V tomto článku odpovíme na většinu FAQ co je server VPN, řekneme vám, zda může VPN zvýšit vaši bezpečnost, zda musíte používat Double VPN a jak zkontrolovat, zda služba VPN uchovává protokoly a co moderní technologie existují k ochraně osobních údajů.

VPN je virtuální privátní síť, který zajišťuje šifrování mezi klientem a serverem VPN.


Hlavním účelem VPN je šifrování provozu a změna IP adresy.

Podívejme se, proč a kdy je to potřeba.

K čemu je VPN?

Všichni ISP zaznamenávají aktivity svých zákazníků na internetu. To znamená, že poskytovatel internetu ví, jaké stránky jste navštívili. To je nezbytné pro poskytnutí veškerých informací o pachateli v případě žádostí policie a také pro zbavení veškeré právní odpovědnosti za jednání uživatele.

Existuje mnoho situací, kdy uživatel potřebuje chránit svá osobní data na internetu a získat svobodu komunikace.

Příklad 1. Existuje obchod a je nutné přenášet důvěrná data přes internet, aby je nikdo nemohl zachytit. Většina společností využívá technologii VPN k přenosu informací mezi pobočkami společnosti.

Příklad 2. Mnoho služeb na internetu funguje na principu geografického odkazování na lokalitu a zakazuje přístup uživatelům z jiných zemí.

Například služba Yandex Music funguje pouze pro IP adresy z Ruska a zemí bývalého SNS. V souladu s tím celá rusky mluvící populace žijící v jiných zemích nemá k této službě přístup.

Příklad 3. Blokování určitých stránek v kanceláři a v zemi. Kanceláře často blokují přístup sociální sítě aby zaměstnanci neztráceli pracovní čas komunikací.

Například Čína mnohé zablokovala služby Google. Pokud obyvatel Číny spolupracuje se společností z Evropy, pak je potřeba využít služeb jako je Google Disk.

Příklad 4. Skryjte navštívené stránky před ISP. Jsou chvíle, kdy potřebujete skrýt seznam navštívených stránek před poskytovatelem internetu. Veškerý provoz bude šifrován.


Šifrováním vašeho provozu váš ISP nebude vědět, jaké stránky jste na internetu navštívili. V tomto případě bude vaše IP adresa na internetu patřit zemi VPN serveru.

Když se připojíte k VPN, vytvoří se zabezpečený kanál mezi vaším počítačem a serverem VPN. Všechna data v tomto kanálu jsou šifrována.


Díky VPN získáte svobodu komunikace a ochranu vašich osobních údajů.

V protokolech poskytovatele internetu bude sada různé postavy. Níže uvedený obrázek ukazuje analýzu dat získaných speciálním programem.

V HTTP hlavičce hned vidíte, ke kterému webu se připojujete. Tyto údaje zaznamenávají poskytovatelé internetových služeb.


Následující obrázek ukazuje hlavičku HTTP při použití VPN. Data jsou šifrována a není možné zjistit, které stránky jste navštívili.

Jak se připojit k VPN

Existuje několik způsobů, jak se připojit k síti VPN.

  • PPTP je zastaralý protokol. Většina moderních operačních systémů jej vyřadila ze seznamu podporovaných. Nevýhody PPTP - nízká stabilita připojení. Připojení může přerušit a nezabezpečená data mohou uniknout do internetu.
  • Připojení L2TP (IPSec) je spolehlivější. Zabudován také do většiny operačních systémů (Windows, Mac OS, Linux, iOS, Android, Windows telefon a další). Má lepší spolehlivost než připojení PPTP.
  • Připojení SSTP bylo vyvinuto relativně nedávno. Je podporován pouze ve Windows, takže není široce používán.
  • IKEv2 je moderní protokol založený na IPSec. Tento protokol nahradil protokol PPTP a je podporován všemi populárními operačními systémy.
  • Připojení OpenVPN je považováno za nejspolehlivější. Tuto technologii lze flexibilně konfigurovat a při výpadku připojení OpenVPN zablokuje odesílání nechráněných dat do internetu.

Pro technologii OpenVPN existují 2 protokoly přenosu dat:

  • UDP protokol - rychlý provoz (doporučeno pro VoiP telefonii, Skype, online hry)
  • TCP protokol - charakterizovaný spolehlivostí přenášených dat (vyžaduje potvrzení o přijetí paketu). Funguje o něco pomaleji než UDP.

Jak nastavit VPN

Nastavení připojení VPN trvá několik minut a liší se způsobem připojení VPN.

V naší službě používáme připojení PPTP a OpenVPN.

Zabezpečení VPN

Vždy se budeme bavit o komplexním přístupu k bezpečnosti. Bezpečnost uživatele nespočívá pouze v samotném VPN připojení. Je důležité, jaký program používáte pro připojení k serveru VPN.

V současné době služby nabízejí pohodlné VPN klienty – to jsou programy, které usnadňují nastavení VPN připojení. Sami nabízíme pohodlného VPN klienta. Díky takovým programům nastavení VPN připojení netrvá déle než 1 minutu.


Když jsme v roce 2006 poprvé začali poskytovat služby VPN, všichni naši uživatelé si nastavili oficiální aplikaci OpenVPN. Má otevřeno zdroj. Nastavení oficiálního klienta OpenVPN samozřejmě zabere více času. Pojďme se ale podívat, co je lepší z hlediska anonymity použít.

Anonymita VPN klienta

V používání takových programů vidíme nebezpečí. Věc se má tak, že zdrojový kód takových programů je majetkem firmy a v zájmu zachování jedinečnosti jejího programu je nikdo nezveřejňuje.

Uživatelé nemohou zjistit, jaká data o vás program shromažďuje, pokud nemáte otevřený zdrojový kód.

VPN programy a může vás identifikovat jako konkrétního uživatele, i když jsou protokoly na serveru vypnuty.

Každý program může mít funkci záznamu stránek, které jste navštívili, vaší skutečné IP adresy. A jelikož své přihlašovací údaje do programu zadáváte sami, nelze obecně hovořit o nějaké anonymitě používání programu.

Pokud vaše činnost vyžaduje vysokou úroveň anonymity, doporučujeme, abyste tyto programy VPN opustili a použili oficiální verzi OpenVPN s otevřeným zdrojovým kódem.

Zpočátku vám to bude nepříjemné. Časem si ale zvyknete, pokud je pro vás faktor bezpečnosti a anonymity na prvním místě.

Garantujeme, že Secure Kit o vás neukládá žádná data. Ale musíme vás varovat, že takové programy vás mohou špehovat.

Další nápad, jak zvýšit svou bezpečnost, přišel z pohledu geografického umístění serverů. Na internetu se tomu říká offshore VPN.

Co je offshore VPN

Různé země mají jiná úroveň legislativa. Jsou silné státy se silnými zákony. A jsou malé země, jejichž úroveň rozvoje to neumožňuje ochrana informacíúdaje ve vaší zemi.

Zpočátku se pojem offshore používal k označení země, ve které je daňová politika uvolněná. Takové země mají velmi nízké daně z podnikání. Globální společnosti se začaly zajímat o legální daňové úniky ve své zemi a offshore bankovní účty na Kajmanských ostrovech se staly velmi populární.

V současné době již v mnoha zemích světa platí zákaz používání bankovních účtů v offshore zemích.

Většina offshore zemí jsou malé státy umístěné v odlehlých koutech planety. Servery v těchto zemích je obtížnější najít a jsou dražší kvůli chybějící rozvinuté internetové infrastruktuře. Servery VPN v těchto zemích se začaly nazývat offshore.

Ukazuje se, že slovo offshore VPN neznamená anonymní VPN, ale hovoří pouze o územní příslušnosti k offshore státu.

Měli byste používat offshore VPN?

Offshore VPN představuje další výhody z hlediska anonymity.

Myslíte si, že je mnohem jednodušší napsat formální žádost:

  • na policejní oddělení v Německu
  • nebo na policejní oddělení na ostrovech v Antigua Barbuda

Offshore VPN je další vrstvou ochrany. Je dobré používat offshore server jako součást řetězce Double VPN.

Není třeba používat pouze 1 offshore server VPN a myslet si, že je zcela bezpečný. Ke své bezpečnosti a anonymitě na internetu je potřeba přistupovat z různých úhlů pohledu.

