Το Διαδίκτυο χρησιμοποιείται όλο και περισσότερο ως μέσο επικοινωνίας μεταξύ των υπολογιστών επειδή προσφέρει αποτελεσματική και φθηνή επικοινωνία. Ωστόσο, το Διαδίκτυο είναι ένα δημόσιο δίκτυο και για να διασφαλιστεί η ασφαλής επικοινωνία μέσω αυτού, απαιτείται κάποιος μηχανισμός που να ικανοποιεί τουλάχιστον τις ακόλουθες εργασίες:

    εμπιστευτικότητα των πληροφοριών·

    ακεραιότητα δεδομένων;

    διαθεσιμότητα πληροφοριών·

Αυτές οι απαιτήσεις ικανοποιούνται από έναν μηχανισμό που ονομάζεται VPN (Virtual Private Network - εικονικό ιδιωτικό δίκτυο) - ένα γενικευμένο όνομα για τεχνολογίες που σας επιτρέπουν να παρέχετε μία ή περισσότερες συνδέσεις δικτύου (λογικό δίκτυο) μέσω ενός άλλου δικτύου (για παράδειγμα, το Διαδίκτυο) χρησιμοποιώντας κρυπτογραφία εργαλεία (κρυπτογράφηση, έλεγχος ταυτότητας, δημόσια κλειδιά υποδομής, μέσα προστασίας από την επανάληψη και την αλλαγή των μηνυμάτων που μεταδίδονται μέσω του λογικού δικτύου).

Η δημιουργία ενός VPN δεν απαιτεί πρόσθετες επενδύσεις και σας επιτρέπει να σταματήσετε να χρησιμοποιείτε μισθωμένες γραμμές. Ανάλογα με τα πρωτόκολλα που χρησιμοποιούνται και τον σκοπό, ένα VPN μπορεί να παρέχει τρεις τύπους συνδέσεων: host-host, host-network και network-network.

Για λόγους σαφήνειας, ας φανταστούμε το ακόλουθο παράδειγμα: μια επιχείρηση έχει πολλά εδαφικά απομακρυσμένα υποκαταστήματα και «κινητούς» υπαλλήλους που εργάζονται στο σπίτι ή στο δρόμο. Είναι απαραίτητο να ενωθούν όλοι οι εργαζόμενοι της επιχείρησης σε ένα ενιαίο δίκτυο. Ο ευκολότερος τρόπος είναι να τοποθετήσετε μόντεμ σε κάθε κλάδο και να οργανώσετε την επικοινωνία όπως χρειάζεται. Μια τέτοια λύση, ωστόσο, δεν είναι πάντα βολική και κερδοφόρα - μερικές φορές χρειάζεστε σταθερή σύνδεση και μεγάλο εύρος ζώνης. Για να γίνει αυτό, θα πρέπει είτε να βάλετε μια ειδική γραμμή μεταξύ των υποκαταστημάτων είτε να τα νοικιάσετε. Και τα δύο είναι αρκετά ακριβά. Και εδώ, εναλλακτικά, όταν δημιουργείτε ένα ενιαίο ασφαλές δίκτυο, μπορείτε να χρησιμοποιήσετε συνδέσεις VPN όλων των υποκαταστημάτων της εταιρείας μέσω Διαδικτύου και να διαμορφώσετε τα εργαλεία VPN σε κεντρικούς υπολογιστές δικτύου.

Ρύζι. 6.4.σύνδεση VPN από ιστότοπο σε ιστότοπο

Ρύζι. 6.5.Σύνδεση κεντρικού υπολογιστή σε δίκτυο VPN

Σε αυτή την περίπτωση, επιλύονται πολλά προβλήματα - τα υποκαταστήματα μπορούν να βρίσκονται οπουδήποτε σε όλο τον κόσμο.

Ο κίνδυνος εδώ είναι ότι, πρώτον, το ανοιχτό δίκτυο είναι ανοιχτό σε επιθέσεις από εισβολείς σε όλο τον κόσμο. Δεύτερον, όλα τα δεδομένα μεταδίδονται μέσω του Διαδικτύου και οι εισβολείς, έχοντας παραβιάσει το δίκτυο, θα έχουν όλες τις πληροφορίες που μεταδίδονται μέσω του δικτύου. Και, τρίτον, τα δεδομένα μπορούν όχι μόνο να υποκλαπούν, αλλά και να αντικατασταθούν κατά τη μετάδοση μέσω του δικτύου. Ένας εισβολέας μπορεί, για παράδειγμα, να θέσει σε κίνδυνο την ακεραιότητα των βάσεων δεδομένων ενεργώντας για λογαριασμό των πελατών ενός από τα αξιόπιστα υποκαταστήματα.

Για να αποφευχθεί αυτό, οι λύσεις VPN χρησιμοποιούν εργαλεία όπως η κρυπτογράφηση δεδομένων για τη διασφάλιση της ακεραιότητας και του απορρήτου, τον έλεγχο ταυτότητας και την εξουσιοδότηση για την επαλήθευση των δικαιωμάτων χρήστη και την πρόσβαση σε ένα εικονικό ιδιωτικό δίκτυο.

Μια σύνδεση VPN αποτελείται πάντα από μια σύνδεση σημείου προς σημείο, γνωστή και ως σήραγγα. Η σήραγγα δημιουργείται σε ένα ανασφαλές δίκτυο, που τις περισσότερες φορές είναι το Διαδίκτυο.

Η σήραγγα ή η ενθυλάκωση είναι ένας τρόπος μεταφοράς χρήσιμων πληροφοριών μέσω ενός ενδιάμεσου δικτύου. Τέτοιες πληροφορίες μπορεί να είναι πλαίσια (ή πακέτα) άλλου πρωτοκόλλου. Με την ενθυλάκωση, το πλαίσιο δεν μεταδίδεται όπως δημιουργήθηκε από τον κεντρικό υπολογιστή αποστολής, αλλά παρέχεται με μια πρόσθετη κεφαλίδα που περιέχει πληροφορίες δρομολόγησης που επιτρέπει στα ενθυλακωμένα πακέτα να περάσουν μέσα από το ενδιάμεσο δίκτυο (Διαδίκτυο). Στο τέλος του τούνελ, τα πλαίσια απο-ενθυλακώνονται και μεταδίδονται στον παραλήπτη. Συνήθως, μια σήραγγα δημιουργείται από δύο συσκευές ακμών που βρίσκονται σε σημεία εισόδου στο δημόσιο δίκτυο. Ένα από τα προφανή πλεονεκτήματα του tunneling είναι ότι αυτή η τεχνολογία σάς επιτρέπει να κρυπτογραφείτε ολόκληρο το αρχικό πακέτο, συμπεριλαμβανομένης της κεφαλίδας, η οποία μπορεί να περιέχει δεδομένα που περιέχουν πληροφορίες που χρησιμοποιούν οι εισβολείς για να χακάρουν το δίκτυο (για παράδειγμα, διευθύνσεις IP, αριθμό υποδικτύων κ.λπ. ) .

Αν και μια σήραγγα VPN δημιουργείται μεταξύ δύο σημείων, κάθε κεντρικός υπολογιστής μπορεί να δημιουργήσει πρόσθετες σήραγγες με άλλους κεντρικούς υπολογιστές. Για παράδειγμα, όταν τρεις απομακρυσμένοι σταθμοί πρέπει να επικοινωνήσουν με το ίδιο γραφείο, θα δημιουργηθούν τρεις ξεχωριστές σήραγγες VPN σε αυτό το γραφείο. Για όλες τις σήραγγες, ο κόμβος στην πλευρά του γραφείου μπορεί να είναι ο ίδιος. Αυτό είναι δυνατό λόγω του γεγονότος ότι ο κόμβος μπορεί να κρυπτογραφήσει και να αποκρυπτογραφήσει δεδομένα για λογαριασμό ολόκληρου του δικτύου, όπως φαίνεται στο σχήμα:

Ρύζι. 6.6.Δημιουργήστε σήραγγες VPN για πολλές απομακρυσμένες τοποθεσίες

Ο χρήστης δημιουργεί μια σύνδεση με την πύλη VPN, μετά την οποία ο χρήστης έχει πρόσβαση στο εσωτερικό δίκτυο.

Μέσα σε ένα ιδιωτικό δίκτυο, η ίδια η κρυπτογράφηση δεν πραγματοποιείται. Ο λόγος είναι ότι αυτό το τμήμα του δικτύου θεωρείται ασφαλές και υπό άμεσο έλεγχο, σε αντίθεση με το Διαδίκτυο. Αυτό ισχύει επίσης κατά τη σύνδεση γραφείων χρησιμοποιώντας πύλες VPN. Έτσι, η κρυπτογράφηση είναι εγγυημένη μόνο για πληροφορίες που μεταδίδονται μέσω ενός μη ασφαλούς καναλιού μεταξύ των γραφείων.

Υπάρχουν πολλά διάφορες λύσειςγια την κατασκευή εικονικών ιδιωτικών δικτύων. Τα πιο διάσημα και ευρέως χρησιμοποιούμενα πρωτόκολλα είναι:

    PPTP (Point-to-Point Tunneling Protocol) - αυτό το πρωτόκολλο έχει γίνει αρκετά δημοφιλές λόγω της συμπερίληψής του στα λειτουργικά συστήματα της Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - συνδυάζει το πρωτόκολλο L2F (Layer 2 Forwarding) και Πρωτόκολλο PPTP. Συνήθως χρησιμοποιείται σε συνδυασμό με το IPSec.

    Το IPSec (Internet Protocol Security) είναι ένα επίσημο πρότυπο Διαδικτύου που αναπτύχθηκε από την κοινότητα IETF (Internet Engineering Task Force).

Τα πρωτόκολλα που αναφέρονται στη λίστα υποστηρίζονται από συσκευές D-Link.

Το πρωτόκολλο PPTP προορίζεται κυρίως για εικονικά ιδιωτικά δίκτυα που βασίζονται σε συνδέσεις μέσω τηλεφώνου. Το πρωτόκολλο σάς επιτρέπει να οργανώσετε την απομακρυσμένη πρόσβαση, έτσι ώστε οι χρήστες να μπορούν να δημιουργήσουν συνδέσεις μέσω τηλεφώνου με παρόχους Διαδικτύου και να δημιουργήσουν μια ασφαλή σήραγγα στα εταιρικά τους δίκτυα. Σε αντίθεση με το IPSec, το πρωτόκολλο PPTP δεν προοριζόταν αρχικά για την οργάνωση τούνελ μεταξύ τοπικών δικτύων. Το PPTP επεκτείνει τις δυνατότητες του PPP, ενός πρωτοκόλλου σύνδεσης δεδομένων που σχεδιάστηκε αρχικά για να ενθυλακώνει δεδομένα και να τα παραδίδει μέσω συνδέσεων από σημείο σε σημείο.

Το πρωτόκολλο PPTP σάς επιτρέπει να δημιουργείτε ασφαλή κανάλια για ανταλλαγή δεδομένων χρησιμοποιώντας διάφορα πρωτόκολλα - IP, IPX, NetBEUI, κ.λπ. Τα δεδομένα αυτών των πρωτοκόλλων συσκευάζονται σε πλαίσια PPP, ενσωματωμένα χρησιμοποιώντας το πρωτόκολλο PPTP σε πακέτα πρωτοκόλλου IP. Στη συνέχεια μεταφέρονται χρησιμοποιώντας IP σε κρυπτογραφημένη μορφή μέσω οποιουδήποτε δικτύου TCP/IP. Ο κόμβος λήψης εξάγει τα πλαίσια PPP από τα πακέτα IP και στη συνέχεια τα επεξεργάζεται με τον τυπικό τρόπο, π.χ. εξάγει ένα πακέτο IP, IPX ή NetBEUI από ένα πλαίσιο PPP και το στέλνει μέσω του τοπικού δικτύου. Έτσι, το πρωτόκολλο PPTP δημιουργεί μια σύνδεση από σημείο σε σημείο στο δίκτυο και μεταδίδει δεδομένα μέσω του δημιουργημένου ασφαλούς καναλιού. Το κύριο πλεονέκτημα της ενθυλάκωσης πρωτοκόλλων όπως το PPTP είναι η πολυπρωτόκολλη φύση τους. Εκείνοι. Η προστασία δεδομένων στο επίπεδο σύνδεσης δεδομένων είναι διαφανής για τα πρωτόκολλα του επιπέδου δικτύου και εφαρμογών. Επομένως, εντός του δικτύου, τόσο το πρωτόκολλο IP (όπως στην περίπτωση ενός VPN που βασίζεται σε IPSec) ή οποιοδήποτε άλλο πρωτόκολλο μπορεί να χρησιμοποιηθεί ως μεταφορά.

Επί του παρόντος, λόγω της ευκολίας εφαρμογής, το πρωτόκολλο PPTP χρησιμοποιείται ευρέως τόσο για την απόκτηση αξιόπιστης ασφαλούς πρόσβασης σε ένα εταιρικό δίκτυο όσο και για πρόσβαση σε δίκτυα ISP όταν ένας πελάτης χρειάζεται να δημιουργήσει μια σύνδεση PPTP με έναν ISP για να έχει πρόσβαση στο Διαδίκτυο.

Η μέθοδος κρυπτογράφησης που χρησιμοποιείται στο PPTP καθορίζεται στο επίπεδο PPP. Συνήθως, ο πελάτης PPP είναι ένας επιτραπέζιος υπολογιστής με λειτουργικό σύστημαΗ Microsoft και το πρωτόκολλο κρυπτογράφησης από σημείο σε σημείο της Microsoft (MPPE) χρησιμοποιείται ως πρωτόκολλο κρυπτογράφησης. Αυτό το πρωτόκολλο βασίζεται στο πρότυπο RSA RC4 και υποστηρίζει κρυπτογράφηση 40 ή 128 bit. Για πολλές εφαρμογές αυτού του επιπέδου κρυπτογράφησης, η χρήση αυτού του αλγορίθμου είναι επαρκής, αν και θεωρείται λιγότερο ασφαλής από ορισμένους άλλους αλγόριθμους κρυπτογράφησης που προσφέρονται από το IPSec, ιδίως το Πρότυπο κρυπτογράφησης τριπλών δεδομένων 168 bit (3DES).

Πώς δημιουργείται η σύνδεσηPPTP?

Το PPTP ενσωματώνει πακέτα IP για μετάδοση μέσω δικτύου IP. Οι πελάτες PPTP δημιουργούν μια σύνδεση ελέγχου σήραγγας που διατηρεί τη σύνδεση ζωντανή. Αυτή η διαδικασία εκτελείται στο επίπεδο μεταφοράς του μοντέλου OSI. Μετά τη δημιουργία του τούνελ, ο υπολογιστής-πελάτης και ο διακομιστής αρχίζουν να ανταλλάσσουν πακέτα υπηρεσιών.

Εκτός από τη σύνδεση ελέγχου PPTP, δημιουργείται μια σύνδεση για την αποστολή δεδομένων μέσω της σήραγγας. Η ενθυλάκωση δεδομένων πριν από την αποστολή τους στη σήραγγα περιλαμβάνει δύο βήματα. Αρχικά, δημιουργείται το τμήμα πληροφοριών του πλαισίου PPP. Τα δεδομένα ρέουν από πάνω προς τα κάτω, από το επίπεδο εφαρμογής OSI στο επίπεδο σύνδεσης. Τα ληφθέντα δεδομένα αποστέλλονται στη συνέχεια στο μοντέλο OSI και ενθυλακώνονται από πρωτόκολλα ανώτερου επιπέδου.

Τα δεδομένα από το επίπεδο σύνδεσης φτάνουν στο επίπεδο μεταφοράς. Ωστόσο, οι πληροφορίες δεν μπορούν να σταλούν στον προορισμό τους, καθώς το επίπεδο σύνδεσης OSI είναι υπεύθυνο για αυτό. Επομένως, το PPTP κρυπτογραφεί το πεδίο ωφέλιμου φορτίου του πακέτου και αναλαμβάνει τις λειτουργίες δεύτερου επιπέδου που συνήθως ανήκουν στο PPP, δηλαδή προσθέτει μια κεφαλίδα PPP (κεφαλίδα) και μια κατάληξη (τρέιλερ) στο πακέτο PPTP. Αυτό ολοκληρώνει τη δημιουργία του πλαισίου επιπέδου σύνδεσης. Στη συνέχεια, το PPTP ενσωματώνει το πλαίσιο PPP σε ένα πακέτο Generic Routing Encapsulation (GRE) που ανήκει στο επίπεδο δικτύου. Το GRE ενσωματώνει πρωτόκολλα επιπέδου δικτύου όπως IP, IPX για να τους επιτρέψει να μεταφερθούν μέσω δικτύων IP. Ωστόσο, η χρήση του πρωτοκόλλου GRE από μόνη της δεν θα εξασφαλίσει τη δημιουργία συνεδρίας και την ασφάλεια των δεδομένων. Αυτό χρησιμοποιεί την ικανότητα του PPTP να δημιουργεί μια σύνδεση ελέγχου σήραγγας. Η χρήση του GRE ως μεθόδου ενθυλάκωσης περιορίζει το πεδίο εφαρμογής του PPTP μόνο σε δίκτυα IP.

Αφού το πλαίσιο PPP έχει ενθυλακωθεί σε ένα πλαίσιο με κεφαλίδα GRE, ενθυλακώνεται σε πλαίσιο με κεφαλίδα IP. Η κεφαλίδα IP περιέχει τις διευθύνσεις αποστολέα και παραλήπτη του πακέτου. Τέλος, το PPTP προσθέτει μια κεφαλίδα PPP και τέλος.

Στο ρύζι. 6.7δείχνει τη δομή δεδομένων για προώθηση μέσω μιας σήραγγας PPTP:

Ρύζι. 6.7.Δομή δεδομένων για προώθηση σε σήραγγα PPTP

Η εγκατάσταση ενός VPN που βασίζεται σε PPTP δεν απαιτεί μεγάλα έξοδα και πολύπλοκες ρυθμίσεις: αρκεί να εγκαταστήσετε έναν διακομιστή PPTP στο κεντρικό γραφείο (οι λύσεις PPTP υπάρχουν και για πλατφόρμες Windows και Linux) και να εκτελούνται σε υπολογιστές-πελάτες απαραίτητες ρυθμίσεις. Εάν πρέπει να συνδυάσετε πολλούς κλάδους, τότε αντί να ρυθμίσετε το PPTP σε όλους τους σταθμούς-πελάτες, είναι καλύτερο να χρησιμοποιήσετε έναν δρομολογητή Διαδικτύου ή ένα τείχος προστασίας με υποστήριξη PPTP: οι ρυθμίσεις γίνονται μόνο σε δρομολογητή συνόρων (τείχος προστασίας) συνδεδεμένο στο Διαδίκτυο. όλα είναι απολύτως διαφανή για τους χρήστες. Παραδείγματα τέτοιων συσκευών είναι οι πολυλειτουργικοί δρομολογητές Διαδικτύου DIR/DSR και τα τείχη προστασίας της σειράς DFL.

GRE- τούνελ

Το Generic Routing Encapsulation (GRE) είναι ένα πρωτόκολλο ενθυλάκωσης πακέτων δικτύου που παρέχει διοχέτευση κυκλοφορίας μέσω δικτύων χωρίς κρυπτογράφηση. Παραδείγματα χρήσης GRE:

    μετάδοση κίνησης (συμπεριλαμβανομένης της εκπομπής) μέσω εξοπλισμού που δεν υποστηρίζει συγκεκριμένο πρωτόκολλο·

    διοχέτευση της κυκλοφορίας IPv6 μέσω ενός δικτύου IPv4·

    μετάδοση δεδομένων μέσω δημόσιων δικτύων για την υλοποίηση ασφαλούς σύνδεσης VPN.

Ρύζι. 6.8.Ένα παράδειγμα σήραγγας GRE

Ανάμεσα σε δύο δρομολογητές Α και Β ( ρύζι. 6.8) υπάρχουν αρκετοί δρομολογητές, η σήραγγα GRE σάς επιτρέπει να παρέχετε μια σύνδεση μεταξύ των τοπικών δικτύων 192.168.1.0/24 και 192.168.3.0/24 σαν να είχαν συνδεθεί απευθείας οι δρομολογητές Α και Β.

μεγάλο2 TP

Το πρωτόκολλο L2TP εμφανίστηκε ως αποτέλεσμα της συγχώνευσης των πρωτοκόλλων PPTP και L2F. Το κύριο πλεονέκτημα του πρωτοκόλλου L2TP είναι ότι σας επιτρέπει να δημιουργήσετε ένα τούνελ όχι μόνο σε δίκτυα IP, αλλά και σε δίκτυα ATM, X.25 και Frame relay. Το L2TP χρησιμοποιεί το UDP ως μεταφορά και χρησιμοποιεί την ίδια μορφή μηνύματος τόσο για τη διαχείριση σήραγγας όσο και για την προώθηση δεδομένων.

Όπως και στην περίπτωση του PPTP, το L2TP ξεκινά τη συναρμολόγηση ενός πακέτου για μετάδοση στη σήραγγα προσθέτοντας πρώτα την κεφαλίδα PPP και μετά την κεφαλίδα L2TP στο πεδίο δεδομένων πληροφοριών PPP. Το πακέτο που λαμβάνεται με αυτόν τον τρόπο ενθυλακώνεται από το UDP. Ανάλογα με τον τύπο της πολιτικής ασφάλειας IPSec που επιλέγεται, το L2TP μπορεί να κρυπτογραφήσει μηνύματα UDP και να προσθέσει μια κεφαλίδα και ένα τελείωμα Encapsulating Security Payload (ESP), καθώς και ένα τέλος ελέγχου ταυτότητας IPSec (δείτε την ενότητα "L2TP over IPSec"). Στη συνέχεια ενσωματώνεται σε IP. Προστίθεται μια κεφαλίδα IP που περιέχει τις διευθύνσεις αποστολέα και παραλήπτη. Τέλος, το L2TP εκτελεί μια δεύτερη ενθυλάκωση PPP για να προετοιμάσει τα δεδομένα για μετάδοση. Στο ρύζι. 6.9δείχνει τη δομή δεδομένων που πρόκειται να σταλεί μέσω μιας σήραγγας L2TP.

Ρύζι. 6.9.Δομή δεδομένων για προώθηση μέσω σήραγγας L2TP

Ο υπολογιστής λήψης λαμβάνει τα δεδομένα, επεξεργάζεται την κεφαλίδα και το τέλος PPP και αφαιρεί την κεφαλίδα IP. Το IPSec Authentication ελέγχει την ταυτότητα του πεδίου πληροφοριών IP και η κεφαλίδα IPSec ESP βοηθά στην αποκρυπτογράφηση του πακέτου.

Στη συνέχεια, ο υπολογιστής επεξεργάζεται την κεφαλίδα UDP και χρησιμοποιεί την κεφαλίδα L2TP για να αναγνωρίσει τη σήραγγα. Το πακέτο PPP περιέχει τώρα μόνο το ωφέλιμο φορτίο που υποβάλλεται σε επεξεργασία ή προωθείται στον καθορισμένο παραλήπτη.

Το IPsec (συντομογραφία της λέξης Ασφάλεια IP) είναι ένα σύνολο πρωτοκόλλων για την ασφάλεια των δεδομένων που μεταδίδονται μέσω του Πρωτοκόλλου Διαδικτύου IP, επιτρέποντας τον έλεγχο ταυτότητας και/ή την κρυπτογράφηση των πακέτων IP. Το IPsec περιλαμβάνει επίσης πρωτόκολλα για ασφαλή ανταλλαγή κλειδιών στο Διαδίκτυο.

Η ασφάλεια IPSec επιτυγχάνεται μέσω πρόσθετων πρωτοκόλλων που προσθέτουν τις δικές τους κεφαλίδες στο πακέτο IP - ενθυλάκωση. Επειδή Το IPSec είναι ένα πρότυπο Διαδικτύου, οπότε υπάρχουν έγγραφα RFC για αυτό:

    Το RFC 2401 (Αρχιτεκτονική ασφαλείας για το Πρωτόκολλο Διαδικτύου) είναι η αρχιτεκτονική ασφαλείας για το πρωτόκολλο IP.

    RFC 2402 (κεφαλίδα ελέγχου ταυτότητας IP) - Κεφαλίδα ελέγχου ταυτότητας IP.

    RFC 2404 (Η χρήση του HMAC-SHA-1-96 εντός ESP και AH) - Χρήση του αλγορίθμου κατακερματισμού SHA-1 για τη δημιουργία μιας κεφαλίδας ελέγχου ταυτότητας.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - Χρήση του αλγόριθμου κρυπτογράφησης DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - Κρυπτογράφηση δεδομένων.

    Το RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) είναι το πεδίο εφαρμογής του πρωτοκόλλου διαχείρισης κλειδιών.

    RFC 2408( διαδικτυακή ασφάλειαΣχέση και ΚλειδίΠρωτόκολλο διαχείρισης (ISAKMP)) - διαχείριση κλειδιών και ελέγχου ταυτότητας ασφαλών συνδέσεων.

    RFC 2409 (The Internet Key Exchange (IKE)) - Key Exchange.

    RFC 2410 (Ο αλγόριθμος κρυπτογράφησης NULL και η χρήση του με IPsec) - Ο αλγόριθμος κρυπτογράφησης NULL και η χρήση του.

    Το RFC 2411 (IP Security Document Roadmap) είναι μια περαιτέρω εξέλιξη του προτύπου.

    RFC 2412 (The OAKLEY Key Determination Protocol) - Έλεγχος της αυθεντικότητας ενός κλειδιού.

Το IPsec είναι αναπόσπαστο μέρος του Πρωτοκόλλου Διαδικτύου IPv6 και προαιρετική επέκταση της έκδοσης IPv4 του Πρωτοκόλλου Διαδικτύου.

Ο μηχανισμός IPSec εκτελεί τις ακόλουθες εργασίες:

    έλεγχος ταυτότητας χρηστών ή υπολογιστών κατά την προετοιμασία ασφαλούς καναλιού.

    κρυπτογράφηση και έλεγχος ταυτότητας των δεδομένων που μεταδίδονται μεταξύ των τελικών σημείων ενός ασφαλούς καναλιού·

    αυτόματη παροχή τελικών σημείων καναλιού με μυστικά κλειδιά που είναι απαραίτητα για τη λειτουργία των πρωτοκόλλων ελέγχου ταυτότητας και κρυπτογράφησης δεδομένων.

Στοιχεία IPSec

Το πρωτόκολλο AH (Authentication Header) είναι ένα πρωτόκολλο αναγνώρισης κεφαλίδας. Διασφαλίζει την ακεραιότητα επαληθεύοντας ότι κανένα bit στο προστατευμένο τμήμα του πακέτου δεν έχει αλλάξει κατά τη μετάδοση. Αλλά η χρήση του AH μπορεί να προκαλέσει προβλήματα, για παράδειγμα, όταν ένα πακέτο διέρχεται από μια συσκευή NAT. Το NAT αλλάζει τη διεύθυνση IP του πακέτου για να επιτρέψει την πρόσβαση στο Internet από μια ιδιωτική τοπική διεύθυνση. Επειδή Σε αυτήν την περίπτωση, το πακέτο αλλάζει, τότε το άθροισμα ελέγχου AH γίνεται λανθασμένο (για την εξάλειψη αυτού του προβλήματος, αναπτύχθηκε το πρωτόκολλο NAT-Traversal (NAT-T), το οποίο παρέχει μετάδοση ESP μέσω UDP και χρησιμοποιεί τη θύρα UDP 4500 στην εργασία του). Αξίζει επίσης να σημειωθεί ότι το AH σχεδιάστηκε μόνο για ακεραιότητα. Δεν εγγυάται την εμπιστευτικότητα κρυπτογραφώντας τα περιεχόμενα της συσκευασίας.

Το πρωτόκολλο ESP (Encapsulation Security Payload) παρέχει όχι μόνο την ακεραιότητα και τον έλεγχο ταυτότητας των μεταδιδόμενων δεδομένων, αλλά και την κρυπτογράφηση δεδομένων, καθώς και προστασία από πλαστογράφηση πακέτων.

Το πρωτόκολλο ESP είναι ένα πρωτόκολλο ασφαλείας ενθυλάκωσης που παρέχει τόσο ακεραιότητα όσο και εμπιστευτικότητα. Στη λειτουργία μεταφοράς, η κεφαλίδα ESP βρίσκεται μεταξύ της αρχικής κεφαλίδας IP και της κεφαλίδας TCP ή UDP. Στη λειτουργία σήραγγας, η κεφαλίδα ESP τοποθετείται μεταξύ της νέας κεφαλίδας IP και του πλήρως κρυπτογραφημένου αρχικού πακέτου IP.

Επειδή Και τα δύο πρωτόκολλα - AH και ESP - προσθέτουν τις δικές τους κεφαλίδες IP, καθένα από αυτά έχει τον δικό του αριθμό πρωτοκόλλου (ID), με τον οποίο μπορείτε να καθορίσετε τι θα ακολουθήσει την κεφαλίδα IP. Κάθε πρωτόκολλο, σύμφωνα με την IANA (Internet Assigned Numbers Authority - ο οργανισμός που είναι υπεύθυνος για τον χώρο διευθύνσεων του Διαδικτύου), έχει τον δικό του αριθμό (ID). Για παράδειγμα, για το TCP αυτός ο αριθμός είναι 6 και για το UDP είναι 17. Επομένως, είναι πολύ σημαντικό όταν εργάζεστε μέσω ενός τείχους προστασίας να διαμορφώνετε τα φίλτρα με τέτοιο τρόπο ώστε να περνούν πακέτα με ID AH ή/και ESP του πρωτοκόλλου.

Το αναγνωριστικό πρωτοκόλλου 51 έχει οριστεί να υποδεικνύει ότι το AH υπάρχει στην κεφαλίδα IP και το 50 για το ESP.

ΠΡΟΣΟΧΗ: Το αναγνωριστικό πρωτοκόλλου δεν είναι το ίδιο με τον αριθμό θύρας.

Το πρωτόκολλο IKE (Internet Key Exchange) είναι ένα τυπικό πρωτόκολλο IPsec που χρησιμοποιείται για την ασφάλεια της επικοινωνίας σε εικονικά ιδιωτικά δίκτυα. Σκοπός της ΙΚΕ είναι η ασφαλής διαπραγμάτευση και παράδοση ταυτοποιημένου υλικού σε ένωση ασφαλείας (ΑΕ).

SA είναι ο όρος IPSec για μια σύνδεση. Ένα καθιερωμένο SA (ένα ασφαλές κανάλι που ονομάζεται "secure Association" ή "security Association" - Security Association, SA) περιλαμβάνει ένα κοινό μυστικό κλειδί και ένα σύνολο κρυπτογραφικών αλγορίθμων.

Το πρωτόκολλο IKE εκτελεί τρεις κύριες εργασίες:

    παρέχει ένα μέσο ελέγχου ταυτότητας μεταξύ δύο τελικών σημείων VPN.

    καθιερώνει νέες συνδέσεις IPSec (δημιουργεί ένα ζεύγος SA).

    διαχειρίζεται τις υπάρχουσες σχέσεις.

Το IKE χρησιμοποιεί τον αριθμό θύρας UDP 500. Όταν χρησιμοποιείτε τη δυνατότητα διέλευσης NAT, όπως αναφέρθηκε προηγουμένως, το πρωτόκολλο IKE χρησιμοποιεί τον αριθμό θύρας UDP 4500.

Η ανταλλαγή δεδομένων στο IKE γίνεται σε 2 φάσεις. Σε πρώτη φάση ιδρύεται ο σύλλογος Α.Ε.ΙΚΕ. Ταυτόχρονα, γίνεται έλεγχος ταυτότητας των τελικών σημείων του καναλιού και επιλέγονται παράμετροι προστασίας δεδομένων, όπως ο αλγόριθμος κρυπτογράφησης, το κλειδί συνεδρίας κ.λπ.

Στη δεύτερη φάση, η SA IKE χρησιμοποιείται για διαπραγμάτευση πρωτοκόλλου (συνήθως IPSec).

Με μια διαμορφωμένη σήραγγα VPN, δημιουργείται ένα ζεύγος SA για κάθε πρωτόκολλο που χρησιμοποιείται. Οι SA δημιουργούνται σε ζεύγη, όπως κάθε SA είναι μια σύνδεση μονής κατεύθυνσης και τα δεδομένα πρέπει να αποστέλλονται προς δύο κατευθύνσεις. Τα λαμβανόμενα ζεύγη SA αποθηκεύονται σε κάθε κόμβο.

Δεδομένου ότι κάθε κόμβος είναι ικανός να δημιουργήσει πολλαπλές σήραγγες με άλλους κόμβους, κάθε SA έχει μοναδικός αριθμόςΈνα που σας επιτρέπει να προσδιορίσετε σε ποιον κόμβο ανήκει. Αυτός ο αριθμός ονομάζεται SPI (Security Parameter Index) ή Security Parameter Index.

SA αποθηκευμένο σε βάση δεδομένων (DB) ΛΥΠΗΜΕΝΟΣ(Security Association Database).

Κάθε κόμβος IPSec έχει επίσης ένα δεύτερο DB − SPD(Security Policy Database) - Βάση δεδομένων πολιτικών ασφαλείας. Περιέχει τη διαμορφωμένη πολιτική κεντρικού υπολογιστή. Οι περισσότερες λύσεις VPN σάς επιτρέπουν να δημιουργήσετε πολλαπλές πολιτικές με συνδυασμούς κατάλληλων αλγορίθμων για κάθε κεντρικό υπολογιστή στον οποίο θέλετε να συνδεθείτε.

Η ευελιξία του IPSec έγκειται στο γεγονός ότι για κάθε εργασία υπάρχουν διάφοροι τρόποι επίλυσής της και οι μέθοδοι που επιλέγονται για μία εργασία είναι συνήθως ανεξάρτητες από τις μεθόδους για την υλοποίηση άλλων εργασιών. Ωστόσο, η Ομάδα Εργασίας IETF έχει ορίσει ένα βασικό σύνολο υποστηριζόμενων χαρακτηριστικών και αλγορίθμων που πρέπει να εφαρμοστούν με τον ίδιο τρόπο σε όλα τα προϊόντα με δυνατότητα IPSec. Οι μηχανισμοί AH και ESP μπορούν να χρησιμοποιηθούν με διάφορα σχήματα ελέγχου ταυτότητας και κρυπτογράφησης, μερικά από τα οποία είναι υποχρεωτικά. Για παράδειγμα, το IPSec καθορίζει ότι τα πακέτα επαληθεύονται είτε με τη μονόδρομη συνάρτηση MD5 είτε τη μονόδρομη συνάρτηση SHA-1 και η κρυπτογράφηση γίνεται χρησιμοποιώντας τον αλγόριθμο DES. Οι κατασκευαστές προϊόντων που εκτελούν IPSec μπορούν να προσθέσουν άλλους αλγόριθμους ελέγχου ταυτότητας και κρυπτογράφησης. Για παράδειγμα, ορισμένα προϊόντα υποστηρίζουν αλγόριθμους κρυπτογράφησης όπως 3DES, Blowfish, Cast, RC5 κ.λπ.

Οποιοσδήποτε συμμετρικός αλγόριθμος κρυπτογράφησης που χρησιμοποιεί μυστικά κλειδιά μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση δεδομένων σε IPSec.

Τα πρωτόκολλα προστασίας ροής (AH και ESP) μπορούν να λειτουργήσουν σε δύο λειτουργίες - in τρόπο μεταφοράςκαι στο λειτουργία σήραγγας. Όταν λειτουργεί σε λειτουργία μεταφοράς, το IPsec ασχολείται μόνο με πληροφορίες επιπέδου μεταφοράς. κρυπτογραφείται μόνο το πεδίο δεδομένων του πακέτου που περιέχει τα πρωτόκολλα TCP/UDP (η κεφαλίδα του πακέτου IP δεν αλλάζει (δεν είναι κρυπτογραφημένη)). Η λειτουργία μεταφοράς χρησιμοποιείται συνήθως για τη δημιουργία σύνδεσης μεταξύ κεντρικών υπολογιστών.

Η λειτουργία Tunneling κρυπτογραφεί ολόκληρο το πακέτο IP, συμπεριλαμβανομένης της κεφαλίδας του επιπέδου δικτύου. Για να μεταδοθεί μέσω του δικτύου, τοποθετείται σε άλλο πακέτο IP. Ουσιαστικά, πρόκειται για μια ασφαλή σήραγγα IP. Η λειτουργία σήραγγας μπορεί να χρησιμοποιηθεί για τη σύνδεση απομακρυσμένων υπολογιστών σε ένα εικονικό ιδιωτικό δίκτυο (σύστημα σύνδεσης "κεντρικού δικτύου") ή για την οργάνωση ασφαλούς μεταφοράς δεδομένων μέσω ανοιχτών καναλιών επικοινωνίας (για παράδειγμα, το Διαδίκτυο) μεταξύ πυλών για συνδυασμό διαφορετικών τμημάτων ενός εικονικού ιδιωτικού δικτύου δίκτυο ("σχήμα σύνδεσης δικτύου"). -net").

Οι λειτουργίες IPsec δεν αποκλείονται αμοιβαία. Στον ίδιο κεντρικό υπολογιστή, ορισμένες SA μπορεί να χρησιμοποιούν τη λειτουργία μεταφοράς, ενώ άλλες μπορεί να χρησιμοποιούν τη λειτουργία σήραγγας.

Κατά τη φάση ελέγχου ταυτότητας, υπολογίζεται το άθροισμα ελέγχου ICV (Τιμή ελέγχου ακεραιότητας) του πακέτου. Υποτίθεται ότι και οι δύο κόμβοι γνωρίζουν Το μυστικό κλειδί, που επιτρέπει στον παραλήπτη να υπολογίσει το ICV και να το συγκρίνει με το αποτέλεσμα που έστειλε ο αποστολέας. Εάν η σύγκριση ICV είναι επιτυχής, ο αποστολέας του πακέτου θεωρείται επικυρωμένος.

Σε λειτουργία μεταφοράAH

    ολόκληρο το πακέτο IP, εκτός από ορισμένα πεδία στην κεφαλίδα IP, τα οποία μπορούν να αλλάξουν κατά τη μεταφορά. Αυτά τα πεδία, των οποίων οι τιμές για τον υπολογισμό ICV είναι 0, μπορούν να αποτελούν μέρος της υπηρεσίας (Τύπος υπηρεσίας, TOS), σημαίες, μετατόπιση θραύσματος, χρόνος ζωής (TTL), καθώς και κεφαλίδα αθροίσματος ελέγχου.

    όλα τα πεδία στο AH?

    ωφέλιμο φορτίο πακέτων IP.

Το AH στη λειτουργία μεταφοράς προστατεύει την κεφαλίδα IP (εκτός από τα πεδία που επιτρέπεται να αλλάξουν) και το ωφέλιμο φορτίο στο αρχικό πακέτο IP (Εικόνα 3.39).

Στη λειτουργία σήραγγας, το αρχικό πακέτο τοποθετείται σε ένα νέο πακέτο IP και η μεταφορά δεδομένων πραγματοποιείται με βάση την κεφαλίδα του νέου πακέτου IP.

Για λειτουργία σήραγγαςAHκατά την εκτέλεση ενός υπολογισμού, τα ακόλουθα στοιχεία περιλαμβάνονται στο άθροισμα ελέγχου ICV:

    όλα τα πεδία εξωτερική κεφαλίδα IP, εκτός από ορισμένα πεδία στην κεφαλίδα IP, τα οποία μπορούν να αλλάξουν κατά τη μεταφορά. Αυτά τα πεδία, των οποίων οι τιμές για τον υπολογισμό ICV είναι 0, μπορούν να αποτελούν μέρος της υπηρεσίας (Τύπος υπηρεσίας, TOS), σημαίες, μετατόπιση θραύσματος, χρόνος ζωής (TTL), καθώς και κεφαλίδα αθροίσματος ελέγχου.

    όλα τα πεδία AH?

    αρχικό πακέτο IP.

Όπως μπορείτε να δείτε στην παρακάτω εικόνα, η λειτουργία σήραγγας AH προστατεύει ολόκληρο το πακέτο IP πηγής με μια πρόσθετη εξωτερική κεφαλίδα που δεν χρησιμοποιεί η λειτουργία μεταφοράς AH:

Ρύζι. 6.10.Τρόποι λειτουργίας σήραγγας και μεταφοράς του πρωτοκόλλου ΑΝ

Σε λειτουργία μεταφοράESPδεν επαληθεύει ολόκληρο το πακέτο, αλλά προστατεύει μόνο το ωφέλιμο φορτίο IP. Η κεφαλίδα ESP στη λειτουργία μεταφοράς ESP προστίθεται στο πακέτο IP αμέσως μετά την κεφαλίδα IP και η κατάληξη ESP (ESP Trailer) προστίθεται ανάλογα μετά τα δεδομένα.

Η λειτουργία μεταφοράς ESP κρυπτογραφεί τα ακόλουθα μέρη του πακέτου:

    ωφέλιμο φορτίο IP?

Ένας αλγόριθμος κρυπτογράφησης που χρησιμοποιεί τη λειτουργία κρυπτογράφησης Cipher Block Chaining (CBC) έχει ένα μη κρυπτογραφημένο πεδίο μεταξύ της κεφαλίδας ESP και του ωφέλιμου φορτίου. Αυτό το πεδίο ονομάζεται IV (Διάνυσμα εκκίνησης) για τον υπολογισμό CBC, ο οποίος εκτελείται στον δέκτη. Δεδομένου ότι αυτό το πεδίο χρησιμοποιείται για την έναρξη της διαδικασίας αποκρυπτογράφησης, δεν μπορεί να κρυπτογραφηθεί. Παρόλο που ο εισβολέας έχει τη δυνατότητα να δει το IV, δεν υπάρχει τρόπος να αποκρυπτογραφήσει το κρυπτογραφημένο τμήμα του πακέτου χωρίς το κλειδί κρυπτογράφησης. Για να αποτρέψετε τους εισβολείς από το να αλλάξουν το διάνυσμα αρχικοποίησης, προστατεύεται από το άθροισμα ελέγχου ICV. Σε αυτήν την περίπτωση, το ICV εκτελεί τους ακόλουθους υπολογισμούς:

    όλα τα πεδία στην κεφαλίδα ESP.

    ωφέλιμο φορτίο συμπεριλαμβανομένου απλού κειμένου IV.

    όλα τα πεδία στο τρέιλερ ESP εκτός από το πεδίο δεδομένων ελέγχου ταυτότητας.

Η λειτουργία σήραγγας ESP ενσωματώνει ολόκληρο το αρχικό πακέτο IP σε μια νέα κεφαλίδα IP, μια κεφαλίδα ESP και ένα τρέιλερ ESP. Για να υποδείξετε ότι το ESP υπάρχει στην κεφαλίδα IP, το αναγνωριστικό πρωτοκόλλου IP ορίζεται στο 50, αφήνοντας την αρχική κεφαλίδα IP και το ωφέλιμο φορτίο αμετάβλητα. Όπως και με τη λειτουργία σήραγγας AH, η εξωτερική κεφαλίδα IP βασίζεται στη διαμόρφωση της σήραγγας IPSec. Στην περίπτωση χρήσης της λειτουργίας σήραγγας ESP, η περιοχή ελέγχου ταυτότητας του πακέτου IP δείχνει πού έγινε η υπογραφή, πιστοποιώντας την ακεραιότητα και τη γνησιότητά της, και το κρυπτογραφημένο τμήμα δείχνει ότι οι πληροφορίες είναι προστατευμένες και εμπιστευτικές. Η αρχική κεφαλίδα τοποθετείται μετά την κεφαλίδα ESP. Αφού το κρυπτογραφημένο τμήμα ενθυλακωθεί σε μια νέα κεφαλίδα σήραγγας που δεν είναι κρυπτογραφημένη, μεταδίδεται το πακέτο IP. Όταν αποστέλλεται μέσω ενός δημόσιου δικτύου, ένα τέτοιο πακέτο δρομολογείται στη διεύθυνση IP της πύλης του δικτύου λήψης και η πύλη αποκρυπτογραφεί το πακέτο και απορρίπτει την κεφαλίδα ESP χρησιμοποιώντας την αρχική κεφαλίδα IP για να δρομολογήσει στη συνέχεια το πακέτο σε έναν υπολογιστή που βρίσκεται στο το εσωτερικό δίκτυο. Η λειτουργία ESP tunneling κρυπτογραφεί τα ακόλουθα μέρη του πακέτου:

    αρχικό πακέτο IP.

  • Για τη λειτουργία σήραγγας ESP, το ICV υπολογίζεται ως εξής:

    όλα τα πεδία στην κεφαλίδα ESP.

    το αρχικό πακέτο IP, συμπεριλαμβανομένου του απλού κειμένου IV.

    όλα τα πεδία κεφαλίδας ESP εκτός από το πεδίο δεδομένων ελέγχου ταυτότητας.

Ρύζι. 6.11.Σήραγγα και τρόπος μεταφοράς του πρωτοκόλλου ESP

Ρύζι. 6.12.Σύγκριση πρωτοκόλλων ESP και AH

Σύνοψη των τρόπων εφαρμογήςIPSec:

    Πρωτόκολλο - ESP (AH).

    Τρόπος - σήραγγα (μεταφορά).

    Μέθοδος ανταλλαγής κλειδιών - IKE (εγχειρίδιο).

    Λειτουργία IKE - κύρια (επιθετική).

    Κλειδί DH – ομάδα 5 (ομάδα 2, ομάδα 1) – αριθμός ομάδας για επιλογή δυναμικά δημιουργημένων κλειδιών συνεδρίας, διάρκεια ομάδας.

    Έλεγχος ταυτότητας - SHA1 (SHA, MD5).

    Κρυπτογράφηση - DES (3DES, Blowfish, AES).

Κατά τη δημιουργία μιας πολιτικής, είναι συνήθως δυνατή η δημιουργία μιας ταξινομημένης λίστας αλγορίθμων και ομάδων Diffie-Hellman. Το Diffie-Hellman (DH) είναι ένα πρωτόκολλο κρυπτογράφησης που χρησιμοποιείται για τη δημιουργία κοινών μυστικών κλειδιών για IKE, IPSec και PFS (Perfect Forward Secrecy). Σε αυτήν την περίπτωση, θα χρησιμοποιηθεί η πρώτη θέση που ταιριάζει και στους δύο κόμβους. Είναι πολύ σημαντικό ότι όλα στην πολιτική ασφαλείας σας επιτρέπουν να επιτύχετε αυτή τη σύμπτωση. Εάν όλα τα άλλα ταιριάζουν εκτός από ένα μέρος της πολιτικής, οι οικοδεσπότες θα εξακολουθούν να μην μπορούν να δημιουργήσουν μια σύνδεση VPN. Κατά τη ρύθμιση μιας σήραγγας VPN μεταξύ διάφορα συστήματαπρέπει να μάθετε ποιοι αλγόριθμοι υποστηρίζονται από κάθε πλευρά, ώστε να μπορείτε να επιλέξετε την πιο ασφαλή πολιτική από όλες τις δυνατές.

Οι κύριες ρυθμίσεις που περιλαμβάνει η πολιτική ασφαλείας:

    Συμμετρικοί αλγόριθμοι για κρυπτογράφηση/αποκρυπτογράφηση δεδομένων.

    Κρυπτογραφικά αθροίσματα ελέγχου για τον έλεγχο της ακεραιότητας των δεδομένων.

    Μέθοδος αναγνώρισης κόμβου. Οι πιο συνηθισμένες μέθοδοι είναι τα εκ των προτέρων κοινά μυστικά ή τα πιστοποιητικά ΑΠ.

    Είτε θα χρησιμοποιήσετε τη λειτουργία σήραγγας είτε τη λειτουργία μεταφοράς.

    Ποια ομάδα Diffie-Hellman να χρησιμοποιήσετε (ομάδα DH 1 (768-bit), DH ομάδα 2 (1024-bit), DH ομάδα 5 (1536-bit)).

    Είτε θα χρησιμοποιήσετε AH, ESP ή και τα δύο.

    Εάν θα χρησιμοποιήσετε το PFS.

Ένας περιορισμός του IPSec είναι ότι υποστηρίζει μεταφορά δεδομένων μόνο στο επίπεδο πρωτοκόλλου IP.

Υπάρχουν δύο βασικά σχήματα για τη χρήση του IPSec, που διαφέρουν ως προς τον ρόλο των κόμβων που σχηματίζουν το ασφαλές κανάλι.

Στο πρώτο σχήμα, σχηματίζεται ένα ασφαλές κανάλι μεταξύ των τερματικών κεντρικών υπολογιστών του δικτύου. Σε αυτό το σχήμα, το πρωτόκολλο IPSec προστατεύει τον κεντρικό υπολογιστή που εκτελείται:

Ρύζι. 6.13.Δημιουργήστε ένα ασφαλές κανάλι μεταξύ δύο τελικών σημείων

Στο δεύτερο σχήμα, δημιουργείται ένα ασφαλές κανάλι μεταξύ δύο πυλών ασφαλείας. Αυτές οι πύλες λαμβάνουν δεδομένα από τερματικούς κεντρικούς υπολογιστές που είναι συνδεδεμένοι σε δίκτυα πίσω από τις πύλες. Οι τελικοί κεντρικοί υπολογιστές σε αυτήν την περίπτωση δεν υποστηρίζουν το πρωτόκολλο IPSec, η κίνηση που κατευθύνεται στο δημόσιο δίκτυο διέρχεται από την πύλη ασφαλείας, η οποία εκτελεί προστασία για λογαριασμό της.

Ρύζι. 6.14.Δημιουργία ασφαλούς καναλιού μεταξύ δύο πυλών

Για κεντρικούς υπολογιστές που υποστηρίζουν IPSec, μπορούν να χρησιμοποιηθούν τόσο η λειτουργία μεταφοράς όσο και η λειτουργία σήραγγας. Για τις πύλες, επιτρέπεται μόνο η λειτουργία σήραγγας.

Εγκατάσταση και υποστήριξηVPN

Όπως αναφέρθηκε παραπάνω, η εγκατάσταση και η συντήρηση μιας σήραγγας VPN είναι μια διαδικασία δύο βημάτων. Στο πρώτο στάδιο (φάση), οι δύο κόμβοι συμφωνούν σε μια μέθοδο αναγνώρισης, έναν αλγόριθμο κρυπτογράφησης, έναν αλγόριθμο κατακερματισμού και μια ομάδα Diffie-Hellman. Ταυτίζονται επίσης μεταξύ τους. Όλα αυτά μπορούν να συμβούν ως αποτέλεσμα της ανταλλαγής τριών μη κρυπτογραφημένων μηνυμάτων (η λεγόμενη επιθετική λειτουργία, Επιθετικός τρόπος) ή έξι μηνύματα, με την ανταλλαγή κρυπτογραφημένων πληροφοριών αναγνώρισης (τυπική λειτουργία, Κύριος τρόπος).

Στην κύρια λειτουργία, είναι δυνατή η διαπραγμάτευση όλων των παραμέτρων διαμόρφωσης των συσκευών αποστολέα και παραλήπτη, ενώ στην επιθετική λειτουργία αυτό δεν είναι δυνατό και ορισμένες παράμετροι (ομάδα Diffie-Hellman, αλγόριθμοι κρυπτογράφησης και ελέγχου ταυτότητας, PFS) πρέπει να είναι προ -Ρυθμίζεται με τον ίδιο τρόπο σε κάθε συσκευή. Ωστόσο, σε αυτήν τη λειτουργία, τόσο ο αριθμός των ανταλλαγών όσο και ο αριθμός των πακέτων που αποστέλλονται είναι λιγότερα, με αποτέλεσμα λιγότερο χρόνο για τη δημιουργία μιας περιόδου λειτουργίας IPSec.

Ρύζι. 6.15.Μηνύματα σε τυπικές λειτουργίες (α) και επιθετικές (β).

Υποθέτοντας ότι η λειτουργία ολοκληρώθηκε με επιτυχία, δημιουργείται μια πρώτη φάση SA − Φάση 1 ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ(επίσης λέγεται ΙΚΕΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ) και η διαδικασία προχωρά στη δεύτερη φάση.

Στο δεύτερο βήμα, δημιουργούνται τα βασικά δεδομένα, οι κόμβοι συμφωνούν για την πολιτική που θα χρησιμοποιηθεί. Αυτή η λειτουργία, που ονομάζεται επίσης γρήγορη λειτουργία, διαφέρει από τη Φάση 1 στο ότι μπορεί να δημιουργηθεί μόνο μετά τη Φάση 1, όταν όλα τα πακέτα Φάσης 2 είναι κρυπτογραφημένα. Η σωστή ολοκλήρωση της δεύτερης φάσης οδηγεί στην εμφάνιση Φάση 2 ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑή IPSecΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑκαι σε αυτό η εγκατάσταση της σήραγγας θεωρείται ολοκληρωμένη.

Πρώτον, ένα πακέτο φτάνει στον κόμβο με μια διεύθυνση προορισμού σε άλλο δίκτυο και ο κόμβος ξεκινά την πρώτη φάση με τον κόμβο που είναι υπεύθυνος για το άλλο δίκτυο. Ας υποθέσουμε ότι το τούνελ μεταξύ των κόμβων έχει δημιουργηθεί με επιτυχία και περιμένει πακέτα. Ωστόσο, οι κόμβοι πρέπει να επαναπροσδιορίσουν ο ένας τον άλλον και να συγκρίνουν τις πολιτικές μετά από ένα ορισμένο χρονικό διάστημα. Αυτή η περίοδος ονομάζεται διάρκεια ζωής Phase One ή διάρκεια ζωής IKE SA.

Οι κόμβοι πρέπει επίσης να αλλάξουν το κλειδί για να κρυπτογραφήσουν δεδομένα μετά από μια χρονική περίοδο που ονομάζεται διάρκεια ζωής Φάσης Δεύτερη ή IPSec SA.

Η διάρκεια ζωής της δεύτερης φάσης είναι μικρότερη από την πρώτη φάση, γιατί το κλειδί πρέπει να αλλάζει πιο συχνά. Πρέπει να ορίσετε τις ίδιες παραμέτρους διάρκειας ζωής και για τους δύο κόμβους. Εάν δεν το κάνετε αυτό, τότε είναι πιθανό ότι αρχικά η σήραγγα θα εγκατασταθεί με επιτυχία, αλλά μετά την πρώτη ασυνεπή περίοδο ζωής, η σύνδεση θα διακοπεί. Προβλήματα μπορεί επίσης να προκύψουν όταν η διάρκεια ζωής της πρώτης φάσης είναι μικρότερη από αυτή της δεύτερης φάσης. Εάν η προηγουμένως διαμορφωμένη σήραγγα σταματήσει να λειτουργεί, τότε το πρώτο πράγμα που πρέπει να ελέγξετε είναι η διάρκεια ζωής και στους δύο κόμβους.

Θα πρέπει επίσης να σημειωθεί ότι εάν αλλάξετε την πολιτική σε έναν από τους κόμβους, οι αλλαγές θα τεθούν σε ισχύ μόνο στην επόμενη έναρξη της πρώτης φάσης. Για να τεθούν σε ισχύ οι αλλαγές αμέσως, πρέπει να αφαιρέσετε το SA για αυτήν τη σήραγγα από τη βάση δεδομένων SAD. Αυτό θα αναγκάσει μια αναθεώρηση της συμφωνίας μεταξύ των κόμβων με τις νέες ρυθμίσεις πολιτικής ασφαλείας.

Μερικές φορές κατά τη ρύθμιση μιας σήραγγας IPSec μεταξύ του εξοπλισμού διαφορετικών κατασκευαστώνυπάρχουν δυσκολίες που σχετίζονται με τον συντονισμό των παραμέτρων κατά τον καθορισμό της πρώτης φάσης. Θα πρέπει να δώσετε προσοχή σε μια παράμετρο όπως το Local ID - αυτό είναι ένα μοναδικό αναγνωριστικό για το τελικό σημείο της σήραγγας (αποστολέας και παραλήπτης). Αυτό είναι ιδιαίτερα σημαντικό όταν δημιουργείτε πολλαπλές σήραγγες και χρησιμοποιείτε το πρωτόκολλο NAT Traversal.

Νεκρόςσυνομήλικοςανίχνευση

Κατά τη λειτουργία VPN, εάν δεν υπάρχει κίνηση μεταξύ των τελικών σημείων της σήραγγας ή εάν αλλάξουν τα αρχικά δεδομένα του απομακρυσμένου κεντρικού υπολογιστή (για παράδειγμα, αλλαγή της δυναμικά εκχωρημένης διεύθυνσης IP), μπορεί να προκύψει μια κατάσταση όταν η σήραγγα ουσιαστικά δεν είναι πλέον τέτοια , να γίνει, σαν να λέγαμε, ένα τούνελ φάντασμα. Προκειμένου να διατηρείται σταθερή ετοιμότητα για ανταλλαγή δεδομένων στη δημιουργημένη σήραγγα IPSec, ο μηχανισμός IKE (που περιγράφεται στο RFC 3706) σας επιτρέπει να ελέγχετε την παρουσία κίνησης από τον απομακρυσμένο κόμβο της σήραγγας και εάν απουσιάζει για ένα καθορισμένο χρονικό διάστημα, αποστέλλεται ένα μήνυμα γεια (στα τείχη προστασίας το D-Link στέλνει ένα μήνυμα "DPD-R-U-THERE"). Εάν δεν υπάρξει απάντηση σε αυτό το μήνυμα μέσα σε ένα συγκεκριμένο χρονικό διάστημα, στα τείχη προστασίας D-Link που έχουν οριστεί από τις ρυθμίσεις "DPD Expire Time", η σήραγγα αποσυναρμολογείται. Μετά από αυτό, τείχη προστασίας D-Link, χρησιμοποιώντας τις ρυθμίσεις "DPD Keep Time" ( ρύζι. 6.18) επιχειρήστε αυτόματα να αποκαταστήσετε τη σήραγγα.

ΠρωτόκολλοNATΔιασταύρωση

Η κίνηση IPsec μπορεί να δρομολογηθεί σύμφωνα με τους ίδιους κανόνες με άλλα πρωτόκολλα IP, αλλά επειδή ο δρομολογητής δεν μπορεί πάντα να εξάγει πληροφορίες ειδικά για πρωτόκολλα επιπέδου μεταφοράς, είναι αδύνατο για το IPsec να περάσει από πύλες NAT. Όπως αναφέρθηκε προηγουμένως, για να λύσει αυτό το πρόβλημα, το IETF έχει ορίσει έναν τρόπο ενθυλάκωσης του ESP στο UDP, που ονομάζεται NAT-T (NAT Traversal).

Το πρωτόκολλο NAT Traversal ενσωματώνει την κίνηση IPSec και ταυτόχρονα δημιουργεί πακέτα UDP που το NAT προωθεί σωστά. Για να γίνει αυτό, το NAT-T τοποθετεί μια πρόσθετη κεφαλίδα UDP πριν από το πακέτο IPSec, έτσι ώστε να αντιμετωπίζεται σαν ένα κανονικό πακέτο UDP σε όλο το δίκτυο και ο κεντρικός υπολογιστής παραλήπτης να μην εκτελεί κανέναν έλεγχο ακεραιότητας. Αφού το πακέτο φτάσει στον προορισμό του, η κεφαλίδα UDP αφαιρείται και το πακέτο δεδομένων συνεχίζει την πορεία του ως ένα ενθυλακωμένο πακέτο IPSec. Έτσι, χρησιμοποιώντας τον μηχανισμό NAT-T, είναι δυνατή η δημιουργία επικοινωνίας μεταξύ των πελατών IPSec σε ασφαλή δίκτυα και των δημόσιων κεντρικών υπολογιστών IPSec μέσω τείχη προστασίας.

Υπάρχουν δύο σημεία που πρέπει να προσέξετε κατά τη διαμόρφωση των τειχών προστασίας D-Link στη συσκευή λήψης:

    στα πεδία Remote Network και Remote Endpoint, καθορίστε το δίκτυο και τη διεύθυνση IP της απομακρυσμένης συσκευής αποστολής. Είναι απαραίτητο να επιτρέπεται η μετάφραση της διεύθυνσης IP του εκκινητή (αποστολέα) χρησιμοποιώντας τεχνολογία NAT (Εικόνα 3.48).

    όταν χρησιμοποιείτε κοινόχρηστα κλειδιά με πολλαπλές σήραγγες συνδεδεμένες στο ίδιο τηλεχειριστήριο τείχος προστασίαςπου έχουν γίνει NAT στην ίδια διεύθυνση, είναι σημαντικό να βεβαιωθείτε ότι το Local ID είναι μοναδικό για κάθε σήραγγα.

Τοπικός ταυτότηταμπορεί να είναι ένα από:

    Αυτο– η διεύθυνση IP της διεπαφής εξερχόμενης κίνησης χρησιμοποιείται ως τοπικό αναγνωριστικό.

    IP– Διεύθυνση IP της θύρας WAN του τηλεχειριστηρίου τείχος προστασίας

    DNS– Διεύθυνση DNS

    Δημιουργία αντιγράφων ασφαλείας κρυπτογραφημένων αρχείων

    Μια σημαντική πτυχή σχεδιασμού οποιουδήποτε μηχανισμού κρυπτογράφησης αρχείων είναι ότι οι εφαρμογές δεν μπορούν να έχουν πρόσβαση σε αποκρυπτογραφημένα δεδομένα παρά μόνο μέσω των μηχανισμών κρυπτογράφησης. Αυτός ο περιορισμός είναι ιδιαίτερα σημαντικός για τις επιχειρήσεις κοινής ωφέλειας Κρατήστε αντίγραφο, με το οποίο αποθηκεύονται αρχεία σε μέσα αρχειοθέτησης. Το EFS επιλύει αυτό το πρόβλημα παρέχοντας έναν μηχανισμό δημιουργίας αντιγράφων ασφαλείας βοηθητικών προγραμμάτων αντίγραφα ασφαλείαςαρχεία και να τα επαναφέρετε σε κρυπτογραφημένη μορφή. Έτσι, τα βοηθητικά προγράμματα δημιουργίας αντιγράφων ασφαλείας δεν χρειάζεται να κρυπτογραφούν ή να αποκρυπτογραφούν δεδομένα αρχείου κατά τη διαδικασία δημιουργίας αντιγράφων ασφαλείας.

    Το EFS χρησιμοποιείται όταν είναι απαραίτητο να κρυπτογραφηθούν τα περιεχόμενα των αρχείων σε κατάσταση ηρεμίας. Άλλοι μηχανισμοί χρησιμοποιούνται για τη διασφάλιση της ασφαλούς μεταφοράς αρχείων και άλλων δεδομένων μέσω ενός δικτύου. Ένα από αυτά είναι τα ¾ εικονικά ιδιωτικά δίκτυα.

    VPN (Αγγλικά) Εικονική ΙδιωτικήΔίκτυο - εικονικό ιδιωτικό δίκτυο) - ένα λογικό δίκτυο που δημιουργείται πάνω από ένα άλλο δίκτυο, όπως το Διαδίκτυο. Παρά το γεγονός ότι οι επικοινωνίες πραγματοποιούνται μέσω δημόσιων δικτύων χρησιμοποιώντας μη ασφαλή πρωτόκολλα, η κρυπτογράφηση δημιουργεί κανάλια ανταλλαγής πληροφοριών κλειστά από ξένους. Το VPN σάς επιτρέπει να συνδυάσετε, για παράδειγμα, πολλά γραφεία ενός οργανισμού σε ένα ενιαίο δίκτυο χρησιμοποιώντας μη ελεγχόμενα κανάλια επικοινωνίας μεταξύ τους.

    ΣΤΟ Microsoft Windowsο όρος "VPN" αναφέρεται σε μία από τις υλοποιήσεις εικονικό δίκτυο- PPTP, και συχνά χρησιμοποιείται όχι για τη δημιουργία ιδιωτικών δικτύων. Τις περισσότερες φορές, για τη δημιουργία ενός εικονικού δικτύου, χρησιμοποιείται η ενθυλάκωση του πρωτοκόλλου PPP σε κάποιο άλλο πρωτόκολλο - IP ή Ethernet (PPPoE). Η τεχνολογία VPN έχει χρησιμοποιηθεί πρόσφατα όχι μόνο για τη δημιουργία ιδιωτικών δικτύων, αλλά και από ορισμένους παρόχους «τελευταίου μιλίου» για την παροχή πρόσβασης στο Διαδίκτυο.

    Ένα VPN αποτελείται από δύο μέρη: ένα «εσωτερικό» (ελεγχόμενο) δίκτυο, από το οποίο μπορεί να υπάρχουν πολλά, και ένα «εξωτερικό» δίκτυο μέσω του οποίου διέρχεται η ενθυλακωμένη σύνδεση (συνήθως χρησιμοποιείται το Διαδίκτυο). Είναι επίσης δυνατή η σύνδεση σε εικονικό δίκτυο ξεχωριστός υπολογιστής. Ένας απομακρυσμένος χρήστης συνδέεται στο VPN μέσω ενός διακομιστή πρόσβασης που είναι συνδεδεμένος τόσο στο εσωτερικό όσο και στο εξωτερικό (δημόσιο) δίκτυο. Κατά τη σύνδεση ενός απομακρυσμένου χρήστη (ή κατά τη δημιουργία μιας σύνδεσης σε άλλο ασφαλές δίκτυο), ο διακομιστής πρόσβασης απαιτεί να περάσει η διαδικασία αναγνώρισης και, στη συνέχεια, η διαδικασία ελέγχου ταυτότητας. Μετά την επιτυχή ολοκλήρωση και των δύο διαδικασιών, ο απομακρυσμένος χρήστης ( απομακρυσμένο δίκτυο) εξουσιοδοτείται να εργάζεται στο δίκτυο, δηλαδή πραγματοποιείται η διαδικασία εξουσιοδότησης.



    Ταξινόμηση VPN

    Οι λύσεις VPN μπορούν να ταξινομηθούν σύμφωνα με διάφορες κύριες παραμέτρους:

    1. Ανά τύπο μέσου που χρησιμοποιείται

    Προστατεύεται

    Η πιο κοινή έκδοση εικονικών ιδιωτικών δικτύων. Με τη βοήθειά του, είναι δυνατό να δημιουργηθεί ένα αξιόπιστο και ασφαλές υποδίκτυο που βασίζεται σε ένα αναξιόπιστο δίκτυο, συνήθως στο Διαδίκτυο. Παραδείγματα ασφαλών VPN είναι: IPSec, OpenVPN και PPTP.

    Εμπιστος

    Χρησιμοποιούνται σε περιπτώσεις όπου το μέσο μετάδοσης μπορεί να θεωρηθεί αξιόπιστο και είναι απαραίτητο μόνο να λυθεί το πρόβλημα της δημιουργίας ενός εικονικού υποδικτύου σε ένα μεγαλύτερο δίκτυο. Τα θέματα ασφαλείας γίνονται άσχετα. Παραδείγματα τέτοιων λύσεων VPN είναι: Εναλλαγή ετικετών πολλαπλών πρωτοκόλλων (MPLS) και L2TP (Πρωτόκολλο σήραγγας επιπέδου 2). (Είναι πιο σωστό να πούμε ότι αυτά τα πρωτόκολλα μετατοπίζουν το καθήκον της παροχής ασφάλειας σε άλλους, για παράδειγμα, το L2TP χρησιμοποιείται συνήθως παράλληλα με το IPSec).

    2. Κατά τρόπο υλοποίησης

    Με τη μορφή ειδικού λογισμικού και υλικού

    Η υλοποίηση του δικτύου VPN πραγματοποιείται χρησιμοποιώντας ένα ειδικό σύνολο λογισμικού και υλικού. Αυτή η υλοποίηση παρέχει υψηλή απόδοση και, κατά κανόνα, υψηλό βαθμόασφάλεια.

    · Οπως και λύση λογισμικού

    χρήση Προσωπικός υπολογιστήςμε ειδικό λογισμικό που παρέχει λειτουργικότητα VPN.

    · Ολοκληρωμένη λύση

    Η λειτουργικότητα VPN παρέχεται από ένα συγκρότημα που λύνει επίσης τα προβλήματα φιλτραρίσματος της κυκλοφορίας δικτύου, οργάνωσης τείχους προστασίας και διασφάλισης ποιότητας υπηρεσιών.

    3. Κατόπιν ραντεβού

    Χρησιμοποιείται για να συνδυάσει σε ένα ενιαίο ασφαλές δίκτυο πολλά κατανεμημένα υποκαταστήματα ενός οργανισμού που ανταλλάσσουν δεδομένα ανοιχτά κανάλιασυνδέσεις.

    Απομακρυσμένη πρόσβαση VPN

    Χρησιμοποιείται για τη δημιουργία ενός ασφαλούς καναλιού μεταξύ ενός τμήματος εταιρικού δικτύου (κεντρικό γραφείο ή υποκατάστημα) και ενός μεμονωμένου χρήστη που, ενώ εργάζεται στο σπίτι, συνδέεται με εταιρικούς πόρους με οικιακός υπολογιστήςή, ενώ βρίσκεστε σε επαγγελματικό ταξίδι, συνδέεται με εταιρικούς πόρους χρησιμοποιώντας φορητό υπολογιστή.

    Χρησιμοποιείται για δίκτυα στα οποία συνδέονται "εξωτερικοί" χρήστες. Το επίπεδο εμπιστοσύνης σε αυτούς είναι πολύ χαμηλότερο από ό,τι στους υπαλλήλους της εταιρείας, επομένως είναι απαραίτητο να παρέχονται ειδικά «σύνορα» προστασίας που περιορίζουν την πρόσβαση των τελευταίων σε ιδιαίτερα πολύτιμες, εμπιστευτικές πληροφορίες.

    4. Ανά τύπο πρωτοκόλλου

    Υπάρχουν υλοποιήσεις εικονικών ιδιωτικών δικτύων υπό TCP/IP, IPX και AppleTalk. Αλλά σήμερα υπάρχει μια τάση προς μια γενική μετάβαση στο πρωτόκολλο TCP/IP και η συντριπτική πλειοψηφία των λύσεων VPN το υποστηρίζει.

    5. Κατά επίπεδο πρωτοκόλλου δικτύου

    Με επίπεδο πρωτοκόλλου δικτύου, με βάση μια αντιστοίχιση στα επίπεδα του μοντέλου αναφοράς δικτύου ISO/OSI.

    ερωτήσεις δοκιμής

    1. Τι συμβαίνει όταν κρυπτογραφείτε για πρώτη φορά ένα αρχείο EFS;

    2. Πώς επιλύει το EFS το πρόβλημα της δημιουργίας αντιγράφων ασφαλείας κρυπτογραφημένων αρχείων;

    3. Ποιοι αλγόριθμοι κρυπτογράφησης χρησιμοποιούνται στο EFS;

    4. Σε τι χρησιμεύει ένα VPN;

    5. Πώς ταξινομούνται τα VPN ανά σκοπό;


    Διάλεξη 8

    ΜΗΧΑΝΙΣΜΟΙ ΕΛΕΓΧΟΥ ΑΚΕΡΑΙΟΤΗΤΑΣ
    ΣΕ ΟΙΚΟΓΕΝΕΙΑ Λ.Σ

    Εμφανίστηκαν μηχανισμοί ελέγχου της ακεραιότητας τελευταία έκδοση MS Windows ¾ Vista.

    Η έννοια των ιδιωτικών εικονικών δικτύων, με συντομογραφία VPN (από τα αγγλικά εμφανίστηκε στο τεχνολογία υπολογιστώνπρόσφατα. Η δημιουργία αυτού του τύπου σύνδεσης κατέστησε δυνατό τον συνδυασμό τερματικών υπολογιστών και φορητών συσκευών σε εικονικά δίκτυα χωρίς τα συνηθισμένα καλώδια, ανεξάρτητα από τη θέση ενός συγκεκριμένου τερματικού. Τώρα ας δούμε πώς λειτουργεί μια σύνδεση VPN και, ταυτόχρονα, ας δώσουμε μερικές συστάσεις για τη ρύθμιση τέτοιων δικτύων και σχετικών προγραμμάτων πελατών.

    Τι είναι ένα VPN;

    Όπως έχει ήδη γίνει κατανοητό, ένα VPN είναι ένα εικονικό ιδιωτικό δίκτυο με πολλές συσκευές συνδεδεμένες σε αυτό. Δεν πρέπει να κολακεύετε τον εαυτό σας - συνήθως δεν λειτουργεί η σύνδεση δύο ή τριών δωδεκάδων τερματικών υπολογιστών που λειτουργούν ταυτόχρονα (καθώς αυτό μπορεί να γίνει στο "τοπικό"). Αυτό έχει τους περιορισμούς του στη ρύθμιση ενός δικτύου ή ακόμα και μόνο μέσα εύρος ζώνηςδρομολογητής υπεύθυνος για την εκχώρηση διευθύνσεων IP και

    Ωστόσο, η ιδέα που αρχικά ενσωματώθηκε στην τεχνολογία σύνδεσης δεν είναι νέα. Προσπάθησαν να το τεκμηριώσουν για πολύ καιρό. Και πολλοί σύγχρονοι χρήστες δίκτυα υπολογιστώνδεν συνειδητοποιούν καν ότι το γνώριζαν όλη τους τη ζωή, αλλά απλά δεν προσπάθησαν να φτάσουν στην ουσία του θέματος.

    Πώς λειτουργεί μια σύνδεση VPN: βασικές αρχές και τεχνολογίες

    Για καλύτερη κατανόηση, θα δώσουμε το πιο απλό παράδειγμα που είναι γνωστό σε κάθε σύγχρονο άνθρωπο. Πάρτε τουλάχιστον το ραδιόφωνο. Άλλωστε, στην πραγματικότητα, είναι μια συσκευή εκπομπής (μεταφραστής), μια ενδιάμεση μονάδα (repeater) υπεύθυνη για τη μετάδοση και διανομή του σήματος και μια συσκευή λήψης (δέκτης).

    Ένα άλλο πράγμα είναι ότι το σήμα μεταδίδεται σε όλους απολύτως τους καταναλωτές και το εικονικό δίκτυο λειτουργεί επιλεκτικά, συνδυάζοντας μόνο ορισμένες συσκευές σε ένα δίκτυο. Σημειώστε ότι ούτε στην πρώτη ούτε στη δεύτερη περίπτωση, απαιτούνται καλώδια για τη σύνδεση συσκευών εκπομπής και λήψης που ανταλλάσσουν δεδομένα μεταξύ τους.

    Αλλά και εδώ υπάρχουν λεπτές αποχρώσεις. Το γεγονός είναι ότι αρχικά το ραδιοφωνικό σήμα ήταν απροστάτευτο, δηλαδή, μπορεί να ληφθεί από οποιονδήποτε ραδιοερασιτέχνη με μια συσκευή εργασίας στην κατάλληλη συχνότητα. Πώς λειτουργεί ένα VPN; Ναι, ακριβώς το ίδιο. Μόνο σε αυτήν την περίπτωση, ο ρόλος του επαναλήπτη διαδραματίζεται από τον δρομολογητή (δρομολογητής ή μόντεμ ADSL) και ο ρόλος του δέκτη παίζεται από ένα σταθερό τερματικό υπολογιστή, φορητό υπολογιστή ή κινητή συσκευή, η οποία διαθέτει ειδική μονάδα στον εξοπλισμό της ασύρματη σύνδεση(wi-fi).

    Με όλα αυτά, τα δεδομένα που προέρχονται από την πηγή κρυπτογραφούνται αρχικά και μόνο στη συνέχεια, χρησιμοποιώντας έναν ειδικό αποκωδικοποιητή, αναπαράγονται συγκεκριμένη συσκευή. Αυτή η αρχή επικοινωνίας μέσω VPN ονομάζεται tunneling. Και αυτή η αρχή είναι πιο συνεπής σύνδεση κινητής τηλεφωνίαςόταν η ανακατεύθυνση γίνεται σε συγκεκριμένο συνδρομητή.

    Σήραγγα τοπικών εικονικών δικτύων

    Ας καταλάβουμε πώς λειτουργεί ένα VPN σε λειτουργία σήραγγας. Στην ουσία, περιλαμβάνει τη δημιουργία μιας ορισμένης ευθείας γραμμής, ας πούμε, από το σημείο "Α" στο σημείο "Β", όταν, κατά τη μεταφορά δεδομένων από μια κεντρική πηγή (δρομολογητή με σύνδεση διακομιστή), ο ορισμός όλων συσκευές δικτύουεκτελείται αυτόματα σύμφωνα με μια προκαθορισμένη διαμόρφωση.

    Με άλλα λόγια, δημιουργείται ένα τούνελ με κωδικοποίηση κατά την αποστολή δεδομένων και αποκωδικοποίηση κατά τη λήψη. Αποδεικνύεται ότι κανένας άλλος χρήστης που προσπάθησε να υποκλέψει δεδομένα αυτού του τύπου κατά τη μετάδοση δεν θα μπορεί να τα αποκρυπτογραφήσει.

    Μέσα υλοποίησης

    Ένα από τα πιο ισχυρά εργαλεία για τέτοιου είδους συνδέσεις και ταυτόχρονα ασφάλεια είναι τα συστήματα Cisco. Είναι αλήθεια ότι ορισμένοι άπειροι διαχειριστές έχουν μια ερώτηση σχετικά με το γιατί ο εξοπλισμός VPN-Cisco δεν λειτουργεί.

    Αυτό οφείλεται κυρίως σε λανθασμένες ρυθμίσεις παραμέτρων και εγκατεστημένα προγράμματα οδήγησης για δρομολογητές όπως το D-Link ή το ZyXEL, τα οποία απαιτούν λεπτό συντονισμόμόνο επειδή έχουν ενσωματωμένα τείχη προστασίας.

    Επιπλέον, θα πρέπει να δώσετε προσοχή στα διαγράμματα καλωδίωσης. Μπορεί να υπάρχουν δύο από αυτά: από διαδρομή προς διαδρομή ή απομακρυσμένη πρόσβαση. Στην πρώτη περίπτωση, μιλάμε για τη σύνδεση πολλών συσκευών διανομής και στη δεύτερη, πρόκειται για τη διαχείριση της σύνδεσης ή της μεταφοράς δεδομένων χρησιμοποιώντας απομακρυσμένη πρόσβαση.

    Πρωτόκολλα πρόσβασης

    Όσον αφορά τα πρωτόκολλα, τα εργαλεία διαμόρφωσης επιπέδου PCP/IP χρησιμοποιούνται κυρίως σήμερα, αν και τα εσωτερικά πρωτόκολλα για VPN μπορεί να διαφέρουν.

    Το VPN σταμάτησε να λειτουργεί; Θα πρέπει να δείτε μερικές κρυφές επιλογές. Έτσι, για παράδειγμα, τα πρόσθετα πρωτόκολλα που βασίζονται στην τεχνολογία TCP, PPP και PPTP, εξακολουθούν να ανήκουν στις στοίβες πρωτοκόλλων TCP / IP, αλλά για μια σύνδεση, ας πούμε, στην περίπτωση χρήσης PPTP, πρέπει να χρησιμοποιήσετε δύο διευθύνσεις IP αντί για απαιτείται ένα. Ωστόσο, σε κάθε περίπτωση, το tunneling περιλαμβάνει τη μεταφορά δεδομένων που περιέχονται σε εσωτερικά πρωτόκολλα όπως το IPX ή το NetBEUI, και όλα αυτά είναι εφοδιασμένα με ειδικές κεφαλίδες που βασίζονται σε PPP για την απρόσκοπτη μεταφορά δεδομένων στο κατάλληλο πρόγραμμα οδήγησης δικτύου.

    Συσκευές υλικού

    Τώρα ας δούμε μια κατάσταση όπου τίθεται το ερώτημα γιατί το VPN δεν λειτουργεί. Το γεγονός ότι το πρόβλημα μπορεί να σχετίζεται με λανθασμένη διαμόρφωση υλικού είναι κατανοητό. Αλλά μπορεί να υπάρχει μια άλλη κατάσταση.

    Αξίζει να δώσετε προσοχή στους ίδιους τους δρομολογητές, οι οποίοι ελέγχουν τη σύνδεση. Όπως αναφέρθηκε παραπάνω, θα πρέπει να χρησιμοποιείτε μόνο συσκευές που είναι κατάλληλες για παραμέτρους σύνδεσης.

    Για παράδειγμα, δρομολογητές όπως ο DI-808HV ή ο DI-804HV μπορούν να συνδέσουν έως και σαράντα συσκευές ταυτόχρονα. Όσον αφορά τον εξοπλισμό ZyXEL, σε πολλές περιπτώσεις μπορεί να λειτουργήσει ακόμη και μέσω του ενσωματωμένου λειτουργικού συστήματος δικτύου ZyNOS, αλλά μόνο χρησιμοποιώντας τη λειτουργία ZyXEL. γραμμή εντολώνμέσω του πρωτοκόλλου Telnet. Αυτή η προσέγγιση επιτρέπει σε οποιαδήποτε συσκευή να διαμορφωθεί με δεδομένα σε τρία δίκτυα σε ένα κοινό περιβάλλον Ethernet με κίνηση IP, καθώς και τη χρήση της μοναδικής τεχνολογίας Any-IP που έχει σχεδιαστεί για να χρησιμοποιεί έναν τυπικό πίνακα δρομολογητών με προωθημένη κίνηση ως πύλη για συστήματα που είχε αρχικά ρυθμιστεί για να λειτουργεί σε άλλα υποδίκτυα.

    Τι να κάνετε εάν το VPN δεν λειτουργεί (Windows 10 και νεότερες εκδόσεις);

    Η πρώτη και πιο σημαντική προϋπόθεση είναι η αντιστοιχία των κλειδιών εξόδου και εισόδου (Pre-shared Keys). Πρέπει να είναι ίδια και στις δύο άκρες του τούνελ. Αξίζει επίσης να δοθεί προσοχή στους αλγόριθμους κρυπτογραφική κρυπτογράφηση(IKE ή Manual) με ή χωρίς λειτουργία ελέγχου ταυτότητας.

    Για παράδειγμα, το ίδιο πρωτόκολλο AH (στην αγγλική έκδοση - Authentication Header) μπορεί να παρέχει μόνο εξουσιοδότηση χωρίς τη δυνατότητα χρήσης κρυπτογράφησης.

    Οι πελάτες VPN και η διαμόρφωσή τους

    Όσο για τους πελάτες VPN, δεν είναι και τόσο απλό. Τα περισσότερα προγράμματα που βασίζονται σε τέτοιες τεχνολογίες χρησιμοποιούν τυπικές μεθόδους διαμόρφωσης. Ωστόσο, υπάρχουν κάποιες παγίδες εδώ.

    Το πρόβλημα είναι ότι ανεξάρτητα από τον τρόπο εγκατάστασης του προγράμματος-πελάτη, όταν η υπηρεσία είναι απενεργοποιημένη στο ίδιο το "OS", δεν θα βγει τίποτα καλό από αυτό. Αυτός είναι ο λόγος για τον οποίο πρέπει πρώτα να ενεργοποιήσετε αυτές τις ρυθμίσεις στα Windows, στη συνέχεια να τις ενεργοποιήσετε στο δρομολογητή (δρομολογητή) και μόνο στη συνέχεια να προχωρήσετε στη διαμόρφωση του ίδιου του προγράμματος-πελάτη.

    Στο ίδιο το σύστημα, θα πρέπει να δημιουργήσετε μια νέα σύνδεση και όχι να χρησιμοποιήσετε μια υπάρχουσα. Δεν θα σταθούμε σε αυτό, καθώς η διαδικασία είναι τυπική, αλλά στον ίδιο τον δρομολογητή θα πρέπει να πάτε επιπρόσθετες ρυθμίσεις(τις περισσότερες φορές βρίσκονται στο μενού Τύπος σύνδεσης WLAN) και ενεργοποιούν οτιδήποτε σχετίζεται με τον διακομιστή VPN.

    Αξίζει επίσης να σημειωθεί το γεγονός ότι θα πρέπει να εγκατασταθεί στο σύστημα ως συνοδευτικό πρόγραμμα. Αλλά τότε μπορεί να χρησιμοποιηθεί ακόμα και χωρίς χειροκίνητη ρύθμισηεπιλέγοντας απλώς την πλησιέστερη τοποθεσία.

    Ένας από τους πιο δημοφιλείς και ευκολότερους στη χρήση διακομιστή-πελάτη VPN που ονομάζεται SecurityKISS. Το πρόγραμμα έχει εγκατασταθεί, αλλά στη συνέχεια δεν χρειάζεται καν να μεταβείτε στις ρυθμίσεις για να διασφαλίσετε την κανονική επικοινωνία για όλες τις συσκευές που είναι συνδεδεμένες στον διανομέα.

    Συμβαίνει ότι ένα αρκετά γνωστό και δημοφιλές πακέτο πελάτη Kerio VPN δεν λειτουργεί. Εδώ θα πρέπει να δώσετε προσοχή όχι μόνο στο ίδιο το "OS", αλλά και στις παραμέτρους πρόγραμμα πελάτη. Κατά κανόνα, η εισαγωγή των σωστών παραμέτρων σάς επιτρέπει να απαλλαγείτε από το πρόβλημα. Ως έσχατη λύση, θα πρέπει να ελέγξετε τις ρυθμίσεις της κύριας σύνδεσης και τα χρησιμοποιούμενα πρωτόκολλα TCP / IP (v4 / v6).

    Ποιο είναι το αποτέλεσμα?

    Καλύψαμε πώς λειτουργεί ένα VPN. Κατ 'αρχήν, δεν υπάρχει τίποτα περίπλοκο στην ίδια τη σύνδεση ή τη δημιουργία δικτύων αυτού του τύπου. Η κύρια δυσκολία έγκειται στη ρύθμιση συγκεκριμένου εξοπλισμού και τη ρύθμιση των παραμέτρων του, κάτι που, δυστυχώς, πολλοί χρήστες παραβλέπουν, βασιζόμενοι στο γεγονός ότι η όλη διαδικασία θα περιοριστεί σε αυτοματισμό.

    Από την άλλη πλευρά, έχουμε πλέον ασχοληθεί περισσότερο με ζητήματα που σχετίζονται με την τεχνολογία των ίδιων των εικονικών δικτύων VPN, επομένως θα πρέπει να διαμορφώσετε τον εξοπλισμό, να εγκαταστήσετε προγράμματα οδήγησης συσκευών κ.λπ. χρησιμοποιώντας ξεχωριστές οδηγίες και συστάσεις.

    Εκτός από τον κύριο σκοπό του - την αύξηση της απόδοσης των συνδέσεων στο δίκτυο - ο διακόπτης σάς επιτρέπει να εντοπίζετε τις ροές πληροφοριών, καθώς και να ελέγχετε και να διαχειρίζεστε αυτές τις ροές χρησιμοποιώντας τον μηχανισμό προσαρμοσμένα φίλτρα. Ωστόσο, το φίλτρο χρήστη μπορεί να αποτρέψει τη μετάδοση πλαισίων μόνο σε συγκεκριμένες διευθύνσεις, ενώ μεταδίδει κίνηση εκπομπής σε όλα τα τμήματα του δικτύου. Αυτή είναι η αρχή της λειτουργίας του αλγορίθμου γέφυρας που εφαρμόζεται στο μεταγωγέα, επομένως, τα δίκτυα που δημιουργούνται με βάση γεφύρια και διακόπτες ονομάζονται μερικές φορές επίπεδα - λόγω της απουσίας φραγμών στην κυκλοφορία μετάδοσης.

    Η τεχνολογία των εικονικών τοπικών δικτύων (Virtual LAN, VLAN) που εισήχθη πριν από μερικά χρόνια, ξεπερνά αυτόν τον περιορισμό. Ένα εικονικό δίκτυο είναι μια ομάδα κόμβων δικτύου των οποίων η κυκλοφορία, συμπεριλαμβανομένης της κυκλοφορίας εκπομπής, είναι πλήρως απομονωμένη από άλλους κόμβους στο επίπεδο σύνδεσης δεδομένων (βλ. Εικόνα 1). Αυτό σημαίνει ότι η απευθείας μεταφορά καρέ μεταξύ διαφορετικών εικονικών δικτύων δεν είναι δυνατή, ανεξάρτητα από τον τύπο της διεύθυνσης - μοναδική, πολλαπλή εκπομπή ή μετάδοση. Ταυτόχρονα, μέσα στο εικονικό δίκτυο, τα πλαίσια μεταδίδονται σύμφωνα με την τεχνολογία μεταγωγής, δηλαδή μόνο στη θύρα στην οποία έχει εκχωρηθεί η διεύθυνση προορισμού του πλαισίου.

    Τα εικονικά δίκτυα μπορεί να επικαλύπτονται εάν ένας ή περισσότεροι υπολογιστές περιλαμβάνονται σε περισσότερα από ένα εικονικά δίκτυα. Στην εικόνα 1, ο διακομιστής ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗείναι μέρος των εικονικών δικτύων 3 και 4 και επομένως τα πλαίσια του μεταδίδονται με διακόπτες σε όλους τους υπολογιστές που περιλαμβάνονται σε αυτά τα δίκτυα. Εάν ένας υπολογιστής έχει εκχωρηθεί μόνο στο εικονικό δίκτυο 3, τότε τα καρέ του δεν θα φτάσουν στο δίκτυο 4, αλλά μπορεί να αλληλεπιδράσει με υπολογιστές του δικτύου 4 μέσω ενός κοινού διακομιστή αλληλογραφίας. Αυτό το σχήμα δεν απομονώνει εντελώς τα εικονικά δίκτυα το ένα από το άλλο - επομένως, μια καταιγίδα εκπομπής που ξεκινά από τον διακομιστή email θα κατακλύσει τόσο το δίκτυο 3 όσο και το δίκτυο 4.

    Λέγεται ότι το εικονικό δίκτυο σχηματίζει έναν τομέα κυκλοφορίας εκπομπής (broadcast domain), κατ' αναλογία με τον τομέα σύγκρουσης, ο οποίος σχηματίζεται από επαναλήπτες δικτύων Ethernet.

    ΕΡΓΑΣΙΑ VLAN

    Η τεχνολογία VLAN διευκολύνει τη δημιουργία απομονωμένων δικτύων που επικοινωνούν μέσω δρομολογητών που υποστηρίζουν ένα πρωτόκολλο επιπέδου δικτύου όπως το IP. Αυτή η λύση δημιουργεί πολύ πιο ισχυρά εμπόδια στην εσφαλμένη κυκλοφορία από το ένα δίκτυο στο άλλο. Σήμερα πιστεύεται ότι κάθε μεγάλο δίκτυο πρέπει να περιλαμβάνει δρομολογητές, διαφορετικά οι ροές λανθασμένων πλαισίων, ιδιαίτερα οι εκπομπές, μέσω διακοπτών που είναι διαφανείς σε αυτά, περιοδικά θα το «πλημμυρίζουν» εντελώς, με αποτέλεσμα να μην λειτουργεί.

    Η τεχνολογία εικονικού δικτύου παρέχει μια ευέλικτη βάση για τη δημιουργία ενός μεγάλου δικτύου που συνδέεται με δρομολογητές, καθώς οι διακόπτες σάς επιτρέπουν να δημιουργείτε εντελώς απομονωμένα τμήματα μέσω προγραμματισμού χωρίς να καταφεύγετε σε φυσική μεταγωγή.

    Πριν από την εμφάνιση της τεχνολογίας VLAN για ανάπτυξη ξεχωριστό δίκτυοΧρησιμοποιήθηκαν είτε φυσικά απομονωμένα κομμάτια ομοαξονικού καλωδίου είτε μη συνδεδεμένα τμήματα που βασίζονται σε επαναλήπτες και γέφυρες. Στη συνέχεια τα δίκτυα συνδυάστηκαν μέσω δρομολογητών σε ένα ενιαίο σύνθετο δίκτυο (βλ. Εικόνα 2).

    Η αλλαγή της σύνθεσης των τμημάτων (μετάβαση χρήστη σε άλλο δίκτυο, διαχωρισμός μεγάλων τμημάτων) με αυτήν την προσέγγιση συνεπάγεται φυσική επανασύνδεση των συνδέσμων στα μπροστινά πλαίσια των αναμεταδοτών ή σε εγκάρσιους πίνακες, κάτι που δεν είναι πολύ βολικό σε μεγάλα δίκτυα - αυτό είναι μια πολύ επίπονη εργασία , και η πιθανότητα λάθους είναι πολύ υψηλή. Επομένως, για να εξαλειφθεί η ανάγκη για φυσική αλλαγή των κόμβων, άρχισαν να χρησιμοποιούνται κόμβοι πολλαπλών τμημάτων, έτσι ώστε η σύνθεση ενός κοινόχρηστου τμήματος να μπορεί να επαναπρογραμματιστεί χωρίς φυσική αλλαγή.

    Ωστόσο, η αλλαγή της σύνθεσης των τμημάτων με τη βοήθεια διανομέων επιβάλλει μεγάλους περιορισμούς στη δομή του δικτύου - ο αριθμός των τμημάτων ενός τέτοιου επαναλήπτη είναι συνήθως μικρός και δεν είναι ρεαλιστικό να εκχωρηθεί κάθε κόμβος δικός του, όπως μπορεί να γίνει χρησιμοποιώντας έναν διακόπτη . Επιπλέον, με αυτήν την προσέγγιση, όλη η εργασία μεταφοράς δεδομένων μεταξύ τμημάτων πέφτει στους δρομολογητές και οι διακόπτες με την υψηλή τους απόδοση παραμένουν «εκτός εργασίας». Επομένως, τα δίκτυα επαναλήπτη με μεταγωγή διαμόρφωσης εξακολουθούν να χρειάζονται μοιρασιάπεριβάλλοντα μετάδοσης με μεγάλο αριθμό κόμβων και, ως εκ τούτου, έχουν πολύ χαμηλότερη απόδοση σε σύγκριση με τα δίκτυα που βασίζονται σε μεταγωγείς.

    Όταν χρησιμοποιείτε τεχνολογία εικονικού δικτύου σε μεταγωγείς, δύο εργασίες επιλύονται ταυτόχρονα:

    • βελτίωση της απόδοσης σε καθένα από τα εικονικά δίκτυα, καθώς ο μεταγωγέας στέλνει πλαίσια μόνο στον κεντρικό υπολογιστή προορισμού.
    • απομόνωση δικτύων μεταξύ τους για διαχείριση δικαιωμάτων πρόσβασης χρηστών και δημιουργία προστατευτικά εμπόδιαστο μονοπάτι των ραδιοφωνικών καταιγίδων.

    Ενοποίηση εικονικών δικτύων σε κοινό δίκτυοεκτελείται στις επίπεδο δικτύου, στο οποίο μπορείτε να προσπελάσετε χρησιμοποιώντας ξεχωριστό δρομολογητή ή λογισμικόδιακόπτης. Το τελευταίο σε αυτή την περίπτωση γίνεται μια συνδυασμένη συσκευή - ο λεγόμενος διακόπτης τρίτου επιπέδου.

    Τεχνολογία σχηματισμού και λειτουργίας εικονικών δικτύων με χρήση μεταγωγέων για πολύ καιρόδεν ήταν τυποποιημένο, αν και εφαρμόστηκε σε πολύ μεγάλη γκάμα μοντέλων μεταγωγέων από διαφορετικούς κατασκευαστές. Η κατάσταση άλλαξε μετά την υιοθέτηση το 1998 του προτύπου IEEE 802.1Q, το οποίο καθορίζει τους βασικούς κανόνες για τη δημιουργία εικονικών τοπικών δικτύων, ανεξάρτητα από το πρωτόκολλο επιπέδου σύνδεσης που υποστηρίζεται από το μεταγωγέα.

    Λόγω της μακράς απουσίας ενός προτύπου VLAN, κάθε μεγάλη εταιρεία μεταγωγής έχει αναπτύξει τη δική της τεχνολογία εικονικού δικτύου και, κατά κανόνα, δεν είναι συμβατή με τεχνολογίες άλλων κατασκευαστών. Επομένως, παρά την εμφάνιση του προτύπου, δεν είναι ασυνήθιστο για μια κατάσταση όπου τα εικονικά δίκτυα που δημιουργούνται με βάση διακόπτες από έναν προμηθευτή δεν αναγνωρίζονται και, κατά συνέπεια, δεν υποστηρίζονται από διακόπτες από άλλον.

    ΔΗΜΙΟΥΡΓΙΑ VLAN ΜΕ ΒΑΣΗ ΜΟΝΟ ΔΙΑΚΟΠΤΗ

    Κατά τη δημιουργία εικονικών δικτύων που βασίζονται σε ένα μόνο μεταγωγέα, συνήθως χρησιμοποιείται ο μηχανισμός ομαδοποίησης θυρών μεταγωγέα (βλ. Εικόνα 3). Επιπλέον, καθένα από αυτά έχει εκχωρηθεί σε ένα ή άλλο εικονικό δίκτυο. Ένα πλαίσιο που λαμβάνεται από μια θύρα που ανήκει, για παράδειγμα, στο εικονικό δίκτυο 1 δεν θα μεταδοθεί ποτέ σε μια θύρα που δεν είναι μέρος του. Μια θύρα μπορεί να εκχωρηθεί σε πολλά εικονικά δίκτυα, αν και αυτό γίνεται σπάνια στην πράξη - το αποτέλεσμα της πλήρους απομόνωσης των δικτύων εξαφανίζεται.

    Η ομαδοποίηση των θυρών ενός μεταγωγέα είναι ο πιο λογικός τρόπος για να σχηματιστεί ένα VLAN, αφού σε αυτή την περίπτωση δεν μπορούν να υπάρχουν περισσότερα εικονικά δίκτυα από θύρες. Εάν ένας επαναλήπτης είναι συνδεδεμένος σε κάποια θύρα, τότε δεν έχει νόημα να συμπεριληφθούν οι κόμβοι του αντίστοιχου τμήματος σε διαφορετικά εικονικά δίκτυα - παρόλα αυτά, η κυκλοφορία τους θα είναι κοινή.

    Αυτή η προσέγγιση δεν απαιτεί μεγάλη ποσότητα χειροκίνητης εργασίας από τον διαχειριστή - αρκεί να αντιστοιχίσετε κάθε θύρα σε ένα από πολλά προονομαζόμενα εικονικά δίκτυα. Αυτή η λειτουργία συνήθως γίνεται με ειδικό πρόγραμμαπαρέχεται με τον διακόπτη. Ο διαχειριστής δημιουργεί εικονικά δίκτυα σύροντας τα εικονίδια της θύρας στα εικονίδια του δικτύου.

    Ένας άλλος τρόπος δημιουργίας εικονικών δικτύων βασίζεται στην ομαδοποίηση διευθύνσεων MAC. Κάθε διεύθυνση MAC που είναι γνωστή στον μεταγωγέα εκχωρείται σε ένα ή άλλο εικονικό δίκτυο. Εάν το δίκτυο έχει πολλούς κόμβους, ο διαχειριστής θα πρέπει να εκτελέσει πολλές χειροκίνητες λειτουργίες. