Už ze samotného názvu – virtuální privátní síť – vyplývá, že nějakým způsobem reprodukuje vlastnosti skutečné privátní sítě.

Bez nadsázky lze síť nazvat soukromou pouze tehdy, pokud podnik výhradně vlastní a spravuje celou síťovou infrastrukturu – kabely, zařízení pro křížové propojení, zařízení pro tvorbu kanálů, přepínače, směrovače a další komunikační zařízení.

Virtuální privátní síť je druh „sítě v síti“, tedy služba, která dává uživatelům iluzi, že jejich privátní síť existuje uvnitř veřejné sítě.

Hlavním cílem technologie VPN je poskytovat garantovanou kvalitu služeb pro toky uživatelských dat ve veřejné síti a zároveň je chránit před možným neoprávněným přístupem nebo zničením.

Virtuální privátní síť (Virtual Soukromá síť- VPN) je spojení místních sítí prostřednictvím otevřeného vnějšího prostředí (globální sítě) do jediné podnikové sítě, která poskytuje bezpečný oběh dat.

Podstata technologie VPN je následující (obrázek 6.1):

Obrázek 6.1 - Schéma VPN sítě

Ke všem počítačům s přístupem k internetu (místo internetu může existovat jakákoli jiná síť běžné použití), jsou nainstalováni agenti VPN, kteří zpracovávají IP pakety přenášené přes počítačové sítě.

Agenti VPN automaticky šifrují všechny odchozí informace (a podle toho dešifrují všechny příchozí informace). Rovněž monitorují jeho integritu pomocí elektronického digitálního podpisu (EDS) nebo imitace vložek (kryptografický kontrolní součet vypočítaný pomocí šifrovacího klíče).

Před odesláním paketu IP Agent VPN funguje následovně.

IP adresa příjemce paketu je analyzována, v závislosti na této adrese je vybrán ochranný algoritmus pro tento paket. Pokud v nastavení agenta VPN žádný takový příjemce není, informace se neodesílají.

Vygeneruje a přidá do balíku EDS odesílatele nebo imitaci přílohy.

Zašifruje paket (celý včetně hlavičky).

Provádí zapouzdření, tzn. vygeneruje novou hlavičku, kde vůbec neoznačuje adresu příjemce, ale jeho VPN agenta. Tato užitečná doplňková funkce vám umožňuje považovat výměnu mezi dvěma sítěmi za výměnu mezi dvěma počítači, na kterých jsou nainstalováni agenti VPN. Žádné užitečné informace pro útočníka, jako jsou interní IP adresy, už pro něj nejsou dostupné.

Po přijetí paketu IP se provede obrácená akce.

Hlavička obsahuje informace o VPN agentovi odesílatele. Pokud některý není zahrnut v seznamu povolených v nastavení, informace se jednoduše zahodí.

Podle nastavení se vyberou kryptografické algoritmy a EDS a také potřebné klíče, po kterých se paket dešifruje a zkontroluje se jeho integrita, vyřadí se i pakety s narušenou integritou (EDS není v pořádku).

Po všech zpětných transformacích je paket ve své původní podobě odeslán do skutečného cíle prostřednictvím lokální sítě.

Všechny výše uvedené operace jsou prováděny automaticky, činnost VPN agentů je pro uživatele neviditelná. Agent VPN může být umístěn přímo na chráněném počítači (což je užitečné zejména pro mobilní uživatele). V tomto případě chrání komunikaci pouze jednoho počítače, na kterém je nainstalován.

6.1 Pojem "tunel" v přenosu dat v sítích

Pro přenos dat vytvářejí agenti VPN virtuální kanály mezi chráněnými lokální sítě nebo počítače (takový kanál se nazývá „tunel“ a technologie pro jeho vytvoření se nazývá „tunelování“). Všechny informace jsou přenášeny tunelem v šifrované podobě.

Obrázek 6.2.

Jednou z povinných funkcí VPN agentů je filtrování paketů. Filtrování paketů je implementováno v souladu s nastavením VPN agenta, jehož kombinace tvoří bezpečnostní politiku VPN. Pro zvýšení bezpečnosti virtuálních privátních sítí na koncích tunelů je vhodné umístit firewally (filtry).

Agenti VPN fungují jako brány VPN. VPN Security Gateway je síťové zařízení, které se připojuje ke dvěma sítím, globální síti a místní síti, a provádí funkce šifrování a ověřování pro hostitele v síti za ním. Bránu VPN lze implementovat jako samostatné hardwarové zařízení, samostatné softwarové řešení, tak i v podobě firewallu či routeru, doplněného o funkce VPN.

Síťové připojení VPN bezpečnostní brány se uživatelům sítě za ní jeví jako pronajatá linka, i když se ve skutečnosti jedná o otevřenou síť s přepojováním paketů. Adresa VPN Security Gateway na vnější síti definuje adresu příchozího tunelovaného paketu. Vnitřní adresa je adresa hostitele za bránou. VPN Security Gateway může fungovat jako součást routeru, firewallu a podobně.

Charakteristickým rysem tunelování je, že tato technologie umožňuje šifrovat celý zdrojový paket spolu s hlavičkou, nejen jeho datové pole. Původní paket je zašifrován celý spolu s hlavičkou a tento zašifrovaný paket je umístěn do dalšího vnějšího paketu s otevřenou hlavičkou. Chcete-li přenášet data přes „nebezpečnou“ síť, otevřená pole hlavička vnějšího paketu, a když vnější paket dorazí na koncový bod zabezpečeného kanálu, vnitřní paket je z něj extrahován, dešifrován a jeho hlavička je použita pro další přenos již v čisté podobě po síti, která nevyžaduje ochranu .

Obrázek 6.3 - Vytvoření VPN tunelu

V tomto případě se pro externí pakety používají adresy hraničních směrovačů (brány VPN) instalované v těchto dvou bodech a vnitřní adresy koncových uzlů jsou obsaženy v interních paketech v chráněné podobě (obrázek 6.4).

Obrázek 6.4 - Tunelování paketů

6.2 Architektura sítě VPN

Architektura Existují tři hlavní typy sítí VPN:

1) VPN se vzdáleným přístupem

2) Vnitropodniková VPN (intranetová VPN)

3) Mezipodniková VPN (Extranetová VPN)

Vzdálený přístup VPN

Pomocí tohoto schématu (obrázek 6.5) je zajištěn vzdálený přístup jednotlivých zaměstnanců do podnikové sítě organizace prostřednictvím veřejné sítě. Vzdálení klienti mohou pracovat z domova nebo pomocí přenosného počítače odkudkoli na světě, kde je přístup k World Wide Web.

Obrázek 6.5 - VPN s vzdálený přístup

6.2.2 Vnitropodnikové sítě VPN(Obrázek 6.6)

Obrázek 6.6 - Intranet VPN

Komunikace zde probíhá v jedné společné síti geograficky rozmístěných poboček společnosti. Tato metoda se nazývá Intranet VPN . Tato metoda je vhodné využít jak pro běžné pobočky, tak pro mobilní kanceláře, které budou mít přístup ke zdrojům „mateřské“ společnosti a také si mezi sebou snadno vyměňují data.

6.2.3 Mezipodnikové sítě VPN(Obrázek 6.7)

Obrázek 6.7 - Extranet VPN

Tato tzv Extranet VPN když je přístup udělen prostřednictvím zabezpečených přístupových kanálů pro klienty nebo partnery organizace. Získání široké distribuce díky popularitě e-commerce.

V tomto případě budou mít vzdálení klienti (partneři) velmi omezené možnosti využívat firemní síť, ve skutečnosti budou omezeni na přístup k těm firemním zdrojům, které jsou nezbytné při práci s jejich klienty, například stránka s komerčními nabídkami a VPN se v tomto případě používá pro bezpečný přenos citlivých dat.

Obrázek 6.7 ukazuje kromě bran VPN také brány firewall. . Firewally (filtry) poskytují kontrolu nad přenášeným obsahem (viry a další externí útoky). DOE je „plot“ kolem sítě, který brání útočníkům proniknout přes ni, zatímco VPN je „obrněné auto“, které chrání cennosti, když jsou vyvedeny z plotu. Pro zajištění požadované úrovně zabezpečení je proto nutné použít obě řešení. informační zdroje. Nejčastěji jsou funkce ME a VPN kombinovány ve stejném zařízení.

Každým rokem se elektronická komunikace zlepšuje a na výměnu informací jsou kladeny stále vyšší nároky na rychlost, bezpečnost a kvalitu zpracování dat.

A tady se podíváme blíže vpn připojení: co to je, k čemu slouží vpn tunel a jak používat připojení vpn.

Tento materiál je jakýmsi úvodním slovem k sérii článků, kde vám řekneme, jak vytvořit vpn na různých operačních systémech.

vpn připojení co to je?

