Σε αυτό το άρθρο, θα απαντήσουμε τα περισσότερα FAQτι είναι διακομιστής VPN, θα σας πούμε εάν ένα VPN μπορεί να αυξήσει την ασφάλειά σας, εάν πρέπει να χρησιμοποιήσετε το Double VPN και πώς να ελέγξετε εάν η υπηρεσία VPN διατηρεί αρχεία καταγραφής, καθώς και τι σύγχρονες τεχνολογίεςυπάρχουν για την προστασία των προσωπικών πληροφοριών.

Το VPN είναι εικονικό ιδιωτικό δίκτυο, το οποίο παρέχει κρυπτογράφηση μεταξύ του πελάτη και του διακομιστή VPN.


Ο κύριος σκοπός ενός VPN είναι η κρυπτογράφηση της κυκλοφορίας και η αλλαγή της διεύθυνσης IP.

Ας δούμε γιατί και πότε χρειάζεται.

Σε τι χρησιμεύει το VPN;

Όλοι οι ISP καταγράφουν τις δραστηριότητες των πελατών τους στο Διαδίκτυο. Δηλαδή, ο πάροχος Διαδικτύου γνωρίζει ποιους ιστότοπους επισκεφτήκατε. Αυτό είναι απαραίτητο για την παροχή όλων των πληροφοριών σχετικά με τον δράστη σε περίπτωση αιτημάτων από την αστυνομία, καθώς και για την απαλλαγή κάθε νομικής ευθύνης για τις ενέργειες του χρήστη.

Υπάρχουν πολλές περιπτώσεις όπου ένας χρήστης χρειάζεται να προστατεύσει τα προσωπικά του δεδομένα στο Διαδίκτυο και να αποκτήσει ελευθερία επικοινωνίας.

Παράδειγμα 1. Υπάρχει μια επιχείρηση και είναι απαραίτητη η μεταφορά εμπιστευτικών δεδομένων μέσω Διαδικτύου ώστε να μην μπορεί κανείς να την υποκλέψει. Οι περισσότερες εταιρείες χρησιμοποιούν τεχνολογία VPN για τη μεταφορά πληροφοριών μεταξύ των υποκαταστημάτων της εταιρείας.

Παράδειγμα 2. Πολλές υπηρεσίες στο Διαδίκτυο λειτουργούν με βάση την αρχή της γεωγραφικής αναφοράς στην τοποθεσία και απαγορεύουν την πρόσβαση σε χρήστες από άλλες χώρες.

Για παράδειγμα, η υπηρεσία Yandex Music λειτουργεί μόνο για διευθύνσεις IP από τη Ρωσία και τις χώρες της πρώην ΚΑΚ. Κατά συνέπεια, ολόκληρος ο ρωσόφωνος πληθυσμός που ζει σε άλλες χώρες δεν έχει πρόσβαση σε αυτήν την υπηρεσία.

Παράδειγμα 3. Αποκλεισμός ορισμένων τοποθεσιών στο γραφείο και στη χώρα. Τα γραφεία συχνά εμποδίζουν την πρόσβαση σε κοινωνικά δίκτυαώστε οι εργαζόμενοι να μην σπαταλούν χρόνο εργασίας στην επικοινωνία.

Για παράδειγμα, η Κίνα έχει μπλοκάρει πολλούς υπηρεσίες Google. Εάν ένας κάτοικος Κίνας συνεργάζεται με μια εταιρεία από την Ευρώπη, τότε υπάρχει ανάγκη χρήσης υπηρεσιών όπως το Google Disk.

Παράδειγμα 4. Απόκρυψη τοποθεσιών που έχετε επισκεφτεί από τον ISP. Υπάρχουν φορές που πρέπει να αποκρύψετε τη λίστα των τοποθεσιών που έχετε επισκεφτεί από τον πάροχο Διαδικτύου. Όλη η κίνηση θα είναι κρυπτογραφημένη.


Με την κρυπτογράφηση κυκλοφορίας, ο ISP σας δεν θα γνωρίζει ποιους ιστότοπους έχετε επισκεφτεί στο Διαδίκτυο. Σε αυτήν την περίπτωση, η διεύθυνση IP σας στο Διαδίκτυο θα ανήκει στη χώρα του διακομιστή VPN.

Όταν συνδέεστε σε ένα VPN, δημιουργείται ένα ασφαλές κανάλι μεταξύ του υπολογιστή σας και του διακομιστή VPN. Όλα τα δεδομένα σε αυτό το κανάλι είναι κρυπτογραφημένα.


Χάρη σε ένα VPN, θα έχετε την ελευθερία να επικοινωνείτε και να προστατεύετε τα προσωπικά σας δεδομένα.

Στα αρχεία καταγραφής του παρόχου Διαδικτύου θα υπάρχει ένα σύνολο διαφορετικούς χαρακτήρες. Η παρακάτω εικόνα δείχνει την ανάλυση των δεδομένων που λαμβάνονται από ένα ειδικό πρόγραμμα.

Στην κεφαλίδα HTTP, μπορείτε να δείτε αμέσως σε ποιον ιστότοπο συνδέεστε. Αυτά τα δεδομένα καταγράφονται από παρόχους υπηρεσιών Διαδικτύου.


Η παρακάτω εικόνα δείχνει την κεφαλίδα HTTP όταν χρησιμοποιείτε VPN. Τα δεδομένα είναι κρυπτογραφημένα και είναι αδύνατο να γνωρίζουμε ποιους ιστότοπους έχετε επισκεφτεί.

Πώς να συνδεθείτε σε ένα VPN

Υπάρχουν διάφοροι τρόποι σύνδεσης σε δίκτυο VPN.

  • Το PPTP είναι ένα ξεπερασμένο πρωτόκολλο. Τα περισσότερα σύγχρονα λειτουργικά συστήματα το έχουν αποκλείσει από τη λίστα των υποστηριζόμενων. Μειονεκτήματα PPTP - χαμηλή σταθερότητα σύνδεσης. Η σύνδεση μπορεί να πέσει και μη ασφαλή δεδομένα ενδέχεται να διαρρεύσουν στο Διαδίκτυο.
  • Η σύνδεση L2TP (IPSec) είναι πιο αξιόπιστη. Επίσης ενσωματωμένο στα περισσότερα λειτουργικά συστήματα (Windows, Mac OS, Linux, iOS, Android, Τηλέφωνο με Windowsκαι άλλοι). Έχει καλύτερη αξιοπιστία από τη σύνδεση PPTP.
  • Η σύνδεση SSTP αναπτύχθηκε σχετικά πρόσφατα. Υποστηρίζεται μόνο σε Windows, επομένως δεν χρησιμοποιείται ευρέως.
  • Το IKEv2 είναι ένα σύγχρονο πρωτόκολλο που βασίζεται στο IPSec. Αυτό το πρωτόκολλο έχει αντικαταστήσει το πρωτόκολλο PPTP και υποστηρίζεται από όλα τα δημοφιλή λειτουργικά συστήματα.
  • Η σύνδεση OpenVPN θεωρείται η πιο αξιόπιστη. Αυτή η τεχνολογία μπορεί να διαμορφωθεί με ευελιξία και όταν πέσει η σύνδεση, το OpenVPN αποκλείει την αποστολή μη προστατευμένων δεδομένων στο Διαδίκτυο.

Υπάρχουν 2 πρωτόκολλα μεταφοράς δεδομένων για την τεχνολογία OpenVPN:

  • Πρωτόκολλο UDP - γρήγορη λειτουργία (συνιστάται για τηλεφωνία VoiP, Skype, διαδικτυακά παιχνίδια)
  • Πρωτόκολλο TCP - χαρακτηρίζεται από την αξιοπιστία των μεταδιδόμενων δεδομένων (απαιτείται επιβεβαίωση παραλαβής του πακέτου). Λειτουργεί λίγο πιο αργά από το UDP.

Πώς να ρυθμίσετε ένα VPN

Η ρύθμιση μιας σύνδεσης VPN διαρκεί αρκετά λεπτά και διαφέρει στη μέθοδο σύνδεσης VPN.

Στην υπηρεσία μας χρησιμοποιούμε συνδέσεις PPTP και OpenVPN.

Ασφάλεια VPN

Θα μιλάμε πάντα για μια ολοκληρωμένη προσέγγιση στην ασφάλεια. Η ασφάλεια του χρήστη δεν συνίσταται μόνο στην ίδια τη σύνδεση VPN. Είναι σημαντικό ποιο πρόγραμμα χρησιμοποιείτε για να συνδεθείτε στον διακομιστή VPN.

Επί του παρόντος, οι υπηρεσίες προσφέρουν βολικούς πελάτες VPN - αυτά είναι προγράμματα που διευκολύνουν τη ρύθμιση μιας σύνδεσης VPN. Εμείς οι ίδιοι προσφέρουμε έναν βολικό πελάτη VPN. Χάρη σε τέτοια προγράμματα, η εγκατάσταση μιας σύνδεσης VPN δεν διαρκεί περισσότερο από 1 λεπτό.


Όταν ξεκινήσαμε για πρώτη φορά να παρέχουμε υπηρεσίες VPN το 2006, όλοι οι χρήστες μας δημιούργησαν την επίσημη εφαρμογή OpenVPN. Διαθέτει ανοιχτό πηγή. Φυσικά, η ρύθμιση του επίσημου προγράμματος-πελάτη OpenVPN απαιτεί περισσότερο χρόνο. Ας δούμε όμως τι είναι καλύτερο να χρησιμοποιήσουμε όσον αφορά την ανωνυμία.

Ανωνυμία πελάτη VPN

Βλέπουμε τον κίνδυνο στη χρήση τέτοιων προγραμμάτων. Το θέμα είναι ότι ο πηγαίος κώδικας τέτοιων προγραμμάτων είναι ιδιοκτησία της εταιρείας και για να διατηρηθεί η μοναδικότητα του προγράμματός της, κανείς δεν τον δημοσιεύει.

Οι χρήστες δεν μπορούν να βρουν ποια δεδομένα συλλέγει το πρόγραμμα για εσάς, ελλείψει κώδικα ανοιχτού κώδικα.

Προγράμματα VPNκαι μπορεί να σας αναγνωρίσει ως συγκεκριμένο χρήστη ακόμα και όταν τα αρχεία καταγραφής είναι απενεργοποιημένα στον διακομιστή.

Οποιοδήποτε πρόγραμμα μπορεί να έχει τη λειτουργία καταγραφής των τοποθεσιών που επισκεφτήκατε, της πραγματικής σας διεύθυνσης IP. Και εφόσον εσείς οι ίδιοι εισάγετε τα στοιχεία σύνδεσής σας στο πρόγραμμα, είναι γενικά αδύνατο να μιλήσουμε για οποιαδήποτε ανωνυμία χρήσης του προγράμματος.

Εάν η δραστηριότητά σας απαιτεί υψηλό επίπεδο ανωνυμίας, σας συνιστούμε να εγκαταλείψετε αυτά τα προγράμματα VPN και να χρησιμοποιήσετε την επίσημη έκδοση ανοιχτού κώδικα του OpenVPN.

Στην αρχή, αυτό θα το βρείτε άβολο. Όμως με την πάροδο του χρόνου, θα το συνηθίσετε εάν ο παράγοντας της ασφάλειας και της ανωνυμίας είναι στην πρώτη θέση για εσάς.

Εγγυόμαστε ότι το Secure Kit δεν αποθηκεύει δεδομένα σχετικά με εσάς. Αλλά πρέπει να σας προειδοποιήσουμε ότι τέτοια προγράμματα μπορούν να σας κατασκοπεύσουν.

Μια άλλη ιδέα για το πώς να αυξήσετε την ασφάλειά σας προήλθε από την άποψη της γεωγραφικής θέσης των διακομιστών. Στο Διαδίκτυο, ονομάζεται offshore VPN.

Τι είναι ένα υπεράκτιο VPN

Διαφορετικές χώρες έχουν διαφορετικό επίπεδονομοθεσία. Υπάρχουν ισχυρά κράτη με ισχυρούς νόμους. Και υπάρχουν μικρές χώρες των οποίων το επίπεδο ανάπτυξης δεν το επιτρέπει προστασία πληροφοριώνδεδομένα στη χώρα σας.

Αρχικά, η έννοια της offshore χρησιμοποιήθηκε για να αναφερθεί σε μια χώρα στην οποία η φορολογική πολιτική είναι χαλαρή. Τέτοιες χώρες έχουν πολύ χαμηλούς φόρους στις επιχειρήσεις. Οι παγκόσμιες εταιρείες έχουν αρχίσει να ενδιαφέρονται για τη νόμιμη φοροδιαφυγή στη χώρα τους και οι υπεράκτιοι τραπεζικοί λογαριασμοί στα νησιά Κέιμαν έχουν γίνει πολύ δημοφιλείς.

Επί του παρόντος, σε πολλές χώρες του κόσμου υπάρχουν ήδη απαγορεύσεις στη χρήση τραπεζικών λογαριασμών σε offshore χώρες.

Οι περισσότερες υπεράκτιες χώρες είναι μικρά κράτη που βρίσκονται σε απομακρυσμένες γωνιές του πλανήτη. Οι διακομιστές σε τέτοιες χώρες είναι πιο δύσκολο να βρεθούν και είναι πιο ακριβοί λόγω της έλλειψης ανεπτυγμένης υποδομής Διαδικτύου. Οι διακομιστές VPN σε τέτοιες χώρες άρχισαν να ονομάζονται offshore.

Αποδεικνύεται ότι η λέξη offshore VPN δεν σημαίνει ανώνυμο VPN, αλλά μιλά μόνο για εδαφική ιδιοκτησία σε ένα υπεράκτιο κράτος.

Πρέπει να χρησιμοποιήσετε ένα υπεράκτιο VPN;

Ένα υπεράκτιο VPN παρουσιάζει πρόσθετα οφέλη όσον αφορά την ανωνυμία.

Πιστεύετε ότι είναι πολύ πιο εύκολο να γράψετε ένα επίσημο αίτημα:

  • στο αστυνομικό τμήμα της Γερμανίας
  • ή στο αστυνομικό τμήμα στα νησιά στην Αντίγκουα Μπαρμπούντα

Ένα υπεράκτιο VPN είναι ένα επιπλέον επίπεδο προστασίας. Είναι καλό να χρησιμοποιείτε έναν υπεράκτιο διακομιστή ως μέρος της αλυσίδας Double VPN.