Použijte offshore VPN jako odkaz na vaši anonymitu.

A je čas odpovědět na nejčastější otázku. Může anonymní služba VPN uchovávat protokoly? A jak zjistit, zda služba uchovává protokoly?

Anonymní VPN služba a protokoly. Jak být?

Anonymní služba VPN by neměla uchovávat protokoly. V opačném případě to již nelze nazvat anonymním.

Sestavili jsme seznam otázek, díky kterým můžete přesně určit, zda služba uchovává protokoly.

Nyní máte úplné informace o připojení VPN. Tyto znalosti stačí k tomu, abyste se na internetu stali anonymními a přenos osobních údajů byl bezpečný.

Nové technologie VPN

Existují nějaké nové trendy v oblasti VPN?

Již jsme mluvili o výhodách a nevýhodách sériového kaskádování serverů VPN (Double, Triple, Quad VPN).

Abyste se vyhnuli nevýhodám technologie Double VPN, můžete vytvořit paralelní kaskádu řetězců. Nazvali jsme to Paralelní VPN.

Co je paralelní VPN

Podstatou Parallel VPN je nasměrovat provoz na paralelní datový kanál.

Nevýhodou sekvenční kaskádové technologie (Double, Triple, Quad VPN) je, že každý server dešifruje kanál a zašifruje jej do dalšího kanálu. Data jsou postupně šifrována.

V technologii Parallel VPN žádný takový problém neexistuje, protože všechna data jsou šifrována dvojitě paralelně. To znamená, že si představte cibuli, která má několik slupek. Stejně tak data procházejí kanálem, který je dvojitě zašifrován.


Otázky VPN jsou dnes populární – co to je, jaké jsou její funkce a jak nejlépe nastavit VPN. Jde o to, že ne každý zná podstatu samotné technologie, když může být potřeba.

I po finanční a ziskové stránce je zřízení VPN lukrativní byznys, za který můžete snadno získat peníze.
Bylo by hezké vysvětlit uživateli, co je VPN a jak ji nejlépe nastavit na Win 7 a 10.

1. Základní

VPN (virtuální privátní síť) je soukromá virtuální síť. Ještě jednodušší - technologie tvorby lokální síť, ale bez fyzických zařízení v podobě routerů a dalších věcí, ale se skutečnými zdroji z internetu. VPN je další síť postavený na druhém.

Na webu společnosti Microsoft byl nalezen takový informativní obrázek, který pomůže pochopit, že výraz "Další síť vytvořená na druhé."


Na obrázku je zařízení ve formě počítače. Cloud je sdílená nebo veřejná síť, častěji standardní internet. Každý ze serverů je vzájemně propojen pomocí stejné VPN.

Zařízení jsou tedy vzájemně fyzicky propojena. Praxe ale ukázala, že to není nutné.

Zejména proto, aby se nepoužívaly dráty, kabely a další rušivá zařízení, je konfigurována VPN.

Místní zařízení jsou vzájemně propojena nikoli pomocí kabelů, ale prostřednictvím Wi-Fi, GPS, Bluetooth a dalších zařízení.
Virtuální sítě jsou nejčastěji standardním připojením k internetu. Samozřejmě, že získání přístupu k zařízením prostě nebude fungovat, protože všude existují úrovně identifikace, jejichž cílem je vyhnout se hackerům a nepřátelům v síti VPN.

2. Pár slov o struktuře VPN

Struktura VPN je rozdělena na dvě části: externí a interní.
Každý počítač se připojuje ke dvěma částem současně. To se provádí pomocí serveru.


Serverem je v našem případě takzvaný strážce u vchodu. Bude detekovat a registrovat členy virtuální sítě.

Počítač nebo zařízení připojené k VPN musí mít všechna data pro autorizaci a takzvanou autentizaci, tedy speciální, obvykle jednorázové heslo nebo jiný prostředek, který by vám mohl pomoci projít procedurou.

Tento proces pro nás není nijak zvlášť důležitý. Specialisté vytvářejí stále výkonnější a serióznější metody autorizace na serverech.

Abyste byli v takové síti, musíte u vchodu znát následující:
1. Jméno, například název PC nebo jiné použité přihlašovací jméno, které má být identifikováno v síti;
2. Heslo, pokud existuje, pro dokončení autorizace.
Také počítač, který se chce připojit k další VPN síti, „nese“ všechna data k autorizaci. Server tato data vloží do své databáze. Po registraci vašeho PC do databáze již výše uvedené údaje nebudete potřebovat.

3. VPN a jejich klasifikace

Klasifikace sítí VPN jsou uvedeny níže.

Pokusme se porozumět podrobněji.
- STUPEŇ OCHRANY. Sítě vybrané podle tohoto kritéria:
1. Plně zabezpečené – jedná se o inherentně zabezpečené sítě;
2. Bezpečné „důvěryhodné“ – méně bezpečné sítě, používané v případech, kdy je původní nebo „rodičovská“ síť spolehlivá.
- IMPLEMENTACE. Metody implementace. Sítě vybrané podle tohoto kritéria:
1. Kombinované a softwarové metody;
2. Hardwarovým způsobem– pomocí skutečných zařízení.
- ÚČEL. VPN odpovídající tomuto kritériu:
1. Intranet (Intranet) - používá se nejčastěji ve společnostech, kde potřebujete spojit více poboček;
2. Extranet (Extranet) - používá se speciálně pro organizování sítí, ve kterých jsou různí účastníci a také klienti společnosti;
3. Přístup (Remote Access) je organizace sítí VPN, kde existují tzv. vzdálené pobočky.
- PROTOKOL. Implementace VPN sítí je možná pomocí protokolů AppleTalk a IPX, ale ve skutečnosti nejčastěji a efektivněji používám TCP/IP. Důvodem je obliba tohoto protokolu v hlavních sítích.
- ÚROVEŇ PRÁCE. Zde je preferováno OSI, ale síť VPN může fungovat pouze na linkové, síťové a transportní vrstvě.
Samozřejmě, v praxi jedna síť, můžete zahrnout několik funkcí současně. Pojďme k bodům o přímém nastavení sítě VPN pomocí počítače nebo notebooku.

4. Jak nastavit síť VPN (virtuální síť)

První metoda byla vyvinuta speciálně pro Windows 7.
V systému Windows 7 se nastavení provádí pomocí poměrně jednoduchých kroků a podle následujících pokynů:
1. Přejděte na " Centrum sítí a sdílení". Klikněte na panel rychlý přístup na ikoně připojení a v okně vyberte položku, kterou potřebujeme.

2. Program nemusí vždy vypadat jako na obrázku výše, může být i takto:

3. V novém okně najdeme sekci " Nastavte nové připojení nebo síť". Tato část je na obrázku zvýrazněna.


4. V dalším odstavci najdeme „ Připojení k pracovišti"a jít" Dále».


5. V případě, že na PC již existuje nějaké připojení VPN, mělo by se objevit speciální okno, jako na obrázku níže. Vyberte "Ne, vytvořit nové připojení" a pokračujte znovu " Dále».


6. V novém okně najdeme " Použít moje připojení k internetu (VPN)»


7. Nyní zadáme adresu, název sítě VPN. Veškeré podrobnosti zjistíte u správce sítě, který vám sdělí i speciální okno.

Pokud došlo k připojení k již fungující síti, je nejlepší požádat o data správce této sítě. Obvykle tento postup nezabere mnoho času. Zadejte data do poskytnutých polí.
8. Ve stejném poli zaškrtněte „ Teď se nepřipojovat...“ a poté přejděte na „ Dále».


9. Zadejte svá data (login a heslo) ze sítě. Na následujícím obrázku jsou tato pole zvýrazněna.

Pokud se jedná o první spojení se sítí, pak bude nutné data vytvořit nová, po jejich kontrole serverem budete vpuštěni do sítě a používat je.

Pokud připojení není primární, server nebude kontrolovat vaše data a přímo vás pustí do požadované sítě.

10. Po zadání požadovaných údajů klikněte na " Připojit».


11. Následující okno vás vyzve, abyste se nyní připojili k síti. Raději to zavři.


Nastavení je úspěšně dokončeno a zbývá se pouze připojit k síti. Chcete-li to provést, musíte se vrátit k prvnímu odstavci " Centrum sítí a sdílení».
12. V novém okně vyberte " Připojte se k síti».