Virtuální privátní síť vpn je tedy technologie, která poskytuje bezpečné (uzavřené před externím přístupem) připojení logické sítě přes privátní nebo veřejnou síť za přítomnosti vysokorychlostního internetu.

Takový internetové připojení počítače (geograficky vzdálené od sebe na značnou vzdálenost) využívá spojení bod-bod (jinými slovy „počítač-počítač“).

Vědecky se tato metoda připojení nazývá tunel vpn (nebo tunelový protokol). K takovému tunelu se můžete připojit, pokud máte počítač s libovolným operačním systémem, který má integrovaného klienta VPN, který umí „přeposílat“ virtuální porty pomocí protokolu TCP/IP do jiné sítě.

K čemu je vpn?

Hlavní výhodou vpn je, že vyjednavači potřebují platformu připojení, která se nejen rychle škáluje, ale také (především) poskytuje důvěrnost dat, integritu dat a ověřování.

Diagram jasně ukazuje použití vpn sítí.

Pravidla pro připojení přes zabezpečený kanál musí být předem napsána na serveru a routeru.

jak vpn funguje

Když dojde k připojení vpn, v hlavičce zprávy se přenesou informace o IP adrese serveru VPN a vzdálené cestě.

Zapouzdřená data procházející veřejnou nebo veřejnou sítí nelze zachytit, protože všechny informace jsou šifrované.

Fáze šifrování VPN je implementována na straně odesílatele a data příjemce jsou dešifrována hlavičkou zprávy (pokud existuje společný šifrovací klíč).

Po správném dešifrování zprávy je mezi oběma sítěmi navázáno vpn spojení, které také umožňuje pracovat ve veřejné síti (například výměna dat s klientem 93.88.190.5).

Vztahující se k informační bezpečnost, pak je internet extrémně nezabezpečená síť a síť VPN s protokoly OpenVPN, L2TP / IPSec, PPTP, PPPoE je zcela bezpečná a bezpečným způsobem přenos dat.

K čemu je vpn kanál?

Vpn tunelování se používá:

Uvnitř podnikové sítě;

Sjednotit vzdálené kanceláře i malé pobočky;

Pro službu digitální telefonie s velká sada telekomunikační služby;

Pro přístup k externím IT zdrojům;

Vybudovat a realizovat videokonference.

Proč potřebujete vpn?

vpn připojení je vyžadováno pro:

Anonymní práce na internetu;

Stažení aplikace v případě, že se IP adresa nachází v jiné regionální zóně země;

Bezpečná práce ve firemním prostředí s využitím komunikace;

Jednoduchost a pohodlí nastavení připojení;

Vedlejší vysoká rychlost připojení bez přerušení;

Vytvoření zabezpečeného kanálu bez útoků hackerů.

Jak používat vpn?

Příklady toho, jak vpn funguje, jsou nekonečné. Takže na jakémkoli počítači v podnikové síti můžete při navazování zabezpečeného připojení vpn použít poštu ke kontrole zpráv, publikování materiálů odkudkoli v zemi nebo stahování souborů z torrentových sítí.

Vpn: co je v telefonu?

Přístup přes vpn na vašem telefonu (iPhone nebo jiném zařízení Android) vám umožňuje zůstat v anonymitě při používání internetu na veřejných místech a také zabránit zachycení provozu a hackování zařízení.

VPN klient nainstalovaný na libovolném OS umožňuje obejít mnohá nastavení a pravidla poskytovatele (pokud nastavil nějaká omezení).

Jakou vpn vybrat pro telefon?

Mobilní telefony a smartphony Android mohou používat aplikace z trhu Google Play:

  • - vpnRoot, droidVPN,
  • - prohlížeč tor pro surfování po sítích, neboli orbot
  • - InBrowser, orfox (firefox+tor),
  • - Bezplatný VPN klient SuperVPN
  • - Otevřete připojení VPN
  • - Tunnel Bear VPN
  • - Hideman VPN

Většina těchto programů slouží pro pohodlí „horké“ konfigurace systému, umístění spouštěcích zástupců, anonymního surfování po internetu a výběru typu šifrování připojení.

Ale hlavním úkolem používání VPN v telefonu je kontrola firemní pošta, vytváření videokonferencí s více účastníky a také pořádání schůzek mimo organizaci (například když je zaměstnanec na služební cestě).

Co je to vpn na iphone?

Zvažte, kterou vpn vybrat a jak ji připojit k iPhone podrobněji.

V závislosti na typu podporované sítě si při prvním spuštění konfigurace VPN na iphone můžete vybrat následující protokoly: L2TP, PPTP a Cisco IPSec (kromě toho můžete „vytvořit“ připojení vpn pomocí aplikací třetích stran).

Všechny tyto protokoly podporují šifrovací klíče, identifikaci uživatele heslem a certifikaci.

Mezi další funkce při nastavování profilu VPN na iPhone si můžete všimnout: zabezpečení RSA, úrovně šifrování a pravidel autorizace pro připojení k serveru.

Pro iphone telefon z obchodu s aplikacemi byste si měli vybrat:

  • - bezplatná aplikace Tunnelbear, pomocí kterého se můžete připojit k serverům VPN v jakékoli zemi.
  • - OpenVPN connect je jedním z nejlepších VPN klientů. Zde pro spuštění aplikace musíte nejprve importovat rsa-keys přes itunes do telefonu.
  • - Cloak je sharewarová aplikace, protože po určitou dobu lze produkt „používat“ zdarma, ale pro použití programu po vypršení demo období si jej budete muset zakoupit.

Vytvoření VPN: výběr a konfigurace zařízení

Pro firemní komunikaci ve velkých organizacích nebo sdruženích vzdálený přítel od sebe navzájem kanceláře používají hardware schopný podporovat nepřerušované a zabezpečené sítě.

Pro implementaci vpn technologií mohou jako síťová brána fungovat následující: Unixové servery, Windows server, síťový router a síťová brána, na které je zřízena VPN.

Server nebo zařízení používané k vytvoření podnikové sítě vpn nebo kanálu vpn mezi vzdálenými pobočkami musí provádět složité technické úkoly a poskytovat uživatelům na pracovních stanicích i mobilních zařízeních celou řadu služeb.

Jakýkoli router nebo vpn router by měl poskytovat spolehlivý síťový provoz bez „zamrznutí“. A vestavěná funkce vpn vám umožňuje změnit konfiguraci sítě pro práci doma, v organizaci nebo ve vzdálené kanceláři.

nastavení vpn na routeru

V obecném případě se konfigurace VPN na routeru provádí pomocí webového rozhraní routeru. Na „klasických“ zařízeních pro organizování vpn musíte jít do sekce „nastavení“ nebo „nastavení sítě“, kde vyberete sekci VPN, určíte typ protokolu, zadáte nastavení adresy podsítě, masky a určíte rozsah ip adresy pro uživatele.

Kromě toho budete k zabezpečení připojení muset zadat kódovací algoritmy, metody ověřování, generovat klíče vyjednávání a zadat servery DNS WINS. V parametrech "Gateway" je potřeba zadat ip-adresu brány (vaše ip) a vyplnit údaje o všech síťových adaptérech.

Pokud je v síti více routerů, je nutné vyplnit vpn routovací tabulku pro všechna zařízení ve VPN tunelu.

Zde je seznam hardwarové vybavení používané při budování sítí VPN:

Směrovače Dlink: DIR-320, DIR-620, DSR-1000 s novým firmwarem popř. router D-Link DI808HV.

Směrovače Cisco PIX 501, Cisco 871-SEC-K9

Router Linksys Rv082 s podporou asi 50 VPN tunelů

Router Netgear DG834G a modely routerů FVS318G, FVS318N, FVS336G, SRX5308

Router Mikrotik s funkcí OpenVPN. Příklad RouterBoard RB/2011L-IN Mikrotik

Vpn zařízení RVPN S-Terra nebo VPN Gate

Směrovače ASUS RT-N66U, RT-N16 a RT N-10

Směrovače ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Internet je stále více využíván jako prostředek komunikace mezi počítači, protože nabízí efektivní a levnou komunikaci. Internet je však veřejná síť a pro zajištění bezpečné komunikace přes ni je zapotřebí nějaký mechanismus, který splňuje alespoň následující úkoly:

    důvěrnost informací;

    integrita dat;

    dostupnost informací;

Tyto požadavky splňuje mechanismus zvaný VPN (Virtual Private Network - virtuální privátní síť) - obecný název pro technologie, které umožňují poskytovat jedno nebo více síťových připojení (logická síť) přes jinou síť (například Internet) pomocí kryptografie. nástroje (šifrování, autentizace, veřejné klíče infrastruktury, prostředky k ochraně proti opakování a změně zpráv přenášených po logické síti).

Vytvoření VPN nevyžaduje další investice a umožňuje vám přestat používat pronajaté linky. V závislosti na použitých protokolech a účelu může VPN poskytovat tři typy připojení: hostitel-hostitel, hostitel-síť a síť-síť.

Pro názornost si představme následující příklad: podnik má několik územně vzdálených poboček a „mobilní“ zaměstnance pracující doma nebo na cestách. Je nutné sjednotit všechny zaměstnance podniku do jediné sítě. Nejjednodušší je dát modemy do každé pobočky a organizovat komunikaci podle potřeby. Takové řešení však není vždy pohodlné a ziskové - někdy potřebujete stálé připojení a velkou šířku pásma. K tomu budete muset buď položit vyhrazenou linku mezi pobočky, nebo si je pronajmout. Obojí je dost drahé. A zde můžete jako alternativu při budování jediné zabezpečené sítě využít VPN připojení všech firemních poboček přes internet a konfigurovat VPN nástroje na síťových hostitelích.

Rýže. 6.4. připojení VPN typu site-to-site

Rýže. 6.5. Připojení hostitele k síti VPN

V tomto případě je mnoho problémů vyřešeno - pobočky mohou být umístěny kdekoli na světě.

Nebezpečí zde spočívá především v tom, že otevřená síť je otevřena útokům vetřelců z celého světa. Za druhé, všechna data jsou přenášena přes internet v čistém stavu a útočníci po hacknutí sítě budou mít všechny informace přenášené přes síť. A za třetí, data lze nejen zachytit, ale také vyměnit během přenosu po síti. Útočník může například ohrozit integritu databází tím, že bude jednat jménem klientů jedné z důvěryhodných poboček.

Aby se tomu zabránilo, používají řešení VPN nástroje, jako je šifrování dat k zajištění integrity a důvěrnosti, autentizace a autorizace k ověření uživatelských práv a umožnění přístupu do virtuální privátní sítě.

Připojení VPN se vždy skládá z propojení typu point-to-point, známého také jako tunel. Tunel je vytvořen v nezabezpečené síti, kterou je nejčastěji internet.

Tunelování nebo zapouzdření je způsob přenosu užitečných informací prostřednictvím mezilehlé sítě. Takovou informací mohou být rámce (nebo pakety) jiného protokolu. Při zapouzdření se rámec nepřenáší tak, jak byl vygenerován odesílajícím hostitelem, ale je opatřen dodatečným záhlavím obsahujícím směrovací informace, které umožňují zapouzdřeným paketům projít prostřední sítí (Internet). Na konci tunelu jsou rámce de-zapouzdřeny a přeneseny do příjemce. Typicky je tunel vytvořen dvěma okrajovými zařízeními umístěnými na vstupních bodech do veřejné sítě. Jednou z jasných výhod tunelování je, že tato technologie umožňuje zašifrovat celý původní paket včetně hlavičky, která může obsahovat data obsahující informace, které útočníci využívají k hacknutí sítě (například IP adresy, počet podsítí atd.). ).

Přestože je mezi dvěma body vytvořen tunel VPN, každý hostitel může vytvořit další tunely s jinými hostiteli. Pokud například tři vzdálené stanice potřebují kontaktovat stejnou kancelář, vytvoří se do této kanceláře tři samostatné tunely VPN. U všech tunelů může být uzel na straně kanceláře stejný. To je možné díky skutečnosti, že uzel může šifrovat a dešifrovat data jménem celé sítě, jak je znázorněno na obrázku:

Rýže. 6.6. Vytvořte VPN tunely pro více vzdálených míst

Uživatel naváže připojení k bráně VPN, po kterém má uživatel přístup do vnitřní sítě.

V rámci privátní sítě k samotnému šifrování nedochází. Důvodem je, že tato část sítě je považována za zabezpečenou a pod přímou kontrolou, na rozdíl od internetu. To platí i při propojování kanceláří pomocí VPN bran. Šifrování je tedy zaručeno pouze pro informace, které jsou mezi kancelářemi přenášeny přes nezabezpečený kanál.

Je jich mnoho různá řešení pro budování virtuálních privátních sítí. Nejznámější a nejrozšířenější protokoly jsou:

    PPTP (Point-to-Point Tunneling Protocol) – tento protokol se stal poměrně oblíbeným díky jeho zařazení do operačních systémů Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - kombinuje protokol L2F (Layer 2 Forwarding) a protokol PPTP. Obvykle se používá ve spojení s IPSec.

    IPSec (Internet Protocol Security) je oficiální internetový standard vyvinutý komunitou IETF (Internet Engineering Task Force).

Uvedené protokoly jsou podporovány zařízeními D-Link.

Protokol PPTP je primárně určen pro virtuální privátní sítě založené na vytáčeném připojení. Protokol vám umožňuje organizovat vzdálený přístup, takže uživatelé mohou navázat telefonické připojení k poskytovatelům internetu a vytvořit zabezpečený tunel do svých podnikových sítí. Na rozdíl od IPSec nebyl protokol PPTP původně určen k organizaci tunelů mezi místními sítěmi. PPTP rozšiřuje možnosti protokolu PPP, protokolu datového spoje, který byl původně navržen k zapouzdření dat a jejich doručování prostřednictvím připojení typu bod-bod.

Protokol PPTP umožňuje vytvářet zabezpečené kanály pro výměnu dat pomocí různých protokolů - IP, IPX, NetBEUI atd. Data těchto protokolů jsou zabalena do rámců PPP, zapouzdřena pomocí protokolu PPTP do paketů protokolu IP. Poté jsou přenášeny pomocí IP v zašifrované podobě přes jakoukoli síť TCP/IP. Přijímací uzel extrahuje PPP rámce z IP paketů a následně je zpracuje standardním způsobem, tzn. extrahuje paket IP, IPX nebo NetBEUI z rámce PPP a odešle jej přes místní síť. Proto protokol PPTP vytváří spojení typu point-to-point v síti a přenáší data přes vytvořený zabezpečený kanál. Hlavní výhodou zapouzdřujících protokolů, jako je PPTP, je jejich multiprotokolový charakter. Tito. ochrana dat na vrstvě datového spojení je transparentní pro protokoly síťové a aplikační vrstvy. V rámci sítě lze tedy jako přenos použít jak protokol IP (jako v případě VPN založené na IPSec), tak jakýkoli jiný protokol.

V současné době je protokol PPTP díky snadné implementaci široce používán jak pro získání spolehlivého zabezpečeného přístupu do podnikové sítě, tak pro přístup k sítím ISP, když klient potřebuje vytvořit PPTP spojení s ISP, aby mohl získat přístup k internetu.

Metoda šifrování použitá v PPTP je určena na vrstvě PPP. Obvykle je to PPP klient stolní počítač s operačním systémem Microsoft a jako šifrovací protokol se používá protokol Microsoft Point-to-Point Encryption (MPPE). Tento protokol je založen na standardu RSA RC4 a podporuje 40 nebo 128bitové šifrování. Pro mnoho aplikací této úrovně šifrování je použití tohoto algoritmu dostačující, i když je považován za méně bezpečný než řada jiných šifrovacích algoritmů nabízených IPSec, zejména 168bitový Triple-Data Encryption Standard (3DES).

Jak je navázáno spojeníPPTP?

PPTP zapouzdřuje IP pakety pro přenos přes IP síť. Klienti PPTP vytvářejí připojení k řízení tunelu, které udržuje propojení naživu. Tento proces se provádí na transportní vrstvě modelu OSI. Po vytvoření tunelu si klientský počítač a server začnou vyměňovat servisní pakety.

Kromě řídicího připojení PPTP je vytvořeno připojení pro odesílání dat přes tunel. Zapouzdření dat před jejich odesláním do tunelu zahrnuje dva kroky. Nejprve se vytvoří informační část PPP rámce. Data proudí shora dolů, z aplikační vrstvy OSI do spojové vrstvy. Přijatá data jsou poté odeslána do modelu OSI a zapouzdřena protokoly horní vrstvy.

Data z linkové vrstvy se dostanou do transportní vrstvy. Informace však nelze odeslat na místo určení, protože za to odpovídá linková vrstva OSI. Proto PPTP zašifruje pole užitečného zatížení paketu a převezme funkce druhé úrovně, ke kterým PPP obvykle patří, to znamená, že k paketu PPTP přidá hlavičku PPP (záhlaví) a konec (trailer). Tím je vytvoření rámce vazební vrstvy dokončeno. Dále PPTP zapouzdří rámec PPP do paketu GRE (Generic Routing Encapsulation), který patří do síťové vrstvy. GRE zapouzdřuje protokoly síťové vrstvy, jako je IP, IPX, aby je bylo možné přenášet po sítích IP. Samotné použití protokolu GRE však nezajistí vytvoření relace a zabezpečení dat. To využívá schopnost PPTP vytvořit připojení řízení tunelu. Použití GRE jako metody zapouzdření omezuje rozsah PPTP pouze na sítě IP.

Poté, co byl rámec PPP zapouzdřen do rámce s hlavičkou GRE, je zapouzdřen do rámce s hlavičkou IP. IP hlavička obsahuje adresu odesílatele a příjemce paketu. Nakonec PPTP přidá hlavičku a konec PPP.

Na rýže. 6.7 ukazuje datovou strukturu pro předávání přes tunel PPTP:

Rýže. 6.7. Struktura dat pro předávání přes tunel PPTP

Nastavení VPN založené na PPTP nevyžaduje velké výdaje a složitá nastavení: stačí nainstalovat server PPTP do centrály (řešení PPTP existují pro platformy Windows i Linux) a spustit na klientských počítačích potřebná nastavení. Pokud potřebujete zkombinovat více poboček, je lepší místo nastavení PPTP na všech klientských stanicích použít internetový router nebo firewall s podporou PPTP: nastavení se provádí pouze na hraničním routeru (firewallu) připojeném k internetu, vše je pro uživatele naprosto transparentní. Příkladem takových zařízení jsou multifunkční internetové směrovače DIR/DSR a firewally řady DFL.

GRE-tunely

Generic Routing Encapsulation (GRE) je protokol pro zapouzdření síťových paketů, který poskytuje tunelování provozu v sítích bez šifrování. Příklady použití GRE:

    přenos provozu (včetně vysílání) prostřednictvím zařízení, které nepodporuje konkrétní protokol;

    tunelování provozu IPv6 prostřednictvím sítě IPv4;

    přenos dat přes veřejné sítě k implementaci zabezpečeného připojení VPN.

Rýže. 6.8. Příklad GRE tunelu

Mezi dvěma směrovači A a B ( rýže. 6.8) existuje několik routerů, GRE tunel umožňuje poskytovat spojení mezi lokálními sítěmi 192.168.1.0/24 a 192.168.3.0/24, jako by byly routery A a B připojeny přímo.

L2 TP

Protokol L2TP se objevil jako výsledek sloučení protokolů PPTP a L2F. Hlavní výhodou protokolu L2TP je, že umožňuje vytvořit tunel nejen v IP sítích, ale také v sítích ATM, X.25 a Frame relay. L2TP používá jako přenos UDP a používá stejný formát zprávy pro správu tunelu i předávání dat.

Stejně jako v případě PPTP začíná L2TP sestavovat paket pro přenos do tunelu tak, že nejprve přidá hlavičku PPP a poté hlavičku L2TP do informačního datového pole PPP. Takto přijatý paket je zapouzdřen protokolem UDP. V závislosti na typu zvolené bezpečnostní politiky IPSec může L2TP šifrovat zprávy UDP a přidat hlavičku a zakončení Encapsulating Security Payload (ESP) a také zakončení ověřování IPSec (viz část „L2TP přes IPSec“). Poté je zapouzdřen v IP. Přidá se hlavička IP obsahující adresy odesílatele a příjemce. Nakonec L2TP provede druhé zapouzdření PPP, aby připravila data pro přenos. Na rýže. 6.9 zobrazuje datovou strukturu, která má být odeslána přes tunel L2TP.

Rýže. 6.9. Struktura dat pro předávání přes L2TP tunel

Přijímající počítač přijme data, zpracuje hlavičku a konec PPP a odstraní hlavičku IP. IPSec Authentication ověřuje informační pole IP a hlavička IPSec ESP pomáhá dešifrovat paket.

Počítač poté zpracuje hlavičku UDP a pomocí hlavičky L2TP identifikuje tunel. Paket PPP nyní obsahuje pouze datovou část, která je zpracovávána nebo předávána určenému příjemci.

IPsec (zkratka pro IP Security) je sada protokolů pro zabezpečení dat přenášených přes IP Internet Protocol, umožňující ověřování a/nebo šifrování IP paketů. IPsec také obsahuje protokoly pro bezpečnou výměnu klíčů na internetu.

Zabezpečení IPSec je dosaženo pomocí dalších protokolů, které do IP paketu přidávají vlastní hlavičky – zapouzdření. Protože IPSec je internetový standard, pak pro něj existují dokumenty RFC:

    RFC 2401 (Security Architecture for the Internet Protocol) je architektura zabezpečení pro protokol IP.

    RFC 2402 (IP Authentication header) - IP autentizační hlavička.

    RFC 2404 (Použití HMAC-SHA-1-96 v ESP a AH) – Použití algoritmu hash SHA-1 k vytvoření ověřovací hlavičky.

    RFC 2405 (Šifrovací algoritmus ESP DES-CBC s explicitním IV) - Použití šifrovacího algoritmu DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – Šifrování dat.

    RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) je rozsah protokolu správy klíčů.

    RFC 2408( internetová bezpečnost Association and Key Management Protocol (ISAKMP) - správa klíčů a autentizátorů zabezpečených spojení.

    RFC 2409 (Internet Key Exchange (IKE)) - Výměna klíčů.

    RFC 2410 (NULL šifrovací algoritmus a jeho použití s ​​IPsec) - NULL šifrovací algoritmus a jeho použití.

    RFC 2411 (IP Security Document Roadmap) je dalším vývojem standardu.

    RFC 2412 (The OAKLEY Key Determination Protocol) – Kontrola pravosti klíče.

IPsec je nedílnou součástí internetového protokolu IPv6 a volitelným rozšířením verze IPv4 internetového protokolu.

Mechanismus IPSec provádí následující úkoly:

    ověřování uživatelů nebo počítačů během inicializace zabezpečeného kanálu;

    šifrování a ověřování dat přenášených mezi nimi koncové body bezpečný kanál;

    automatické zásobování koncových bodů kanálu tajnými klíči nezbytnými pro provoz autentizačních a datových šifrovacích protokolů.

Komponenty IPSec

Protokol AH (Authentication Header) je protokol identifikace hlavičky. Zajišťuje integritu ověřením, že během přenosu nebyly změněny žádné bity v chráněné části paketu. Ale použití AH může způsobit problémy, například když paket prochází zařízením NAT. NAT změní IP adresu paketu, aby umožnil přístup k internetu ze soukromé místní adresy. Protože v tomto případě se paket změní, pak se kontrolní součet AH stane nesprávným (pro odstranění tohoto problému byl vyvinut protokol NAT-Traversal (NAT-T), který zajišťuje přenos ESP přes UDP a při své práci používá port UDP 4500). Za zmínku také stojí, že AH byl navržen pouze pro integritu. Nezaručuje důvěrnost zašifrováním obsahu balíku.

Protokol ESP (Encapsulation Security Payload) zajišťuje nejen integritu a autentizaci přenášených dat, ale také šifrování dat a také ochranu proti falšování paketů.

Protokol ESP je zapouzdřující bezpečnostní protokol, který poskytuje integritu i důvěrnost. V transportním režimu je hlavička ESP mezi původní hlavičkou IP a hlavičkou TCP nebo UDP. V tunelovém režimu je hlavička ESP umístěna mezi novou hlavičku IP a plně zašifrovaný původní paket IP.

Protože oba protokoly - AH i ESP - přidávají své vlastní IP hlavičky, každý z nich má své vlastní číslo protokolu (ID), podle kterého můžete určit, co bude následovat za IP hlavičkou. Každý protokol má podle IANA (Internet Assigned Numbers Authority – organizace odpovědná za adresní prostor internetu) své vlastní číslo (ID). Například pro TCP je toto číslo 6 a pro UDP je 17. Proto je velmi důležité při práci přes firewall nakonfigurovat filtry tak, aby umožňovaly průchod paketů s ID protokolu AH a/nebo ESP. .

Protokol ID 51 je nastaven tak, aby indikoval přítomnost AH v hlavičce IP a 50 pro ESP.

POZORNOST: ID protokolu není stejné jako číslo portu.

IKE (Internet Key Exchange) je standardní protokol IPsec používaný k zabezpečení komunikace ve virtuálních privátních sítích. Účelem IKE je bezpečné vyjednávání a doručení identifikovaného materiálu do asociace zabezpečení (SA).

SA je termín IPSec pro připojení. Zavedený SA (zabezpečený kanál nazývaný „bezpečné přidružení“ nebo „přidružení zabezpečení“ – Security Association, SA) zahrnuje sdílený tajný klíč a sadu kryptografických algoritmů.

Protokol IKE plní tři hlavní úkoly:

    poskytuje prostředky autentizace mezi dvěma koncovými body VPN;

    vytvoří nové IPSec spojení (vytvoří pár SA);

    řídí stávající vztahy.

IKE používá port UDP číslo 500. Při použití funkce NAT Traversal, jak bylo zmíněno dříve, používá protokol IKE port číslo 4500.

Výměna dat v IKE probíhá ve 2 fázích. V první fázi vzniká sdružení SA IKE. Současně se ověřují koncové body kanálu a vybírají se parametry ochrany dat, jako je šifrovací algoritmus, klíč relace atd.

Ve druhé fázi se SA IKE používá pro vyjednávání protokolu (obvykle IPSec).

S nakonfigurovaným tunelem VPN se pro každý použitý protokol vytvoří jeden pár SA. SA jsou vytvářeny ve dvojicích, as každé SA je jednosměrné připojení a data musí být odesílána dvěma směry. Přijaté SA páry jsou uloženy na každém uzlu.

Protože každý uzel je schopen vytvořit více tunelů s jinými uzly, má každý SA jedinečné číslo A, které vám umožní určit, ke kterému uzlu patří. Toto číslo se nazývá SPI (Security Parameter Index) nebo Security Parameter Index.

SA uložené v databázi (DB) SMUTNÝ(Bezpečnostní asociační databáze).

Každý uzel IPSec má také druhou DB − SPD(Security Policy Database) - Databáze bezpečnostních politik. Obsahuje nakonfigurované zásady hostitele. Většina řešení VPN vám umožňuje vytvořit více zásad s kombinacemi vhodných algoritmů pro každého hostitele, ke kterému se chcete připojit.

Flexibilita IPSec spočívá v tom, že pro každou úlohu existuje několik způsobů jejího řešení a metody zvolené pro jednu úlohu jsou obvykle nezávislé na metodách implementace jiných úloh. Pracovní skupina IETF však definovala základní sadu podporovaných funkcí a algoritmů, které musí být implementovány jednotně ve všech produktech s podporou IPSec. Mechanismy AH a ESP lze použít s různými schématy ověřování a šifrování, z nichž některá jsou povinná. IPSec například určuje, že pakety jsou ověřovány buď pomocí jednosměrné funkce MD5, nebo jednosměrné funkce SHA-1, a šifrování se provádí pomocí algoritmu DES. Výrobci produktů, které používají IPSec, mohou přidat další ověřovací a šifrovací algoritmy. Některé produkty například podporují šifrovací algoritmy, jako je 3DES, Blowfish, Cast, RC5 atd.

K šifrování dat v IPSec lze použít jakýkoli symetrický šifrovací algoritmus, který používá tajné klíče.

Protokoly ochrany toku (AH a ESP) mohou fungovat ve dvou režimech – in způsob dopravy a dovnitř tunelový režim. Při provozu v transportním režimu IPsec zpracovává pouze informace transportní vrstvy; šifrováno je pouze datové pole paketu obsahujícího protokoly TCP / UDP (hlavička IP paketu se nemění (nešifruje)). Transportní režim se obvykle používá k navázání spojení mezi hostiteli.

Režim tunelování zašifruje celý IP paket, včetně záhlaví síťové vrstvy. Aby mohl být přenášen po síti, je umístěn do jiného IP paketu. V podstatě se jedná o bezpečný IP tunel. Tunelový režim lze použít k připojení vzdálených počítačů k virtuální privátní síti (schéma připojení „hostitelská síť“) nebo k organizaci zabezpečeného přenosu dat prostřednictvím otevřené kanály propojení (například internet) mezi bránami pro připojení různých částí virtuální privátní sítě (schéma připojení mezi sítěmi).

Režimy IPsec se vzájemně nevylučují. Na stejném hostiteli mohou některé SA používat transportní režim, zatímco jiné mohou používat tunelový režim.

Během fáze ověřování se vypočítá kontrolní součet ICV (hodnota kontroly integrity) paketu. Předpokládá se, že oba uzly vědí Tajný klíč, který umožňuje příjemci vypočítat ICV a porovnat jej s výsledkem zaslaným odesílatelem. Pokud je porovnání ICV úspěšné, je odesílatel paketu považován za ověřeného.

V režimu dopravaAH

    celý IP paket, kromě některých polí v hlavičce IP, která lze při přenosu změnit. Tato pole, jejichž hodnoty pro výpočet ICV jsou 0, mohou být součástí služby (Type of Service, TOS), příznaky, offset fragmentu, doba životnosti (TTL) a také hlavička kontrolního součtu;

    všechna pole v AH;

    užitečné zatížení IP paketů.

AH v transportním režimu chrání hlavičku IP (s výjimkou polí, která se mohou měnit) a užitečné zatížení v původním paketu IP (obrázek 3.39).

V tunelovém režimu je původní paket umístěn do nového IP paketu a přenos dat je prováděn na základě hlavičky nového IP paketu.

Pro tunelový režimAH při provádění výpočtu jsou do kontrolního součtu ICV zahrnuty následující složky:

    všechna pole externí hlavička IP, kromě některých polí v hlavičce IP, která lze při přenosu změnit. Tato pole, jejichž hodnoty pro výpočet ICV jsou 0, mohou být součástí služby (Type of Service, TOS), příznaky, offset fragmentu, doba životnosti (TTL) a také hlavička kontrolního součtu;

    všechna pole AH;

    původní IP paket.

Jak můžete vidět na následujícím obrázku, režim tunelu AH chrání celý zdrojový paket IP pomocí dodatečné vnější hlavičky, kterou režim přenosu AH nepoužívá:

Rýže. 6.10. Tunel a transportní režimy provozu protokolu AN

V režimu dopravaESP neověřuje celý paket, ale chrání pouze datovou část IP. Záhlaví ESP v transportním režimu ESP je přidáno do IP paketu bezprostředně za IP záhlaví a koncovka ESP (ESP Trailer) je odpovídajícím způsobem přidána za data.

Transportní režim ESP šifruje následující části paketu:

    IP užitečné zatížení;

Šifrovací algoritmus, který používá režim šifrování Cipher Block Chaining (CBC), má mezi hlavičkou ESP a datovou částí nezašifrované pole. Toto pole se nazývá IV (Initialization Vector) pro výpočet CBC, který se provádí na přijímači. Protože se toto pole používá ke spuštění procesu dešifrování, nelze jej zašifrovat. I když má útočník možnost zobrazit IV, neexistuje způsob, jak by mohl dešifrovat zašifrovanou část paketu bez šifrovacího klíče. Aby útočníci nemohli změnit inicializační vektor, je hlídán kontrolním součtem ICV. V tomto případě ICV provede následující výpočty:

    všechna pole v hlavičce ESP;

    užitečné zatížení včetně otevřeného textu IV;

    všechna pole v upoutávce ESP kromě pole autentizačních dat.

Tunelový režim ESP zapouzdří celý původní paket IP do nové hlavičky IP, hlavičky ESP a upoutávky ESP. Aby bylo indikováno, že v hlavičce IP je přítomen ESP, je identifikátor protokolu IP nastaven na 50, přičemž původní hlavička IP a užitečné zatížení zůstanou nezměněny. Stejně jako v režimu tunelu AH je vnější hlavička IP založena na konfiguraci tunelu IPSec. V případě použití režimu tunelu ESP oblast autentizace IP paketu ukazuje, kde byl podpis vytvořen, osvědčuje jeho integritu a autentičnost, a šifrovaná část ukazuje, že informace jsou chráněné a důvěrné. Původní záhlaví je umístěno za záhlavím ESP. Poté, co je šifrovaná část zapouzdřena do nové hlavičky tunelu, která není šifrována, je paket IP přenesen. Při odeslání přes veřejnou síť je takový paket směrován na IP adresu brány přijímající sítě a brána paket dešifruje a zahodí hlavičku ESP pomocí původní hlavičky IP, aby paket nasměroval do počítače umístěného ve vnitřní síti. Režim tunelování ESP šifruje následující části paketu:

    původní IP paket;

  • Pro režim tunelu ESP se ICV vypočítá takto:

    všechna pole v hlavičce ESP;

    původní IP paket, včetně otevřeného textu IV;

    všechna pole hlavičky ESP kromě pole autentizačních dat.

Rýže. 6.11. Tunel a transportní režim protokolu ESP

Rýže. 6.12. Porovnání protokolů ESP a AH

Přehled aplikačních režimůIPSec:

    Protokol - ESP (AH).

    Režim - tunel (doprava).

    Způsob výměny klíčů - IKE (manuální).

    Režim IKE - hlavní (agresivní).

    DH klíč – skupina 5 (skupina 2, skupina 1) – číslo skupiny pro výběr dynamicky vytvářených klíčů relace, délka skupiny.

    Autentizace - SHA1 (SHA, MD5).

    Šifrování - DES (3DES, Blowfish, AES).

Při vytváření politiky je obvykle možné vytvořit uspořádaný seznam algoritmů a skupin Diffie-Hellman. Diffie-Hellman (DH) je šifrovací protokol používaný k vytvoření sdílených tajemství pro IKE, IPSec a PFS (Perfect Forward Secrecy). V tomto případě bude použita první pozice, která se shoduje na obou uzlech. Je velmi důležité, aby vše v bezpečnostní politice umožňovalo dosáhnout této náhody. Pokud se vše ostatní shoduje s výjimkou jedné části zásady, hostitelé stále nebudou moci navázat připojení VPN. Při nastavování VPN tunelu mezi různé systémy musíte zjistit, jaké algoritmy jsou podporovány každou stranou, abyste si mohli vybrat nejbezpečnější politiku ze všech možných.

Hlavní nastavení, která bezpečnostní politika zahrnuje:

    Symetrické algoritmy pro šifrování/dešifrování dat.

    Kryptografické kontrolní součty pro kontrolu integrity dat.

    Metoda identifikace uzlu. Nejběžnějšími metodami jsou předsdílená tajemství nebo certifikáty CA.

    Zda použít režim tunelu nebo režim dopravy.

    Kterou skupinu Diffie-Hellman použít (DH skupina 1 (768-bit); DH skupina 2 (1024-bit); DH skupina 5 (1536-bit)).

    Zda použít AH, ESP nebo obojí.

    Zda použít PFS.

Omezení IPSec je, že podporuje přenos dat pouze na vrstvě protokolu IP.

Existují dvě hlavní schémata pro použití IPSec, která se liší rolí uzlů, které tvoří zabezpečený kanál.

V prvním schématu je vytvořen bezpečný kanál mezi koncovými hostiteli sítě. V tomto schématu protokol IPSec chrání hostitele, který běží:

Rýže. 6.13. Vytvořte zabezpečený kanál mezi dvěma koncovými body

Ve druhém schématu je vytvořen zabezpečený kanál mezi dvěma bezpečnostními bránami. Tyto brány přijímají data od koncových hostitelů připojených k sítím za branami. Koncoví hostitelé v tomto případě nepodporují protokol IPSec, provoz směřovaný do veřejné sítě prochází bezpečnostní bránou, která svým jménem provádí ochranu.

Rýže. 6.14. Vytvoření zabezpečeného kanálu mezi dvěma bránami

U hostitelů, kteří podporují IPSec, lze použít režim přenosu i tunelový režim. Pro brány je povolen pouze tunelový režim.

Instalace a podporaVPN

Jak bylo uvedeno výše, instalace a údržba tunelu VPN je dvoufázový proces. V první fázi (fázi) se dva uzly dohodnou na metodě identifikace, šifrovacím algoritmu, hashovacím algoritmu a Diffie-Hellmanově skupině. Také se navzájem identifikují. To vše se může stát v důsledku výměny tří nešifrovaných zpráv (tzv. agresivní režim, Agresivní režimu) nebo šest zpráv s výměnou zašifrovaných identifikačních informací (standardní režim, Hlavní režimu).

V hlavním režimu je možné vyjednat všechny konfigurační parametry zařízení odesílatele a příjemce, zatímco v agresivním režimu to není možné a některé parametry (skupina Diffie-Hellman, šifrovací a autentizační algoritmy, PFS) musí být předem nastaveny. -na každém zařízení nakonfigurováno stejným způsobem. V tomto režimu je však počet výměn i počet odeslaných paketů menší, což má za následek kratší dobu pro vytvoření relace IPSec.

Rýže. 6.15. Zasílání zpráv ve standardním (a) a agresivním (b) režimu

Za předpokladu úspěšného dokončení operace je vytvořena první fáze SA − Fáze 1 SA(také zvaný IKESA) a proces pokračuje do druhé fáze.

Ve druhém kroku se vygenerují klíčová data, uzly se dohodnou na použité politice. Tento režim, nazývaný také Rychlý režim, se liší od Fáze 1 tím, že jej lze zavést až po Fázi 1, kdy jsou všechny pakety Fáze 2 zašifrovány. Správné dokončení druhé fáze vede ke vzhledu Fáze 2 SA nebo IPSecSA a na tomto je instalace tunelu považována za dokončenou.

Nejprve do uzlu dorazí paket s cílovou adresou v jiné síti a uzel zahájí první fázi s uzlem, který je zodpovědný za druhou síť. Řekněme, že tunel mezi uzly byl úspěšně vytvořen a čeká na pakety. Uzly se však po určité době musí vzájemně znovu identifikovat a porovnat zásady. Toto období se nazývá životnost první fáze nebo životnost IKE SA.

Uzly musí také změnit klíč pro šifrování dat po uplynutí doby, která se nazývá fáze 2 nebo životnost IPSec SA.

Životnost fáze dvě je kratší než fáze první, protože klíč je třeba měnit častěji. Musíte nastavit stejné parametry životnosti pro oba uzly. Pokud se tak nestane, je možné, že zpočátku bude tunel úspěšně navázán, ale po prvním nekonzistentním období života bude spojení přerušeno. Problémy mohou také nastat, když je životnost první fáze kratší než životnost druhé fáze. Pokud dříve nakonfigurovaný tunel přestane fungovat, pak první věcí, kterou je třeba zkontrolovat, je životnost na obou uzlech.

Je třeba také poznamenat, že pokud změníte politiku na jednom z uzlů, změny se projeví až při dalším nástupu první fáze. Aby se změny projevily okamžitě, musíte odebrat SA pro tento tunel z databáze SAD. To si vynutí revizi dohody mezi uzly s novým nastavením bezpečnostní politiky.

Někdy se při nastavování IPSec tunelu mezi zařízeními od různých výrobců vyskytují potíže spojené s koordinací parametrů během vytváření první fáze. Měli byste věnovat pozornost takovému parametru, jako je Local ID - jedná se o jedinečný identifikátor pro koncový bod tunelu (odesílatel a příjemce). To je důležité zejména při vytváření více tunelů a používání protokolu NAT Traversal.

Mrtvýpeerdetekce

Pokud během provozu VPN neprobíhá provoz mezi koncovými body tunelu nebo se změní počáteční data vzdáleného uzlu (například změna dynamicky přidělované IP adresy), může nastat situace, kdy tunel v podstatě již není takový , který se stal jakoby tunelem duchů. Aby byla zachována stálá připravenost na výměnu dat ve vytvořeném IPSec tunelu, mechanismus IKE (popsaný v RFC 3706) umožňuje řídit přítomnost provozu ze vzdáleného uzlu tunelu, a pokud je po nastavenou dobu nepřítomen, je odeslána ahoj zpráva (ve firewallech D-Link posílá zprávu "DPD-R-U-THERE"). Pokud do určité doby na tuto zprávu nepřijde žádná odpověď, ve firewallech D-Link nastavených v nastavení "DPD Expire Time" je tunel rozebrán. Firewally D-Link poté pomocí nastavení „DPD Keep Time“ ( rýže. 6.18) automaticky pokusí obnovit tunel.

ProtokolNATPrůjezd

Provoz IPsec lze směrovat podle stejných pravidel jako jiné protokoly IP, ale protože směrovač nemůže vždy extrahovat informace specifické pro protokoly transportní vrstvy, je nemožné, aby protokol IPsec prošel bránami NAT. Jak již bylo zmíněno dříve, k vyřešení tohoto problému IETF definovala způsob, jak zapouzdřit ESP v UDP, nazvaný NAT-T (NAT Traversal).

Protokol NAT Traversal zapouzdřuje provoz IPSec a současně vytváří pakety UDP, které NAT správně předává. Za tímto účelem umístí NAT-T před paket IPSec další hlavičku UDP, aby byl v celé síti považován za běžný paket UDP a hostitel příjemce neprováděl žádné kontroly integrity. Poté, co paket dorazí na místo určení, je hlavička UDP odstraněna a datový paket pokračuje ve své cestě jako zapouzdřený paket IPSec. Pomocí mechanismu NAT-T je tedy možné navázat komunikaci mezi IPSec klienty v zabezpečených sítích a veřejnými IPSec hostiteli přes firewally.

Při konfiguraci firewallů D-Link na přijímacím zařízení je třeba vzít v úvahu dva body:

    v polích Vzdálená síť a Vzdálený koncový bod zadejte síť a IP adresu vzdáleného odesílajícího zařízení. Je nutné umožnit překlad IP adresy iniciátora (odesílatele) pomocí technologie NAT (obrázek 3.48).

    při použití sdílených klíčů s více tunely připojenými ke stejnému dálkovému ovládání firewall které byly NAT převedeny na stejnou adresu, je důležité zajistit, aby místní ID bylo jedinečné pro každý tunel.

Místní ID může být jedním z:

    Auto– jako lokální identifikátor je použita IP adresa odchozího komunikačního rozhraní.

    IP– IP adresa WAN portu vzdáleného firewallu

    DNS– DNS adresa

    Soukromé sítě používají organizace k připojení ke vzdáleným lokalitám a jiným organizacím. Privátní sítě se skládají z komunikačních linek pronajatých od různých telefonních společností a poskytovatelů internetových služeb. Tyto odkazy se vyznačují tím, že pouze spojují dvě stránky, zatímco jsou odděleny od ostatního provozu, protože pronajaté linky zajišťují obousměrnou komunikaci mezi dvěma stránkami. Privátní sítě mají mnoho výhod.

    • Informace jsou drženy v tajnosti.
    • Vzdálená místa si mohou okamžitě vyměňovat informace.
    • Vzdálení uživatelé se necítí izolovaní od systému, ke kterému přistupují.

    Bohužel tento typ sítě má jednu velkou nevýhodu – vysokou cenu. Používání privátních sítí je velmi nákladné. Používání pomalejších linek může ušetřit peníze, ale pak si vzdálení uživatelé začnou všimnout nedostatku rychlosti a některé z výše uvedených výhod budou méně zřejmé.

    S nárůstem počtu uživatelů internetu mnoho organizací přešlo na používání virtuálních privátních sítí (VPN). Virtuální privátní sítě poskytují mnoho výhod privátních sítí za nižší cenu. Se zavedením VPN však pro organizaci existuje řada otázek a nebezpečí. Dobře vybudovaná virtuální privátní síť může organizaci přinést velké výhody. Pokud je VPN implementována nesprávně, všechny informace přenášené prostřednictvím VPN jsou přístupné z Internetu.

    Definice virtuálních privátních sítí

    Máme tedy v úmyslu přenášet důvěrná data organizace přes internet bez použití pronajatých komunikačních kanálů, přičemž stále přijímáme všechna opatření k zajištění soukromí provozu. Jak budeme schopni oddělit náš provoz od provozu ostatních uživatelů globální sítě? Odpověď na tuto otázku je šifrování.

    Na internetu můžete najít provoz jakéhokoli typu. Velká část tohoto provozu je přenášena v čistém stavu a každý uživatel, který tento provoz sleduje, jej bude schopen rozpoznat. To platí pro většinu e-mailového a webového provozu, stejně jako relace telnet a FTP. Provoz Secure Shell ( SSH ) a Hypertext Transfer Protocol Secure ( HTTPS ) je šifrovaný provoz a uživatel, který sleduje pakety, jej nemůže zobrazit. Provoz jako SSH a HTTPS však netvoří VPN.

    Virtuální privátní sítě mají několik vlastností.

    • Provoz je šifrován, aby byla zajištěna ochrana před odposloucháváním.
    • Vzdálený web je ověřen.
    • VPN poskytují podporu pro mnoho protokolů.
    • Spojení zajišťuje komunikaci pouze mezi dvěma konkrétními účastníky.

    Protože SSH a HTTPS nejsou schopny podporovat více protokolů, platí totéž pro skutečné VPN. Pakety VPN se mísí s běžným tokem internetového provozu a existují odděleně, protože tento provoz mohou číst pouze koncové body připojení.

    Poznámka

    Je možné implementovat provoz procházející relací SSH pomocí tunelů. SSH však pro účely této přednášky nebudeme považovat za VPN.

    Pojďme se blíže podívat na každou z vlastností VPN. Jak bylo uvedeno výše, provoz VPN je šifrován, aby byl chráněn před odposlechem. Šifrování musí být dostatečně silné, aby bylo zaručeno důvěrnosti přenášené informace tak dlouho, jak jsou relevantní. Hesla mají dobu platnosti 30 dní (za předpokladu, že zásady změny hesla každých 30 dní); utajované informace však nesmí v průběhu let ztrácet na své hodnotě. Proto by měl šifrovací algoritmus a použití VPN zabránit nelegálnímu dešifrování provozu na několik let.

    Druhou vlastností je, že vzdálené místo je ověřeno. Tato funkce může vyžadovat ověření některých uživatelů vůči centrálnímu serveru nebo vzájemné ověření obou uzlů, které VPN připojuje. Použitý mechanismus ověřování je řízen zásadou. Tato politika může poskytovat autentizaci uživatele se dvěma parametry nebo s použitím dynamických hesel. V vzájemné ověřování po obou stránkách může být požadováno prokázání znalosti určitého sdíleného tajemství (tajemství je nějaká informace známá oběma stránkám předem), popř

    Virtuální privátní sítě (VPN) přitahují velkou pozornost jak poskytovatelů síťových služeb a poskytovatelů internetových služeb, tak i firemních uživatelů. Infonetics Research předpovídá, že trh VPN poroste do roku 2003 o více než 100 % ročně a dosáhne 12 miliard USD.

    Než vám povím o popularitě VPN, dovolte mi připomenout, že pouze soukromé (firemní) sítě pro přenos dat se budují zpravidla pomocí pronajatých (vyhrazených) komunikačních kanálů veřejných komutovaných telefonních sítí. Po mnoho let byly tyto privátní sítě navrhovány s ohledem na specifické podnikové požadavky, což vedlo k proprietárním protokolům, které podporují proprietární aplikace (v poslední době si však získaly oblibu protokoly Frame Relay a ATM). Vyhrazené kanály vám umožňují poskytovat spolehlivou ochranu důvěrných informací, ale odvrácenou stranou mince jsou vysoké náklady na provoz a potíže s rozšiřováním sítě, nemluvě o možnosti připojit k ní mobilního uživatele v nezamýšleném bodě. Zároveň pro moderní podnikání charakterizuje významný rozptyl a mobilita pracovní síly. Stále více uživatelů potřebuje přístup k firemním informacím prostřednictvím dial-up kanálů a zvyšuje se také počet zaměstnanců pracujících z domova.

    Soukromé sítě dále nejsou schopny poskytovat stejné obchodní příležitosti, jaké poskytuje internet a aplikace založené na IP, jako je propagace produktů, zákaznická podpora nebo průběžná komunikace s dodavateli. Tato on-line interakce vyžaduje propojení privátních sítí, které obvykle používají různé protokoly a aplikace, různé systémy správa sítě a různí poskytovatelé komunikačních služeb.

    To znamená, že vysoké náklady, statický charakter a potíže, které vznikají, když je nutné kombinovat privátní sítě založené na různé technologie, jsou v rozporu s dynamicky se rozvíjejícím byznysem, jeho touhou po decentralizaci a současným trendem fúzí.

    Paralelně přitom existují veřejné sítě pro přenos dat zbavené těchto nedostatků a internet, který svou „pavučinou“ doslova zahalil celou zeměkouli. Pravda, jsou také ochuzeni o nejdůležitější výhodu privátních sítí – spolehlivou ochranu firemních informací. Technologie Virtual Private Network kombinuje flexibilitu, škálovatelnost, nízké náklady a dostupnost doslova kdykoli a kdekoli internetu a veřejných sítí s bezpečností privátních sítí. VPN jsou ve svém jádru soukromé sítě, které k přenosu provozu využívají globální sítě. veřejný přístup(Internet, Frame Relay, ATM). Virtualita se projevuje v tom, že pro firemního uživatele se jeví jako vyhrazené privátní sítě.

    KOMPATIBILITA

    Problémy s kompatibilitou nevznikají, pokud VPN přímo používají služby Frame Relay a ATM, protože jsou docela dobře přizpůsobeny pro práci v prostředí s více protokoly a jsou vhodné pro IP i non-IP aplikace. Vše, co je v tomto případě vyžadováno, je dostupnost vhodné síťové infrastruktury pokrývající požadovanou geografickou oblast. Nejčastěji používaná přístupová zařízení jsou Frame Relay Access Devices nebo routery s rozhraním Frame Relay a ATM. Četné permanentní nebo přepínané virtuální okruhy mohou fungovat (virtuálně) s jakoukoli směsí protokolů a topologií. Věc se stává složitější, pokud je VPN založena na internetu. V tomto případě musí být aplikace kompatibilní s protokolem IP. Za předpokladu, že je tento požadavek splněn, můžete používat internet „tak, jak je“, k vybudování VPN, která předtím poskytovala potřebnou úroveň zabezpečení. Ale protože většina privátních sítí je multiprotokolových nebo používá neoficiální, interní IP adresy, nemohou se bez vhodného přizpůsobení přímo připojit k internetu. Existuje mnoho řešení kompatibility. Nejoblíbenější jsou následující:
    - převod existujících protokolů (IPX, NetBEUI, AppleTalk nebo jiné) na IP protokol s oficiální adresou;
    - převod interních IP adres na oficiální IP adresy;
    — instalace speciálních IP bran na servery;
    — použití virtuálního směrování IP;
    — použití univerzální techniky tunelování.
    První způsob je jasný, pojďme se tedy krátce podívat na ostatní.
    Převod interních IP adres na oficiální je nezbytný, když je privátní síť založena na protokolu IP. Překlad adres pro celou podnikovou síť není nutný, protože oficiální IP adresy mohou koexistovat s interními na přepínačích a směrovačích v podnikové síti. Jinými slovy, server s oficiální IP adresou je stále dostupný klientovi privátní sítě prostřednictvím místní infrastruktury. Nejčastěji používanou technikou je rozdělení malého bloku oficiálních adres mnoha uživateli. Podobá se rozdělení fondu modemů v tom, že se také opírá o předpoklad, že ne všichni uživatelé potřebují přístup k internetu ve stejnou dobu. Existují zde dva průmyslové standardy, Dynamic Host Configuration Protocol (DHCP) a Network Address Translation (NAT), které mají mírně odlišné přístupy. DHCP pronajímá adresu hostiteli na dobu stanovenou správcem sítě, zatímco NAT překládá interní IP adresa k úředníkovi dynamicky, po dobu komunikační relace s
    Internet.

