От самото име - виртуална частна мрежа - следва, че тя по някакъв начин възпроизвежда свойствата на реална частна мрежа.

Без никакво преувеличение една мрежа може да се нарече частна само ако предприятието притежава и управлява изцяло цялата мрежова инфраструктура - кабели, оборудване за кръстосано свързване, оборудване за формиране на канали, комутатори, рутери и друго комуникационно оборудване.

Виртуалната частна мрежа е вид „мрежа в мрежата“, тоест услуга, която дава на потребителите илюзията, че тяхната частна мрежа съществува в публична мрежа.

Основните цели на VPN технологията са да осигури гарантирано качество на услугата за потоците от потребителски данни в публична мрежа, както и да ги защити от възможен неоторизиран достъп или унищожаване.

Виртуална частна мрежа (виртуална Частна мрежа- VPN) е обединението на локални мрежи чрез отворена външна среда (глобална мрежа) в единна корпоративна мрежа, която предоставя безопасноциркулация на данни.

Същността на VPN технологията е следната (Фигура 6.1):

Фигура 6.1 - Схема на VPN мрежата

Към всички компютри с достъп до интернет (вместо интернет може да има всяка друга мрежа обща употреба), инсталирани са VPN агенти, които обработват IP пакети, предавани през компютърни мрежи.

VPN агентите автоматично криптират цялата изходяща информация (и съответно декриптират цялата входяща информация). Те също така наблюдават неговата цялост, като използват електронен цифров подпис (EDS) или имитационни вложки (криптографска контролна сума, изчислена с помощта на ключ за криптиране).

Преди да изпратите IP пакет VPN агентът работи по следния начин.

IP адресът на получателя на пакета се анализира, в зависимост от този адрес се избира алгоритъмът за защита на този пакет. Ако няма такъв получател в настройките на VPN агента, тогава информацията не се изпраща.

Генерира и добавя EDS на изпращача или имитация на вложка към пакета.

Шифрова пакета (изцяло, включително заглавката).

Извършва капсулиране, т.е. генерира нов хедър, където посочва адреса не на получателя, а на неговия VPN агент. Тази полезна допълнителна функция ви позволява да мислите за обмен между две мрежи като обмен между два компютъра, на които са инсталирани VPN агенти. Всяка полезна информация за нападателя, като вътрешни IP адреси, вече не е достъпна за него.

Когато се получи IP пакет, се извършва обратното действие.

Заглавката съдържа информация за VPN агента на подателя. Ако някой не е включен в списъка с разрешени в настройките, тогава информацията просто се изхвърля.

Според настройките се избират криптографски алгоритми и EDS, както и необходимите ключове, след което пакетът се декриптира и се проверява целостта му, пакетите с нарушена цялост (EDS не е правилен) също се изхвърлят.

След всички обратни трансформации, пакетът в оригиналната си форма се изпраща до истинската дестинация през локалната мрежа.

Всички горепосочени операции се извършват автоматично, работата на VPN агентите е невидима за потребителите. VPN агентът може да бъде разположен директно на защитения компютър (което е особено полезно за мобилни потребители). В този случай той защитава комуникацията само на един компютър, на който е инсталиран.

6.1 Концепцията за "тунел" при предаване на данни в мрежи

За да прехвърлят данни, VPN агентите създават виртуални канали между защитени локални мрежиили компютри (такъв канал се нарича "тунел", а технологията за създаването му се нарича "тунелиране"). Цялата информация се предава през тунела в криптирана форма.

Фигура 6.2.

Една от задължителните функции на VPN агентите е филтрирането на пакети. Филтрирането на пакети се реализира в съответствие с настройките на VPN агента, чиято комбинация формира политиката за сигурност на VPN. За да се повиши сигурността на виртуалните частни мрежи в краищата на тунелите е препоръчително да се поставят защитни стени (филтри).

VPN агентите действат като VPN шлюзове. Шлюзът за сигурност на VPN е мрежово устройство, което се свързва с две мрежи, глобална мрежа и локална мрежа, и изпълнява функции за криптиране и удостоверяване за хостове в мрежата зад него. VPN шлюзът може да бъде реализиран като отделно хардуерно устройство, отделно софтуерно решение, както и под формата на защитна стена или рутер, допълнени с VPN функции.

VPN мрежовата връзка на шлюза за сигурност изглежда на потребителите на мрежата зад него като наета линия, докато всъщност е отворена мрежа с комутация на пакети. VPN адресът на Security Gateway във външната мрежа дефинира адреса на входящия тунелиран пакет. Вътрешният адрес е адресът на хоста зад шлюза. VPN шлюзът за сигурност може да функционира като част от рутер, защитна стена и други подобни.

Характеристика на тунелирането е, че тази технология ви позволява да шифровате целия пакет източник, заедно със заглавката, а не само неговото поле с данни. Оригиналният пакет е криптиран изцяло заедно с хедъра и този криптиран пакет се поставя в друг, външен пакет с отворен хедър. За да пренасяте данни през "опасна" мрежа, открити полетазаглавката на външния пакет и когато външният пакет пристигне в крайната точка на защитения канал, вътрешният пакет се извлича от него, дешифрира се и заглавката му се използва за по-нататъшно предаване вече в ясна форма през мрежа, която не изисква защита .

Фигура 6.3 - Създаване на VPN тунел

В този случай за външни пакети се използват адресите на гранични рутери (VPN шлюзове), инсталирани в тези две точки, а вътрешните адреси на крайните възли се съдържат във вътрешни пакети в защитена форма (Фигура 6.4).

Фигура 6.4 - Тунелиране на пакети

6.2 Архитектура VPN мрежи

АрхитектураИма три основни типа VPN:

1) VPN за отдалечен достъп

2) Вътрешнокорпоративен VPN (интранет VPN)

3) Междукорпоративен VPN (Extranet VPN)

VPN за отдалечен достъп

С помощта на тази схема (Фигура 6.5) отделните служители имат отдалечен достъп до корпоративната мрежа на организацията чрез публична мрежа. Отдалечените клиенти могат да работят от вкъщи или с помощта на преносим компютър от всяка точка на света, където има достъп до World Wide Web.

Фигура 6.5 - VPN с отдалечен достъп

6.2.2 Вътрешнокорпоративни VPN мрежи(Фигура 6.6)

Фигура 6.6 - Интранет VPN

Тук комуникацията се осъществява в една обща мрежа от географски разпределени клонове на компанията. Този метод се нарича Интранет VPN . Този методпрепоръчително е да се използва както за обикновени клонове, така и за мобилни офиси, които ще имат достъп до ресурсите на компанията-майка, както и лесно да обменят данни помежду си.

6.2.3 Междуфирмени VPN мрежи(Фигура 6.7)

Фигура 6.7 - Екстранет VPN

Този т.нар Екстранет VPN когато достъпът е предоставен чрез защитени канали за достъп за клиенти или партньори на организацията. Получава широко разпространение поради популярността на електронната търговия.

В този случай отдалечените клиенти (партньори) ще имат много ограничени възможности за използване на корпоративната мрежа, всъщност те ще бъдат ограничени до достъп до тези фирмени ресурси, които са необходими при работа с техните клиенти, например сайт с търговски оферти , а VPN се използва в този случай за защитен трансфер на чувствителни данни.

В допълнение към VPN шлюзовете Фигура 6.7 показва и защитни стени. АЗ. Защитни стени (филтри) осигуряват контрол върху предаваното съдържание (вируси и други външни атаки). DOE е „ограда“ около мрежата, която не позволява на нападателите да проникнат през нея, докато VPN е „бронирана кола“, която защитава ценности, когато бъдат извадени от оградата. Следователно и двете решения трябва да се използват, за да се осигури необходимото ниво на сигурност. информационни ресурси. Най-често функциите на ME и VPN се комбинират в едно и също устройство.

Всяка година електронните комуникации се подобряват и все по-високи изисквания се поставят към обмена на информация за скорост, сигурност и качество на обработката на данни.

И тук ще разгледаме по-отблизо vpn връзка: какво е това, за какво е vpn тунел и как да използвате vpn връзка.

Този материал е вид уводна дума към поредица от статии, в които ще ви кажем как да създадете vpn на различни операционни системи.

vpn връзка какво е това?

И така, виртуална частна мрежа vpn е технология, която осигурява сигурна (затворена от външен достъп) връзка на логическа мрежа през частна или публична при наличие на високоскоростен интернет.

Такива мрежова връзкакомпютри (географски отдалечени един от друг на значително разстояние) използва връзка от точка до точка (с други думи, "компютър към компютър").

Научно този метод на свързване се нарича vpn тунел (или тунелен протокол). Можете да се свържете с такъв тунел, ако имате компютър с всяка операционна система, която има интегриран VPN клиент, който може да „пренасочва“ виртуални портове, използвайки TCP / IP протокола към друга мрежа.

За какво е vpn?

Основното предимство на vpn е, че преговарящите се нуждаят от платформа за свързване, която не само се мащабира бързо, но също така (основно) осигурява поверителност на данните, цялост на данните и удостоверяване.

Диаграмата ясно показва използването на vpn мрежи.

Предварително правилата за свързване по защитен канал трябва да бъдат записани на сървъра и рутера.

как работи vpn

Когато възникне vpn връзка, информацията за IP адреса на VPN сървъра и отдалечения маршрут се предава в заглавката на съобщението.

Капсулираните данни, преминаващи през обществена или обществена мрежа, не могат да бъдат прихванати, тъй като цялата информация е криптирана.

Етапът на VPN криптиране се изпълнява от страна на подателя, а данните на получателя се дешифрират от заглавката на съобщението (ако има общ ключ за криптиране).

След като съобщението бъде правилно декриптирано, се установява vpn връзка между двете мрежи, което също ви позволява да работите в публична мрежа (например обмен на данни с клиент 93.88.190.5).

Относно информационна сигурност, тогава Интернет е изключително незащитена мрежа, а VPN мрежа с OpenVPN, L2TP / IPSec, PPTP, PPPoE протоколи е напълно защитена и по безопасен начинпредаване на данни.

За какво е vpn канал?

използва се vpn тунелиране:

В рамките на корпоративната мрежа;

Да обединим отдалечени офиси, както и малки клонове;

За цифрова телефонна услуга с голям комплекттелекомуникационни услуги;

За достъп до външни ИТ ресурси;

Да изгради и реализира видеоконферентна връзка.

Защо ви трябва vpn?

vpn връзката е необходима за:

Анонимна работа в Интернет;

Изтегляне на приложения, в случай че ip адресът се намира в друга регионална зона на страната;

Безопасна работа в корпоративна среда с използване на комуникации;

Простота и удобство при настройка на връзката;

Обезпечение висока скороствръзки без прекъсвания;

Създаване на защитен канал без хакерски атаки.

Как да използвам vpn?

Примерите за това как работи vpn са безкрайни. Така че на всеки компютър в корпоративната мрежа, когато установявате защитена vpn връзка, можете да използвате пощата, за да проверявате съобщения, да публикувате материали от всяка точка на страната или да изтегляте файлове от торент мрежи.

Vpn: какво има в телефона?

Достъпът чрез vpn на вашия телефон (iPhone или друго устройство с Android) ви позволява да останете анонимни, когато използвате интернет на обществени места, както и да предотвратите прихващане на трафик и хакване на устройства.

VPN клиент, инсталиран на всяка операционна система, ви позволява да заобиколите много настройки и правила на доставчика (ако той е задал някакви ограничения).

Кой vpn да избера за телефона?

Мобилните телефони и смартфони с Android могат да използват приложения от Google Play market:

  • - vpnRoot, droidVPN,
  • - tor браузърза сърфиране в мрежи, известен още като orbot
  • - InBrowser, orfox (firefox+tor),
  • - SuperVPN безплатен VPN клиент
  • - Отворете VPN Connect
  • - Tunnel Bear VPN
  • - Hideman VPN

Повечето от тези програми служат за удобство на "гореща" конфигурация на системата, поставяне на преки пътища за стартиране, анонимно сърфиране в интернет и избор на типа криптиране на връзката.

Но основната задача на използването на VPN на вашия телефон е да проверявате корпоративна поща, създаване на видеоконференции с множество участници, както и провеждане на срещи извън организацията (например, когато служител е в командировка).

Какво е vpn на iphone?

Помислете кой vpn да изберете и как да го свържете към iPhone по-подробно.

В зависимост от типа на поддържаната мрежа, когато за първи път стартирате конфигурацията на VPN на iphone, можете да изберете следните протоколи: L2TP, PPTP и Cisco IPSec (в допълнение можете да „направите“ vpn връзка с помощта на приложения на трети страни).

Всички тези протоколи поддържат ключове за криптиране, идентификация на потребителя с парола и сертифициране.

Между допълнителни функциикогато настройвате VPN профил на iPhone, можете да отбележите: RSA сигурност, ниво на криптиране и правила за оторизация за свързване към сървъра.

За iphone телефонот магазина за приложения трябва да изберете:

  • - безплатно приложение Tunnelbear, с който можете да се свържете с VPN сървъри във всяка държава.
  • - OpenVPN връзката е един от най-добрите VPN клиенти. Тук, за да стартирате приложението, първо трябва да импортирате rsa-ключове през itunes в телефона си.
  • - Cloak е shareware приложение, тъй като известно време продуктът може да се "използва" безплатно, но за да използвате програмата след изтичане на демо периода, ще трябва да я закупите.

Създаване на VPN: избор и конфигуриране на оборудване

За корпоративна комуникация в големи организации или сдружения отдалечен приятеледин от друг, офисите използват хардуер, способен да поддържа непрекъсната, защитена мрежа.

За внедряване на vpn технологии, следното може да действа като мрежов шлюз: Unix сървъри, windows сървър, мрежов рутер и мрежов шлюз, на който се повдига VPN.

Сървърът или устройството, използвано за създаване на vpn мрежа на предприятие или vpn канал между отдалечени офиси, трябва да изпълнява сложни технически задачи и да предоставя пълен набор от услуги на потребителите както на работни станции, така и на мобилни устройства.

Всеки рутер или vpn рутер трябва да осигурява надеждна мрежова работа без „замръзване“. А вградената vpn функция ви позволява да промените мрежовата конфигурация за работа у дома, в организация или отдалечен офис.

vpn настройка на рутера

В общия случай конфигурацията на VPN на рутера се извършва чрез уеб интерфейса на рутера. На „класическите“ устройства за организиране на vpn трябва да отидете в секцията „настройки“ или „мрежови настройки“, където избирате секцията VPN, посочвате типа на протокола, въвеждате настройките на подмрежовия адрес, маските и определяте обхвата на ip адреси за потребителите.

Освен това, за да защитите връзката, ще трябва да посочите алгоритми за кодиране, методи за удостоверяване, да генерирате ключове за преговори и да посочите DNS WINS сървъри. В параметрите "Gateway" трябва да посочите ip-адреса на шлюза (вашия ip) и да попълните данните за всички мрежови адаптери.

Ако в мрежата има няколко рутера, е необходимо да попълните vpn маршрутизиращата таблица за всички устройства в VPN тунела.

Ето списък хардуерно оборудванеизползвани при изграждане на VPN мрежи:

Dlink рутери: DIR-320, DIR-620, DSR-1000 с нов фърмуер или D-Link рутер DI808HV.

Рутери Cisco PIX 501, Cisco 871-SEC-K9

Linksys Rv082 рутер, поддържащ около 50 VPN тунела

Netgear рутер DG834G и модели рутери FVS318G, FVS318N, FVS336G, SRX5308

Рутер Mikrotik с OpenVPN функция. Пример RouterBoard RB/2011L-IN Mikrotik

Vpn оборудване RVPN S-Terra или VPN Gate

Рутери ASUS RT-N66U, RT-N16 и RT N-10

Рутери ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Интернет все повече се използва като средство за комуникация между компютри, защото предлага ефективна и евтина комуникация. Интернет обаче е публична мрежа и за да се осигури сигурна комуникация през нея, е необходим някакъв механизъм, който да отговаря поне на следните задачи:

    конфиденциалност на информацията;

    целостта на данните;

    наличие на информация;

Тези изисквания се изпълняват от механизъм, наречен VPN (Virtual Private Network - виртуална частна мрежа) - обобщено име за технологии, които позволяват една или повече мрежови връзки (логическа мрежа) да бъдат предоставени през друга мрежа (например Интернет) с помощта на криптография инструменти (криптиране, удостоверяване, инфраструктурни публични ключове, средства за защита срещу повторение и промяна на съобщенията, предавани през логическата мрежа).

Създаването на VPN не изисква допълнителни инвестиции и ви позволява да спрете да използвате наети линии. В зависимост от използваните протоколи и предназначението VPN може да осигури три типа връзки: хост-хост, хост-мрежа и мрежа-мрежа.

За по-голяма яснота нека си представим следния пример: едно предприятие има няколко териториално отдалечени клона и „мобилни“ служители, работещи у дома или на път. Необходимо е да се обединят всички служители на предприятието в една мрежа. Най-лесният начин е да поставите модеми във всеки клон и да организирате комуникация според нуждите. Подобно решение обаче не винаги е удобно и изгодно - понякога се нуждаете от постоянна връзка и голяма честотна лента. За да направите това, ще трябва или да поставите специална линия между клоновете, или да ги наемете. И двете са доста скъпи. И тук, като алтернатива, когато изграждате единна защитена мрежа, можете да използвате VPN връзки на всички клонове на компанията през Интернет и да конфигурирате VPN инструменти на мрежови хостове.

Ориз. 6.4. VPN връзка от сайт към сайт

Ориз. 6.5. VPN връзка между хост и мрежа

В този случай много проблеми се решават - клоновете могат да бъдат разположени навсякъде по света.

Опасността тук е, че на първо място отворената мрежа е отворена за атаки от нарушители от цял ​​свят. Второ, всички данни се предават по интернет в чист вид и нападателите, хакнали мрежата, ще имат цялата информация, предадена по мрежата. И трето, данните могат да бъдат не само прихванати, но и заменени по време на предаване през мрежата. Нападателят може например да компрометира целостта на базите данни, като действа от името на клиентите на един от доверените клонове.

За да предотвратят това, VPN решенията използват инструменти като криптиране на данни, за да осигурят интегритет и поверителност, удостоверяване и оторизация за проверка на потребителските права и позволяват достъп до виртуална частна мрежа.

VPN връзката винаги се състои от връзка от точка до точка, известна още като тунел. Тунелът се създава в незащитена мрежа, която най-често е Интернет.

Тунелирането или капсулирането е начин за прехвърляне на полезна информация през междинна мрежа. Такава информация може да бъде рамка (или пакети) на друг протокол. При капсулирането рамката не се предава, тъй като е генерирана от изпращащия хост, а се предоставя с допълнителен хедър, съдържащ информация за маршрутизиране, която позволява на капсулираните пакети да преминат през междинната мрежа (Интернет). В края на тунела кадрите се декапсулират и се предават на получателя. Обикновено тунелът се създава от две крайни устройства, разположени на входни точки към обществената мрежа. Едно от ясните предимства на тунелирането е, че тази технология ви позволява да шифровате целия оригинален пакет, включително заглавката, която може да съдържа данни, съдържащи информация, която нападателите използват, за да хакнат мрежата (например IP адреси, брой подмрежи и т.н.). ) .

Въпреки че VPN тунел е установен между две точки, всеки хост може да създаде допълнителни тунели с други хостове. Например, когато три отдалечени станции трябва да се свържат с един и същи офис, към този офис ще бъдат създадени три отделни VPN тунела. За всички тунели възелът от страната на офиса може да бъде един и същ. Това е възможно поради факта, че възелът може да криптира и декриптира данни от името на цялата мрежа, както е показано на фигурата:

Ориз. 6.6.Създайте VPN тунели за множество отдалечени местоположения

Потребителят установява връзка с VPN шлюза, след което има достъп до вътрешната мрежа.

В рамките на частна мрежа самото криптиране не се извършва. Причината е, че тази част от мрежата се счита за защитена и под пряк контрол, за разлика от интернет. Това важи и при свързване на офиси чрез VPN шлюзове. По този начин криптирането е гарантирано само за информация, която се предава по незащитен канал между офисите.

Има много различни решенияза изграждане на виртуални частни мрежи. Най-известните и широко използвани протоколи са:

    PPTP (Point-to-Point Tunneling Protocol) – този протокол стана доста популярен поради включването му в операционните системи на Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - съчетава протокола L2F (Layer 2 Forwarding) и PPTP протокол. Обикновено се използва във връзка с IPSec.

    IPSec (Internet Protocol Security) е официален интернет стандарт, разработен от общността на IETF (Internet Engineering Task Force).

Изброените протоколи се поддържат от устройствата на D-Link.

Протоколът PPTP е предназначен основно за виртуални частни мрежи, базирани на комутируеми връзки. Протоколът позволява отдалечен достъп, така че потребителите да могат да установяват комутируеми връзки с интернет доставчици и да създават защитен тунел към своите корпоративни мрежи. За разлика от IPSec, протоколът PPTP първоначално не е предназначен да организира тунели между локални мрежи. PPTP разширява възможностите на PPP, протокол за връзка с данни, който първоначално е проектиран да капсулира данни и да ги доставя през връзки от точка до точка.

Протоколът PPTP ви позволява да създавате защитени канали за обмен на данни, като използвате различни протоколи - IP, IPX, NetBEUI и др. Данните на тези протоколи се пакетират в PPP рамки, капсулирани с помощта на протокола PPTP в пакети на IP протокол. След това те се транспортират с помощта на IP в криптирана форма през всяка TCP/IP мрежа. Получаващият възел извлича PPP кадрите от IP пакетите и след това ги обработва по стандартния начин, т.е. извлича IP, IPX или NetBEUI пакет от PPP рамка и го изпраща през локалната мрежа. По този начин PPTP протоколът създава връзка от точка до точка в мрежата и предава данни по създадения защитен канал. Основното предимство на капсулиращите протоколи като PPTP е тяхната мултипротоколна природа. Тези. защитата на данните на слоя за връзка за данни е прозрачна за протоколите на мрежовия и приложния слой. Следователно в рамките на мрежата както IP протоколът (както в случая на базирана на IPSec VPN), така и всеки друг протокол може да се използва като транспорт.

Понастоящем, поради лекотата на внедряване, PPTP протоколът се използва широко както за получаване на надежден защитен достъп до корпоративна мрежа, така и за достъп до мрежи на ISP, когато клиентът трябва да установи PPTP връзка с ISP, за да получи достъп до Интернет.

Методът на криптиране, използван в PPTP, се определя на PPP слоя. Обикновено PPP клиентът е настолен компютърс операционната система на Microsoft, а протоколът за шифроване от точка до точка на Microsoft (MPPE) се използва като протокол за шифроване. Този протокол е базиран на стандарта RSA RC4 и поддържа 40 или 128 битово криптиране. За много приложения на това ниво на криптиране използването на този алгоритъм е достатъчно, въпреки че се счита за по-малко сигурен от редица други алгоритми за криптиране, предлагани от IPSec, по-специално 168-битовия стандарт за шифроване на три данни (3DES).

Как се установява връзкатаPPTP?

PPTP капсулира IP пакети за предаване през IP мрежа. PPTP клиентите създават тунелна контролна връзка, която поддържа връзката жива. Този процес се извършва на транспортния слой на OSI модела. След като тунелът е създаден, клиентският компютър и сървърът започват да обменят сервизни пакети.

В допълнение към PPTP контролната връзка се създава връзка за изпращане на данни през тунела. Капсулирането на данни преди изпращането им в тунела включва две стъпки. Първо се създава информационната част на PPP рамката. Данните текат отгоре надолу, от приложния слой на OSI към слоя за връзка. След това получените данни се изпращат нагоре към OSI модела и се капсулират от протоколите на горния слой.

Данните от слоя на връзката достигат до транспортния слой. Информацията обаче не може да бъде изпратена до местоназначението си, тъй като за това е отговорен слоят за връзка OSI. Следователно PPTP криптира полето за полезен товар на пакета и поема функциите от второ ниво, които обикновено принадлежат на PPP, т.е. добавя PPP хедър (заглавие) и край (трейлър) към PPTP пакета. Това завършва създаването на рамката на слоя за връзка. След това PPTP капсулира PPP рамката в Generic Routing Encapsulation (GRE) пакет, който принадлежи на мрежовия слой. GRE капсулира протоколи на мрежовия слой като IP, IPX, за да им позволи да бъдат транспортирани през IP мрежи. Въпреки това, използването само на протокола GRE няма да гарантира установяване на сесия и сигурност на данните. Това използва способността на PPTP за създаване на връзка за контрол на тунела. Използването на GRE като метод за капсулиране ограничава обхвата на PPTP само до IP мрежи.

След като PPP рамката е капсулирана в рамка с GRE заглавка, тя се капсулира в рамка с IP заглавка. IP хедърът съдържа адресите на изпращача и получателя на пакета. И накрая, PPTP добавя PPP заглавка и край.

На ориз. 6.7показва структурата на данните за препращане през PPTP тунел:

Ориз. 6.7.Структура на данните за препращане през PPTP тунел

Настройката на VPN, базирана на PPTP, не изисква големи разходи и сложни настройки: достатъчно е да инсталирате PPTP сървър в централния офис (PPTP решения съществуват както за Windows, така и за Linux платформи) и да работят на клиентски компютри необходими настройки. Ако трябва да комбинирате няколко клона, тогава вместо да настройвате PPTP на всички клиентски станции, по-добре е да използвате интернет рутер или защитна стена с поддръжка на PPTP: настройките се правят само на граничен рутер (защитна стена), свързан към интернет, всичко е абсолютно прозрачно за потребителите. Примери за такива устройства са многофункционалните интернет рутери DIR/DSR и защитните стени от серията DFL.

GRE- тунели

Generic Routing Encapsulation (GRE) е протокол за капсулиране на мрежови пакети, който осигурява тунелиране на трафик през мрежи без криптиране. Примери за използване на GRE:

    предаване на трафик (включително излъчване) чрез оборудване, което не поддържа определен протокол;

    тунелиране на IPv6 трафик през IPv4 мрежа;

    предаване на данни през обществени мрежи за реализиране на защитена VPN връзка.

Ориз. 6.8.Пример за GRE тунел

Между два рутера A и B ( ориз. 6.8) има няколко рутера, GRE тунелът ви позволява да осигурите връзка между локалните мрежи 192.168.1.0/24 и 192.168.3.0/24, сякаш рутери A и B са свързани директно.

Л2 TP

Протоколът L2TP се появи в резултат на сливането на протоколите PPTP и L2F. Основното предимство на протокола L2TP е, че ви позволява да създавате тунел не само в IP мрежи, но и в ATM, X.25 и Frame relay мрежи. L2TP използва UDP като транспорт и използва същия формат на съобщение както за управление на тунели, така и за препращане на данни.

Както в случая с PPTP, L2TP започва да сглобява пакет за предаване към тунела, като първо добавя PPP заглавката, след това L2TP заглавката към информационното поле за PPP данни. Така полученият пакет се капсулира от UDP. В зависимост от избрания тип IPSec политика за сигурност, L2TP може да шифрова UDP съобщения и да добави заглавка и край на Encapsulating Security Payload (ESP), както и край на IPSec Authentication (вижте раздела „L2TP през IPSec“). След това се капсулира в IP. Добавя се IP хедър, съдържащ адресите на изпращача и получателя. Накрая L2TP извършва второ PPP капсулиране, за да подготви данните за предаване. На ориз. 6.9показва структурата на данните, която трябва да бъде изпратена през L2TP тунел.

Ориз. 6.9.Структура на данните за препращане през L2TP тунел

Получаващият компютър получава данните, обработва PPP заглавката и края и премахва IP заглавката. IPSec Authentication удостоверява автентичността на IP информационното поле, а IPSec ESP хедърът помага за дешифрирането на пакета.

След това компютърът обработва UDP хедъра и използва L2TP хедъра, за да идентифицира тунела. PPP пакетът вече съдържа само полезния товар, който се обработва или препраща към посочения получател.

IPsec (съкратено от IP Security) е набор от протоколи за защита на данни, предавани по IP интернет протокола, позволяващи удостоверяване и/или криптиране на IP пакети. IPsec включва и протоколи за защитен обмен на ключове в Интернет.

IPSec сигурността се постига чрез допълнителни протоколи, които добавят собствени хедъри към IP пакета – капсулиране. защото IPSec е интернет стандарт, тогава има RFC документи за него:

    RFC 2401 (Архитектура за сигурност за интернет протокола) е архитектурата за сигурност за IP протокола.

    RFC 2402 (IP Authentication header) - IP хедър за удостоверяване.

    RFC 2404 (Използване на HMAC-SHA-1-96 в рамките на ESP и AH) - Използване на SHA-1 хеш алгоритъм за създаване на заглавка за удостоверяване.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – Използване на алгоритъма за шифроване DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – Шифроване на данни.

    RFC 2407 (Интернет IP защитен домейн за интерпретация за ISAKMP) е обхватът на протокола за управление на ключове.

    RFC 2408( интернет сигурностПротокол за управление на асоциации и ключове (ISAKMP) - управление на ключове и автентификатори на защитени връзки.

    RFC 2409 (The Internet Key Exchange (IKE)) - Обмен на ключове.

    RFC 2410 (Алгоритъмът за шифроване NULL и използването му с IPsec) - Алгоритъмът за шифроване NULL и неговото използване.

    RFC 2411 (IP Security Document Roadmap) е по-нататъшно развитие на стандарта.

    RFC 2412 (Протоколът за определяне на ключ на OAKLEY) - Проверка на автентичността на ключ.

IPsec е неразделна част от интернет протокола IPv6 и незадължително разширение на версията IPv4 на интернет протокола.

Механизмът IPSec изпълнява следните задачи:

    удостоверяване на потребители или компютри по време на инициализация на защитен канал;

    криптиране и удостоверяване на данните, прехвърляни между крайни точкизащитен канал;

    автоматично снабдяване на крайните точки на канала със секретни ключове, необходими за работата на протоколите за удостоверяване и криптиране на данни.

IPSec компоненти

Протоколът AH (Authentication Header) е протокол за идентификация на заглавката. Гарантира целостта, като проверява дали няма битове в защитената част на пакета, които са променени по време на предаване. Но използването на AH може да причини проблеми, например, когато пакет преминава през NAT устройство. NAT променя IP адреса на пакета, за да позволи достъп до Интернет от частен локален адрес. защото в този случай пакетът се променя, тогава контролната сума AH става неправилна (за да се елиминира този проблем, е разработен протоколът NAT-Traversal (NAT-T), който осигурява ESP предаване през UDP и използва UDP порт 4500 в своята работа). Също така си струва да се отбележи, че AH е проектиран само за целостта. Не гарантира поверителност чрез криптиране на съдържанието на пакета.

Протоколът ESP (Encapsulation Security Payload) осигурява не само целостта и удостоверяването на предаваните данни, но и криптиране на данните, както и защита срещу фалшифициране на пакети.

ESP протоколът е капсулиращ протокол за сигурност, който осигурява както цялост, така и поверителност. В транспортен режим ESP хедърът е между оригиналния IP хедър и TCP или UDP хедъра. В тунелен режим ESP хедърът се поставя между новия IP хедър и напълно шифрования оригинален IP пакет.

защото и двата протокола - AH и ESP - добавят собствени IP хедъри, всеки от тях има свой собствен номер на протокол (ID), по който можете да определите какво ще следва IP хедъра. Всеки протокол, според IANA (Internet Assigned Numbers Authority – организацията, отговаряща за адресното пространство на Интернет), има свой номер (ID). Например за TCP това число е 6, а за UDP е 17. Ето защо е много важно, когато работите през защитна стена, да конфигурирате филтрите така, че да пропускат пакети с ID AH и/или ESP на протокола.

Протокол ID 51 е настроен да показва, че AH присъства в IP хедъра и 50 за ESP.

ВНИМАНИЕ!: ID на протокола не е същият като номера на порта.

Протоколът IKE (Internet Key Exchange) е стандартен IPsec протокол, използван за защита на комуникация във виртуални частни мрежи. Целта на IKE е сигурно договаряне и доставка на идентифициран материал до асоциация за сигурност (SA).

SA е IPSec терминът за връзка. Установен SA (сигурен канал, наречен „сигурна асоциация“ или „асоциация за сигурност“ – Security Association, SA) включва споделен таен ключ и набор от криптографски алгоритми.

Протоколът IKE изпълнява три основни задачи:

    осигурява средство за удостоверяване между две VPN крайни точки;

    установява нови IPSec връзки (създава чифт SA);

    управлява съществуващите взаимоотношения.

IKE използва UDP порт номер 500. Когато използвате функцията NAT Traversal, както беше споменато по-рано, IKE протоколът използва UDP порт номер 4500.

Обменът на данни в IKE се извършва на 2 фази. В първата фаза се създава асоциацията SA IKE. В същото време крайните точки на канала се удостоверяват и се избират параметри за защита на данните, като алгоритъм за криптиране, сесиен ключ и др.

Във втората фаза SA IKE се използва за договаряне на протокол (обикновено IPSec).

С конфигуриран VPN тунел се създава една SA двойка за всеки използван протокол. SA се създават по двойки, като всеки SA е еднопосочна връзка и данните трябва да се изпращат в две посоки. Получените SA двойки се съхраняват на всеки възел.

Тъй като всеки възел е в състояние да установи множество тунели с други възли, всеки SA има уникален номер A, който ви позволява да определите към кой възел принадлежи. Този номер се нарича SPI (Security Parameter Index) или Security Parameter Index.

SA, съхранявани в база данни (DB) ЖАЛКО(База данни на асоциацията за сигурност).

Всеки IPSec възел също има втора DB − SPD(Security Policy Database) - База данни с политики за сигурност. Той съдържа конфигурираната хост политика. Повечето VPN решения ви позволяват да създавате множество политики с комбинации от подходящи алгоритми за всеки хост, към който искате да се свържете.

Гъвкавостта на IPSec се крие във факта, че за всяка задача има няколко начина за решаването й, а методите, избрани за една задача, обикновено са независими от методите за изпълнение на други задачи. Въпреки това работната група на IETF е дефинирала основен набор от поддържани функции и алгоритми, които трябва да бъдат внедрени по един и същи начин във всички IPSec-активирани продукти. Механизмите AH и ESP могат да се използват с различни схеми за удостоверяване и криптиране, някои от които са задължителни. Например IPSec указва, че пакетите се удостоверяват, като се използва или еднопосочната функция MD5, или еднопосочната функция SHA-1, а криптирането се извършва с помощта на алгоритъма DES. Производителите на продукти, които работят с IPSec, могат да добавят други алгоритми за удостоверяване и криптиране. Например някои продукти поддържат алгоритми за криптиране като 3DES, Blowfish, Cast, RC5 и др.

Всеки алгоритъм за симетрично криптиране, който използва секретни ключове, може да се използва за криптиране на данни в IPSec.

Протоколите за защита на потока (AH и ESP) могат да работят в два режима - в транспортен режими в тунелен режим. Когато работи в транспортен режим, IPsec се занимава само с информация от транспортния слой; само полето за данни на пакета, съдържащ TCP / UDP протоколите, е криптирано (заглавието на IP пакета не се променя (не е криптирано)). Транспортният режим обикновено се използва за установяване на връзка между хостовете.

Режимът на тунелиране криптира целия IP пакет, включително заглавката на мрежовия слой. За да се предаде по мрежата, той се поставя в друг IP пакет. По същество това е защитен IP тунел. Тунелният режим може да се използва за свързване на отдалечени компютри към виртуална частна мрежа (схема на свързване „хост-мрежа“) или за организиране на защитен трансфер на данни чрез отворени каналивръзки (например интернет) между шлюзове за свързване на различни части на виртуална частна мрежа (схема за свързване мрежа към мрежа).

IPsec режимите не се изключват взаимно. На един и същи хост някои SA могат да използват транспортен режим, докато други могат да използват тунелен режим.

По време на фазата на удостоверяване се изчислява ICV контролната сума (стойност за проверка на целостта) на пакета. Предполага се, че и двата възела знаят Тайният ключ, което позволява на получателя да изчисли ICV и да го сравни с резултата, изпратен от подателя. Ако ICV сравнението е успешно, подателят на пакета се счита за удостоверен.

В режим транспортAH

    целия IP пакет, с изключение на някои полета в IP хедъра, които могат да бъдат променени при пренасяне. Тези полета, чиито стойности за изчисляване на ICV са 0, могат да бъдат част от услугата (тип услуга, TOS), флагове, отместване на фрагменти, време за живот (TTL), както и заглавка на контролна сума;

    всички полета в AH;

    полезен товар от IP пакети.

AH в транспортен режим защитава IP хедъра (с изключение на полетата, които могат да се променят) и полезния товар в оригиналния IP пакет (Фигура 3.39).

В тунелен режим оригиналният пакет се поставя в нов IP пакет и прехвърлянето на данни се извършва въз основа на заглавката на новия IP пакет.

За тунелен режимAHкогато се извършва изчисление, следните компоненти се включват в контролната сума на ICV:

    всички полета външен хедър IP, с изключение на някои полета в IP хедъра, които могат да се променят по време на предаване. Тези полета, чиито стойности за изчисляване на ICV са 0, могат да бъдат част от услугата (тип услуга, TOS), флагове, отместване на фрагменти, време за живот (TTL), както и заглавка на контролна сума;

    всички полета AH;

    оригинален IP пакет.

Както можете да видите на следващата илюстрация, тунелният режим AH защитава целия IP пакет на източника с допълнителен външен хедър, който транспортният режим AH не използва:

Ориз. 6.10.Тунелни и транспортни режими на работа на AN протокола

В режим транспортESPне удостоверява целия пакет, а защитава само IP полезния товар. Заглавието на ESP в режим на транспортиране на ESP се добавя към IP пакета веднага след заглавието на IP, а краят на ESP (ESP Trailer) се добавя след данните съответно.

Транспортният режим на ESP криптира следните части от пакета:

    IP полезен товар;

Алгоритъм за криптиране, който използва режима на криптиране на Cipher Block Chaining (CBC), има некриптирано поле между ESP хедъра и полезния товар. Това поле се нарича IV (Initialization Vector) за изчисление на CBC, което се извършва на приемника. Тъй като това поле се използва за стартиране на процеса на дешифриране, то не може да бъде шифровано. Въпреки че нападателят има способността да види IV, няма начин да дешифрира криптираната част от пакета без ключа за криптиране. За да се попречи на нападателите да променят вектора за инициализация, той се пази от ICV контролната сума. В този случай ICV извършва следните изчисления:

    всички полета в ESP заглавката;

    полезен товар, включително обикновен текст IV;

    всички полета в трейлъра на ESP, с изключение на полето с данни за удостоверяване.

ESP тунелният режим капсулира целия оригинален IP пакет в нов IP хедър, ESP хедър и ESP трейлър. За да покаже, че ESP присъства в IP хедъра, идентификаторът на IP протокола е настроен на 50, оставяйки оригиналния IP хедър и полезна информация непроменени. Както при тунелния режим AH, външният IP хедър се основава на конфигурацията на IPSec тунела. В случай на използване на ESP тунелен режим, зоната за удостоверяване на IP пакета показва къде е направен подписът, удостоверявайки неговата цялост и автентичност, а криптираната част показва, че информацията е защитена и поверителна. Оригиналният хедър се поставя след ESP хедъра. След като шифрованата част е капсулирана в нов хедър на тунел, който не е шифрован, IP пакетът се предава. Когато се изпрати през обществена мрежа, такъв пакет се насочва към IP адреса на шлюза на получаващата мрежа, а шлюзът декриптира пакета и изхвърля ESP заглавката, използвайки оригиналния IP заглавие, за да насочи пакета към компютър, разположен на вътрешната мрежа. Режимът на ESP тунелиране криптира следните части от пакета:

    оригинален IP пакет;

  • За ESP тунелен режим, ICV се изчислява, както следва:

    всички полета в ESP заглавката;

    оригиналния IP пакет, включително обикновения текст IV;

    всички ESP заглавни полета, с изключение на полето с данни за удостоверяване.

Ориз. 6.11.Тунелен и транспортен режим на ESP протокола

Ориз. 6.12.Сравнение на ESP и AH протоколи

Резюме на режимите на приложениеIPSec:

    Протокол - ESP (AH).

    Режим - тунел (транспорт).

    Метод за обмен на ключове - IKE (ръчно).

    Режим IKE - основен (агресивен).

    DH ключ – група 5 (група 2, група 1) – номер на група за избор на динамично създадени сесийни ключове, дължина на групата.

    Удостоверяване - SHA1 (SHA, MD5).

    Криптиране - DES (3DES, Blowfish, AES).

Когато създавате политика, обикновено е възможно да създадете подреден списък от алгоритми и групи на Дифи-Хелман. Diffie-Hellman (DH) е протокол за криптиране, използван за установяване на споделени секретни ключове за IKE, IPSec и PFS (Perfect Forward Secrecy). В този случай ще се използва първата позиция, която съвпада и в двата възела. Много е важно всичко в политиката за сигурност да ви позволява да постигнете това съвпадение. Ако всичко останало съвпада с изключение на една част от правилата, хостовете пак няма да могат да установят VPN връзка. Когато настройвате VPN тунел между различни системитрябва да разберете какви алгоритми се поддържат от всяка страна, за да можете да изберете най-сигурната политика от всички възможни.

Основните настройки, които политиката за сигурност включва:

    Симетрични алгоритми за криптиране/декриптиране на данни.