13. Zde vybereme naše připojení a připojíme se k němu.

Nastavení VPN v systému Windows 7 dokončeno.

Pojďme k nastavení VPN v systému Windows 10, algoritmus a akce jsou zde téměř stejné. Jediný rozdíl je v některých prvcích rozhraní a přístupu k nim.

Chcete-li se například dostat do „Centra sítí a sdílení“, musíte udělat vše stejně jako v systému Windows 7, kromě toho existuje speciální položka „ Vytváření a konfigurace nového připojení nebo...».
Dále se nastavení provádí stejným způsobem jako ve Windows 7, pouze rozhraní se bude mírně lišit.


Nějaké nepříjemnosti Uživatelé Windows 10 může souviset s tím, že budou hledat klasický pohled na síť. Měli byste jít do Síť a internet“ a poté vyberte „Zobrazit úlohu a stav sítě“ pro další práci s nastavením sítí VPN.

Ve skutečnosti není v nastavení nic složitého. Mimochodem, tohle VPN připojení je možné konfigurovat i na zařízeních Android, tomu bude věnována část níže.

5. Nastavení VPN na Androidu

K provedení takové operace budete muset nainstalovat a stáhnout nástroj s názvem SuperVPN Free VPM Client z oficiálních obchodů Android.

Okno programu, které nabídne vytvoření sítě VPN na Androidu.


Obecně je zde vše jasné, klikněte na " Připojit“, po kterém začne vyhledávání dostupné sítě a další spojení s nimi. Nastavení VPN na Androidu se provádí bez dalších programů.

V poslední době zaznamenává svět telekomunikací zvýšený zájem o virtuální privátní sítě (Virtual Private Network - VPN). Důvodem je nutnost snížit náklady na údržbu firemních sítí z důvodu levnějšího připojení vzdálených poboček a vzdálených uživatelů přes internet. Při porovnání nákladů na služby pro připojení několika sítí přes internet, například se sítěmi Frame Relay, je skutečně možné zaznamenat významný rozdíl v ceně. Je však třeba poznamenat, že při propojování sítí přes internet okamžitě vyvstává otázka bezpečnosti přenosu dat, takže bylo nutné vytvořit mechanismy, které zajistí důvěrnost a integritu přenášených informací. Sítě postavené na základě takových mechanismů se nazývají VPN.

Navíc velmi často moderní člověk, který rozvíjí své podnikání, musí hodně cestovat. Mohou to být výlety do odlehlých koutů naší země i do cizích zemí. Není neobvyklé, že lidé potřebují přístup ke svým informacím uloženým na jejich domácím nebo firemním počítači. Tento problém lze vyřešit zprostředkováním vzdáleného přístupu k němu pomocí modemu a linky. Použití telefonní linky má své vlastní charakteristiky. Nevýhodou tohoto řešení je, že hovor z jiné země stojí hodně peněz. Existuje další řešení s názvem VPN. Výhodou technologie VPN je organizace vzdálený přístup se neprovádí přes telefonní linku, ale přes internet, který je mnohem levnější a lepší. Podle mě technologie. VPN má vyhlídku, že bude široce přijata po celém světě.

1. Pojem a klasifikace sítí VPN, jejich konstrukce

1.1 Co je to VPN

VPN(angl. Virtual Private Network - virtuální privátní síť) - logická síť vytvořená nad jinou sítí, např. Internetem. I když komunikace ano veřejné sítě pomocí nezabezpečených protokolů se kvůli šifrování vytvářejí kanály pro výměnu informací uzavřené před cizími osobami. VPN vám umožňuje spojit například několik kanceláří organizace do jedné sítě pomocí nekontrolovaných kanálů pro komunikaci mezi nimi.


Ve svém jádru má VPN mnoho vlastností pronajaté linky, ale je nasazena ve veřejné síti, jako je . Pomocí techniky tunelování jsou datové pakety vysílány přes veřejnou síť, jako by šlo o normální spojení bod-bod. Mezi každou dvojicí „odesílatel-přijímač dat“ je vytvořen jakýsi tunel – bezpečné logické spojení, které umožňuje zapouzdřit data jednoho protokolu do paketů jiného. Hlavní součásti tunelu jsou:

  • iniciátor;
  • směrovaná síť;
  • tunelový spínač;
  • jeden nebo více terminátorů tunelu.

Princip fungování VPN sám o sobě není v rozporu s hlavními síťovými technologiemi a protokoly. Například při navazování telefonického připojení klient odešle na server proud standardních paketů PPP. V případě organizování virtuálních pronajatých linek mezi lokálními sítěmi si jejich routery vyměňují i ​​PPP pakety. Zásadně novým bodem je však přeposílání paketů prostřednictvím zabezpečeného tunelu organizovaného v rámci veřejné sítě.

Tunelování umožňuje organizovat přenos paketů jednoho protokol v logickém prostředí, které používá jiný protokol. V důsledku toho je možné řešit problémy interakce mezi několika heterogenními sítěmi, od potřeby zajistit integritu a důvěrnost přenášených dat až po překonání nekonzistencí v externích protokolech nebo schématech adresování.

Stávající síťovou infrastrukturu společnosti lze zřídit pro použití VPN buď prostřednictvím softwaru nebo Hardware. Organizaci virtuální privátní sítě lze přirovnat k položení kabelu přes globální síť. Přímé spojení mezi vzdáleným uživatelem a koncovým zařízením tunelu se obvykle vytváří pomocí protokolu PPP.

Nejběžnější metodou vytváření tunelů VPN je zapouzdření síťových protokolů (IP, IPX, AppleTalk atd.) do protokolu PPP a následné zapouzdření vygenerovaných paketů do protokolu tunelování. Obvykle je to IP nebo (mnohem méně často) ATM a Frame Relay. Tento přístup se nazývá tunelování vrstvy 2, protože „pasažérem“ je zde protokol vrstvy 2.

Alternativní přístup - zapouzdření paketů síťového protokolu přímo do tunelovacího protokolu (např. VTP) se nazývá tunelování vrstvy 3.

Bez ohledu na to, jaké protokoly se používají nebo jaké cíle pronásledován při organizaci tunelu, základní technika zůstáváprakticky beze změny. Obvykle se jeden protokol používá k navázání spojení se vzdáleným hostitelem a druhý se používá k zapouzdření dat a servisních informací pro přenos tunelem.

1.2 Klasifikace sítí VPN

Řešení VPN lze klasifikovat podle několika hlavních parametrů:

1. Podle typu použitého média:

  • Zabezpečené sítě VPN. Nejběžnější varianta privátních privátních sítí. S jeho pomocí je možné vytvořit spolehlivou a bezpečnou podsíť založenou na nespolehlivé síti, obvykle internetu. Příklady zabezpečených VPN jsou: IPSec, OpenVPN a PPTP.
  • Důvěryhodné sítě VPN. Používají se v případech, kdy lze přenosové médium považovat za spolehlivé a je pouze nutné vyřešit problém vytvoření virtuální podsítě v rámci větší sítě. Bezpečnostní otázky se stávají irelevantními. Příklady takových řešení VPN jsou: MPLS a L2TP. Správnější je říci, že tyto protokoly přesouvají úkol zajišťování bezpečnosti na jiné, například L2TP se zpravidla používá v tandemu s IPSec.

2. Podle způsobu provedení:

  • VPN sítě ve formě speciálního softwaru a hardwaru. Implementace VPN sítě se provádí pomocí speciální sady softwaru a hardwaru. Tato implementace poskytuje vysoký výkon a zpravidla vysoký stupeň bezpečnostní.
  • VPN sítě jako softwarové řešení. použití Osobní počítač se speciálním softwarem, který poskytuje funkce VPN.
  • VPN sítě s integrovaným řešením. Funkcionalitu VPN poskytuje komplex, který také řeší úkoly filtrování síťového provozu, organizování firewall a zajištění kvality služeb.