Δεν χρειάζεται να χρησιμοποιήσετε μόνο 1 υπεράκτιο διακομιστή VPN και πιστεύετε ότι είναι απολύτως ασφαλής. Πρέπει να προσεγγίσετε την ασφάλεια και την ανωνυμία σας στο Διαδίκτυο από διαφορετικές οπτικές γωνίες.

Χρησιμοποιήστε ένα υπεράκτιο VPN ως σύνδεσμο για την ανωνυμία σας.

Και ήρθε η ώρα να απαντήσετε στην πιο συχνή ερώτηση. Μπορεί μια ανώνυμη υπηρεσία VPN να διατηρεί αρχεία καταγραφής; Και πώς να προσδιορίσετε εάν η υπηρεσία διατηρεί αρχεία καταγραφής;

Ανώνυμη υπηρεσία VPN και αρχεία καταγραφής. Πώς να είσαι;

Μια ανώνυμη υπηρεσία VPN δεν πρέπει να διατηρεί αρχεία καταγραφής. Διαφορετικά, δεν μπορεί πλέον να ονομάζεται ανώνυμο.

Έχουμε συντάξει μια λίστα ερωτήσεων, χάρη στην οποία μπορείτε να προσδιορίσετε με ακρίβεια εάν η υπηρεσία διατηρεί αρχεία καταγραφής.

Τώρα έχετε πλήρεις πληροφορίεςσχετικά με τις συνδέσεις VPN. Αυτή η γνώση είναι αρκετή για να γίνεις ανώνυμος στο Διαδίκτυο και να γίνει ασφαλής η μεταφορά προσωπικών δεδομένων.

Νέες τεχνολογίες VPN

Υπάρχουν νέες τάσεις στον τομέα του VPN;

Έχουμε ήδη μιλήσει για τα πλεονεκτήματα και τα μειονεκτήματα της σειριακής διαδοχής διακομιστών VPN (Double, Triple, Quad VPN).

Για να αποφύγετε τα μειονεκτήματα της τεχνολογίας Double VPN, μπορείτε να φτιάξετε έναν παράλληλο καταρράκτη αλυσίδων. Το ονομάσαμε Parallel VPN.

Τι είναι το Parallel VPN

Η ουσία του Parallel VPN είναι να κατευθύνει την κυκλοφορία σε ένα παράλληλο κανάλι δεδομένων.

Το μειονέκτημα της τεχνολογίας διαδοχικής καταρράκτη (Double, Triple, Quad VPN) είναι ότι κάθε διακομιστής αποκρυπτογραφεί το κανάλι και το κρυπτογραφεί στο επόμενο κανάλι. Τα δεδομένα κρυπτογραφούνται διαδοχικά.

Δεν υπάρχει τέτοιο πρόβλημα στην τεχνολογία Parallel VPN, αφού όλα τα δεδομένα είναι διπλά παράλληλα κρυπτογραφημένα. Φανταστείτε δηλαδή ένα κρεμμύδι που έχει πολλές φλούδες. Με τον ίδιο τρόπο, τα δεδομένα περνούν σε ένα κανάλι που είναι διπλά κρυπτογραφημένο.


Οι ερωτήσεις VPN είναι δημοφιλείς αυτές τις μέρες – τι είναι, ποιες είναι οι δυνατότητες του και πώς να ρυθμίσετε καλύτερα ένα VPN. Το θέμα είναι ότι δεν γνωρίζουν όλοι την ουσία της ίδιας της τεχνολογίας, όταν μπορεί να χρειαστεί.

Ακόμη και από οικονομική και κερδοσκοπική πλευρά, η δημιουργία ενός VPN είναι μια επικερδής επιχείρηση για την οποία μπορείτε να κερδίσετε εύκολα χρήματα.
Θα ήταν ωραίο να εξηγήσετε στον χρήστη τι είναι το VPN και πώς να το ρυθμίσετε καλύτερα στα Win 7 και 10.

1. Βασικό

VPN (Εικονικό ιδιωτικό δίκτυο)είναι ένα ιδιωτικό εικονικό δίκτυο. Ακόμα πιο απλό - η τεχνολογία δημιουργίας τοπικό δίκτυο, αλλά χωρίς φυσικές συσκευές με τη μορφή δρομολογητών και άλλων πραγμάτων, αλλά με πραγματικούς πόρους από το Διαδίκτυο. Το VPN είναι πρόσθετο δίκτυοχτισμένο πάνω στο άλλο.

Στον ιστότοπο της Microsoft, βρέθηκε μια τέτοια ενημερωτική εικόνα που θα σας βοηθήσει να κατανοήσετε ότι η έκφραση "Ένα πρόσθετο δίκτυο δημιουργήθηκε πάνω από ένα άλλο".


Η εικόνα που εμφανίζεται δείχνει τη συσκευή με τη μορφή υπολογιστή. Ένα σύννεφο είναι ένα κοινόχρηστο ή δημόσιο δίκτυο, πιο συχνά ένα τυπικό Διαδίκτυο. Καθένας από τους διακομιστές είναι συνδεδεμένος μεταξύ τους χρησιμοποιώντας το ίδιο VPN.

Έτσι οι συσκευές συνδέονται φυσικά μεταξύ τους. Αλλά η πρακτική έχει δείξει ότι αυτό δεν είναι απαραίτητο.

Ειδικά για να μην χρησιμοποιούνται καλώδια, καλώδια και άλλες συσκευές παρεμβολής, το VPN έχει ρυθμιστεί.

Οι τοπικές συσκευές συνδέονται μεταξύ τους όχι μέσω καλωδίων, αλλά μέσω Wi-FI, GPS, Bluetooth και άλλων συσκευών.
Τα εικονικά δίκτυα, τις περισσότερες φορές, είναι μια τυπική σύνδεση στο Διαδίκτυο. Φυσικά, η πρόσβαση σε συσκευές απλώς δεν θα λειτουργήσει, γιατί παντού υπάρχουν επίπεδα αναγνώρισης που στοχεύουν στην αποφυγή πειρατείας και κακών στο Δίκτυο VPN.

2. Λίγα λόγια για τη δομή του VPN

Η δομή του VPN χωρίζεται σε δύο μέρη: εξωτερικό και εσωτερικό.
Κάθε υπολογιστής συνδέεται σε δύο μέρη ταυτόχρονα. Αυτό γίνεται χρησιμοποιώντας τον διακομιστή.


Ο διακομιστής, στην περίπτωσή μας, είναι ο λεγόμενος φύλακας στην είσοδο. Θα εντοπίσει και θα καταχωρήσει τα μέλη του εικονικού δικτύου.

Ο υπολογιστής ή η συσκευή που είναι συνδεδεμένη στο VPN πρέπει να έχει όλα τα δεδομένα για εξουσιοδότηση και τον λεγόμενο έλεγχο ταυτότητας, δηλαδή έναν ειδικό, συνήθως εφάπαξ κωδικό πρόσβασης ή άλλο εργαλείο που θα μπορούσε να σας βοηθήσει να προχωρήσετε στη διαδικασία.

Αυτή η διαδικασία δεν είναι ιδιαίτερα σημαντική για εμάς. Όλο και πιο ισχυρές και σοβαρές μέθοδοι εξουσιοδότησης σε διακομιστές δημιουργούνται από ειδικούς.

Για να είστε σε ένα τέτοιο δίκτυο, στην είσοδο πρέπει να γνωρίζετε τα εξής:
1. Όνομα, όνομα υπολογιστή για παράδειγμα ή άλλη σύνδεση που χρησιμοποιείται για αναγνώριση στο δίκτυο.
2. Κωδικός πρόσβασης, εάν υπάρχει, για την ολοκλήρωση της εξουσιοδότησης.
Επίσης, ένας υπολογιστής που θέλει να συνδεθεί στο επόμενο δίκτυο VPN «κουβαλάει» όλα τα δεδομένα για εξουσιοδότηση. Ο διακομιστής θα εισάγει αυτά τα δεδομένα στη βάση δεδομένων του. Αφού καταχωρήσετε τον υπολογιστή σας στη βάση δεδομένων, δεν θα χρειάζεστε πλέον τα παραπάνω δεδομένα.

3. VPN και η ταξινόμηση τους

Οι ταξινομήσεις των δικτύων VPN φαίνονται παρακάτω.

Ας προσπαθήσουμε να καταλάβουμε με περισσότερες λεπτομέρειες.
- ΒΑΘΜΟΣ ΠΡΟΣΤΑΣΙΑΣ. Δίκτυα που επιλέγονται με αυτό το κριτήριο:
1. Πλήρως ασφαλή - αυτά είναι εγγενώς ασφαλή δίκτυα.
2. Ασφαλή "έμπιστα" - λιγότερο ασφαλή δίκτυα, που χρησιμοποιούνται σε περιπτώσεις όπου το αρχικό ή "μητρικό" δίκτυο είναι αξιόπιστο.
- ΕΚΤΕΛΕΣΗ. Μέθοδοι υλοποίησης. Δίκτυα που επιλέγονται με αυτό το κριτήριο:
1. Συνδυασμένες μέθοδοι και μέθοδοι λογισμικού.
2. Τρόπος υλικού– χρησιμοποιώντας πραγματικές συσκευές.
- ΣΚΟΠΟΣ. VPN που ταιριάζουν με αυτό το κριτήριο:
1. Intranet (Intranet) - χρησιμοποιείται πιο συχνά σε εταιρείες όπου πρέπει να συνδυάσετε πολλά υποκαταστήματα.
2. Extranet (Extranet) - χρησιμοποιείται ειδικά για την οργάνωση δικτύων στα οποία υπάρχουν διάφοροι συμμετέχοντες, καθώς και πελάτες της εταιρείας.
3. Πρόσβαση (Remote Access) είναι η οργάνωση δικτύων VPN, όπου υπάρχουν τα λεγόμενα απομακρυσμένα υποκαταστήματα.
- ΠΡΩΤΟΚΟΛΛΟ. Η υλοποίηση των δικτύων VPN είναι δυνατή χρησιμοποιώντας τα πρωτόκολλα AppleTalk και IPX, αλλά στην πραγματικότητα χρησιμοποιώ το TCP / IP πιο συχνά και πιο αποτελεσματικά. Ο λόγος είναι η δημοτικότητα αυτού του πρωτοκόλλου στα κύρια δίκτυα.
- ΕΠΙΠΕΔΟ ΕΡΓΑΣΙΑΣ. Το OSI προτιμάται εδώ, αλλά Δίκτυο VPNμπορεί να λειτουργήσει μόνο στα επίπεδα σύνδεσης, δικτύου και μεταφοράς.
Φυσικά, στην πράξη, ένα δίκτυο, μπορείτε να συμπεριλάβετε πολλές λειτουργίες ταυτόχρονα. Ας προχωρήσουμε στα σημεία σχετικά με την απευθείας εγκατάσταση ενός δικτύου VPN χρησιμοποιώντας τον υπολογιστή ή τον φορητό υπολογιστή σας.

4. Πώς να ρυθμίσετε ένα δίκτυο VPN (εικονικό δίκτυο)

Η πρώτη μέθοδος αναπτύχθηκε ειδικά για τα Windows 7.
Στα Windows 7, η εγκατάσταση πραγματοποιείται χρησιμοποιώντας αρκετά απλά βήματα και ακολουθώντας τις ακόλουθες οδηγίες:
1. Μεταβείτε στο " Κέντρο δικτύου και κοινής χρήσης". Κάντε κλικ στον πίνακα γρήγορη πρόσβασηστο εικονίδιο σύνδεσης και στο παράθυρο επιλέξτε το στοιχείο που χρειαζόμαστε.

2. Το πρόγραμμα δεν μοιάζει πάντα με αυτό στο παραπάνω σχήμα, μπορεί επίσης να είναι κάπως έτσι:

3. Στο νέο παράθυρο βρίσκουμε την ενότητα " Ρυθμίστε μια νέα σύνδεση ή δίκτυο". Αυτή η ενότητα επισημαίνεται στο σχήμα.


4. Στην επόμενη παράγραφο βρίσκουμε « Σύνδεση σε χώρο εργασίας"και φύγε" Περαιτέρω».


5. Σε περίπτωση που υπάρχει ήδη σύνδεση VPN στον υπολογιστή, θα πρέπει να εμφανιστεί ένα ειδικό παράθυρο, όπως στην παρακάτω εικόνα. Επιλέξτε "Όχι, δημιουργήστε μια νέα σύνδεση" και πηγαίνετε ξανά " Περαιτέρω».


6. Σε ένα νέο παράθυρο βρίσκουμε " Χρήση της σύνδεσής μου στο διαδίκτυο (VPN)»


7. Τώρα εισάγουμε τη διεύθυνση, το όνομα του δικτύου VPN. Μπορείτε να μάθετε όλες τις λεπτομέρειες από τον διαχειριστή του δικτύου, ο οποίος θα σας ενημερώσει επίσης για ένα ειδικό παράθυρο.

Εάν η σύνδεση έχει συμβεί σε ένα ήδη λειτουργικό δίκτυο, είναι καλύτερο να ζητήσετε τα δεδομένα από τον διαχειριστή αυτού του δικτύου. Συνήθως αυτή η διαδικασία δεν απαιτεί πολύ χρόνο. Εισαγάγετε δεδομένα στα παρεχόμενα πεδία.
8. Στο ίδιο πλαίσιο, βάλτε ένα σημάδι στο " Μην συνδεθείτε τώρα...", και μετά πηγαίνετε στο" Περαιτέρω».


9. Εισαγάγετε τα δεδομένα σας (σύνδεση και κωδικό πρόσβασης) από το δίκτυο. Στο παρακάτω σχήμα, τα πεδία αυτά επισημαίνονται.

Εάν η σύνδεση είναι η πρώτη με το δίκτυο, τότε τα δεδομένα θα πρέπει να δημιουργηθούν νέα, αφού τα ελέγξετε από τον διακομιστή, θα σας επιτραπεί να εισέλθετε στο δίκτυο και να τα χρησιμοποιήσετε.

Εάν η σύνδεση δεν είναι κύρια, τότε ο διακομιστής δεν θα ελέγξει τα δεδομένα σας και θα σας αφήσει απευθείας στο επιθυμητό δίκτυο.

10. Αφού εισαγάγετε τα απαιτούμενα δεδομένα, κάντε κλικ στο " Για να συνδέσετε».


11. Το επόμενο παράθυρο θα σας ζητήσει να συνδεθείτε στο δίκτυο τώρα. Καλύτερα να το κλείσεις.


Η εγκατάσταση ολοκληρώθηκε με επιτυχία και απομένει μόνο η σύνδεση στο δίκτυο. Για να το κάνετε αυτό, πρέπει να επιστρέψετε στην πρώτη παράγραφο " Κέντρο δικτύου και κοινής χρήσης».
12. Στο νέο παράθυρο, επιλέξτε " Συνδεθείτε στο δίκτυο».


13. Εδώ επιλέγουμε τη σύνδεσή μας και συνδέουμε σε αυτήν.

Ρύθμιση VPN στα Windows 7ολοκληρώθηκε το.

Ας προχωρήσουμε στη ρύθμιση ενός VPN στα Windows 10, ο αλγόριθμος και οι ενέργειες είναι σχεδόν οι ίδιες εκεί. Η μόνη διαφορά είναι σε ορισμένα στοιχεία διεπαφής και πρόσβαση σε αυτά.

Έτσι, για παράδειγμα, για να μπείτε στο "Κέντρο δικτύου και κοινής χρήσης" πρέπει να κάνετε τα πάντα όπως στα Windows 7, επιπλέον υπάρχει ένα ειδικό στοιχείο " Δημιουργία και διαμόρφωση μιας νέας σύνδεσης ή...».
Επιπλέον, η εγκατάσταση γίνεται με τον ίδιο τρόπο όπως στα Windows 7, μόνο η διεπαφή θα είναι ελαφρώς διαφορετική.


Κάποια ταλαιπωρία χρήστες Windows 10 μπορεί να σχετίζεται με το γεγονός ότι θα αναζητήσουν την κλασική άποψη του δικτύου. πρέπει να πας στο " Δίκτυο και διαδίκτυο" και, στη συνέχεια, επιλέξτε "Προβολή εργασιών και κατάστασης δικτύου" για περαιτέρω εργασία με τη ρύθμιση δικτύων VPN.

Στην πραγματικότητα, δεν υπάρχει τίποτα περίπλοκο στη ρύθμιση. Με την ευκαιρία, αυτό Σύνδεση VPNείναι δυνατή η διαμόρφωση ακόμη και σε συσκευές Android, μια ενότητα θα αφιερωθεί σε αυτό παρακάτω.

5. Ρύθμιση VPN στο Android

Για να εκτελέσετε μια τέτοια λειτουργία, θα χρειαστεί να εγκαταστήσετε και να κατεβάσετε ένα εργαλείο που ονομάζεται SuperVPN Free VPM Client από τα επίσημα καταστήματα Android.

Ένα παράθυρο προγράμματος που θα προσφέρει τη δημιουργία ενός δικτύου VPN στο Android.


Σε γενικές γραμμές, όλα είναι ξεκάθαρα εδώ, κάντε κλικ στο " Συνδέω-συωδεομαι”, μετά την οποία θα ξεκινήσει η αναζήτηση διαθέσιμα δίκτυακαι περαιτέρω σύνδεση μαζί τους. Η εγκατάσταση ενός VPN στο Android γίνεται χωρίς πρόσθετα προγράμματα.

Πρόσφατα, ο κόσμος των τηλεπικοινωνιών έχει δει αυξημένο ενδιαφέρον για τα εικονικά ιδιωτικά δίκτυα (Virtual Private Network - VPN). Αυτό οφείλεται στην ανάγκη μείωσης του κόστους συντήρησης εταιρικών δικτύων λόγω φθηνότερης σύνδεσης απομακρυσμένων γραφείων και απομακρυσμένων χρηστών μέσω Διαδικτύου. Πράγματι, κατά τη σύγκριση του κόστους των υπηρεσιών για τη σύνδεση πολλών δικτύων μέσω του Διαδικτύου, για παράδειγμα, με τα δίκτυα Frame Relay, μπορεί κανείς να παρατηρήσει μια σημαντική διαφορά στο κόστος. Ωστόσο, πρέπει να σημειωθεί ότι όταν τα δίκτυα συνδέονται μέσω Διαδικτύου, τίθεται αμέσως το ζήτημα της ασφάλειας της μετάδοσης δεδομένων, επομένως κατέστη αναγκαία η δημιουργία μηχανισμών για τη διασφάλιση του απορρήτου και της ακεραιότητας των μεταδιδόμενων πληροφοριών. Τα δίκτυα που δημιουργούνται με βάση τέτοιους μηχανισμούς ονομάζονται VPN.

Επιπλέον, πολύ συχνά ένας σύγχρονος άνθρωπος, αναπτύσσοντας την επιχείρησή του, πρέπει να ταξιδεύει πολύ. Μπορεί να είναι ταξίδια σε απομακρυσμένες γωνιές της χώρας μας ή σε χώρες του εξωτερικού. Δεν είναι ασυνήθιστο οι άνθρωποι να χρειάζονται πρόσβαση στις πληροφορίες τους που είναι αποθηκευμένες στον υπολογιστή του σπιτιού ή της εταιρείας τους. Αυτό το πρόβλημα μπορεί να λυθεί με την οργάνωση της απομακρυσμένης πρόσβασης σε αυτό χρησιμοποιώντας ένα μόντεμ και μια γραμμή. Η χρήση μιας τηλεφωνικής γραμμής έχει τα δικά της χαρακτηριστικά. Τα μειονεκτήματα αυτής της λύσης είναι ότι μια κλήση από άλλη χώρα κοστίζει πολλά χρήματα. Υπάρχει μια άλλη λύση που ονομάζεται VPN. Το πλεονέκτημα της τεχνολογίας VPN είναι ότι ένας οργανισμός απομακρυσμένη πρόσβασηγίνεται όχι μέσω τηλεφωνικής γραμμής, αλλά μέσω Διαδικτύου, που είναι πολύ φθηνότερο και καλύτερο. Κατά τη γνώμη μου, τεχνολογία. Το VPN έχει την προοπτική να υιοθετηθεί ευρέως σε όλο τον κόσμο.

1. Η έννοια και η ταξινόμηση των δικτύων VPN, η κατασκευή τους

1.1 Τι είναι το VPN

VPN(Eng. Virtual Private Network - εικονικό ιδιωτικό δίκτυο) - ένα λογικό δίκτυο που δημιουργείται πάνω από ένα άλλο δίκτυο, όπως το Διαδίκτυο. Αν και οι επικοινωνίες είναι δημόσια δίκτυαχρησιμοποιώντας μη ασφαλή πρωτόκολλα, λόγω κρυπτογράφησης, δημιουργούνται κανάλια ανταλλαγής πληροφοριών κλειστά από εξωτερικούς. Το VPN σάς επιτρέπει να συνδυάσετε, για παράδειγμα, πολλά γραφεία ενός οργανισμού σε ένα ενιαίο δίκτυο χρησιμοποιώντας μη ελεγχόμενα κανάλια επικοινωνίας μεταξύ τους.


Στον πυρήνα του, ένα VPN έχει πολλές από τις ιδιότητες μιας μισθωμένης γραμμής, αλλά αναπτύσσεται σε ένα δημόσιο δίκτυο, όπως . Με την τεχνική της σήραγγας, τα πακέτα δεδομένων μεταδίδονται μέσω του δημόσιου δικτύου σαν να ήταν μια κανονική σύνδεση από σημείο σε σημείο. Μεταξύ κάθε ζεύγους «αποστολέα δεδομένων-λήπτη» δημιουργείται ένα είδος σήραγγας - μια ασφαλής λογική σύνδεση που σας επιτρέπει να ενσωματώσετε τα δεδομένα ενός πρωτοκόλλου σε πακέτα ενός άλλου. Τα κύρια στοιχεία της σήραγγας είναι:

  • μυητής;
  • δρομολογημένο δίκτυο?
  • διακόπτης σήραγγας?
  • έναν ή περισσότερους τερματιστές σήραγγας.

Από μόνη της, η αρχή της λειτουργίας VPN δεν έρχεται σε αντίθεση με τις κύριες τεχνολογίες και πρωτόκολλα δικτύου. Για παράδειγμα, κατά τη δημιουργία μιας σύνδεσης μέσω τηλεφώνου, ο πελάτης στέλνει μια ροή τυπικών πακέτων PPP στον διακομιστή. Στην περίπτωση οργάνωσης εικονικών μισθωμένων γραμμών μεταξύ τοπικών δικτύων, οι δρομολογητές τους ανταλλάσσουν επίσης πακέτα PPP. Ωστόσο, ένα θεμελιωδώς νέο σημείο είναι η προώθηση πακέτων μέσω μιας ασφαλούς σήραγγας οργανωμένης εντός του δημόσιου δικτύου.

Το Tunneling σας επιτρέπει να οργανώσετε τη μετάδοση των πακέτων του ενός πρωτόκολλο σε ένα λογικό περιβάλλον που χρησιμοποιεί διαφορετικό πρωτόκολλο. Ως αποτέλεσμα, καθίσταται δυνατή η επίλυση των προβλημάτων αλληλεπίδρασης μεταξύ πολλών διαφορετικών τύπων δικτύων, ξεκινώντας από την ανάγκη διασφάλισης της ακεραιότητας και εμπιστευτικότητας των μεταδιδόμενων δεδομένων και τελειώνοντας με την υπερνίκηση των ασυνεπειών στα εξωτερικά πρωτόκολλα ή τα σχήματα διευθυνσιοδότησης.

Η υπάρχουσα υποδομή δικτύου μιας εταιρείας μπορεί να παρασχεθεί για χρήση VPN είτε μέσω λογισμικού είτε σκεύη, εξαρτήματα. Η οργάνωση ενός εικονικού ιδιωτικού δικτύου μπορεί να συγκριθεί με την τοποθέτηση καλωδίου μέσω ενός παγκόσμιου δικτύου. Συνήθως, μια άμεση σύνδεση μεταξύ ενός απομακρυσμένου χρήστη και μιας συσκευής τερματισμού σήραγγας δημιουργείται χρησιμοποιώντας το πρωτόκολλο PPP.

Η πιο συνηθισμένη μέθοδος για τη δημιουργία σηράγγων VPN είναι η ενθυλάκωση πρωτοκόλλων δικτύου (IP, IPX, AppleTalk κ.λπ.) σε PPP και στη συνέχεια η ενθυλάκωση των δημιουργηθέντων πακέτων σε ένα πρωτόκολλο σήραγγας. Συνήθως το τελευταίο είναι IP ή (πολύ σπανιότερα) ATM και Frame Relay. Αυτή η προσέγγιση ονομάζεται σήραγγα επιπέδου 2, επειδή ο «επιβάτης» εδώ είναι το πρωτόκολλο του επιπέδου 2.

Μια εναλλακτική προσέγγιση - η ενθυλάκωση πακέτων πρωτοκόλλου δικτύου απευθείας σε ένα πρωτόκολλο σήραγγας (π.χ. VTP) ονομάζεται σήραγγα επιπέδου 3.

Ανεξάρτητα από τα πρωτόκολλα που χρησιμοποιούνται ή τους στόχους καταδιωκόμενοι στην οργάνωση του τούνελ, η βασική τεχνική παραμένειπρακτικά αμετάβλητο. Συνήθως, το ένα πρωτόκολλο χρησιμοποιείται για τη δημιουργία σύνδεσης με έναν απομακρυσμένο κεντρικό υπολογιστή και το άλλο χρησιμοποιείται για την ενθυλάκωση δεδομένων και πληροφοριών υπηρεσίας για μετάδοση μέσω μιας σήραγγας.

1.2 Ταξινόμηση δικτύων VPN

Οι λύσεις VPN μπορούν να ταξινομηθούν σύμφωνα με διάφορες κύριες παραμέτρους:

1. Ανά τύπο μέσου που χρησιμοποιείται:

  • Ασφαλή δίκτυα VPN. Η πιο κοινή παραλλαγή ιδιωτικών ιδιωτικών δικτύων. Με τη βοήθειά του, είναι δυνατό να δημιουργηθεί ένα αξιόπιστο και ασφαλές υποδίκτυο που βασίζεται σε ένα αναξιόπιστο δίκτυο, συνήθως στο Διαδίκτυο. Παραδείγματα ασφαλών VPN είναι: IPSec, OpenVPN και PPTP.
  • Αξιόπιστα δίκτυα VPN. Χρησιμοποιούνται σε περιπτώσεις όπου το μέσο μετάδοσης μπορεί να θεωρηθεί αξιόπιστο και είναι απαραίτητο μόνο να λυθεί το πρόβλημα της δημιουργίας ενός εικονικού υποδικτύου σε ένα μεγαλύτερο δίκτυο. Τα θέματα ασφαλείας γίνονται άσχετα. Παραδείγματα τέτοιων λύσεων VPN είναι: MPLS και L2TP. Είναι πιο σωστό να πούμε ότι αυτά τα πρωτόκολλα μετατοπίζουν το καθήκον της παροχής ασφάλειας σε άλλους, για παράδειγμα το L2TP, κατά κανόνα, χρησιμοποιείται παράλληλα με το IPSec.

2. Σύμφωνα με τη μέθοδο υλοποίησης:

  • Δίκτυα VPN με τη μορφή ειδικού λογισμικού και υλικού. Η υλοποίηση του δικτύου VPN πραγματοποιείται χρησιμοποιώντας ένα ειδικό σύνολο λογισμικού και υλικού. Αυτή η υλοποίηση παρέχει υψηλή απόδοση και, κατά κανόνα, υψηλό βαθμόασφάλεια.
  • Τα δίκτυα VPN ως λύση λογισμικού. χρήση Προσωπικός υπολογιστήςμε ειδικό λογισμικό που παρέχει λειτουργικότητα VPN.
  • Δίκτυα VPN με ολοκληρωμένη λύση. Η λειτουργικότητα VPN παρέχεται από ένα συγκρότημα που επιλύει επίσης τις εργασίες φιλτραρίσματος της κυκλοφορίας δικτύου, οργάνωσης τείχος προστασίαςκαι τη διασφάλιση της ποιότητας των υπηρεσιών.

3. Κατόπιν ραντεβού:

  • Intranet VPN. Χρησιμοποιείται για να συνδυάσει σε ένα ενιαίο ασφαλές δίκτυο πολλά κατανεμημένα υποκαταστήματα ενός οργανισμού που ανταλλάσσουν δεδομένα ανοιχτά κανάλιασυνδέσεις.
  • Απομακρυσμένη πρόσβαση VPN. Χρησιμοποιείται για τη δημιουργία ενός ασφαλούς καναλιού μεταξύ ενός τμήματος εταιρικού δικτύου (κεντρικό γραφείο ή υποκατάστημα) και ενός μεμονωμένου χρήστη που, ενώ εργάζεται στο σπίτι, συνδέεται με εταιρικούς πόρους με οικιακός υπολογιστήςή, ενώ βρίσκεστε σε επαγγελματικό ταξίδι, συνδέεται με εταιρικούς πόρους χρησιμοποιώντας φορητό υπολογιστή.
  • Extranet VPN. Χρησιμοποιείται για δίκτυα στα οποία συνδέονται "εξωτερικοί" χρήστες (για παράδειγμα, πελάτες ή πελάτες). Το επίπεδο εμπιστοσύνης σε αυτούς είναι πολύ χαμηλότερο από ό,τι στους υπαλλήλους της εταιρείας, επομένως, είναι απαραίτητο να παρέχονται ειδικά «σύνορα» προστασίας που εμποδίζουν ή περιορίζουν την πρόσβαση των τελευταίων σε ιδιαίτερα πολύτιμες, εμπιστευτικές πληροφορίες.

4. Ανά τύπο πρωτοκόλλου:

  • Υπάρχουν υλοποιήσεις εικονικών ιδιωτικών δικτύων υπό TCP/IP, IPX και AppleTalk. Αλλά σήμερα υπάρχει μια τάση προς μια γενική μετάβαση στο πρωτόκολλο TCP/IP και η συντριπτική πλειοψηφία των λύσεων VPN το υποστηρίζει.

5. Κατά επίπεδο πρωτοκόλλου δικτύου:

  • Με επίπεδο πρωτοκόλλου δικτύου, με βάση μια αντιστοίχιση στα επίπεδα του μοντέλου αναφοράς δικτύου ISO/OSI.

1.3. Δημιουργία VPN

Υπάρχουν διάφορες επιλογές για την κατασκευή ενός VPN. Όταν επιλέγετε μια λύση, πρέπει να λάβετε υπόψη τους παράγοντες απόδοσης των δημιουργών VPN. Για παράδειγμα, εάν ένας δρομολογητής λειτουργεί ήδη στο όριο χωρητικότητάς του, τότε η προσθήκη σηράγγων VPN και η εφαρμογή κρυπτογράφησης / αποκρυπτογράφησης πληροφοριών μπορεί να σταματήσει να λειτουργεί ολόκληρο το δίκτυο λόγω του γεγονότος ότι αυτός ο δρομολογητής δεν θα μπορεί να αντιμετωπίσει την απλή κίνηση, όχι για να αναφέρω το VPN. Η εμπειρία δείχνει ότι για να χτίσει Το VPN είναι καλύτεροχρησιμοποιήστε μόνο εξειδικευμένο εξοπλισμό, αλλά εάν υπάρχει περιορισμός στα χρήματα, τότε μπορείτε να δώσετε προσοχή σε μια καθαρά λύση λογισμικού. Εξετάστε μερικές επιλογές για την κατασκευή ενός VPN.

  • VPN που βασίζεται σε τείχος προστασίας. Οι περισσότεροι κατασκευαστές τείχους προστασίας υποστηρίζουν τη δημιουργία σήραγγας και την κρυπτογράφηση δεδομένων. Όλα αυτά τα προϊόντα βασίζονται στο γεγονός ότι η κίνηση που διέρχεται από το τείχος προστασίας είναι κρυπτογραφημένη. Μια μονάδα κρυπτογράφησης προστίθεται στο ίδιο το λογισμικό του τείχους προστασίας. Το μειονέκτημα αυτής της μεθόδου είναι η εξάρτηση της απόδοσης από το υλικό στο οποίο εκτελείται το τείχος προστασίας. Όταν χρησιμοποιείτε τείχη προστασίας που βασίζονται σε υπολογιστή, έχετε υπόψη σας ότι μια τέτοια λύση μπορεί να χρησιμοποιηθεί μόνο για μικρά δίκτυα με μικρή ποσότητα μεταδιδόμενων πληροφοριών.
  • VPN που βασίζεται σε δρομολογητή. Ένας άλλος τρόπος δημιουργίας ενός VPN είναι η χρήση δρομολογητών για τη δημιουργία ασφαλών καναλιών. Δεδομένου ότι όλες οι πληροφορίες που προέρχονται από το τοπικό δίκτυο περνούν μέσω του δρομολογητή, συνιστάται να εκχωρήσετε εργασίες κρυπτογράφησης και σε αυτόν τον δρομολογητή.Ένα παράδειγμα εξοπλισμού για την κατασκευή VPN σε δρομολογητές είναι ο εξοπλισμός της Cisco Systems. Ξεκινώντας από την έκδοση λογισμικό IOS 11.3, δρομολογητές Cisco υποστηρίζουν πρωτόκολλα L2TP και IPSec. Εκτός από την απλή κρυπτογράφηση της κυκλοφορίας κατά τη μεταφορά, η Cisco υποστηρίζει άλλες λειτουργίες VPN, όπως έλεγχο ταυτότητας στην εγκατάσταση σήραγγας και ανταλλαγή κλειδιών.Μια προαιρετική μονάδα κρυπτογράφησης ESA μπορεί να χρησιμοποιηθεί για τη βελτίωση της απόδοσης του δρομολογητή. Επιπλέον, η Cisco System κυκλοφόρησε μια αποκλειστική συσκευή VPN που ονομάζεται Cisco 1720 VPN Access Router για εγκατάσταση σε μικρές και μεσαίες επιχειρήσεις και μεγάλα υποκαταστήματα.
  • VPN που βασίζεται σε λογισμικό. Η επόμενη προσέγγιση για την κατασκευή ενός VPN είναι καθαρά λύσεις λογισμικού. Κατά την εφαρμογή μιας τέτοιας λύσης, χρησιμοποιείται εξειδικευμένο λογισμικό που εκτελείται σε αποκλειστικό υπολογιστή και στις περισσότερες περιπτώσεις λειτουργεί ως διακομιστής μεσολάβησης. Ο υπολογιστής που εκτελεί αυτό το λογισμικό ενδέχεται να βρίσκεται πίσω από ένα τείχος προστασίας.
  • ΛΣ δικτύου που βασίζεται σε VPN.Θα εξετάσουμε λύσεις που βασίζονται στο λειτουργικό σύστημα δικτύου χρησιμοποιώντας το παράδειγμα του λειτουργικού συστήματος Windows της Microsoft. Για τη δημιουργία ενός VPN, η Microsoft χρησιμοποιεί το πρωτόκολλο PPTP, το οποίο είναι ενσωματωμένο στο σύστημα των Windows. Αυτή η λύση είναι πολύ ελκυστική για οργανισμούς που χρησιμοποιούν τα Windows ως εταιρικό λειτουργικό σύστημα. Θα πρέπει να σημειωθεί ότι το κόστος μιας τέτοιας λύσης είναι πολύ χαμηλότερο από το κόστος άλλων λύσεων. Το VPN που βασίζεται σε Windows χρησιμοποιεί μια βάση χρήστη που είναι αποθηκευμένη στον κύριο ελεγκτή τομέα (PDC). Κατά τη σύνδεση σε διακομιστή PPTP, ο χρήστης ελέγχεται χρησιμοποιώντας τα πρωτόκολλα PAP, CHAP ή MS-CHAP. Τα μεταδιδόμενα πακέτα είναι ενθυλακωμένα σε πακέτα GRE/PPTP. Για την κρυπτογράφηση πακέτων, χρησιμοποιείται ένα μη τυπικό πρωτόκολλο από την κρυπτογράφηση Microsoft Point-to-Point με ένα κλειδί 40 ή 128 bit που λαμβάνεται κατά τη δημιουργία της σύνδεσης. Τα μειονεκτήματα αυτού του συστήματος είναι η έλλειψη ελέγχων ακεραιότητας δεδομένων και η αδυναμία αλλαγής κλειδιών κατά τη σύνδεση. Καλά σημείαείναι ευκολία ενσωμάτωσης με Windows και χαμηλό κόστος.
  • VPN που βασίζεται σε υλικό. Επιλογή δημιουργίας VPN ειδικές συσκευέςμπορεί να χρησιμοποιηθεί σε δίκτυα που απαιτούν υψηλή απόδοση. Ένα παράδειγμα τέτοιας λύσης είναι το προϊόν IPro-VPN της Radguard. Αυτό το προϊόν χρησιμοποιεί κρυπτογράφηση βασισμένη σε υλικό των μεταδιδόμενων πληροφοριών, ικανή να περάσει ροή 100 Mbps. Υποστηρίζει IPro-VPN Πρωτόκολλο IPSecκαι τον μηχανισμό διαχείρισης κλειδιών ISAKMP/Oakley. Μεταξύ άλλων, αυτή η συσκευήυποστηρίζει τη μετάφραση διευθύνσεων δικτύου και μπορεί να συμπληρωθεί με έναν ειδικό πίνακα που προσθέτει λειτουργίες τείχους προστασίας

2. Πρωτόκολλα δικτύων VPN

Τα δίκτυα VPN κατασκευάζονται χρησιμοποιώντας πρωτόκολλα σήραγγας δεδομένων μέσω ενός δικτύου επικοινωνιών κοινή χρήσηΤα πρωτόκολλα Διαδικτύου και σήραγγας παρέχουν κρυπτογράφηση δεδομένων και εκτελούν τη μετάδοσή τους από άκρο σε άκρο μεταξύ των χρηστών. Κατά κανόνα, σήμερα χρησιμοποιούνται τα ακόλουθα πρωτόκολλα για τη δημιουργία δικτύων VPN:

  • Στρώμα σύνδεσης
  • επίπεδο δικτύου
  • στρώμα μεταφοράς.

2.1 Επίπεδο σύνδεσης

Στο επίπεδο σύνδεσης δεδομένων, μπορούν να χρησιμοποιηθούν τα πρωτόκολλα σήραγγας δεδομένων L2TP και PPTP, τα οποία χρησιμοποιούν εξουσιοδότηση και έλεγχο ταυτότητας.

PPTP.

Επί του παρόντος, το πιο συνηθισμένο πρωτόκολλο VPN είναι το Πρωτόκολλο σήραγγας από σημείο σε σημείο - PPTP. Αναπτύχθηκε από την 3Com και τη Microsoft για να παρέχει ασφαλή απομακρυσμένη πρόσβαση σε εταιρικά δίκτυα μέσω Διαδικτύου. Το PPTP χρησιμοποιεί υπάρχοντα ανοιχτά πρότυπα TCP/IP και βασίζεται σε μεγάλο βαθμό στο παλαιού τύπου πρωτόκολλο PPP point-to-point. Στην πράξη, το PPP παραμένει το πρωτόκολλο επικοινωνίας μιας συνόδου σύνδεσης PPP. Το PPTP δημιουργεί μια σήραγγα μέσω του δικτύου στον διακομιστή NT του παραλήπτη και στέλνει τα πακέτα PPP του απομακρυσμένου χρήστη μέσω αυτού. Ο διακομιστής και ο σταθμός εργασίας χρησιμοποιούν ένα εικονικό ιδιωτικό δίκτυο και δεν τους νοιάζει πόσο ασφαλές ή προσβάσιμο είναι το παγκόσμιο δίκτυο μεταξύ τους. Ο τερματισμός μιας περιόδου σύνδεσης μέσω διακομιστή, σε αντίθεση με τους εξειδικευμένους διακομιστές απομακρυσμένης πρόσβασης, επιτρέπει στους διαχειριστές τοπικών δικτύων να μην επιτρέπουν στους απομακρυσμένους χρήστες να εγκαταλείψουν το σύστημα ασφαλείας του Windows Server.

Αν και το πεδίο εφαρμογής του πρωτοκόλλου PPTP εκτείνεται μόνο σε συσκευές που λειτουργούν υπό Έλεγχος των Windows, δίνει στις εταιρείες τη δυνατότητα να διαλειτουργούν με τις υπάρχουσες υποδομές δικτύου χωρίς να διακυβεύεται η δική τους ασφάλεια. Έτσι, ένας απομακρυσμένος χρήστης μπορεί να συνδεθεί στο Διαδίκτυο χρησιμοποιώντας έναν τοπικό ISP μέσω μιας αναλογικής τηλεφωνικής γραμμής ή καναλιού ISDN και να δημιουργήσει μια σύνδεση με τον διακομιστή NT. Ταυτόχρονα, η εταιρεία δεν χρειάζεται να δαπανήσει μεγάλα ποσά για την οργάνωση και συντήρηση μιας πισίνας μόντεμ που παρέχει υπηρεσίες απομακρυσμένης πρόσβασης.

Το έργο του RRTR συζητείται στη συνέχεια. Το PPTP ενσωματώνει πακέτα IP για μετάδοση μέσω δικτύου IP. Οι πελάτες PPTP χρησιμοποιούν τη θύρα προορισμού για να δημιουργήσουν μια σύνδεση ελέγχου σήραγγας. Αυτή η διαδικασία λαμβάνει χώρα στο επίπεδο μεταφοράς του μοντέλου OSI. Μετά τη δημιουργία του τούνελ, ο υπολογιστής-πελάτης και ο διακομιστής αρχίζουν να ανταλλάσσουν πακέτα υπηρεσιών. Εκτός από τη σύνδεση ελέγχου PPTP που διατηρεί τη σύνδεση ζωντανή, δημιουργείται μια σύνδεση για την προώθηση της σήραγγας δεδομένων. Τα δεδομένα ενθυλακώνονται πριν σταλούν μέσω της σήραγγας με ελαφρώς διαφορετικό τρόπο από ό,τι κατά την κανονική μετάδοση. Η ενθυλάκωση δεδομένων πριν από την αποστολή τους στη σήραγγα περιλαμβάνει δύο βήματα:

  1. Αρχικά, δημιουργείται το τμήμα πληροφοριών PPP. Τα δεδομένα ρέουν από πάνω προς τα κάτω, από το επίπεδο εφαρμογής OSI στο επίπεδο σύνδεσης.
  2. Τα ληφθέντα δεδομένα αποστέλλονται στη συνέχεια στο μοντέλο OSI και ενθυλακώνονται από πρωτόκολλα ανώτερου επιπέδου.

Έτσι, κατά το δεύτερο πέρασμα, τα δεδομένα φτάνουν στο επίπεδο μεταφοράς. Ωστόσο, οι πληροφορίες δεν μπορούν να σταλούν στον προορισμό τους, καθώς το κανάλι είναι υπεύθυνο για αυτό. Στρώμα OSI. Επομένως, το PPTP κρυπτογραφεί το πεδίο ωφέλιμου φορτίου του πακέτου και αναλαμβάνει τις λειτουργίες δεύτερου επιπέδου που συνήθως συνδέονται με το PPP, π.χ. προσθέτει μια κεφαλίδα PPP και τελειώνει σε ένα πακέτο PPTP. Αυτό ολοκληρώνει τη δημιουργία του πλαισίου επιπέδου σύνδεσης.

Στη συνέχεια, το PPTP ενσωματώνει το πλαίσιο PPP σε ένα πακέτο Generic Routing Encapsulation (GRE) που ανήκει στο επίπεδο δικτύου. Το GRE ενσωματώνει πρωτόκολλα επιπέδου δικτύου όπως IPX, AppleTalk, DECnet για να μπορούν να μεταφερθούν μέσω δικτύων IP. Ωστόσο, η GRE δεν έχει τη δυνατότητα να δημιουργήσει συνεδρίες και να παρέχει προστασία δεδομένων από εισβολείς. Αυτό χρησιμοποιεί την ικανότητα του PPTP να δημιουργεί μια σύνδεση ελέγχου σήραγγας. Η χρήση του GRE ως μεθόδου ενθυλάκωσης περιορίζει το πεδίο εφαρμογής του PPTP μόνο σε δίκτυα IP.

Αφού το πλαίσιο PPP έχει ενθυλακωθεί σε ένα πλαίσιο με κεφαλίδα GRE, ενθυλακώνεται σε πλαίσιο με κεφαλίδα IP. Η κεφαλίδα IP περιέχει τις διευθύνσεις αποστολέα και παραλήπτη του πακέτου. Τέλος, το PPTP προσθέτει μια κεφαλίδα PPP και τέλος.

Το σύστημα αποστολής στέλνει δεδομένα μέσω της σήραγγας. Το σύστημα λήψης αφαιρεί όλες τις κεφαλίδες υπηρεσίας, αφήνοντας μόνο τα δεδομένα PPP.

L2TP

Στο εγγύς μέλλον, αναμένεται αύξηση του αριθμού των VPN που αναπτύσσονται με βάση το νέο Πρωτόκολλο Σήραγγας Επιπέδου 2 - L2TP.

Το L2TP εμφανίστηκε ως αποτέλεσμα της συγχώνευσης των πρωτοκόλλων PPTP και L2F (Layer 2 Forwarding). Το PPTP επιτρέπει τη μετάδοση πακέτων PPP μέσω της σήραγγας και τα πακέτα SLIP και PPP L2F. Για να αποφευχθεί η σύγχυση και τα προβλήματα διαλειτουργικότητας στην αγορά των τηλεπικοινωνιών, η επιτροπή Internet Engineering Task Force (IETF) συνέστησε η Cisco Systems να συνδυάσει PPTP και L2F. Σύμφωνα με όλους τους λογαριασμούς, το πρωτόκολλο L2TP έχει ενσωματώσει τις καλύτερες δυνατότητες των PPTP και L2F. Το κύριο πλεονέκτημα του L2TP είναι ότι αυτό το πρωτόκολλο σας επιτρέπει να δημιουργήσετε ένα τούνελ όχι μόνο σε δίκτυα IP, αλλά και σε δίκτυα όπως το ATM, το X.25 και το Frame Relay. Δυστυχώς, η υλοποίηση του L2TP των Windows 2000 υποστηρίζει μόνο IP.

Το L2TP χρησιμοποιεί το UDP ως μεταφορά και χρησιμοποιεί την ίδια μορφή μηνύματος τόσο για τη διαχείριση σήραγγας όσο και για την προώθηση δεδομένων. Η υλοποίηση του L2TP από τη Microsoft χρησιμοποιεί πακέτα UDP που περιέχουν κρυπτογραφημένα πακέτα PPP ως μηνύματα ελέγχου. Η αξιοπιστία της παράδοσης διασφαλίζεται από τον έλεγχο της αλληλουχίας των πακέτων.

Η λειτουργικότητα των PPTP και L2TP είναι διαφορετική. Το L2TP μπορεί να χρησιμοποιηθεί όχι μόνο σε δίκτυα IP, αλλά τα μηνύματα υπηρεσίας για τη δημιουργία ενός τούνελ και την αποστολή δεδομένων μέσω αυτού χρησιμοποιούν την ίδια μορφή και πρωτόκολλα. Το PPTP μπορεί να χρησιμοποιηθεί μόνο μέσω δικτύων IP και χρειάζεται ξεχωριστή σύνδεση TCP για τη δημιουργία και τη χρήση του τούνελ. Το L2TP μέσω IPSec προσφέρει περισσότερα επίπεδα ασφάλειας από το PPTP και μπορεί να εγγυηθεί σχεδόν 100% ασφάλεια των κρίσιμων για τις επιχειρήσεις δεδομένων. Τα χαρακτηριστικά του L2TP το καθιστούν ένα πολλά υποσχόμενο πρωτόκολλο για κατασκευή εικονικά δίκτυα.

Τα πρωτόκολλα L2TP και PPTP διαφέρουν από τα πρωτόκολλα σήραγγας του επιπέδου 3 με διάφορους τρόπους:

  1. Δίνοντας στις εταιρείες τη δυνατότητα να επιλέξουν τον τρόπο με τον οποίο οι χρήστες θα ελέγχουν την ταυτότητα και θα επαληθεύουν τα διαπιστευτήριά τους - στη δική τους «επικράτεια» ή με έναν πάροχο υπηρεσιών Διαδικτύου. Με την επεξεργασία πακέτων PPP με σήραγγα, οι διακομιστές εταιρικού δικτύου λαμβάνουν όλες τις πληροφορίες που χρειάζονται για την αναγνώριση των χρηστών.
  2. Υποστήριξη για μεταγωγή σήραγγας - τερματισμός μιας σήραγγας και εκκίνηση μιας άλλης σε έναν από τους πολλούς πιθανούς τερματιστές. Οι σήραγγες μεταγωγής επιτρέπουν, σαν να λέγαμε, την επέκταση της σύνδεσης PPP στο απαιτούμενο τελικό σημείο.
  3. Χορήγηση διαχειριστές συστήματοςεταιρικό δίκτυο, τη δυνατότητα εφαρμογής στρατηγικών για την εκχώρηση δικαιωμάτων πρόσβασης στους χρήστες απευθείας στο τείχος προστασίας και στους εσωτερικούς διακομιστές. Επειδή οι τερματιστές σήραγγας λαμβάνουν πακέτα PPP που περιέχουν πληροφορίες χρήστη, είναι σε θέση να εφαρμόζουν πολιτικές ασφαλείας που καθορίζονται από τον διαχειριστή στην κίνηση μεμονωμένων χρηστών. (Η σήραγγα επιπέδου 3 δεν κάνει διάκριση μεταξύ των πακέτων που προέρχονται από τον ISP, επομένως τα φίλτρα πολιτικής ασφαλείας πρέπει να εφαρμόζονται στους τερματικούς σταθμούς εργασίας και συσκευές δικτύου.) Επιπλέον, σε περίπτωση χρήσης διακόπτη σήραγγας, καθίσταται δυνατή η οργάνωση μιας «συνέχειας» της σήραγγας το δεύτερο επίπεδο για άμεση μετάφραση της κίνησης του ατόμουχρήστες στους αντίστοιχους εσωτερικούς διακομιστές. Τέτοιοι διακομιστές ενδέχεται να επιφορτιστούν με πρόσθετο φιλτράρισμα πακέτων.

MPLS

Επίσης στο επίπεδο σύνδεσης, η τεχνολογία MPLS μπορεί να χρησιμοποιηθεί για την οργάνωση σηράγγων (Από την αγγλική Multiprotocol Label Switching - multiprotocol label switching - ένας μηχανισμός μεταφοράς δεδομένων που μιμείται διάφορες ιδιότητεςδίκτυα μεταγωγής κυκλώματος πάνω από δίκτυα μεταγωγής πακέτων). Το MPLS λειτουργεί σε ένα επίπεδο που θα μπορούσε να τοποθετηθεί μεταξύ του επιπέδου ζεύξης δεδομένων και του τρίτου επιπέδου δικτύου του μοντέλου OSI και επομένως αναφέρεται συνήθως ως πρωτόκολλο επιπέδου σύνδεσης δικτύου. Σχεδιάστηκε για να παρέχει μια ευέλικτη υπηρεσία δεδομένων τόσο για πελάτες δικτύου μεταγωγής κυκλώματος όσο και για πελάτες δικτύου μεταγωγής πακέτων. Με το MPLS, μπορείτε να μεταφέρετε μια μεγάλη ποικιλία κίνησης, όπως πακέτα IP, ATM, SONET και πλαίσια Ethernet.

Οι λύσεις VPN σε επίπεδο συνδέσμου έχουν μάλλον περιορισμένο εύρος, συνήθως εντός του τομέα του παρόχου.

2.2 Επίπεδο δικτύου

Επίπεδο δικτύου (επίπεδο IP). Χρησιμοποιείται το πρωτόκολλο IPSec, το οποίο εφαρμόζει κρυπτογράφηση και εμπιστευτικότητα δεδομένων, καθώς και έλεγχο ταυτότητας συνδρομητή. Η χρήση του πρωτοκόλλου IPSec σας επιτρέπει να εφαρμόσετε πλήρη πρόσβαση ισοδύναμη με φυσική σύνδεσηστο εταιρικό δίκτυο. Για τη δημιουργία ενός VPN, κάθε συμμετέχων πρέπει να διαμορφώσει ορισμένες παραμέτρους IPSec, π.χ. κάθε πελάτης πρέπει να έχει λογισμικό που υλοποιεί το IPSec.

IPSec

Φυσικά, καμία εταιρεία δεν θα ήθελε να μεταβιβάσει ανοιχτά Οικονομικές ή άλλες εμπιστευτικές πληροφορίες στο Διαδίκτυο. Τα κανάλια VPN προστατεύονται από ισχυρούς αλγόριθμους κρυπτογράφησης που είναι ενσωματωμένοι στα πρότυπα πρωτοκόλλου ασφαλείας IPsec. IPSec ή Internet Protocol Security - ένα πρότυπο που έχει επιλεγεί από τη διεθνή κοινότητα, η IETF - Internet Engineering Task Force, δημιουργεί τη βάση ασφαλείας για το Πρωτόκολλο Διαδικτύου (το πρωτόκολλο IP / IPSec παρέχει προστασία σε επίπεδο δικτύου και απαιτεί υποστήριξη για το πρότυπο IPSec μόνο από Οι συσκευές που επικοινωνούν μεταξύ τους και στις δύο άλλες ενδιάμεσες συσκευές απλώς παρέχουν κίνηση πακέτων IP.

Η μέθοδος αλληλεπίδρασης μεταξύ ατόμων που χρησιμοποιούν την τεχνολογία IPSec ορίζεται συνήθως με τον όρο "ασφαλής συσχέτιση" - Security Association (SA). Μια ασφαλής σύνδεση λειτουργεί με βάση μια συμφωνία που έχουν συνάψει τα μέρη που χρησιμοποιούν το IPSec για την προστασία των πληροφοριών που μεταδίδονται μεταξύ τους. Αυτή η συμφωνία ρυθμίζει διάφορες παραμέτρους: διευθύνσεις IP αποστολέα και παραλήπτη, κρυπτογραφικός αλγόριθμος, εντολή ανταλλαγής κλειδιών, μεγέθη κλειδιών, διάρκεια ζωής κλειδιού, αλγόριθμος ελέγχου ταυτότητας.

Το IPSec είναι ένα συναινετικό σύνολο ανοιχτών προτύπων που έχει έναν πυρήνα που μπορεί εύκολα να επεκταθεί με νέες δυνατότητες και πρωτόκολλα. Ο πυρήνας του IPSec αποτελείται από τρία πρωτόκολλα:

· ΕΝΑή Authentication Header - κεφαλίδα ελέγχου ταυτότητας - εγγυάται την ακεραιότητα και την αυθεντικότητα των δεδομένων. Ο κύριος σκοπός του πρωτοκόλλου AH είναι να επιτρέψει στην πλευρά λήψης να βεβαιωθεί ότι:

  • το πακέτο στάλθηκε από ένα μέρος με το οποίο έχει δημιουργηθεί ασφαλής σύνδεση·
  • τα περιεχόμενα του πακέτου δεν παραμορφώθηκαν κατά τη μετάδοσή του μέσω του δικτύου.
  • το πακέτο δεν είναι αντίγραφο ενός ήδη ληφθέντος πακέτου.

Οι δύο πρώτες λειτουργίες είναι υποχρεωτικές για το πρωτόκολλο AH και η τελευταία είναι προαιρετική κατά τη δημιουργία συσχέτισης. Για την εκτέλεση αυτών των λειτουργιών, το πρωτόκολλο AH χρησιμοποιεί μια ειδική κεφαλίδα. Η δομή του θεωρείται ως εξής:

  1. Το επόμενο πεδίο κεφαλίδας υποδεικνύει τον κωδικό του πρωτοκόλλου υψηλότερου επιπέδου, δηλαδή του πρωτοκόλλου του οποίου το μήνυμα τοποθετείται στο πεδίο δεδομένων του πακέτου IP.
  2. Το πεδίο μήκους ωφέλιμου φορτίου περιέχει το μήκος της κεφαλίδας AH.
  3. Ο δείκτης παραμέτρων ασφαλείας (SPI) χρησιμοποιείται για να συσχετίσει ένα πακέτο με την προβλεπόμενη ασφαλή συσχέτιση.
  4. Το πεδίο Αριθμός Ακολουθίας (SN) υποδεικνύει τον αριθμό σειράς του πακέτου και χρησιμοποιείται για την προστασία από πλαστογράφηση (όταν ένας τρίτος προσπαθεί να επαναχρησιμοποιήσει υποκλαπέντα ασφαλή πακέτα που αποστέλλονται από έναν πραγματικά πιστοποιημένο αποστολέα).
  5. Το πεδίο δεδομένων ελέγχου ταυτότητας, το οποίο περιέχει τη λεγόμενη τιμή ελέγχου ακεραιότητας (ICV), χρησιμοποιείται για τον έλεγχο ταυτότητας και τον έλεγχο της ακεραιότητας του πακέτου. Αυτή η τιμή, που ονομάζεται επίσης πέψη, υπολογίζεται χρησιμοποιώντας μία από τις δύο υπολογιστικά μη αναστρέψιμες συναρτήσεις MD5 ή SAH-1 που απαιτούνται από το πρωτόκολλο AH, αλλά μπορεί να χρησιμοποιηθεί οποιαδήποτε άλλη συνάρτηση.

· ESP ή Encapsulating Security Payload- ενθυλάκωση κρυπτογραφημένων δεδομένων - κρυπτογραφεί τα μεταδιδόμενα δεδομένα, παρέχοντας εμπιστευτικότητα, μπορεί επίσης να διατηρήσει τον έλεγχο ταυτότητας και την ακεραιότητα των δεδομένων.

Το πρωτόκολλο ESP επιλύει δύο ομάδες προβλημάτων.

  1. Το πρώτο περιλαμβάνει εργασίες παρόμοιες με εκείνες του πρωτοκόλλου AH - πρόκειται για την παροχή ελέγχου ταυτότητας και ακεραιότητας δεδομένων με βάση τη σύνοψη,
  2. Στο δεύτερο - μεταδίδονται δεδομένα κρυπτογραφώντας τα από μη εξουσιοδοτημένη προβολή.

Η κεφαλίδα χωρίζεται σε δύο μέρη που χωρίζονται από ένα πεδίο δεδομένων.

  1. Το πρώτο μέρος, που ονομάζεται η ίδια η κεφαλίδα ESP, σχηματίζεται από δύο πεδία (SPI και SN), ο σκοπός των οποίων είναι παρόμοιος με τα πεδία με το ίδιο όνομα στο πρωτόκολλο AH και τοποθετείται πριν από το πεδίο δεδομένων.
  2. Τα υπόλοιπα πεδία εξυπηρέτησης του πρωτοκόλλου ESP, που ονομάζονται τρέιλερ ESP, βρίσκονται στο τέλος του πακέτου.

Τα δύο πεδία του τρέιλερ - η επόμενη κεφαλίδα και δεδομένα ελέγχου ταυτότητας - είναι παρόμοια με τα πεδία της κεφαλίδας AH. Το πεδίο Δεδομένα ελέγχου ταυτότητας παραλείπεται εάν ληφθεί απόφαση να μην χρησιμοποιηθούν οι δυνατότητες ακεραιότητας του πρωτοκόλλου ESP κατά τη δημιουργία ασφαλούς συσχέτισης. Εκτός από αυτά τα πεδία, το τρέιλερ περιέχει δύο επιπλέον πεδία - πλήρωσης και μήκος πλήρωσης.

Τα πρωτόκολλα AH και ESP μπορούν να προστατεύσουν δεδομένα σε δύο τρόπους:

  1. στη μεταφορά - η μετάδοση πραγματοποιείται με πρωτότυπες κεφαλίδες IP.
  2. σε μια σήραγγα - το αρχικό πακέτο τοποθετείται σε ένα νέο πακέτο IP και η μετάδοση πραγματοποιείται με νέες κεφαλίδες.

Η χρήση του ενός ή του άλλου τρόπου λειτουργίας εξαρτάται από τις απαιτήσεις προστασίας δεδομένων, καθώς και από τον ρόλο που διαδραματίζει στο δίκτυο ο κόμβος που τερματίζει το ασφαλές κανάλι. Έτσι, ένας κόμβος μπορεί να είναι ένας κεντρικός υπολογιστής (τελικός κόμβος) ή μια πύλη (ενδιάμεσος κόμβος).

Συνεπώς, υπάρχουν τρία σχήματα για τη χρήση του πρωτοκόλλου IPSec:

  1. οικοδεσπότης?
  2. πύλη-πύλη?
  3. πύλη υποδοχής.

Οι δυνατότητες των πρωτοκόλλων AH και ESP επικαλύπτονται εν μέρει: το πρωτόκολλο AH είναι υπεύθυνο μόνο για τη διασφάλιση της ακεραιότητας και του ελέγχου ταυτότητας των δεδομένων, το πρωτόκολλο ESP μπορεί να κρυπτογραφήσει δεδομένα και, επιπλέον, να εκτελέσει τις λειτουργίες του πρωτοκόλλου AH (σε περικομμένη μορφή) . Το ESP μπορεί να υποστηρίξει λειτουργίες κρυπτογράφησης και ελέγχου ταυτότητας/ακεραιότητας σε οποιονδήποτε συνδυασμό, δηλαδή είτε ολόκληρη την ομάδα λειτουργιών, είτε μόνο έλεγχο ταυτότητας/ακεραιότητα ή μόνο κρυπτογράφηση.

· IKE ή Internet Key Exchange - Internet key Exchange - επιλύει το βοηθητικό καθήκον της αυτόματης παροχής ασφαλών τερματικών καναλιών με μυστικά κλειδιά που είναι απαραίτητα για τη λειτουργία των πρωτοκόλλων ελέγχου ταυτότητας και κρυπτογράφησης δεδομένων.

2.3 Στρώμα μεταφοράς

Το επίπεδο μεταφοράς χρησιμοποιεί το πρωτόκολλο SSL/TLS ή Secure Socket Layer/Transport Layer Security, το οποίο εφαρμόζει κρυπτογράφηση και έλεγχο ταυτότητας μεταξύ των επιπέδων μεταφοράς του δέκτη και του πομπού. Το SSL/TLS μπορεί να χρησιμοποιηθεί για την ασφάλεια της κυκλοφορίας TCP, δεν μπορεί να χρησιμοποιηθεί για την ασφάλεια της κυκλοφορίας UDP. Δεν χρειάζεται να εφαρμόσετε ειδικό λογισμικό για να λειτουργεί το SSL/TLS VPN, όπως κάθε πρόγραμμα περιήγησης και πελάτη αλληλογραφίαςεξοπλισμένα με αυτά τα πρωτόκολλα. Λόγω του γεγονότος ότι το SSL/TLS υλοποιείται στο επίπεδο μεταφοράς, δημιουργείται μια ασφαλής σύνδεση από άκρο σε άκρο.

Το πρωτόκολλο TLS βασίζεται στην έκδοση 3.0 του πρωτοκόλλου Netscape SSL και αποτελείται από δύο μέρη - Πρωτόκολλο εγγραφής TLS και Πρωτόκολλο χειραψίας TLS. Η διαφορά μεταξύ SSL 3.0 και TLS 1.0 είναι μικρή.

Το SSL/TLS περιλαμβάνει τρεις κύριες φάσεις:

  1. Διάλογος μεταξύ των μερών, σκοπός του οποίου είναι η επιλογή ενός αλγόριθμου κρυπτογράφησης.
  2. Ανταλλαγή κλειδιών με βάση κρυπτοσυστήματα δημόσιου κλειδιού ή έλεγχο ταυτότητας βάσει πιστοποιητικών.
  3. Μεταφορά δεδομένων κρυπτογραφημένη με χρήση συμμετρικών αλγορίθμων κρυπτογράφησης.

2.4 Υλοποίηση VPN: IPSec ή SSL/TLS;

Συχνά, οι επικεφαλής των τμημάτων πληροφορικής αντιμετωπίζουν το ερώτημα: ποιο από τα πρωτόκολλα να επιλέξουν για την κατασκευή ενός εταιρικού δικτύου VPN; Η απάντηση δεν είναι προφανής, καθώς κάθε προσέγγιση έχει πλεονεκτήματα και μειονεκτήματα. Θα προσπαθήσουμε να διεξαγάγουμε και να προσδιορίσουμε πότε είναι απαραίτητο να χρησιμοποιήσετε το IPSec και πότε SSL / TLS. Όπως φαίνεται από την ανάλυση των χαρακτηριστικών αυτών των πρωτοκόλλων, δεν είναι εναλλάξιμα και μπορούν να λειτουργήσουν τόσο ξεχωριστά όσο και παράλληλα, καθορίζοντας τα λειτουργικά χαρακτηριστικά καθενός από τα υλοποιημένα VPN.

Η επιλογή του πρωτοκόλλου για την κατασκευή ενός εταιρικού δικτύου VPN μπορεί να πραγματοποιηθεί σύμφωνα με τα ακόλουθα κριτήρια:

· Τύπος πρόσβασης που απαιτείται για χρήστες VPN.

  1. Πλήρως λειτουργική μόνιμη σύνδεση με το εταιρικό δίκτυο. Η προτεινόμενη επιλογή είναι το IPSec.
  2. Μια προσωρινή σύνδεση, όπως ένας χρήστης κινητού τηλεφώνου ή ένας χρήστης που χρησιμοποιεί δημόσιο υπολογιστή, προκειμένου να έχει πρόσβαση σε ορισμένες υπηρεσίες, όπως π.χ. ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗή βάση δεδομένων. Η προτεινόμενη επιλογή είναι το πρωτόκολλο SSL/TLS, το οποίο σας επιτρέπει να οργανώσετε ένα VPN για κάθε μεμονωμένη υπηρεσία.

· Αν ο χρήστης είναι υπάλληλος της εταιρείας.

  1. Εάν ο χρήστης είναι υπάλληλος εταιρείας, η συσκευή που χρησιμοποιεί για πρόσβαση στο εταιρικό δίκτυο μέσω IPSec VPN μπορεί να διαμορφωθεί με κάποιο συγκεκριμένο τρόπο.
  2. Εάν ο χρήστης δεν είναι υπάλληλος της εταιρείας στην οποία γίνεται πρόσβαση στο εταιρικό δίκτυο, συνιστάται η χρήση SSL/TLS. Αυτό θα περιορίσει την πρόσβαση των επισκεπτών σε ορισμένες μόνο υπηρεσίες.

· Ποιο είναι το επίπεδο ασφάλειας του εταιρικού δικτύου.

  1. Υψηλός. Η προτεινόμενη επιλογή είναι το IPSec. Πράγματι, το επίπεδο ασφάλειας που προσφέρει το IPSec είναι πολύ υψηλότερο από το επίπεδο ασφάλειας που προσφέρει το πρωτόκολλο SSL / TLS λόγω της χρήσης ρυθμιζόμενου λογισμικού από την πλευρά του χρήστη και μιας πύλης ασφαλείας στο πλάι του εταιρικού δικτύου.
  2. Μέση τιμή. Η προτεινόμενη επιλογή είναι το πρωτόκολλο SSL/TLS που επιτρέπει την πρόσβαση από οποιοδήποτε τερματικό.

· Το επίπεδο ασφάλειας των δεδομένων που μεταδίδονται από τον χρήστη.

  1. Υψηλή, για παράδειγμα, διαχείριση εταιρείας. Η προτεινόμενη επιλογή είναι το IPSec.
  2. Μεσαίο, για παράδειγμα, συνεργάτης. Η προτεινόμενη επιλογή είναι το πρωτόκολλο SSL/TLS.

Ανάλογα με την υπηρεσία - από μέτρια έως υψηλή. Η προτεινόμενη επιλογή είναι ένας συνδυασμός IPSec (για υπηρεσίες που απαιτούν υψηλό επίπεδο ασφάλειας) και SSL/TLS (για υπηρεσίες που απαιτούν μεσαίο επίπεδο ασφάλειας).

· Τι είναι πιο σημαντικό, η γρήγορη ανάπτυξη VPN ή η μελλοντική επεκτασιμότητα της λύσης.

  1. Ταχεία ανάπτυξη δικτύου VPN με ελάχιστο κόστος. Η προτεινόμενη επιλογή είναι το πρωτόκολλο SSL/TLS. Σε αυτή την περίπτωση, δεν χρειάζεται να εφαρμόσετε ειδικό λογισμικό από την πλευρά του χρήστη, όπως στην περίπτωση του IPSec.
  2. Επεκτασιμότητα δικτύου VPN - προσθήκη πρόσβασης σε διάφορες υπηρεσίες. Η προτεινόμενη επιλογή είναι το πρωτόκολλο IPSec που επιτρέπει την πρόσβαση σε όλες τις υπηρεσίες και τους πόρους του εταιρικού δικτύου.
  3. Ταχεία ανάπτυξη και επεκτασιμότητα. Η προτεινόμενη επιλογή είναι ένας συνδυασμός IPSec και SSL/TLS: χρησιμοποιήστε SSL/TLS στην πρώτη φάση για να αποκτήσετε πρόσβαση στις απαιτούμενες υπηρεσίες, ακολουθούμενη από την υλοποίηση του IPSec.

3. Μέθοδοι υλοποίησης δικτύων VPN

Ένα εικονικό ιδιωτικό δίκτυο βασίζεται σε τρεις μεθόδους υλοποίησης:

· Σήραγγες.

· Κρυπτογράφηση.

· Αυθεντικοποίηση.

3.1 Διάνοιξη σήραγγας

Η σήραγγα διασφαλίζει τη μεταφορά δεδομένων μεταξύ δύο σημείων - στα άκρα της σήραγγας - με τέτοιο τρόπο ώστε ολόκληρη η δικτυακή υποδομή που βρίσκεται μεταξύ τους να είναι κρυμμένη για την πηγή και τον προορισμό των δεδομένων.

Το μέσο μεταφοράς της σήραγγας, όπως ένα πορθμείο, παραλαμβάνει τα πακέτα του πρωτοκόλλου δικτύου που χρησιμοποιείται στην είσοδο της σήραγγας και τα παραδίδει αμετάβλητα στην έξοδο. Η κατασκευή μιας σήραγγας αρκεί για τη σύνδεση δύο κόμβων δικτύου έτσι ώστε, από την άποψη του λογισμικού που εκτελείται σε αυτούς, να φαίνεται ότι είναι συνδεδεμένοι στο ίδιο (τοπικό) δίκτυο. Ωστόσο, δεν πρέπει να ξεχνάμε ότι στην πραγματικότητα το «οχηματαγωγό» με δεδομένα διέρχεται από πολλούς ενδιάμεσους κόμβους (δρομολογητές) ενός ανοιχτού δημόσιου δικτύου.

Αυτή η κατάσταση έχει δύο προβλήματα. Το πρώτο είναι ότι οι πληροφορίες που μεταδίδονται μέσω της σήραγγας μπορούν να υποκλαπούν από εισβολείς. Εάν είναι εμπιστευτικό (αριθμοί τραπεζικές κάρτες, οικονομικές εκθέσεις, προσωπικές πληροφορίες), τότε η απειλή του συμβιβασμού της είναι αρκετά πραγματική, κάτι που είναι ήδη δυσάρεστο από μόνο του. Ακόμη χειρότερα, οι εισβολείς έχουν τη δυνατότητα να τροποποιήσουν τα δεδομένα που μεταδίδονται μέσω της σήραγγας, έτσι ώστε ο παραλήπτης να μην μπορεί να επαληθεύσει την αυθεντικότητά τους. Οι συνέπειες μπορεί να είναι οι πιο θλιβερές. Με βάση τα παραπάνω, καταλήγουμε στο συμπέρασμα ότι η σήραγγα στην καθαρή της μορφή είναι κατάλληλη μόνο για ορισμένους τύπους δικτύου παιχνίδια στον υπολογιστήκαι δεν μπορεί να πληροί τις προϋποθέσεις για πιο σοβαρή αίτηση. Και τα δύο προβλήματα λύνονται σύγχρονα μέσα κρυπτογραφική προστασίαπληροφορίες. Για να αποτρέψετε μη εξουσιοδοτημένες αλλαγές στο πακέτο δεδομένων κατά μήκος της σήραγγας, ένα ηλεκτρονικό ψηφιακή υπογραφή(). Η ουσία της μεθόδου είναι ότι κάθε μεταδιδόμενο πακέτο παρέχεται με ένα πρόσθετο μπλοκ πληροφοριών, το οποίο δημιουργείται σύμφωνα με έναν ασύμμετρο κρυπτογραφικό αλγόριθμο και είναι μοναδικό για τα περιεχόμενα του πακέτου και μυστικό κλειδί EDS του αποστολέα. Αυτό το μπλοκ πληροφοριών είναι το EDS του πακέτου και σας επιτρέπει να επαληθεύσετε την ταυτότητα των δεδομένων από τον παραλήπτη, ο οποίος γνωρίζει δημόσιο κλειδί EDS του αποστολέα. Η προστασία των δεδομένων που μεταδίδονται μέσω της σήραγγας από μη εξουσιοδοτημένη προβολή επιτυγχάνεται με τη χρήση ισχυρών αλγορίθμων κρυπτογράφησης.

3.2 Έλεγχος ταυτότητας

Η ασφάλεια είναι η κύρια λειτουργία ενός VPN. Όλα τα δεδομένα από υπολογιστές-πελάτες περνούν μέσω του Διαδικτύου στον διακομιστή VPN. Ένας τέτοιος διακομιστής μπορεί να είναι μεγάλη απόστασηαπό τον υπολογιστή-πελάτη και τα δεδομένα κατά τη διαδρομή προς το δίκτυο του οργανισμού περνούν από τον εξοπλισμό πολλών παρόχων. Πώς να βεβαιωθείτε ότι τα δεδομένα δεν έχουν διαβαστεί ή αλλάξει; Για αυτό, κάντε αίτηση διάφορες μεθόδουςέλεγχο ταυτότητας και κρυπτογράφηση.

Το PPTP μπορεί να χρησιμοποιήσει οποιοδήποτε από τα πρωτόκολλα που χρησιμοποιούνται για το PPP για τον έλεγχο ταυτότητας των χρηστών.

  • EAP ή επεκτάσιμο πρωτόκολλο ελέγχου ταυτότητας.
  • Πρωτόκολλο ελέγχου ταυτότητας MSCHAP ή Microsoft Challenge Handshake (εκδόσεις 1 και 2).
  • Πρωτόκολλο ελέγχου ταυτότητας CHAP ή Challenge Handshake.
  • Πρωτόκολλο SPAP ή Shiva Password Authentication.
  • Πρωτόκολλο PAP ή Password Authentication.

Το MSCHAP έκδοση 2 και η ασφάλεια επιπέδου μεταφοράς (EAP-TLS) θεωρούνται τα καλύτερα επειδή παρέχουν αμοιβαίο έλεγχο ταυτότητας, π.χ. Ο διακομιστής VPN και ο πελάτης αναγνωρίζουν ο ένας τον άλλον. Σε όλα τα άλλα πρωτόκολλα, μόνο ο διακομιστής ελέγχει την ταυτότητα των πελατών.

Αν και το PPTP παρέχει επαρκή βαθμό ασφάλειας, το L2TP μέσω IPSec εξακολουθεί να είναι πιο αξιόπιστο. Το L2TP μέσω IPSec παρέχει έλεγχο ταυτότητας σε επίπεδο χρήστη και υπολογιστή, καθώς και έλεγχο ταυτότητας και κρυπτογράφηση δεδομένων.

Ο έλεγχος ταυτότητας πραγματοποιείται είτε με ανοιχτό τεστ (κωδικός πρόσβασης καθαρού κειμένου) είτε με σχήμα αιτήματος/απόκρισης (πρόκληση/απόκριση). Με άμεσο κείμενο, όλα είναι ξεκάθαρα. Ο πελάτης στέλνει τον κωδικό πρόσβασης στον διακομιστή. Ο διακομιστής το συγκρίνει αυτό με το σημείο αναφοράς και είτε αρνείται την πρόσβαση είτε λέει "καλώς ήρθατε". Ο ανοιχτός έλεγχος ταυτότητας είναι πρακτικά ανύπαρκτος.

Το σχέδιο αίτησης/απόκρισης είναι πολύ πιο προηγμένο. Σε γενικές γραμμές, μοιάζει με αυτό:

  • ο πελάτης στέλνει ένα αίτημα στον διακομιστή για έλεγχο ταυτότητας.
  • ο διακομιστής επιστρέφει μια τυχαία απάντηση (πρόκληση).
  • ο πελάτης αφαιρεί έναν κατακερματισμό από τον κωδικό πρόσβασής του (ένας κατακερματισμός είναι το αποτέλεσμα μιας συνάρτησης κατακερματισμού που μετατρέπει έναν πίνακα δεδομένων εισόδου αυθαίρετου μήκους σε μια συμβολοσειρά bit εξόδου σταθερού μήκους), κρυπτογραφεί την απόκριση με αυτήν και τη στέλνει στον διακομιστή.
  • ο διακομιστής κάνει το ίδιο, συγκρίνοντας το αποτέλεσμα με την απόκριση του πελάτη.
  • Εάν η κρυπτογραφημένη απάντηση ταιριάζει, ο έλεγχος ταυτότητας θεωρείται επιτυχής.

Στο πρώτο βήμα του ελέγχου ταυτότητας πελατών και διακομιστών VPN, το L2TP μέσω IPSec χρησιμοποιεί τοπικά πιστοποιητικά που λαμβάνονται από μια αρχή έκδοσης πιστοποιητικών. Ο πελάτης και ο διακομιστής ανταλλάσσουν πιστοποιητικά και δημιουργούν μια ασφαλή σύνδεση ESP SA (σύνδεση ασφαλείας). Αφού το L2TP (με το IPSec) ολοκληρώσει τη διαδικασία ελέγχου ταυτότητας του υπολογιστή, εκτελείται έλεγχος ταυτότητας σε επίπεδο χρήστη. Οποιοδήποτε πρωτόκολλο μπορεί να χρησιμοποιηθεί για έλεγχο ταυτότητας, ακόμη και το PAP, το οποίο μεταδίδει το όνομα χρήστη και τον κωδικό πρόσβασης σε καθαρό κείμενο. Αυτό είναι αρκετά ασφαλές καθώς το L2TP μέσω IPSec κρυπτογραφεί ολόκληρη τη συνεδρία. Ωστόσο, ο έλεγχος ταυτότητας του χρήστη με το MSCHAP, το οποίο χρησιμοποιεί διαφορετικά κλειδιά κρυπτογράφησης για τον έλεγχο ταυτότητας του υπολογιστή και του χρήστη, μπορεί να αυξήσει την ασφάλεια.

3.3. Κρυπτογράφηση

Η κρυπτογράφηση με PPTP διασφαλίζει ότι κανείς δεν μπορεί να έχει πρόσβαση στα δεδομένα ενώ αποστέλλονται μέσω Διαδικτύου. Επί του παρόντος υποστηρίζονται δύο μέθοδοι κρυπτογράφησης:

  • Η κρυπτογράφηση MPPE ή Microsoft Point-to-Point είναι συμβατή μόνο με το MSCHAP (εκδόσεις 1 και 2).
  • EAP-TLS και είναι σε θέση να επιλέγει αυτόματα το μήκος του κλειδιού κρυπτογράφησης κατά τη διαπραγμάτευση παραμέτρων μεταξύ του πελάτη και του διακομιστή.

Το MPPE υποστηρίζει πλήκτρα 40, 56 ή 128 bit. Παλιά χειρουργεία συστήματα Windowsυποστηρίζει μόνο κρυπτογράφηση με μήκος κλειδιού 40 bit, επομένως σε μικτό περιβάλλον Windows, επιλέξτε το ελάχιστο μήκος κλειδιού.

Το PPTP αλλάζει την τιμή του κλειδιού κρυπτογράφησης μετά από κάθε λαμβανόμενο πακέτο. Το πρωτόκολλο MMPE σχεδιάστηκε για συνδέσεις από σημείο σε σημείο όπου τα πακέτα μεταδίδονται διαδοχικά και υπάρχει πολύ μικρή απώλεια δεδομένων. Σε αυτήν την περίπτωση, η τιμή κλειδιού για το επόμενο πακέτο εξαρτάται από τα αποτελέσματα της αποκρυπτογράφησης του προηγούμενου πακέτου. Κατά τη δημιουργία εικονικών δικτύων σε όλα τα δίκτυα δημόσια πρόσβασηΑυτές οι προϋποθέσεις δεν μπορούν να ικανοποιηθούν, καθώς τα πακέτα δεδομένων συχνά φτάνουν στον παραλήπτη με τη λάθος σειρά με την οποία στάλθηκαν. Επομένως, το PPTP χρησιμοποιεί για να αλλάξει το κλειδί κρυπτογράφησης αριθμοί ακολουθίαςπακέτα. Αυτό επιτρέπει την αποκρυπτογράφηση να εκτελείται ανεξάρτητα από τα προηγούμενα ληφθέντα πακέτα.

Και τα δύο πρωτόκολλα υλοποιούνται τόσο στα Microsoft Windows όσο και εκτός αυτού (για παράδειγμα, στο BSD), οι αλγόριθμοι λειτουργίας VPN μπορεί να διαφέρουν σημαντικά.

Έτσι, η δέσμη «tunneling + authentication + encryption» σάς επιτρέπει να μεταφέρετε δεδομένα μεταξύ δύο σημείων μέσω ενός δημόσιου δικτύου, προσομοιώνοντας τη λειτουργία ενός ιδιωτικού (τοπικού) δικτύου. Με άλλα λόγια, τα εξεταζόμενα εργαλεία σας επιτρέπουν να δημιουργήσετε ένα εικονικό ιδιωτικό δίκτυο.

Ένα επιπλέον ωραίο αποτέλεσμα μιας σύνδεσης VPN είναι η δυνατότητα (και ακόμη και η ανάγκη) χρήσης του συστήματος διευθύνσεων που έχει υιοθετηθεί στο τοπικό δίκτυο.

Η υλοποίηση ενός εικονικού ιδιωτικού δικτύου στην πράξη έχει ως εξής. Σε τοπικό δίκτυο υπολογιστώνΟ διακομιστής VPN είναι εγκατεστημένος στο γραφείο της εταιρείας. Ο απομακρυσμένος χρήστης (ή ο δρομολογητής, εάν είναι συνδεδεμένα δύο γραφεία) που χρησιμοποιεί το λογισμικό πελάτη VPN ξεκινά τη διαδικασία σύνδεσης με το διακομιστή. Πραγματοποιείται έλεγχος ταυτότητας χρήστη - η πρώτη φάση της δημιουργίας μιας σύνδεσης VPN. Σε περίπτωση επιβεβαίωσης εξουσιοδότησης, ξεκινά η δεύτερη φάση - μεταξύ του πελάτη και του διακομιστή, οι λεπτομέρειες για τη διασφάλιση της ασφάλειας της σύνδεσης διαπραγματεύονται. Μετά από αυτό, οργανώνεται μια σύνδεση VPN, η οποία διασφαλίζει την ανταλλαγή πληροφοριών μεταξύ πελάτη και διακομιστή με τη μορφή όταν κάθε πακέτο δεδομένων περνά από τις διαδικασίες κρυπτογράφησης / αποκρυπτογράφησης και ελέγχου ακεραιότητας - πιστοποίησης δεδομένων.

Το κύριο πρόβλημα των δικτύων VPN είναι η έλλειψη καθιερωμένων προτύπων για τον έλεγχο ταυτότητας και την ανταλλαγή κρυπτογραφημένων πληροφοριών. Αυτά τα πρότυπα είναι ακόμη υπό ανάπτυξη και επομένως προϊόντα διάφορους κατασκευαστέςδεν μπορεί να δημιουργήσει συνδέσεις VPN και να ανταλλάξει αυτόματα κλειδιά. Αυτό το πρόβλημασυνεπάγεται επιβράδυνση της εξάπλωσης των VPN, καθώς είναι δύσκολο να εξαναγκαστούν διαφορετικές εταιρείες να χρησιμοποιήσουν τα προϊόντα ενός κατασκευαστή, και ως εκ τούτου η διαδικασία συνδυασμού των δικτύων των συνεργαζόμενων εταιρειών στα λεγόμενα δίκτυα extranet είναι δύσκολη.

Τα πλεονεκτήματα της τεχνολογίας VPN είναι ότι η οργάνωση της απομακρυσμένης πρόσβασης δεν γίνεται μέσω τηλεφωνικής γραμμής, αλλά μέσω Διαδικτύου, που είναι πολύ φθηνότερο και καλύτερο. Το μειονέκτημα της τεχνολογίας VPN είναι ότι τα εργαλεία για τη δημιουργία VPN δεν είναι ολοκληρωμένα εργαλεία για τον εντοπισμό και τον αποκλεισμό επιθέσεων. Μπορούν να αποτρέψουν μια σειρά από μη εξουσιοδοτημένες ενέργειες, αλλά όχι όλες τις δυνατότητες που μπορούν να χρησιμοποιηθούν για να διεισδύσουν σε εταιρικό δίκτυο. Όμως, παρόλα αυτά, η τεχνολογία VPN έχει προοπτικές περαιτέρω ανάπτυξης.