    Криптографски контролни суми за проверка на целостта на данните.

    Метод за идентификация на възела. Най-често срещаните методи са предварително споделени тайни или CA сертификати.

    Дали да използвате тунелен режим или транспортен режим.

    Коя група на Diffie-Hellman да използвате (DH група 1 (768-бита); DH група 2 (1024-бита); DH група 5 (1536-бита)).

    Дали да използвате AH, ESP или и двете.

    Дали да се използва PFS.

Ограничение на IPSec е, че той поддържа само трансфер на данни на ниво IP протокол.

Има две основни схеми за използване на IPSec, различаващи се по ролята на възлите, които формират защитения канал.

При първата схема се формира защитен канал между крайните хостове на мрежата. В тази схема IPSec протоколът защитава хоста, който работи:

Ориз. 6.13.Създайте защитен канал между две крайни точки

Във втората схема се установява защитен канал между два шлюза за сигурност. Тези шлюзове получават данни от крайни хостове, свързани към мрежи зад шлюзовете. Крайните хостове в този случай не поддържат протокола IPSec, трафикът, насочен към публичната мрежа, преминава през защитния шлюз, който изпълнява защита от свое име.

Ориз. 6.14.Създаване на защитен канал между два шлюза

За хостове, които поддържат IPSec, могат да се използват както транспортен режим, така и тунелен режим. За шлюзовете е разрешен само тунелен режим.

Монтаж и поддръжкаVPN

Както бе споменато по-горе, инсталирането и поддръжката на VPN тунел е процес в две стъпки. В първия етап (фаза) двата възела се договарят за метод за идентификация, алгоритъм за криптиране, хеш алгоритъм и група на Дифи-Хелман. Те също се идентифицират помежду си. Всичко това може да се случи в резултат на обмен на три некриптирани съобщения (т.нар. агресивен режим, Агресивен режим) или шест съобщения, с обмен на криптирана идентификационна информация (стандартен режим, Основен режим).

В основния режим е възможно да се договорят всички конфигурационни параметри на устройствата изпращач и получател, докато в агресивния режим това не е възможно и някои параметри (група Diffie-Hellman, алгоритми за криптиране и удостоверяване, PFS) трябва да бъдат предварително зададени -конфигуриран по един и същи начин на всяко устройство. В този режим обаче както броят на обмените, така и броят на изпратените пакети са по-малко, което води до по-малко време за установяване на IPSec сесия.

Ориз. 6.15.Съобщения в стандартен (a) и агресивен (b) режими

Ако приемем, че операцията е приключила успешно, се създава SA за първа фаза − Фаза 1 SA(също наричан IKESA) и процесът преминава към втората фаза.

Във втората стъпка се генерират ключовите данни, възлите се съгласяват относно политиката, която да се използва. Този режим, наричан още Бърз режим, се различава от Фаза 1 по това, че може да бъде установен само след Фаза 1, когато всички пакети от Фаза 2 са криптирани. Правилното завършване на втората фаза води до появата Фаза 2 SAили IPSecSAи на това инсталирането на тунела се счита за завършено.

Първо, пакет пристига до възела с адрес на местоназначение в друга мрежа и възелът инициира първата фаза с възела, който отговаря за другата мрежа. Да кажем, че тунелът между възлите е успешно установен и чака пакети. Възлите обаче трябва да се идентифицират повторно и да сравняват политиките след определен период от време. Този период се нарича жизнен цикъл на Phase One или живот на IKE SA.

Възлите също трябва да променят ключа за криптиране на данни след период от време, наречен Phase Two или IPSec SA lifetime.

Животът на фаза две е по-кратък от първата фаза, защото ключът трябва да се сменя по-често. Трябва да зададете едни и същи параметри на живота и за двата възела. Ако това не бъде направено, тогава е възможно първоначално тунелът да бъде установен успешно, но след първия непоследователен период на живот връзката да бъде прекъсната. Проблеми могат да възникнат и когато животът на първата фаза е по-малък от този на втората фаза. Ако предварително конфигурираният тунел спре да работи, тогава първото нещо, което трябва да проверите, е продължителността на живота на двата възела.

Трябва също да се отбележи, че ако промените политиката на един от възлите, промените ще влязат в сила само при следващото начало на първата фаза. За да влязат в сила промените незабавно, трябва да премахнете SA за този тунел от базата данни на SAD. Това ще наложи преразглеждане на споразумението между възлите с новите настройки на правилата за сигурност.

Понякога, когато се настройва IPSec тунел между оборудване от различни производители, има трудности, свързани с координирането на параметрите по време на установяването на първата фаза. Трябва да обърнете внимание на такъв параметър като Local ID - това е уникален идентификатор за крайната точка на тунела (подател и получател). Това е особено важно при създаване на множество тунели и използване на протокола NAT Traversal.

Мъртъввръстникоткриване

По време на работа на VPN, ако няма трафик между крайните точки на тунела или ако първоначалните данни на отдалечения възел се променят (например промяна на динамично присвоения IP адрес), може да възникне ситуация, когато тунелът по същество вече не е такъв , превръщайки се, така да се каже, в призрачен тунел. За да се поддържа постоянна готовност за обмен на данни в създадения IPSec тунел, механизмът IKE (описан в RFC 3706) ви позволява да контролирате наличието на трафик от отдалечения възел на тунела и ако той отсъства за определено време, изпраща се поздравително съобщение (в защитните стени D-Link изпраща съобщение "DPD-R-U-THERE"). Ако няма отговор на това съобщение в рамките на определено време, в защитните стени на D-Link, зададени от настройките „DPD Expire Time“, тунелът се демонтира. Защитните стени на D-Link след това, като използвате настройките "DPD Keep Time" ( ориз. 6.18) автоматично се опитват да възстановят тунела.

протоколNATОбхождане

IPsec трафикът може да бъде маршрутизиран съгласно същите правила като другите IP протоколи, но тъй като рутерът не винаги може да извлече информация, специфична за протоколите на транспортния слой, за IPsec е невъзможно да премине през NAT шлюзове. Както бе споменато по-рано, за да реши този проблем, IETF дефинира начин за капсулиране на ESP в UDP, наречен NAT-T (NAT Traversal).

Протоколът NAT Traversal капсулира IPSec трафика и същевременно създава UDP пакети, които NAT препраща правилно. За да направи това, NAT-T поставя допълнителен UDP хедър преди IPSec пакета, така че да се третира като обикновен UDP пакет в цялата мрежа и хостът получател да не извършва никакви проверки за цялост. След като пакетът пристигне на местоназначението си, UDP хедърът се премахва и пакетът с данни продължава по пътя си като капсулиран IPSec пакет. По този начин, използвайки механизма NAT-T, е възможно да се установи комуникация между IPSec клиенти в защитени мрежи и публични IPSec хостове чрез защитни стени.

Има две точки, които трябва да имате предвид, когато конфигурирате защитни стени на D-Link на приемащото устройство:

    в полетата Remote Network и Remote Endpoint посочете мрежата и IP адреса на отдалеченото изпращащо устройство. Необходимо е да се разреши транслирането на IP адреса на инициатора (изпращача) чрез NAT технология (Фигура 3.48).

    когато използвате споделени ключове с множество тунели, свързани към едно и също дистанционно защитна стенакоито са били с NAT към един и същи адрес, е важно да се гарантира, че локалният идентификатор е уникален за всеки тунел.

Местен документ за самоличностможе да бъде едно от:

    Автоматичен– IP адресът на интерфейса за изходящ трафик се използва като локален идентификатор.

    IP– IP адрес на WAN порта на отдалечената защитна стена

    DNS– DNS адрес

    Частните мрежи се използват от организации за свързване с отдалечени сайтове и с други организации. Частните мрежи се състоят от комуникационни линии, наети от различни телефонни компании и доставчици на интернет услуги. Тези връзки се характеризират с това, че свързват само два сайта, докато са отделени от останалия трафик, тъй като наетите връзки осигуряват двупосочна комуникация между два сайта. Частните мрежи имат много предимства.

    • Информацията се пази в тайна.
    • Отдалечените сайтове могат незабавно да обменят информация.
    • Отдалечените потребители не се чувстват изолирани от системата, до която имат достъп.

    За съжаление този тип мрежа има един голям недостатък - високата цена. Използването на частни мрежи е много скъпо. Използването на по-бавни връзки може да спести пари, но тогава отдалечените потребители ще започнат да забелязват липсата на скорост и някои от предимствата, споменати по-горе, ще станат по-малко очевидни.

    С увеличаването на броя на интернет потребителите много организации преминаха към използването на виртуални частни мрежи (VPN). Виртуални частни мрежипредоставя много от предимствата на частните мрежи на по-ниска цена. С въвеждането на VPN обаче възникват редица въпроси и опасности за организацията. Една добре изградена виртуална частна мрежа може да донесе големи ползи на една организация. Ако VPN е внедрена неправилно, цялата информация, предавана чрез VPN, може да бъде достъпна от Интернет.

    Дефиниция на виртуални частни мрежи

    Така че възнамеряваме да прехвърляме поверителни данни на организацията през интернет, без да използваме наети комуникационни канали, като същевременно вземаме всички мерки, за да гарантираме поверителност на трафика. Как ще можем да отделим нашия трафик от трафика на другите потребители на глобалната мрежа? Отговорът на този въпрос е криптирането.

    В Интернет можете да намерите трафик от всякакъв тип. Голяма част от този трафик се предава ясно и всеки потребител, който наблюдава този трафик, ще може да го разпознае. Това се отнася за повечето имейли и уеб трафик, както и за telnet и FTP сесии. Трафикът на Secure Shell (SSH) и Hypertext Transfer Protocol Secure (HTTPS) е шифрован трафик и не може да бъде видян от потребителя, който надушва пакети. Трафик като SSH и HTTPS обаче не формира VPN.

    Виртуални частни мрежиимат няколко характеристики.

    • Трафикът е криптиран, за да осигури защита от подслушване.
    • Отдалеченият сайт е удостоверен.
    • VPN осигуряват поддръжка за много протоколи.
    • Връзката осигурява комуникация само между два конкретни абоната.

    Тъй като SSH и HTTPS не могат да поддържат множество протоколи, същото важи и за реалните VPN мрежи. VPN пакетите се смесват с нормалния поток на интернет трафик и съществуват отделно, тъй като този трафик може да бъде прочетен само от крайните точки на връзката.

    Забележка

    Възможно е да се реализира трафик, преминаващ през SSH сесия, като се използват тунели. Въпреки това, за целите на тази лекция, ние няма да разглеждаме SSH като VPN.

    Нека разгледаме по-подробно всяка от характеристиките на VPN. Както бе споменато по-горе, VPN трафикът е криптиран, за да се предпази от подслушване. Шифроването трябва да е достатъчно силно, за да гарантира конфиденциалностпредавана информация, докато е релевантна. Паролите имат срок на валидност от 30 дни (приемайки политика за промяна на паролата на всеки 30 дни); въпреки това класифицираната информация може да не загуби стойността си с годините. Следователно алгоритъмът за криптиране и използването на VPN трябва да предотвратят незаконното декриптиране на трафик за няколко години.

    Втората характеристика е, че отдалеченият сайт е удостоверен. Тази функция може да изисква някои потребители да бъдат удостоверени срещу централен сървър или взаимно удостоверяване на двата възела, които VPN свързва. Използваният механизъм за удостоверяване се контролира от политика. Политиката може да предвижда удостоверяване на потребителя с два параметъра или с използване на динамични пароли. При взаимно удостоверяванеот двата сайта може да се изисква да демонстрират познаване на определена споделена тайна (тайна е информация, известна предварително и на двата сайта), или

    Виртуалните частни мрежи (VPN) привличат голямо внимание както от доставчиците на мрежови услуги и доставчиците на интернет услуги, така и от корпоративните потребители. Infonetics Research прогнозира, че пазарът на VPN ще расте с повече от 100% годишно до 2003 г. и ще достигне 12 милиарда долара.

    Преди да ви разкажа за популярността на VPN, нека ви напомня, че само частните (корпоративни) мрежи за предаване на данни се изграждат, като правило, с помощта на наети (специализирани) комуникационни канали на обществени комутируеми телефонни мрежи. В продължение на много години тези частни мрежи са проектирани с оглед на специфични корпоративни изисквания, което води до патентовани протоколи, които поддържат патентовани приложения (обаче, Frame Relay и ATM протоколите наскоро придобиха популярност). Специализираните канали ви позволяват да осигурите надеждна защита на поверителна информация, но обратната страна на монетата е високата цена на работа и трудностите при разширяване на мрежата, да не говорим за възможността за свързване на мобилен потребител към нея в непредвидена точка. В същото време за модерен бизнесхарактеризираща се със значителна разпръснатост и мобилност на работната сила. Все повече и повече потребители се нуждаят от достъп до корпоративна информация чрез комутируеми канали, а броят на служителите, работещи от вкъщи, също се увеличава.

    Освен това, частните мрежи не са в състояние да осигурят същите бизнес възможности, които интернет и IP-базираните приложения предоставят, като промоция на продукти, поддръжка на клиенти или текуща комуникация с доставчици. Това онлайн взаимодействие изисква взаимно свързване на частни мрежи, които обикновено използват различни протоколи и приложения, различни системиуправление на мрежата и различни доставчици на комуникационни услуги.

    По този начин високата цена, статичността и трудностите, които възникват, когато е необходимо да се комбинират частни мрежи, базирани на различни технологии, са в противоречие с динамично развиващия се бизнес, желанието му за децентрализация и тенденцията напоследък към сливания.

    В същото време, паралелно, съществуват обществени мрежи за предаване на данни, лишени от тези недостатъци, и Интернет, който буквално обгърна цялото земно кълбо със своята „мрежа“. Вярно е, че те също са лишени от най-важното предимство на частните мрежи - надеждна защита на корпоративната информация. Технологията за виртуална частна мрежа съчетава гъвкавостта, скалируемостта, ниската цена и наличността на Интернет и обществени мрежи буквално по всяко време и навсякъде със сигурността на частните мрежи. В основата си VPN мрежите са частни мрежи, които използват глобални мрежи за предаване на трафик. публичен достъп(Интернет, Frame Relay, ATM). Виртуалността се проявява във факта, че за корпоративен потребител те изглеждат като специализирани частни мрежи.

    СЪВМЕСТИМОСТ

    Проблеми със съвместимостта не възникват, ако VPN директно използват Frame Relay и ATM услуги, тъй като те са доста добре адаптирани за работа в многопротоколна среда и са подходящи както за IP, така и за не-IP приложения. Всичко, което се изисква в този случай, е наличието на подходяща мрежова инфраструктура, покриваща необходимата географска област. Най-често използваните устройства за достъп са Frame Relay Access Devices или рутери с Frame Relay и ATM интерфейси. Множество постоянни или комутирани виртуални вериги могат да работят (виртуално) с произволна комбинация от протоколи и топологии. Въпросът става по-сложен, ако VPN се базира на интернет. В този случай се изисква приложенията да са съвместими с IP протокола. При условие, че това изискване е спазено, можете да използвате Интернет „какъвто е“ за изграждане на VPN, като предварително сте осигурили необходимото ниво на сигурност. Но тъй като повечето частни мрежи са многопротоколни или използват неофициални вътрешни IP адреси, те не могат директно да се свържат с интернет без подходяща адаптация. Има много решения за съвместимост. Най-популярните са следните:
    - конвертиране на съществуващи протоколи (IPX, NetBEUI, AppleTalk или други) в IP протокол с официален адрес;
    - преобразуване на вътрешни IP адреси в официални IP адреси;
    — инсталиране на специални IP-шлюзове на сървъри;
    — използване на виртуално IP-маршрутизиране;
    — използване на универсална техника за тунелиране.
    Първият начин е ясен, така че нека да разгледаме накратко останалите.
    Преобразуването на вътрешни IP адреси в официални е необходимо, когато частната мрежа е базирана на IP протокола. Преводът на адреси за цялата корпоративна мрежа не е необходим, тъй като официалните IP адреси могат да съществуват заедно с вътрешните на комутаторите и рутерите в корпоративната мрежа. С други думи, сървърът с официалния IP адрес все още е достъпен за клиента на частната мрежа чрез локалната инфраструктура. Най-често използваната техника е разделянето на малък блок от официални адреси от много потребители. Подобно е на разделянето на модемен пул по това, че също разчита на предположението, че не всички потребители се нуждаят от достъп до интернет едновременно. Тук има два индустриални стандарта, Dynamic Host Configuration Protocol (DHCP) и Network Address Translation (NAT), които имат малко по-различни подходи. DHCP наема адрес на хост за период, определен от мрежовия администратор, докато NAT превежда вътрешен IP адресна длъжностното лице динамично, за времето на комуникационната сесия с
    Интернет.

    Друг начин да направите частна мрежа съвместима с интернет е да инсталирате IP шлюз. Шлюзът преобразува не-IP протоколи в IP протоколи и обратно. Повечето мрежа операционна системакоито използват естествени протоколи софтуерза IP шлюза.

    Същността на виртуалното IP маршрутизиране е да разшири частните таблици за маршрутизиране и адресното пространство до инфраструктурата (рутери и комутатори) на ISP. Виртуалният IP рутер е логическа част от физически IP рутер, притежаван и управляван от доставчик на услуги. Всеки виртуален рутер обслужва определена група потребители.
    Въпреки това, може би най по най-добрия начиноперативната съвместимост може да се постигне с помощта на техники за тунелиране. Тези техники се използват дълго време за предаване на многопротоколен пакетен поток през обща опорна мрежа. Тази доказана технология в момента е оптимизирана за интернет базирани VPN.
    Основните компоненти на тунела са:
    — тунелен инициатор;
    — маршрутизирана мрежа;
    - тунелен превключвател (опция);
    — един или повече тунелни крайници.
    Тунелирането трябва да се извърши в двата края на връзката от край до край. Тунелът трябва да започва с инициатор на тунел и да завършва с терминатор на тунел. Инициализирането и прекратяването на тунелни операции може да се извърши от различни мрежови устройстваи софтуер. Например, тунелът може да бъде иницииран от компютър на отдалечен потребител, който има инсталиран модем и VPN софтуер, преден рутер в корпоративен клон или концентратор за мрежов достъп при доставчик на услуги.

    За предаване през Интернет пакети, различни от IP мрежови протоколи, се капсулират от страната на източника в IP пакети. Най-често използваният метод за създаване на VPN тунели е да се капсулира не-IP пакет в PPP (протокол от точка до точка) пакет и след това да се капсулира в IP пакет. Нека ви напомня, че PPP протоколът се използва за връзка от точка до точка, например за комуникация клиент-сървър. Процесът на IP капсулиране включва добавяне на стандартен IP хедър към оригиналния пакет, който след това се третира като полезна информация. Съответният процес в другия край на тунела премахва IP хедъра, оставяйки оригиналния пакет непроменен. Тъй като технологията за тунелиране е доста проста, тя е и най-достъпна по отношение на разходите.

    БЕЗОПАСНОСТ

    Осигуряването на необходимото ниво на сигурност често е основното съображение, когато една корпорация обмисля използването на интернет базирани VPN. Много ИТ мениджъри са свикнали с присъщата защита на поверителността на частните мрежи и гледат на Интернет като на твърде „обществен“, за да бъде използван като частна мрежа. Ако използвате английската терминология, тогава има три "P", изпълнението на които заедно осигурява пълна защита на информацията. То:
    Защита - защита на ресурсите с помощта на защитни стени (защитна стена);
    Доказателство - проверка на идентичността (целостта) на пакета и удостоверяване на подателя (потвърждение на правото на достъп);
    Поверителност - защита на поверителна информация чрез криптиране.
    И трите P са еднакво важни за всяка корпоративна мрежа, включително VPN. В строго частни мрежи, за да защитите ресурсите и поверителността на информацията, е достатъчно да използвате доста прости пароли. Но след като частна мрежа е свързана с публична, нито едно от трите P не може да осигури необходимата защита. Следователно, за всеки VPNзащитните стени трябва да бъдат инсталирани във всички точки на взаимодействието му с публичната мрежа, а пакетите трябва да бъдат криптирани и удостоверени.

    Защитните стени са съществен компонент във всяка VPN. Те позволяват само разрешен трафик за доверени потребители и блокират всичко останало. С други думи, всички опити за достъп от неизвестни или ненадеждни потребители се пресичат. Тази форма на защита трябва да бъде осигурена за всеки сайт и потребител, тъй като липсата никъде означава липса навсякъде. Специални протоколи се използват за гарантиране на сигурността на виртуалните частни мрежи. Тези протоколи позволяват на хостовете да "договарят" техниката за криптиране и цифров подпис, която да се използва, като по този начин поддържат поверителността и целостта на данните и удостоверяват потребителя.

    Microsoft Point-to-Point Encryption Protocol (MPPE) криптира PPP пакети на клиентската машина, преди да бъдат изпратени към тунела. Сесията за криптиране се инициализира по време на установяване на комуникация с терминатора на тунела, използвайки протокола
    ПЧП.

    Защитените IP протоколи (IPSec) са поредица от предварителни стандарти, разработвани от Internet Engineering Task Force (IETF). Групата предложи два протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP). Протоколът AH добавя цифров подпис към заглавката, който удостоверява потребителя и гарантира целостта на данните, като следи всички промени в транзита. Този протокол защитава само данните, оставяйки адресната част на IP пакета непроменена. ESP протоколът, от друга страна, може да криптира или целия пакет (тунелен режим), или само данните (транспортен режим). Тези протоколи се използват както отделно, така и в комбинация.

    За управление на сигурността се използва индустриалният стандарт RADIUS (Remote Authentication Dial-In User Service), който е база данни от потребителски профили, които съдържат пароли (удостоверяване) и права за достъп (упълномощаване).

    Функциите за сигурност далеч не се ограничават до дадените примери. Много производители на рутери и защитни стени предлагат свои собствени решения. Сред тях са Ascend, CheckPoint и Cisco.

    НАЛИЧНОСТ

    Наличността включва три еднакво важни компонента: времето за предоставяне на услугата, пропускателна способности време на забавяне. Времето за предоставяне на услугата е предмет на договора с доставчика на услугата, а другите два компонента са свързани с елементите на качеството на услугата (Quality of Service – QoS). Съвременни технологиитранспорт ви позволява да изградите VPN, който отговаря на изискванията на почти всички съществуващи приложения.

    УПРАВЛЯЕМОСТ

    Мрежовите администратори винаги искат да могат да управляват от край до край, от край до край корпоративна мрежа, включително частта, която се отнася до телекомуникационната компания. Оказва се, че VPN предоставят повече възможности в това отношение от обикновените частни мрежи. Типичните частни мрежи се администрират "от граница до граница", т.е. доставчикът на услуги управлява мрежата до предните рутери на корпоративната мрежа, докато абонатът управлява самата корпоративна мрежа до устройствата за достъп до WAN. VPN технологията избягва този вид разделение на "сфери на влияние", предоставяйки както на доставчика, така и на абоната с единна система за управление на мрежата като цяло, както корпоративната й част, така и мрежовата инфраструктура на публичната мрежа. Мрежовият администратор на предприятието има способността да наблюдава и преконфигурира мрежата, да управлява устройствата за преден достъп и да определя състоянието на мрежата в реално време.

    VPN АРХИТЕКТУРА

    Има три модела на архитектура на виртуална частна мрежа: зависим, независим и хибриден като комбинация от първите две алтернативи. Принадлежността към определен модел се определя от това къде са изпълнени четирите основни изисквания за VPN. Ако глобален доставчик на мрежови услуги предоставя цялостно VPN решение, т.е. осигурява тунелиране, сигурност, производителност и управление, прави архитектурата зависима от него. В този случай всички VPN процеси са прозрачни за потребителя и той вижда само собствения си трафик - IP, IPX или NetBEUI пакети. Предимството на зависимата архитектура за абоната е, че той може да използва съществуващата мрежова инфраструктура „както е“, като добави само защитна стена между VPN и частната мрежа.
    WAN/LAN.

    Независима архитектура се реализира, когато една организация осигурява всички технологични изисквания за своето оборудване, делегирайки само транспортни функции на доставчика на услуги. Тази архитектура е по-скъпа, но дава на потребителя пълен контрол върху всички операции.

    Хибридната архитектура включва зависими и независими от организацията (съответно от доставчика на услуги) сайтове.

    Какви са обещанията на VPN за корпоративните потребители? На първо място, според индустриални анализатори, това е намаляване на разходите за всички видове телекомуникации от 30 до 80%. Освен това това е почти повсеместен достъп до мрежите на корпорация или други организации; това е осъществяване на защитени комуникации с доставчици и клиенти; това е подобрена и подобрена услуга, която не е достъпна в PSTN мрежи, и много повече. Специалистите виждат VPN като ново поколение мрежова комуникация и много анализатори смятат, че VPN скоро ще замени повечето частни мрежи, базирани на наети линии.