3. Po domluvě:

  • Intranet VPN. Používá se ke spojení několika distribuovaných poboček jedné organizace, které si vyměňují data, do jediné zabezpečené sítě otevřené kanály spojení.
  • Vzdálený přístup VPN. Používá se k vytvoření zabezpečeného kanálu mezi segmentem podnikové sítě (centrální kancelář nebo pobočka) a jedním uživatelem, který se při práci doma připojuje k podnikovým zdrojům pomocí domácí počítač nebo se na služební cestě připojí k firemním zdrojům pomocí notebooku.
  • Extranet VPN. Používá se pro sítě, ke kterým se připojují „externí“ uživatelé (například zákazníci nebo klienti). Míra důvěry v ně je mnohem nižší než u zaměstnanců společnosti, proto je nutné zajistit zvláštní „hranice“ ochrany, které zabrání nebo omezí přístup těchto zaměstnanců ke zvláště cenným důvěrným informacím.

4. Podle typu protokolu:

  • Existují implementace virtuálních privátních sítí pod TCP/IP, IPX a AppleTalk. Dnes je ale trend k obecnému přechodu na protokol TCP/IP a naprostá většina řešení VPN jej podporuje.

5. Podle úrovně síťového protokolu:

  • Podle vrstvy síťového protokolu na základě mapování na vrstvy referenčního modelu sítě ISO/OSI.

1.3. Budování VPN

Existují různé možnosti, jak vytvořit VPN. Při výběru řešení musíte zvážit výkonnostní faktory tvůrců VPN. Například, pokud router již pracuje na svém kapacitním limitu, pak přidání VPN tunelů a použití šifrování / dešifrování informací může zastavit fungování celé sítě, protože tento router nebude schopen zvládnout jednoduchý provoz, ne abych zmínil VPN. Zkušenosti ukazují, že za účelem vybudování VPN je lepší používejte pouze specializované vybavení, ale pokud existuje omezení ve finančních prostředcích, můžete věnovat pozornost čistě softwarovému řešení. Zvažte některé možnosti pro vytvoření VPN.

  • VPN založená na firewallu. Většina výrobců firewallů podporuje tunelování a šifrování dat. Všechny tyto produkty jsou založeny na tom, že provoz procházející firewallem je šifrován. K samotnému softwaru brány firewall je přidán modul šifrování. Nevýhodou tohoto způsobu je závislost výkonu na hardwaru, na kterém firewall běží. Při používání firewallů na bázi PC mějte na paměti, že takové řešení lze použít pouze pro malé sítě s malým množstvím přenášených informací.
  • VPN založená na routeru. Dalším způsobem, jak vytvořit VPN, je použít směrovače k ​​vytvoření zabezpečených kanálů. Vzhledem k tomu, že všechny informace přicházející z lokální sítě procházejí routerem, je vhodné přiřadit šifrovací úlohy i tomuto routeru.Příkladem zařízení pro budování VPN na routerech je zařízení od Cisco Systems. Počínaje verzí software IOS 11.3, směrovače Cisco podporují protokoly L2TP a IPSec. Kromě jednoduchého šifrování přenosu při přenosu podporuje Cisco další funkce VPN, jako je ověřování při tunelovém připojení a výměna klíčů.Ke zlepšení výkonu routeru lze použít volitelný šifrovací modul ESA. Kromě toho společnost Cisco System vydala vyhrazené zařízení VPN s názvem Cisco 1720 VPN Access Router pro instalaci v malých a středních podnicích a velkých pobočkách.
  • Softwarová VPN. Další přístup k budování VPN je čistě softwarová řešení. Při implementaci takového řešení se používá specializovaný software, který běží na vyhrazeném počítači a ve většině případů funguje jako proxy server. Počítač s tímto softwarem může být umístěn za bránou firewall.
  • Síťový OS založený na VPN.Budeme zvažovat řešení založená na síťovém OS na příkladu operačního systému Windows společnosti Microsoft. K vytvoření VPN používá Microsoft protokol PPTP, který je integrován do systému Windows. Toto řešení je velmi atraktivní pro organizace používající Windows jako svůj podnikový operační systém. Je třeba poznamenat, že náklady na takové řešení jsou mnohem nižší než náklady na jiná řešení. VPN se systémem Windows používá uživatelskou základnu uloženou na primárním řadiči domény (PDC). Při připojování k serveru PPTP je uživatel ověřen pomocí protokolů PAP, CHAP nebo MS-CHAP. Přenášené pakety jsou zapouzdřeny do paketů GRE/PPTP. K šifrování paketů se používá nestandardní protokol od Microsoft Point-to-Point Encryption s 40 nebo 128bitovým klíčem získaným při navazování spojení. Nevýhodou tohoto systému je chybějící kontrola integrity dat a nemožnost měnit klíče během připojení. kladné body jsou snadná integrace s Windows a nízké náklady.
  • Hardwarová VPN. Možnost vybudovat VPN speciální zařízení lze použít v sítích vyžadujících vysoký výkon. Příkladem takového řešení je produkt IPro-VPN společnosti Radguard. Tento produkt používá hardwarové šifrování přenášených informací, které je schopné přenášet proud o rychlosti 100 Mb/s. Podporuje IPro-VPN protokol IPSec a mechanismus správy klíčů ISAKMP/Oakley. Mimo jiné, toto zařízení podporuje překlad síťových adres a lze jej doplnit speciální deskou, která přidává funkce firewallu

2. Protokoly sítí VPN

Sítě VPN jsou budovány pomocí protokolů pro tunelování dat přes komunikační síť běžné použití Internetové a tunelové protokoly zajišťují šifrování dat a provádějí jejich end-to-end přenos mezi uživateli. K budování sítí VPN se dnes zpravidla používají následující protokoly:

  • Linková vrstva
  • síťová vrstva
  • transportní vrstva.

2.1 Linková vrstva

Na vrstvě datového spojení lze použít protokoly L2TP a PPTP pro tunelování dat, které využívají autorizaci a autentizaci.

PPTP.

V současnosti je nejrozšířenějším VPN protokolem Point-to-Point Tunneling Protocol – PPTP. Byl vyvinut společnostmi 3Com a Microsoft, aby poskytoval bezpečný vzdálený přístup k podnikovým sítím přes internet. PPTP využívá existující otevřené standardy TCP/IP a silně se spoléhá na starší protokol PPP point-to-point. V praxi zůstává PPP komunikačním protokolem relace připojení PPP. PPTP vytvoří tunel přes síť na NT server příjemce a odešle přes něj pakety PPP vzdáleného uživatele. Server a pracovní stanice používají virtuální privátní síť a je jim jedno, jak bezpečná nebo dostupná je globální síť mezi nimi. Ukončení relace připojení iniciované serverem, na rozdíl od specializovaných serverů pro vzdálený přístup, umožňuje správcům místní sítě nedovolit vzdáleným uživatelům opustit bezpečnostní systém Windows Server.

Přestože rozsah protokolu PPTP se vztahuje pouze na zařízení pracující pod Ovládání Windows, poskytuje společnostem možnost interoperovat se stávajícími síťovými infrastrukturami, aniž by byla ohrožena jejich vlastní bezpečnost. Vzdálený uživatel se tak může připojit k internetu pomocí místního ISP prostřednictvím analogové telefonní linky nebo kanálu ISDN a navázat spojení se serverem NT. Zároveň společnost nemusí vynakládat velké částky na organizaci a údržbu fondu modemů, který poskytuje služby vzdáleného přístupu.

Dále je diskutována práce RRTR. PPTP zapouzdřuje IP pakety pro přenos přes IP síť. Klienti PPTP používají cílový port k vytvoření připojení řízení tunelu. K tomuto procesu dochází na transportní vrstvě modelu OSI. Po vytvoření tunelu si klientský počítač a server začnou vyměňovat servisní pakety. Kromě řídicího připojení PPTP, které udržuje spojení aktivní, je vytvořeno připojení pro předávání datového tunelu. Data jsou před odesláním tunelem zapouzdřena trochu jiným způsobem než při běžném přenosu. Zapouzdření dat před jejich odesláním do tunelu zahrnuje dva kroky:

  1. Nejprve se vytvoří informační část PPP. Data proudí shora dolů, z aplikační vrstvy OSI do spojové vrstvy.
  2. Přijatá data jsou poté odeslána do modelu OSI a zapouzdřena protokoly horní vrstvy.

Během druhého průchodu se tedy data dostanou do transportní vrstvy. Informace však nelze odeslat na místo určení, protože za to odpovídá kanál. OSI vrstva. Proto PPTP šifruje pole užitečného zatížení paketu a přebírá funkce druhé vrstvy normálně spojené s PPP, tj. přidá hlavičku PPP a konec paketu PPTP. Tím je vytvoření rámce vazební vrstvy dokončeno.

Dále PPTP zapouzdří rámec PPP do paketu GRE (Generic Routing Encapsulation), který patří do síťové vrstvy. GRE zapouzdřuje protokoly síťové vrstvy, jako je IPX, AppleTalk, DECnet, aby je bylo možné přenášet po sítích IP. GRE však nemá schopnost vytvářet relace a poskytovat ochranu dat před vetřelci. To využívá schopnost PPTP vytvořit připojení řízení tunelu. Použití GRE jako metody zapouzdření omezuje rozsah PPTP pouze na sítě IP.

Poté, co byl rámec PPP zapouzdřen do rámce s hlavičkou GRE, je zapouzdřen do rámce s hlavičkou IP. IP hlavička obsahuje adresu odesílatele a příjemce paketu. Nakonec PPTP přidá hlavičku a konec PPP.

Odesílající systém odesílá data tunelem. Přijímající systém odstraní všechny hlavičky služeb a ponechá pouze data PPP.

L2TP

V blízké budoucnosti se očekává nárůst počtu VPN nasazených na základě nového Layer 2 Tunneling Protocol - L2TP.

L2TP se objevil jako výsledek sloučení protokolů PPTP a L2F (Layer 2 Forwarding). PPTP umožňuje přenos paketů PPP tunelem a paketů SLIP a PPP L2F. Aby se předešlo zmatkům a problémům s interoperabilitou na telekomunikačním trhu, výbor Internet Engineering Task Force (IETF) doporučil, aby Cisco Systems kombinovaly PPTP a L2F. Podle všeho protokol L2TP obsahuje nejlepší vlastnosti PPTP a L2F. Hlavní výhodou L2TP je, že tento protokol umožňuje vytvořit tunel nejen v IP sítích, ale také v sítích jako ATM, X.25 a Frame Relay. Implementace L2TP ve Windows 2000 bohužel podporuje pouze IP.

L2TP používá UDP jako přenos a používá stejný formát zprávy pro správu tunelu i předávání dat. Implementace L2TP od společnosti Microsoft používá pakety UDP obsahující šifrované pakety PPP jako řídicí zprávy. Spolehlivost doručení je zaručena kontrolou sledu paketů.

Funkce PPTP a L2TP se liší. L2TP lze použít nejen v IP sítích, servisní zprávy pro vytvoření tunelu a odesílání dat přes něj používají stejný formát a protokoly. PPTP lze použít pouze v sítích IP a k vytvoření a použití tunelu potřebuje samostatné připojení TCP. L2TP přes IPSec nabízí více vrstev zabezpečení než PPTP a může zaručit téměř 100% zabezpečení kritických podnikových dat. Vlastnosti L2TP z něj činí velmi slibný protokol k sestavení virtuální sítě.

Protokoly L2TP a PPTP se liší od tunelovacích protokolů vrstvy 3 v mnoha ohledech:

  1. Dává společnostem možnost vybrat si, jak uživatelé ověřují a ověřují své přihlašovací údaje – na jejich vlastním „území“ nebo u poskytovatele internetových služeb. Zpracováním tunelovaných paketů PPP získají servery podnikové sítě všechny informace, které potřebují k identifikaci uživatelů.
  2. Podpora pro přepínání tunelů - ukončení jednoho tunelu a zahájení dalšího do jednoho z mnoha potenciálních terminátorů. Přepínání tunelů umožňuje jakoby rozšířit PPP připojení na požadovaný koncový bod.
  3. Poskytování správci systému firemní síť, možnost implementovat strategie pro přidělování přístupových práv uživatelům přímo na firewallu a interních serverech. Protože zakončovače tunelů přijímají pakety PPP obsahující informace o uživatelích, mohou na provoz jednotlivých uživatelů aplikovat zásady zabezpečení definované správcem. (Tunelování vrstvy 3 nerozlišuje mezi pakety přicházejícími od ISP, takže na koncových pracovních stanicích a síťová zařízení.) Navíc v případě použití tunelového přepínače je možné organizovat „pokračování“ tunelu druhá úroveň pro přímý překlad provozu jednotlivceuživatelů na odpovídající interní servery. Takové servery mohou být pověřeny dalším filtrováním paketů.

MPLS

Také na linkové vrstvě lze technologii MPLS použít k organizaci tunelů ( Z angličtiny Multiprotocol Label Switching - víceprotokolové přepínání štítků - mechanismus přenosu dat, který emuluje různé vlastnosti sítě s přepojováním okruhů přes sítě s přepojováním paketů). MPLS funguje na vrstvě, která by mohla být umístěna mezi vrstvu datového spojení a třetí síťovou vrstvu modelu OSI, a proto se běžně nazývá protokol vrstvy síťového spojení. Byl navržen tak, aby poskytoval všestranné datové služby pro zákazníky sítí s přepojováním okruhů i paketů. S MPLS můžete přenášet širokou škálu provozu, jako jsou IP pakety, ATM, SONET a ethernetové rámce.

VPN řešení na linkové úrovni mají spíše omezený rozsah, obvykle v rámci domény poskytovatele.

2.2 Síťová vrstva

Síťová vrstva (IP vrstva). Používá se protokol IPSec, který implementuje šifrování a důvěrnost dat a také autentizaci předplatitele. Použití protokolu IPSec umožňuje implementovat plnohodnotný přístup ekvivalentní k fyzické spojení do firemní sítě. Pro zřízení VPN musí každý účastník nakonfigurovat určité parametry IPSec, tzn. každý klient musí mít software, který implementuje IPSec.

IPSec

Žádná společnost by samozřejmě nechtěla otevřeně převádět Internetové finanční nebo jiné důvěrné informace. Kanály VPN jsou chráněny výkonnými šifrovacími algoritmy zabudovanými do standardů bezpečnostního protokolu IPsec. IPSec nebo Internet Protocol Security - standard vybraný mezinárodní komunitou, IETF - Internet Engineering Task Force, vytváří bezpečnostní základ pro internetový protokol (IP / IPSec protokol poskytuje ochranu na úrovni sítě a vyžaduje podporu pro standard IPSec pouze od zařízení, která spolu komunikují na obou, všechna ostatní zařízení mezi sebou jednoduše poskytují IP paketový provoz.

Způsob interakce mezi osobami využívajícími technologii IPSec je obvykle definován pojmem „bezpečná asociace“ – Security Association (SA). Bezpečné přidružení funguje na základě dohody uzavřené mezi stranami, které používají IPSec k ochraně vzájemně přenášených informací. Tato dohoda upravuje několik parametrů: IP adresy odesílatele a příjemce, kryptografický algoritmus, pořadí výměny klíčů, velikosti klíčů, životnost klíče, autentizační algoritmus.

IPSec je konsensuální sada otevřených standardů, která má jádro, které lze snadno rozšířit o nové funkce a protokoly. Jádro IPSec se skládá ze tří protokolů:

· AN nebo Authentication Header - autentizační hlavička - zaručuje integritu a autentičnost dat. Hlavním účelem protokolu AH je umožnit přijímající straně zajistit, aby:

  • paket byl odeslán stranou, se kterou bylo vytvořeno bezpečné spojení;
  • obsah paketu nebyl při jeho přenosu po síti zkreslen;
  • balík není duplikátem již přijatého balíku.

První dvě funkce jsou pro protokol AH povinné a poslední je volitelná při nastavování přidružení. K provádění těchto funkcí používá protokol AH speciální hlavičku. Jeho struktura je uvažována takto:

  1. Další pole záhlaví udává kód protokolu vyšší úrovně, to znamená protokolu, jehož zpráva je umístěna v datovém poli IP paketu.
  2. Pole délky užitečného zatížení obsahuje délku hlavičky AH.
  3. Index bezpečnostních parametrů (SPI) se používá k přidružení balíčku k jeho zamýšlenému bezpečnému přidružení.
  4. Pole Sequence Number (SN) udává pořadové číslo paketu a používá se k ochraně proti falšování (když se třetí strana pokouší znovu použít zachycené zabezpečené pakety odeslané skutečně ověřeným odesílatelem).
  5. K autentizaci a kontrole integrity paketu slouží autentizační datové pole, které obsahuje tzv. Integrity Check Value (ICV). Tato hodnota, nazývaná také digest, se vypočítá pomocí jedné ze dvou výpočetně nevratných funkcí MD5 nebo SAH-1 požadovaných protokolem AH, ale lze použít jakoukoli jinou funkci.

· ESP nebo Encapsulating Security Payload- zapouzdření šifrovaných dat - šifruje přenášená data, poskytuje důvěrnost, může také zachovat autentizaci a integritu dat;

Protokol ESP řeší dvě skupiny problémů.

  1. První zahrnuje úkoly podobné těm, které má protokol AH – jedná se o zajištění autentizace a integrity dat na základě digestu,
  2. Za druhé - přenášená data jejich šifrováním před neoprávněným prohlížením.

Záhlaví je rozděleno na dvě části oddělené datovým polem.

  1. První část, nazývaná samotná hlavička ESP, je tvořena dvěma poli (SPI a SN), jejichž účel je obdobný jako u stejnojmenných polí v protokolu AH a je umístěn před datovým polem.
  2. Zbývající pole služeb protokolu ESP, nazývaná přívěs ESP, jsou umístěna na konci paketu.

Dvě pole přívěsu – další hlavička a autentizační údaje – jsou podobná polím hlavičky AH. Pole Authentication Data je vynecháno, pokud bylo učiněno rozhodnutí nepoužívat možnosti integrity protokolu ESP při vytváření zabezpečeného přidružení. Kromě těchto polí přívěs obsahuje dvě další pole - výplň a délku výplně.

Protokoly AH a ESP mohou chránit data ve dvou režimech:

  1. v transportu - přenos probíhá s originálními IP hlavičkami;
  2. v tunelu - původní paket je umístěn do nového IP paketu a přenos probíhá s novými hlavičkami.

Použití jednoho nebo druhého režimu závisí na požadavcích na ochranu dat a také na roli, kterou v síti hraje uzel, který ukončuje zabezpečený kanál. Uzel tedy může být hostitel (koncový uzel) nebo brána (mezilehlý uzel).

Proto existují tři schémata použití protokolu IPSec:

  1. hostitel hostitel;
  2. brána-brána;
  3. hostitelská brána.

Možnosti protokolů AH a ESP se částečně překrývají: protokol AH zodpovídá pouze za zajištění integrity a autentizace dat, protokol ESP dokáže data šifrovat a navíc plnit funkce protokolu AH (ve zkrácené podobě) . ESP může podporovat šifrování a funkce autentizace/integrity v libovolné kombinaci, tj. buď celou skupinu funkcí, nebo pouze autentizaci/integritu, nebo pouze šifrování.

· IKE nebo Internet Key Exchange - Internetová výměna klíčů - řeší pomocnou úlohu automatického poskytování bezpečných koncových bodů kanálů tajnými klíči nezbytnými pro provoz autentizačních a datových šifrovacích protokolů.

2.3 Transportní vrstva

Transportní vrstva používá protokol SSL/TLS nebo Secure Socket Layer/Transport Layer Security, který implementuje šifrování a autentizaci mezi transportními vrstvami přijímače a vysílače. SSL/TLS lze použít k zabezpečení TCP provozu, nelze jej použít k zabezpečení UDP provozu. Pro fungování SSL/TLS VPN není potřeba implementovat speciální software, protože každý prohlížeč a poštovní klient vybavena těmito protokoly. Vzhledem k tomu, že na transportní vrstvě je implementováno SSL/TLS, je navázáno zabezpečené spojení end-to-end.

Protokol TLS je založen na protokolu Netscape SSL verze 3.0 a skládá se ze dvou částí – protokol TLS Record Protocol a TLS Handshake Protocol. Rozdíl mezi SSL 3.0 a TLS 1.0 je malý.

SSL/TLS zahrnuje tři hlavní fáze:

  1. Dialog mezi stranami, jehož účelem je zvolit šifrovací algoritmus;
  2. Výměna klíčů na základě kryptosystémů s veřejným klíčem nebo autentizace na základě certifikátu;
  3. Přenos dat šifrovaných pomocí symetrických šifrovacích algoritmů.

2.4 Implementace VPN: IPSec nebo SSL/TLS?

Často stojí vedoucí IT oddělení před otázkou: jaký z protokolů zvolit pro budování podnikové sítě VPN? Odpověď není zřejmá, protože každý z přístupů má své plusy i mínusy. Pokusíme se provést a identifikovat, kdy je nutné použít IPSec a kdy SSL / TLS. Jak je patrné z analýzy charakteristik těchto protokolů, nejsou vzájemně zaměnitelné a mohou fungovat samostatně i paralelně a definovat funkční vlastnosti každé z implementovaných VPN.

Výběr protokolu pro vybudování podnikové sítě VPN lze provést podle následujících kritérií:

· Typ požadovaného přístupu pro uživatele VPN.

  1. Plně funkční trvalé připojení do firemní sítě. Doporučená volba je IPSec.
  2. Dočasné připojení, jako je mobilní uživatel nebo uživatel používající veřejný počítač, za účelem přístupu k určitým službám, jako je např e-mailem nebo databáze. Doporučenou volbou je protokol SSL/TLS, který umožňuje organizovat VPN pro každou jednotlivou službu.

· Zda je uživatel zaměstnancem společnosti.

  1. Pokud je uživatel zaměstnancem společnosti, zařízení, které používá pro přístup k podnikové síti přes IPSec VPN, lze nějakým specifickým způsobem nakonfigurovat.
  2. Pokud uživatel není zaměstnancem společnosti, do jejíž firemní sítě se přistupuje, je doporučeno použít SSL/TLS. To omezí přístup hostů pouze k určitým službám.

· Jaká je úroveň zabezpečení podnikové sítě.

  1. Vysoký. Doporučená volba je IPSec. Úroveň zabezpečení, kterou nabízí IPSec, je skutečně mnohem vyšší než úroveň zabezpečení, kterou nabízí protokol SSL / TLS, a to díky použití konfigurovatelného softwaru na straně uživatele a bezpečnostní brány na straně podnikové sítě.
  2. Průměrný. Doporučenou volbou je protokol SSL/TLS umožňující přístup z libovolného terminálu.

· Úroveň zabezpečení dat přenášených uživatelem.

  1. Vysoké například vedení firmy. Doporučená volba je IPSec.
  2. Střední, například partner. Doporučenou volbou je protokol SSL/TLS.

V závislosti na službě - od střední po vysokou. Doporučená volba je kombinace IPSec (pro služby vyžadující vysokou úroveň zabezpečení) a SSL/TLS (pro služby vyžadující střední úroveň zabezpečení).

· Co je důležitější, rychlé nasazení VPN nebo budoucí škálovatelnost řešení.

  1. Rychlé nasazení sítě VPN s minimální náklady. Doporučenou volbou je protokol SSL/TLS. V tomto případě není potřeba implementovat speciální software na straně uživatele, jako v případě IPSec.
  2. Škálovatelnost sítě VPN – přidání přístupu k různým službám. Doporučenou volbou je protokol IPSec umožňující přístup ke všem službám a zdrojům podnikové sítě.
  3. Rychlé nasazení a škálovatelnost. Doporučená volba je kombinace IPSec a SSL/TLS: v první fázi použijte SSL/TLS pro přístup k požadovaným službám, poté následuje implementace IPSec.

3. Metody implementace VPN sítí

Virtuální privátní síť je založena na třech metodách implementace:

· Tunelování;

· Šifrování;

· Autentizace.

3.1 Tunelování

Tunelování zajišťuje přenos dat mezi dvěma body – konci tunelu – tak, že celá síťová infrastruktura ležící mezi nimi je skryta pro zdroj a cíl dat.

Tunelové transportní médium, podobně jako trajekt, přebírá pakety síťového protokolu používaného na vstupu do tunelu a doručuje je v nezměněném stavu k východu. Vybudování tunelu stačí k propojení dvou síťových uzlů tak, aby se z pohledu na nich spuštěného softwaru jevily jako připojené ke stejné (lokální) síti. Nesmíme však zapomínat, že ve skutečnosti „trajekt“ s daty prochází mnoha mezilehlými uzly (routery) otevřené veřejné sítě.

Tento stav má dva problémy. První je, že informace přenášené tunelem mohou být zachyceny vetřelci. Pokud je důvěrná (čísla bankovních karet, finanční zprávy, osobní informace), pak je hrozba jeho kompromitace zcela reálná, což je již samo o sobě nepříjemné. Horší je, že útočníci mají možnost upravit data přenášená tunelem tak, aby příjemce nemohl ověřit jejich pravost. Následky mohou být nejžalostnější. Vzhledem k výše uvedenému docházíme k závěru, že tunel ve své čisté podobě je vhodný pouze pro určité typy sítí počítačové hry a nemůže se kvalifikovat pro vážnější aplikaci. Oba problémy jsou vyřešeny moderní prostředky kryptografická ochrana informace. Aby se zabránilo neoprávněným změnám datového paketu podél tunelu, elektronický digitální podpis(). Podstatou metody je, že ke každému přenášenému paketu je dodáván další blok informací, který je generován v souladu s asymetrickým kryptografickým algoritmem a je jedinečný pro obsah paketu a tajný klíč EDS odesílatele. Tento blok informací je EDS balíku a umožňuje autentizaci dat příjemcem, kdo ví veřejný klíč EDS odesílatele. Ochrana dat přenášených tunelem před neoprávněným zobrazením je dosažena použitím silných šifrovacích algoritmů.

3.2 Autentizace

Zabezpečení je hlavní funkcí VPN. Všechna data z klientských počítačů procházejí internetem na server VPN. Takový server může být velká vzdálenost z klientského počítače a data na cestě do sítě organizace procházejí zařízením mnoha poskytovatelů. Jak se ujistit, že data nebyla přečtena nebo změněna? Za tímto účelem podejte žádost různé metody ověřování a šifrování.

Protokol PPTP může k ověřování uživatelů používat jakýkoli z protokolů používaných pro protokol PPP.

  • EAP nebo Extensible Authentication Protocol;
  • MSCHAP nebo Microsoft Challenge Handshake Authentication Protocol (verze 1 a 2);
  • CHAP nebo Challenge Handshake Authentication Protocol;
  • SPAP nebo Shiva Password Authentication Protocol;
  • PAP nebo Password Authentication Protocol.

MSCHAP verze 2 a Transport Layer Security (EAP-TLS) jsou považovány za nejlepší, protože poskytují vzájemnou autentizaci, tzn. Server VPN a klient se navzájem identifikují. Ve všech ostatních protokolech ověřuje klienty pouze server.

Přestože PPTP poskytuje dostatečný stupeň zabezpečení, L2TP přes IPSec je stále spolehlivější. L2TP přes IPSec poskytuje autentizaci na úrovni uživatele a počítače, stejně jako autentizaci a šifrování dat.

Autentizace se provádí buď otevřeným testem (heslo s čistým textem) nebo schématem požadavek / odpověď (výzva / odpověď). S přímým textem je vše jasné. Klient odešle na server heslo. Server to porovná s benchmarkem a buď přístup zamítne, nebo řekne „vítejte“. Otevřená autentizace prakticky neexistuje.

Schéma žádost/odpověď je mnohem pokročilejší. Obecně to vypadá takto:

  • klient odešle serveru požadavek na ověření;
  • server vrátí náhodnou odpověď (výzva);
  • klient odstraní hash ze svého hesla (haš je výsledkem hashovací funkce, která převádí pole vstupních dat libovolné délky na výstupní bitový řetězec pevné délky), zašifruje s ním odpověď a odešle ji na server;
  • server udělá totéž a porovná výsledek s odpovědí klienta;
  • pokud se šifrovaná odpověď shoduje, autentizace je považována za úspěšnou;

V prvním kroku ověřování klientů a serverů VPN používá L2TP přes IPSec místní certifikáty získané od certifikační autority. Klient a server si vymění certifikáty a vytvoří zabezpečené připojení ESP SA (sdružení zabezpečení). Poté, co L2TP (přes IPSec) dokončí proces ověření počítače, provede se ověření na úrovni uživatele. K autentizaci lze použít jakýkoli protokol, dokonce i protokol PAP, který přenáší uživatelské jméno a heslo jako prostý text. To je docela bezpečné, protože L2TP přes IPSec šifruje celou relaci. Ověření uživatele pomocí MSCHAP, který používá různé šifrovací klíče k ověření počítače a uživatele, však může zvýšit zabezpečení.

3.3. Šifrování

Šifrování pomocí PPTP zajišťuje, že nikdo nemá přístup k datům, když jsou odesílána přes internet. V současné době jsou podporovány dva způsoby šifrování:

  • MPPE nebo Microsoft Point-to-Point Encryption je kompatibilní pouze s MSCHAP (verze 1 a 2);
  • EAP-TLS a je schopen automaticky zvolit délku šifrovacího klíče při vyjednávání parametrů mezi klientem a serverem.

MPPE podporuje 40, 56 nebo 128 bitové klíče. Staré operační sály Systémy Windows podporují pouze šifrování s délkou klíče 40 bitů, takže ve smíšeném prostředí Windows zvolte minimální délku klíče.

PPTP změní hodnotu šifrovacího klíče po každém přijatém paketu. Protokol MMPE byl navržen pro spojení point-to-point, kde jsou pakety přenášeny sekvenčně a dochází k velmi malé ztrátě dat. V této situaci závisí hodnota klíče pro další paket na výsledcích dešifrování předchozího paketu. Při budování virtuálních sítí napříč sítěmi veřejný přístup tyto podmínky nelze splnit, protože datové pakety často dorazí k příjemci v nesprávném pořadí, v jakém byly odeslány. Proto PPTP používá ke změně šifrovacího klíče pořadová čísla balíčky. To umožňuje provádět dešifrování nezávisle na předchozích přijatých paketech.

Oba protokoly jsou implementovány jak v Microsoft Windows, tak mimo něj (například v BSD), algoritmy provozu VPN se mohou výrazně lišit.

Balíček „tunelování + ověřování + šifrování“ vám tedy umožňuje přenášet data mezi dvěma body prostřednictvím veřejné sítě, simulující provoz privátní (lokální) sítě. Jinými slovy, uvažované nástroje vám umožňují vybudovat virtuální privátní síť.

Dalším příjemným efektem připojení VPN je schopnost (a dokonce nutnost) používat systém adresování přijatý v místní síti.

Implementace virtuální privátní sítě v praxi je následující. V místním počítačová síť VPN server je nainstalován v kanceláři společnosti. Vzdálený uživatel (nebo router, pokud jsou propojeny dvě kanceláře) pomocí klientského softwaru VPN zahájí proceduru připojení k serveru. Uživatel je ověřen – první fáze navázání VPN připojení. V případě potvrzení oprávnění začíná druhá fáze - mezi klientem a serverem jsou dojednány detaily zajištění bezpečnosti spojení. Poté je zorganizováno připojení VPN, které zajišťuje výměnu informací mezi klientem a serverem v podobě, kdy každý datový paket prochází procedurami šifrování / dešifrování a kontroly integrity - autentizace dat.

Hlavním problémem sítí VPN je nedostatek zavedených standardů pro autentizaci a výměnu šifrovaných informací. Tyto normy jsou stále ve vývoji, a proto jsou produkty různých výrobců nemůže navázat připojení VPN a automaticky vyměnit klíče. Tento problém s sebou nese zpomalení šíření VPN, protože je obtížné donutit různé společnosti k používání produktů jednoho výrobce, a proto je proces spojování sítí partnerských společností do tzv. extranetových sítí obtížný.

Výhodou technologie VPN je, že organizace vzdáleného přístupu se neprovádí prostřednictvím telefonní linky, ale prostřednictvím internetu, což je mnohem levnější a lepší. Nevýhodou technologie VPN je, že nástroje pro budování VPN nejsou plnohodnotnými nástroji pro detekci a blokování útoků. Mohou zabránit řadě neoprávněných akcí, ale ne všem možnostem, do kterých lze proniknout firemní síť. Ale i přes to všechno má technologie VPN vyhlídky na další rozvoj.