Τι μπορούμε να περιμένουμε όσον αφορά την ανάπτυξη τεχνολογιών VPN στο μέλλον; Χωρίς καμία αμφιβολία, θα αναπτυχθεί και θα εγκριθεί ένα ενιαίο πρότυπο για την κατασκευή τέτοιων δικτύων. Πιθανότατα, η βάση αυτού του προτύπου θα είναι το ήδη αποδεδειγμένο πρωτόκολλο IPSec. Στη συνέχεια, οι κατασκευαστές θα επικεντρωθούν στη βελτίωση της απόδοσης των προϊόντων τους και στη δημιουργία βολικών στοιχείων ελέγχου VPN. Πιθανότατα, η ανάπτυξη εργαλείων δημιουργίας VPN θα πάει προς την κατεύθυνση του VPN με βάση δρομολογητές, αφού αυτή την απόφασησυνδυάζει αρκετά υψηλή απόδοση, ενσωμάτωση VPN και δρομολόγηση σε μία συσκευή. Ωστόσο, θα αναπτυχθούν και λύσεις χαμηλού κόστους για μικρότερους οργανισμούς. Συμπερασματικά, πρέπει να πούμε ότι, παρά το γεγονός ότι η τεχνολογία VPN είναι ακόμα πολύ νέα, έχει ένα μεγάλο μέλλον μπροστά της.

Αφήστε το σχόλιό σας!

Το VPN (Virtual Private Network) είναι ένα εικονικό ιδιωτικό δίκτυο.

Με απλούς όρους, ένα VPN είναι ένα απόλυτα ασφαλές κανάλι που συνδέει τη συσκευή σας με δυνατότητα σύνδεσης στο διαδίκτυο με οποιαδήποτε άλλη συσκευή στον παγκόσμιο ιστό. Αν είναι ακόμα πιο απλό, τότε μπορείτε να το φανταστείτε πιο μεταφορικά: χωρίς σύνδεση σε υπηρεσία VPN, ο υπολογιστής σας (φορητός υπολογιστής, τηλέφωνο, τηλεόραση ή οποιαδήποτε άλλη συσκευή) όταν έχετε πρόσβαση στο δίκτυο είναι σαν ένα ιδιωτικό σπίτι χωρίς φράχτη. Ανά πάσα στιγμή, ο καθένας μπορεί να σπάσει σκόπιμα ή κατά λάθος δέντρα, να πατήσει τα κρεβάτια στον κήπο σας. Με τη χρήση ενός VPN, το σπίτι σας μετατρέπεται σε ένα αδιαπέραστο φρούριο, η προστασία του οποίου θα είναι απλά αδύνατο να σπάσει.

Πως δουλεύει?

Η αρχή λειτουργίας του VPN είναι απλή και «διαφανής» για τον τελικό χρήστη. Τη στιγμή που συνδέεστε στο διαδίκτυο, δημιουργείται ένα εικονικό «τούνελ» μεταξύ της συσκευής σας και του υπόλοιπου Διαδικτύου, εμποδίζοντας κάθε προσπάθεια από το εξωτερικό να μπείτε μέσα. Για εσάς, το έργο του VPN παραμένει απολύτως «διαφανές» και αόρατο. Τα προσωπικά σας επαγγελματική αλληλογραφία, Skype ή τηλεφωνικές συνομιλίες δεν μπορούν να υποκλαπούν ή να ακουστούν με κανέναν τρόπο. Όλα τα δεδομένα σας κρυπτογραφούνται χρησιμοποιώντας έναν ειδικό αλγόριθμο κρυπτογράφησης, ο οποίος είναι σχεδόν αδύνατο να σπάσει.

Εκτός από την προστασία από εισβολή από το εξωτερικό, ένα VPN παρέχει την ευκαιρία να επισκεφθείτε σχεδόν προσωρινά οποιαδήποτε χώρα στον κόσμο και να χρησιμοποιήσετε τους πόρους δικτύου αυτών των χωρών. τηλεοπτικών καναλιώνπου προηγουμένως δεν ήταν διαθέσιμα. Το VPN θα αντικαταστήσει τη διεύθυνση IP σας με οποιαδήποτε άλλη. Για να το κάνετε αυτό, θα αρκεί να επιλέξετε μια χώρα από την προτεινόμενη λίστα, για παράδειγμα, την Ολλανδία, και όλοι οι ιστότοποι και οι υπηρεσίες που επισκέπτεστε θα «νομίζουν» αυτόματα ότι βρίσκεστε στη συγκεκριμένη χώρα.

Γιατί όχι ανωνυμοποιητής ή διακομιστής μεσολάβησης;

Τίθεται το ερώτημα: γιατί να μην χρησιμοποιήσετε απλώς κάποιο είδος ανωνυμοποιητή ή διακομιστή μεσολάβησης στο δίκτυο, επειδή αντικαθιστούν επίσης τη διεύθυνση IP; Ναι, όλα είναι πολύ απλά - καμία από τις παραπάνω υπηρεσίες δεν παρέχει προστασία, εξακολουθείτε να παραμένετε "ορατοί" στους εισβολείς και επομένως όλα τα δεδομένα που ανταλλάσσετε στο Διαδίκτυο. Και, επιπλέον, η εργασία με διακομιστές μεσολάβησης απαιτεί να έχετε μια συγκεκριμένη ικανότητα να ορίζετε τις ακριβείς ρυθμίσεις. Το VPN λειτουργεί με την ακόλουθη αρχή: "Συνδέθηκε και λειτουργεί", αρ προηγμένες ρυθμίσειςδεν απαιτεί. Η όλη διαδικασία σύνδεσης διαρκεί μερικά λεπτά και είναι πολύ απλή.

Σχετικά με τα δωρεάν VPN

Κατά την επιλογή, θα πρέπει να θυμάστε ότι τα δωρεάν VPN έχουν σχεδόν πάντα όρια στην ποσότητα της κίνησης και στην ταχύτητα μεταφοράς δεδομένων. Αυτό σημαίνει ότι μπορεί να προκύψει μια κατάσταση όταν απλά δεν μπορείτε να συνεχίσετε να χρησιμοποιείτε ένα δωρεάν VPN. Μην ξεχνάτε ότι τα δωρεάν VPN δεν είναι πάντα σταθερά και συχνά υπερφορτώνονται. Ακόμη και αν δεν ξεπεραστεί το όριο σας, η μεταφορά δεδομένων ενδέχεται να διαρκέσει πολύ λόγω του υψηλού φορτίου στον διακομιστή VPN. Οι υπηρεσίες VPN επί πληρωμή διακρίνονται από ένα μεγάλο διακίνηση, η απουσία περιορισμών, τόσο σε κίνηση όσο και σε ταχύτητα, και το επίπεδο ασφάλειας είναι υψηλότερο από αυτό των δωρεάν.

Από πού να ξεκινήσω;

Οι περισσότερες υπηρεσίες VPN παρέχουν την ευκαιρία να δοκιμάσετε την ποιότητα για σύντομο χρονικό διάστημα δωρεάν. Η περίοδος δοκιμής μπορεί να είναι από αρκετές ώρες έως αρκετές ημέρες. Κατά τη διάρκεια της δοκιμής, έχετε συνήθως πλήρη πρόσβαση σε όλα λειτουργικότηταυπηρεσία VPN. Η υπηρεσία μας καθιστά δυνατή την εύρεση τέτοιων Υπηρεσίες VPNΣύνδεσμος:

Τα ιδιωτικά δίκτυα χρησιμοποιούνται από οργανισμούς για σύνδεση σε απομακρυσμένους ιστότοπους και σε άλλους οργανισμούς. Τα ιδιωτικά δίκτυα αποτελούνται από γραμμές επικοινωνίας που μισθώνονται από διάφορες τηλεφωνικές εταιρείες και παρόχους υπηρεσιών Διαδικτύου. Αυτοί οι σύνδεσμοι χαρακτηρίζονται από το ότι συνδέουν μόνο δύο τοποθεσίες ενώ διαχωρίζονται από την άλλη κίνηση καθώς οι μισθωμένοι σύνδεσμοι παρέχουν αμφίδρομη επικοινωνία μεταξύ δύο τοποθεσιών. Τα ιδιωτικά δίκτυα έχουν πολλά πλεονεκτήματα.

  • Οι πληροφορίες κρατούνται μυστικές.
  • Οι απομακρυσμένοι ιστότοποι μπορούν να ανταλλάσσουν πληροφορίες αμέσως.
  • Οι απομακρυσμένοι χρήστες δεν αισθάνονται απομονωμένοι από το σύστημα στο οποίο έχουν πρόσβαση.

Δυστυχώς, αυτός ο τύπος δικτύου έχει ένα μεγάλο μειονέκτημα - υψηλό κόστος. Η χρήση ιδιωτικών δικτύων είναι πολύ ακριβή. Μπορείτε να εξοικονομήσετε χρήματα χρησιμοποιώντας πιο αργούς συνδέσμους, αλλά στη συνέχεια οι απομακρυσμένοι χρήστες θα αρχίσουν να παρατηρούν την έλλειψη ταχύτητας και ορισμένα από τα οφέλη που αναφέρονται παραπάνω θα γίνουν λιγότερο εμφανή.

Με την αύξηση του αριθμού των χρηστών του Διαδικτύου, πολλοί οργανισμοί έχουν στραφεί στη χρήση εικονικών ιδιωτικών δικτύων (VPN). Εικονικά ιδιωτικά δίκτυαπαρέχουν πολλά από τα οφέλη των ιδιωτικών δικτύων με χαμηλότερο κόστος. Ωστόσο, με την εισαγωγή ενός VPN, υπάρχουν μια σειρά από ερωτήματα και κινδύνους για τον οργανισμό. Ένα καλοφτιαγμένο εικονικό ιδιωτικό δίκτυο μπορεί να αποφέρει μεγάλα οφέλη σε έναν οργανισμό. Εάν το VPN δεν έχει εφαρμοστεί σωστά, όλες οι πληροφορίες που μεταδίδονται μέσω του VPN είναι προσβάσιμες από το Διαδίκτυο.

Ορισμός εικονικών ιδιωτικών δικτύων

Έτσι, σκοπεύουμε να μεταφέρουμε εμπιστευτικά δεδομένα του οργανισμού μέσω του Διαδικτύου χωρίς τη χρήση μισθωμένων καναλιών επικοινωνίας, λαμβάνοντας παράλληλα όλα τα μέτρα για να διασφαλίσουμε απόρρητο της κυκλοφορίας. Πώς θα μπορέσουμε να διαχωρίσουμε την επισκεψιμότητά μας από την κίνηση άλλων χρηστών του παγκόσμιου δικτύου; Η απάντηση σε αυτό το ερώτημα είναι η κρυπτογράφηση.

Στο Διαδίκτυο, μπορείτε να βρείτε κίνηση οποιουδήποτε τύπου. Μεγάλο μέρος αυτής της επισκεψιμότητας μεταδίδεται σε καθαρό και οποιοσδήποτε χρήστης παρατηρεί αυτήν την κίνηση θα μπορεί να την αναγνωρίσει. Αυτό ισχύει για τις περισσότερες επισκεψιμότητα ηλεκτρονικού ταχυδρομείου και ιστού, καθώς και για τις συνεδρίες telnet και FTP. Η κυκλοφορία ασφαλούς κελύφους (SSH) και πρωτοκόλλου μεταφοράς υπερκειμένου (HTTPS) είναι κρυπτογραφημένη κίνηση και δεν μπορεί να προβληθεί από τον χρήστη που ανιχνεύει τα πακέτα. Ωστόσο, επισκεψιμότητα όπως το SSH και το HTTPS δεν αποτελούν VPN.

Εικονικά ιδιωτικά δίκτυαέχουν πολλά χαρακτηριστικά.

  • Η κυκλοφορία είναι κρυπτογραφημένη για να παρέχει προστασία από υποκλοπές.
  • Ο απομακρυσμένος ιστότοπος έχει επικυρωθεί.
  • Τα VPN παρέχουν υποστήριξη για πολλά πρωτόκολλα.
  • Μια σύνδεση παρέχει επικοινωνία μόνο μεταξύ δύο συγκεκριμένων συνδρομητών.

Δεδομένου ότι τα SSH και HTTPS δεν είναι ικανά να υποστηρίζουν πολλαπλά πρωτόκολλα, το ίδιο ισχύει και για τα πραγματικά VPN. Τα πακέτα VPN αναμειγνύονται με τη ροή της κανονικής κίνησης στο Διαδίκτυο και υπάρχουν χωριστά για το λόγο ότι αυτή η κίνηση μπορεί να διαβαστεί μόνο καταληκτικά σημείασυνδέσεις.

Σημείωση

Είναι δυνατή η υλοποίηση της κίνησης που διέρχεται από μια περίοδο λειτουργίας SSH χρησιμοποιώντας σήραγγες. Ωστόσο, για τους σκοπούς αυτής της διάλεξης, δεν θα θεωρήσουμε το SSH ως VPN.

Ας ρίξουμε μια πιο προσεκτική ματιά σε καθένα από τα χαρακτηριστικά του VPN. Όπως αναφέρθηκε παραπάνω, η κίνηση VPN είναι κρυπτογραφημένη για προστασία από την υποκλοπή. Η κρυπτογράφηση πρέπει να είναι αρκετά ισχυρή ώστε να εγγυάται εμπιστευτικότηταδιαβιβάζονται πληροφορίες για όσο διάστημα είναι σχετικές. Οι κωδικοί πρόσβασης έχουν περίοδο λήξης 30 ημερών (υποθέτοντας πολιτική αλλαγής κωδικού πρόσβασης κάθε 30 ημέρες). Ωστόσο, οι διαβαθμισμένες πληροφορίες ενδέχεται να μην χάσουν την αξία τους με τα χρόνια. Επομένως, ο αλγόριθμος κρυπτογράφησης και η χρήση VPN θα πρέπει να αποτρέψουν την παράνομη αποκρυπτογράφηση της κυκλοφορίας για αρκετά χρόνια.

Το δεύτερο χαρακτηριστικό είναι ότι η απομακρυσμένη τοποθεσία είναι πιστοποιημένη. Αυτή η δυνατότητα ενδέχεται να απαιτεί από ορισμένους χρήστες έλεγχο ταυτότητας έναντι κεντρικού διακομιστή ή αμοιβαίο έλεγχο ταυτότητας και των δύο κόμβων που συνδέει το VPN. Ο μηχανισμός ελέγχου ταυτότητας που χρησιμοποιείται ελέγχεται από την πολιτική. Η πολιτική μπορεί να προβλέπει έλεγχο ταυτότητας χρήστη με δύο παραμέτρους ή με χρήση δυναμικών κωδικών πρόσβασης. Στο αμοιβαίος έλεγχος ταυτότηταςκαι οι δύο τοποθεσίες ενδέχεται να απαιτείται να αποδείξουν τη γνώση ενός συγκεκριμένου κοινόχρηστου μυστικού (μυστικό είναι ορισμένες πληροφορίες που είναι γνωστές και στους δύο ιστότοπους εκ των προτέρων), ή