аналогичного параметра второй фазы. Если настроенный ранее туннель прекращает работу, то первое, что нуждается в проверке – это время жизни на обоих узлах.

Еще следует отметить, что при смене политики на одном из узлов изменения вступят в силу только при следующем наступлении первой фазы. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из базы данных SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.

Иногда при настройке IPSec-туннеля между оборудованием разных производителей возникают затруднения, связанные с согласованием параметров при установлении первой фазы. Следует обратить внимание на такой параметр, как Local ID – это уникальный идентификатор конечной точки туннеля (отправителя и получателя). Особенно это важно при создании нескольких туннелей и использовании протокола NAT Traversal.

Dead Peer Detection

В процессе работы VPN, при отсутствии трафика между конечными точками туннеля, или при изменении исходных данных удалённого узла (например, смена динамически назначенного IP-адреса), может возникнуть ситуация, когда туннель по сути таковым уже не является, становясь как бы туннелем-призраком. Для того чтобы поддерживать постоянную готовность к обмену данными в созданном IPSec-туннеле, механизм IKE (описанный в RFC 3706) позволяет контролировать наличие трафика от удалённого узла туннеля, и в случае его отсутствия на протяжении установленного времени, посылается hello- сообщение (в межсетевых экранах D-Link посылается сообщение "DPD-R-U-THERE"). При отсутствии ответа на это сообщение в течение определённого времени, в межсетевых экранах D-Link заданного настройками "DPD Expire Time", туннель демонтируется. Межсетевые экраны D-Link после этого, используя настройки "DPD Keep Time" ( рис. 6.18 ), автоматически пытаются восстановить туннель.

Протокол NAT Traversal

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Как упоминалось ранее, для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT Traversal).

Протокол NAT Traversal инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec. Таким образом, с помощью механизма NAT-T возможно установление связи между клиентами IPSec в защищённых сетях и общедоступными хостами IPSec через межсетевые экраны.

При настройке межсетевых экранов D-Link в устройстве-получателе нужно отметить два пункта:

в полях Remote Network и Remote Endpoint указать сеть и IP-адрес удаленного устройства-отправителя. Необходимо разрешить преобразование IP-адреса инициатора (отправителя) с помощью технологии NAT (рисунок 3.48).

при использовании общих ключей с несколькими туннелями, подключенными к одному удаленному межсетевому экрану, которые были преобразованы с помощью NAT в один и тот же адрес, важно убедиться в том, что Local ID является уникальным для каждого туннеля.

Local ID может быть одним из:

Auto – в качестве локального идентификатора используется IP-адрес интерфейса исходящего трафика.

IP – IP-адрес WAN-порта удаленного межсетевого экрана

DNS – DNS-адрес

VPN и прокси-серверы имеют одно сходство: они предназначены для защиты конфиденциальной информации и скрывают ваш IP-адрес. На этом сходства заканчиваются.

Прокси или VPN	Прокси	VPN
Доступ к любому контенту
Скрывает ваше местоположение (IP-адрес)
Скрывает вашу личность от мошенников
Работает с браузерами (Chrome, Firefox)
Работает с различными устройствами (смартфоны, планшеты, консоли)
Работает с играми и приложениями
Шифрует вашу деятельность, защищает от хакеров
Защищает вас от вредоносных программ и фишинговых тактик
Постоянно меняет виртуальное местоположение (IP-адрес)
Высокоскоростной сёрфинг и просмотр потокового контента
Вывод Как видите, VPN превосходит прокси-сервер по возможностям. Оба сервиса позволяют вам скрыть IP-адерс, но дополнительные функции VPN – надёжное шифрование, комплексная системная защита и т.п. – делают даную технологию более безопасной и конфиденциальной, чем прокси-сервер.

Как выбрать лучший VPN

Теперь вы понимаете, зачем в современных цифровых джунглях нужен VPN. Как выбрать сервис, идеально подходящий именно вам? Вот несколько полезных советов, которые помогут вам сделать правильный выбор.

Цена

Цена всегда имеет значение, но намного важнее получить именно то, за что вы заплатили . С бесплатными VPN-сервисами, как правило, полно проблем – в них почти всегда имеются какие-нибудь жёсткие ограничения. Да и как можно быть уверенным, что они не попробуют заработать на продаже ваших данных? Ведь обслуживать сеть VPN-серверов – занятие не из дешёвых, так что если вы не платите за продукт, то, скорее всего, вы и есть продукт.

Скорость

На скорость работы VPN влияет множество факторов. Сеть серверов должна быть хорошо оптимизирована, чтобы вы получали на выходе , так что убедитесь, что выбранный вами сервис оптимизирует свою сеть. Кроме того, действительно хороший сервис не станет ограничивать объём трафика и пропускную способность канала передачи данных, чтобы вы могли наслаждаться высокой скоростью сколько угодно.

Конфиденциальность

Некоторые VPN-сервисы сохраняют ваши личные данные, что сводит на нет всю суть использования VPN для защиты конфиденциальности! Если конфиденциальность важна для вас, то вам подойдёт только сервис, который строго придерживается принципа «Никаких записей». Также для сохранения конфиденциальности хорошо, если VPN-сервис принимает оплату в биткойнах.

Безопасность

Чтобы убедиться в том, что сервис предоставляет хорошую защиту от различных угроз, посмотрите, какие протоколы шифрования он использует. Кроме того, в клиенте сервиса должна быть функция «Стоп-кран», чтобы блокировать любой обмен данными устройства с Сетью, если VPN-соединение было нарушено или разорвано.

Количество серверов/стран

– это абсолютно необходимое условие для обеспечения быстрого и стабильного VPN-соединения. Чем больше у VPN-сервиса серверов и чем больше список стран, в которых они расположены – тем лучше. Но это ещё не всё. Проверьте, позволяет ли сервис без ограничений переключаться между различными VPN-серверами. У вас обязательно должна быть возможность в любое время сменить точку выхода в Интернет.

Количество одновременных соединений

Одни сервисы позволяют одновременно подключаться к своей VPN-сети только одному устройству. Другие же позволяют одновременно подключить ПК, ноутбук, смартфон, Xbox и планшет. Мы в SaferVPN считаем, что больше – значит лучше. Поэтому разрешаем вам одновременно подключать до пяти устройств на каждый аккаунт.

Служба поддержки

Многим пользователям VPN по началу нужна помощь, чтобы освоиться с новой технологией, поэтому важным фактором при выборе сервиса может стать наличие у него хорошей службы технической поддержки, которая, во-первых, оперативно отвечает на вопросы пользователей и, во-вторых, даёт действительно толковые советы. Команда SaferVPN и всегда готова ответить на ваши вопросы по эл. почте или через онлайн-чат.

Бесплатная пробная версия, гарантия возврата денег

Опробовать продукт перед покупкой – действительно . Не каждый VPN-сервис готов её предоставить. Но ведь нет лучше способа узнать, подходит ли вам сервис, чем попробовать самому. Также хорошо, если имеется гарантия возврата денег, особенно если возврат производится оперативно.

Программное обеспечение

Не так-то просто найти VPN-сервис, который удобно использовать, легко устанавливать и при этом он обеспечивает достойную защиту и обладает богатым функционалом. Наша функция подключения одним нажатием кнопки невероятно удобна, а функция автоматической гарантируют вашу безопасность.

Кроссплатформенная совместимость

Для каждой платформы требуется разрабатывать отдельный VPN-клиент. Это непростая задача, но хороший VPN-сервис должен иметь в арсенале клиент для любого устройства, предложить пользователям клиентов для различных платформ, а также оперативно оказывать техническую поддержку и помогать пользователям исправлять проблемы.

Словарь VPN

Терминология в сфере Интернет-безопасности – довольно сложная и запутанная штука. Но не спешите отчаиваться! Команда SaferVPN поможет вам разобраться во всех тонкостях.

Адблокер

Англ. Advanced Encryption Standard – продвинутый стандарт шифрования. 256-битный AES на данный момент считается «золотым стандартом» шифрования, используется правительством США для защиты секретных данных. AES – лучший стандарт шифрования, доступный пользователям VPN.

Бэкдор

Математическая лазейка, секретный криптографический код, который встраивается в шифровальную последовательность для того, чтобы шифр потом можно было взломать.

Биткойн

Децентрализованная пиринговая (передаваемая от одного пользователя другому напрямую) открытая виртуальная валюта (криптовалюта). Как и традиционные деньги, биткойны можно обменивать на продукты и услуги, а также на другие валюты. SaferVPN принимает платежи в биткойнах.

Журнал соединений (метаданных)

Реестр, в котором хранятся записи о датах ваших подключений, их длительности, частоте, адресах и т.п. Необходимость ведения таких записей, как правило, объясняется тем, что они помогают решать различные технические проблемы и бороться со всевозможными нарушениями. SaferVPN принципиально не ведёт таких записей.

Скорость соединения

Количество данных, передаваемое за определённый период времени. Обычно измеряется в килобитах или мегабитах в секунду.

Куки

Англ. cookies – печенье. Это небольшие фрагменты данных, которые браузер хранит в виде текстовых файлов. С их помощью можно делать много полезного (например, запоминать данные для входа пользователя в систему или персональные настройки на сайте), но куки зачастую используют для слежки за пользователями.

DD-WRT открытая прошивка для роутеров, предоставляющая вам широкие возможности по управлению роутером. Отличная альтернатива фирменным прошивкам для тех, кто хочет самостоятельно настраивать роутер под свои нужды.

Англ. Domain Name System – система доменных имён. Это база данных, способная трансформировать адреса веб-страниц (URL) из привычного и понятного нам вида в «настоящий», цифровой формат, понятный компьютерам. DNS-перевод, как правило, осуществляет ваш Интернет-провайдер, попутно проверяя и цензурируя весь ваш трафик.

Сохранность данных

Правила или законы, в соответствии с которыми компания собирает данные о своих пользователях. В большинстве стран Интернет-провайдеры обязаны хранить некоторые данные пользователей (например, историю сёрфинга) в течение нескольких месяцев.

Шифрование

Кодирование данных с помощью математического алгоритма для предотвращения несанкционированного доступа к ним. Шифрование – единственное, что может защитить цифровые данные от посторонних лиц. Оно является краеугольным камнем безопасности в Интернете.

Гео-блокировки

Ограничение доступа к онлайн-сервисам на основании географического расположения. Данные ограничения, как правило, вводятся для того, чтобы правообладатели могли заключать выгодные сделки по выдаче лицензий с дистрибьюторами по всему миру. Разумеется, посредники делают продукт дороже для конечного потребителя.

HTTPS – протокол на базе SSL/TLS для защиты сайтов, которым пользуются банки и онлайн-продавцы.

IP-адрес

Англ. Internet Protocol Address – адрес по Интернет-протоколу. Каждое устройство в Сети получает уникальный цифровой адрес – IP-адрес. SaferVPN скрывает ваш IP-адрес от внешних наблюдателей, тем самым обеспечивая конфиденциальность и доступ к любым Интернет-сервисам.

Интернет-провайдер

Компания, которая поставляет услуги доступа к сети Интернет. Право предоставлять такие услуги строго регулируется: Интернет-провайдеры по закону обязаны отслеживать и цензурировать трафик своих клиентов.