Co můžeme očekávat z hlediska rozvoje technologií VPN do budoucna? Bez jakýchkoli pochyb bude vyvinut a schválen jednotný standard pro budování takových sítí. S největší pravděpodobností bude základem tohoto standardu již osvědčený protokol IPSec. Dále se výrobci zaměří na zlepšování výkonu svých produktů a vytváření pohodlných ovládacích prvků VPN. S největší pravděpodobností půjde vývoj nástrojů pro vytváření VPN směrem k VPN založené na směrovačích toto rozhodnutí kombinuje poměrně vysoký výkon, integraci VPN a směrování v jednom zařízení. Budou se však vyvíjet i nízkonákladová řešení pro menší organizace. Závěrem je třeba říci, že i přes to, že technologie VPN je stále velmi mladá, má před sebou velkou budoucnost.

Zanechte svůj komentář!

VPN (Virtual Private Network) je virtuální privátní síť.

Laicky řečeno, VPN je zcela bezpečný kanál, který propojí vaše zařízení s připojením k internetu s jakýmkoli jiným zařízením na celosvětové síti. Pokud je to ještě jednodušší, můžete si to představit spíše obrazně: bez připojení ke službě VPN je váš počítač (notebook, telefon, televize nebo jakékoli jiné zařízení) při přístupu k síti jako soukromý dům bez plotu. Každou chvíli může kdokoli úmyslně či náhodně polámat stromy, rozšlapat záhony na vaší zahradě. S využitím VPN se váš domov promění v neproniknutelnou pevnost, jejíž ochranu bude prostě nemožné prolomit.

Jak to funguje?

Princip fungování VPN je jednoduchý a pro koncového uživatele „transparentní“. Ve chvíli, kdy se připojíte k internetu, se mezi vaším zařízením a zbytkem internetu vytvoří virtuální „tunel“, který zablokuje veškeré pokusy dostat se zvenčí dovnitř. Pro vás zůstává práce VPN absolutně „transparentní“ a neviditelná. Vaše osobní obchodní korespondence Skype nebo telefonní rozhovory nelze žádným způsobem zachytit ani odposlouchávat. Všechna vaše data jsou šifrována pomocí speciálního šifrovacího algoritmu, který je téměř nemožné prolomit.

Kromě ochrany před vniknutím zvenčí poskytuje VPN příležitost virtuálně dočasně navštívit kteroukoli zemi na světě a využívat síťové zdroje těchto zemí. TV kanály které byly dříve nedostupné. VPN nahradí vaši IP adresu jakoukoli jinou. K tomu vám postačí vybrat zemi z navrhovaného seznamu, například Nizozemsko, a všechny navštívené stránky a služby si budou automaticky „myslet“, že se nacházíte v této konkrétní zemi.

Proč ne anonymizátor nebo proxy?

Nabízí se otázka: proč nepoužít v síti nějaký anonymizátor nebo proxy server, protože také nahrazují IP adresu? Ano, vše je velmi jednoduché – žádná z výše uvedených služeb neposkytuje ochranu, stále zůstáváte „viditelní“ pro vetřelce, a tedy všechna data, která si vyměňujete na internetu. A navíc, práce s proxy servery vyžaduje, abyste měli určitou schopnost nastavit přesná nastavení. VPN funguje na následujícím principu: „Připojeno a funguje“, ne pokročilé nastavení on nevyžaduje. Celý proces připojení trvá několik minut a je velmi jednoduchý.

O bezplatných VPN

Při výběru byste měli pamatovat na to, že bezplatné VPN mají téměř vždy omezení na objem provozu a rychlost přenosu dat. To znamená, že může nastat situace, kdy prostě nemůžete dál používat bezplatnou VPN. Nezapomeňte, že bezplatné VPN nejsou vždy stabilní a často jsou přetížené. I když váš limit nebude překročen, může přenos dat trvat dlouho kvůli vysokému zatížení serveru VPN. Placené služby VPN se vyznačují velkým propustnost, absence omezení, jak z hlediska provozu, tak rychlosti, a úroveň zabezpečení je vyšší než u bezplatných.

kde začít?

Většina služeb VPN poskytuje možnost otestovat kvalitu na krátkou dobu zdarma. Doba testování může být od několika hodin do několika dnů. Během testování obvykle získáte plný přístup ke všem funkčnost Služba VPN. Naše služba umožňuje takové najít VPN služby odkaz:

Soukromé sítě používají organizace k připojení ke vzdáleným lokalitám a jiným organizacím. Privátní sítě se skládají z komunikačních linek pronajatých od různých telefonních společností a poskytovatelů internetových služeb. Tyto odkazy se vyznačují tím, že spojují pouze dvě lokality, přičemž jsou odděleny od ostatního provozu, protože pronajaté spoje poskytují obousměrnou komunikaci mezi dvěma lokalitami. Privátní sítě mají mnoho výhod.

  • Informace jsou drženy v tajnosti.
  • Vzdálená místa si mohou okamžitě vyměňovat informace.
  • Vzdálení uživatelé se necítí izolovaní od systému, ke kterému přistupují.

Bohužel tento typ sítě má jednu velkou nevýhodu – vysokou cenu. Používání privátních sítí je velmi nákladné. Můžete ušetřit peníze používáním pomalejších odkazů, ale pak si vzdálení uživatelé začnou všimnout nedostatku rychlosti a některé z výše uvedených výhod budou méně zřejmé.

S nárůstem počtu uživatelů internetu přešlo mnoho organizací na používání virtuálních privátních sítí (VPN). Virtuální privátní sítě poskytují mnoho výhod privátních sítí za nižší cenu. Se zavedením VPN však pro organizaci existuje řada otázek a nebezpečí. Dobře vybudovaná virtuální privátní síť může organizaci přinést velké výhody. Pokud je VPN implementována nesprávně, všechny informace přenášené přes VPN jsou přístupné z Internetu.

Definice virtuálních privátních sítí

Máme tedy v úmyslu přenášet důvěrná data organizace přes internet bez použití pronajatých komunikačních kanálů, přičemž stále přijímáme všechna opatření k zajištění soukromí provozu. Jak můžeme oddělit náš provoz od provozu ostatních uživatelů globální sítě? Odpověď na tuto otázku je šifrování.

Na internetu můžete najít provoz jakéhokoli typu. Velká část tohoto provozu je přenášena v čistém stavu a každý uživatel, který tento provoz sleduje, jej bude schopen rozpoznat. To platí pro většinu e-mailového a webového provozu, stejně jako relace telnet a FTP. Provoz Secure Shell ( SSH ) a Hypertext Transfer Protocol Secure ( HTTPS ) je šifrovaný provoz a uživatel, který sleduje pakety, jej nemůže zobrazit. Provoz jako SSH a HTTPS však netvoří VPN.

Virtuální privátní sítě mají několik vlastností.

  • Provoz je šifrován, aby byla zajištěna ochrana před odposloucháváním.
  • Vzdálený web je ověřen.
  • VPN poskytují podporu pro mnoho protokolů.
  • Spojení zajišťuje komunikaci pouze mezi dvěma konkrétními účastníky.

Protože SSH a HTTPS nejsou schopny podporovat více protokolů, platí totéž pro skutečné VPN. Pakety VPN se mísí s tokem běžného internetového provozu a existují odděleně z toho důvodu, že tento provoz lze pouze číst koncové body spojení.

Poznámka

Je možné implementovat provoz procházející relací SSH pomocí tunelů. SSH však pro účely této přednášky nebudeme považovat za VPN.

Pojďme se blíže podívat na každou z vlastností VPN. Již bylo zmíněno výše, že provoz VPN je šifrován, aby byl chráněn proti odposlechu. Šifrování musí být dostatečně silné, aby bylo zaručeno důvěrnosti přenášené informace tak dlouho, jak jsou relevantní. Hesla mají dobu platnosti 30 dní (za předpokladu, že zásady změny hesla každých 30 dní); utajované informace však nesmí v průběhu let ztrácet na své hodnotě. Proto by měl šifrovací algoritmus a použití VPN zabránit nelegálnímu dešifrování provozu na několik let.

Druhou vlastností je, že vzdálené místo je ověřeno. Tato funkce může vyžadovat ověření některých uživatelů vůči centrálnímu serveru nebo vzájemné ověření obou uzlů, které VPN připojuje. Použitý mechanismus ověřování je řízen zásadou. Tato politika může poskytovat autentizaci uživatele se dvěma parametry nebo s použitím dynamických hesel. V vzájemné ověřování po obou stránkách může být požadováno prokázání znalosti určitého sdíleného tajemství (tajemství je nějaká informace, kterou obě stránky předem znají), popř