    Dalším způsobem, jak zajistit kompatibilitu privátní sítě s internetem, je instalace IP brány. Brána překládá non-IP protokoly na IP protokoly a naopak. Většina sítě operační systémy které používají nativní protokoly software pro IP bránu.

    Podstatou virtuálního IP směrování je rozšíření privátních směrovacích tabulek a adresního prostoru na infrastrukturu (směrovače a přepínače) poskytovatele internetových služeb. Virtuální IP router je logickou součástí fyzického IP routeru vlastněného a provozovaného poskytovatelem služeb. Každý virtuální router obsluhuje určitou skupinu uživatelů.
    Nicméně možná nejvíc nejlepší způsob interoperability lze dosáhnout pomocí technik tunelování. Tyto techniky se již dlouhou dobu používají k přenosu víceprotokolového paketového toku přes společnou páteř. Tato osvědčená technologie je aktuálně optimalizována pro internetové VPN.
    Hlavní součásti tunelu jsou:
    — iniciátor tunelu;
    — směrovaná síť;
    - tunelový spínač (volitelný);
    — jeden nebo více ukončovacích prvků tunelu.
    Tunelování musí být provedeno na obou koncích end-to-end spoje. Tunel musí začínat iniciátorem tunelu a končit ukončovačem tunelu. Inicializaci a ukončení tunelových operací lze provádět různými způsoby síťová zařízení a software. Tunel může být například iniciován počítačem vzdáleného uživatele, který má nainstalovaný modem a software VPN, přední směrovač v pobočce společnosti nebo koncentrátor síťového přístupu u poskytovatele služeb.

    Pro přenos přes internet jsou pakety jiné než IP síťové protokoly zapouzdřeny na zdrojové straně do IP paketů. Nejběžněji používanou metodou pro vytváření tunelů VPN je zapouzdření paketu jiného typu než IP do paketu PPP (Point-to-Point Protocol) a jeho následné zapouzdření do paketu IP. Připomínám, že protokol PPP se používá pro spojení typu point-to-point, například pro komunikaci klient-server. Proces zapouzdření IP zahrnuje přidání standardní IP hlavičky k původnímu paketu, se kterým se pak zachází jako s užitečnou informací. Odpovídající proces na druhém konci tunelu odstraní hlavičku IP a ponechá původní paket beze změny. Vzhledem k tomu, že technologie tunelování je poměrně jednoduchá, je také cenově nejdostupnější.

    BEZPEČNOST

    Zajištění požadované úrovně zabezpečení je často primárním faktorem, když společnost zvažuje použití internetových VPN. Mnoho IT manažerů je zvyklých na inherentní ochranu soukromí privátních sítí a považuje internet za příliš „veřejný“, než aby jej bylo možné používat jako privátní síť. Pokud používáte anglickou terminologii, pak existují tři „P“, jejichž implementace dohromady poskytuje úplnou ochranu informací. To:
    Ochrana - ochrana zdrojů pomocí firewallů (firewall);
    Doklad - ověření identity (neporušenosti) balíku a autentizace odesílatele (potvrzení práva na přístup);
    Soukromí – ochrana důvěrných informací pomocí šifrování.
    Všechna tři P jsou stejně důležitá pro jakoukoli podnikovou síť, včetně VPN. V přísně privátních sítích k ochraně zdrojů a důvěrnosti informací stačí použít docela jednoduchá hesla. Jakmile je však privátní síť připojena k veřejné, žádné ze tří P nemůže poskytnout potřebnou ochranu. Proto pro jakákoli VPN firewally musí být nainstalovány ve všech bodech jeho interakce s veřejnou sítí a pakety musí být šifrovány a autentizovány.

    Firewally jsou nezbytnou součástí každé VPN. Povolují pouze autorizovaný provoz pro důvěryhodné uživatele a blokují vše ostatní. Jinými slovy, všechny pokusy o přístup neznámých nebo nedůvěryhodných uživatelů jsou zkříženy. Tato forma ochrany musí být poskytnuta každé stránce a uživateli, protože nemít ji nikde znamená nemít ji všude. K zajištění bezpečnosti virtuálních privátních sítí se používají speciální protokoly. Tyto protokoly umožňují hostitelům „vyjednat“ techniku ​​šifrování a digitálního podpisu, která se má použít, a tím zachovat důvěrnost a integritu dat a ověřit uživatele.

    Protokol MPPE (Microsoft Point-to-Point Encryption Protocol) šifruje pakety PPP na klientském počítači před jejich odesláním do tunelu. Šifrovací relace je inicializována během navazování komunikace s terminátorem tunelu pomocí protokolu
    PPP.

    Protokoly Secure IP (IPSec) jsou řadou předběžných standardů vyvíjených organizací Internet Engineering Task Force (IETF). Skupina navrhla dva protokoly: Authentication Header (AH) a Encapsulating Security Payload (ESP). Protokol AH přidává do hlavičky digitální podpis, který ověřuje uživatele a zajišťuje integritu dat sledováním všech změn při přenosu. Tento protokol chrání pouze data a ponechává část adresy IP paketu beze změny. Protokol ESP naproti tomu dokáže zašifrovat buď celý paket (Tunnel Mode), nebo jen data (Transport Mode). Tyto protokoly se používají jak samostatně, tak v kombinaci.

    Ke správě zabezpečení se používá průmyslový standard RADIUS (Remote Authentication Dial-In User Service), což je databáze uživatelských profilů obsahující hesla (autentizace) a přístupová práva (autorizace).

    Bezpečnostní prvky se zdaleka neomezují na uvedené příklady. Mnoho výrobců routerů a firewallů nabízí svá vlastní řešení. Mezi nimi jsou Ascend, CheckPoint a Cisco.

    DOSTUPNOST

    Dostupnost zahrnuje tři stejně důležité složky: dobu poskytování služby, propustnost a čas zpoždění. Doba poskytování služby je předmětem smlouvy s poskytovatelem služby a další dvě složky souvisí s prvky kvality služby (Quality of Service - QoS). Moderní technologie transport vám umožní vybudovat VPN, která splňuje požadavky téměř všech existujících aplikací.

    OVLADATELNOST

    Správci sítě vždy chtějí mít možnost spravovat end-to-end, end-to-end firemní síť, včetně části, která se týká telekomunikační společnosti. Ukazuje se, že VPN poskytují v tomto ohledu více možností než běžné privátní sítě. Typické privátní sítě jsou spravovány „od hranice k hranici“, tzn. poskytovatel služeb spravuje síť až k předním směrovačům podnikové sítě, zatímco předplatitel spravuje podnikovou síť sám až po přístupová zařízení WAN. Technologie VPN se tomuto druhu rozdělení „sfér vlivu“ vyhýbá a poskytuje poskytovateli i účastníkovi jednotný systém správy sítě jako celek, a to jak její podnikové části, tak síťové infrastruktury veřejné sítě. Správce podnikové sítě má možnost monitorovat a rekonfigurovat síť, spravovat zařízení s předním přístupem a určovat stav sítě v reálném čase.

    ARCHITEKTURA VPN

    Existují tři modely architektury virtuální privátní sítě: závislý, nezávislý a hybridní jako kombinace prvních dvou alternativ. Příslušnost ke konkrétnímu modelu je určena tím, kde jsou implementovány čtyři hlavní požadavky na VPN. Pokud globální poskytovatel síťových služeb poskytuje kompletní řešení VPN, tzn. poskytuje tunelování, bezpečnost, výkon a správu, činí na něm architekturu závislou. V tomto případě jsou všechny procesy VPN pro uživatele transparentní a uživatel vidí pouze svůj nativní provoz — pakety IP, IPX nebo NetBEUI. Výhodou závislé architektury pro předplatitele je, že může používat stávající síťovou infrastrukturu „tak jak je“ a mezi VPN a privátní síť přidá pouze firewall.
    WAN/LAN.

    Nezávislá architektura je implementována, když organizace poskytuje všechny technologické požadavky na své zařízení a deleguje pouze transportní funkce na poskytovatele služeb. Tato architektura je dražší, ale dává uživateli plnou kontrolu nad všemi operacemi.

    Hybridní architektura zahrnuje stránky závislé a nezávislé na organizaci (respektive na poskytovateli služeb).

    Jaké jsou sliby VPN pro firemní uživatele? V prvé řadě jde podle průmyslových analytiků o snížení nákladů u všech typů telekomunikací o 30 až 80 %. A také je to téměř všudypřítomný přístup do sítí korporací nebo jiných organizací; jedná se o implementaci zabezpečené komunikace s dodavateli a zákazníky; je to vylepšená a rozšířená služba, která není dostupná v sítích PSTN, a mnohem více. Specialisté vidí VPN jako novou generaci síťové komunikace a mnoho analytiků se domnívá, že VPN brzy nahradí většinu privátních sítí založených na pronajatých linkách.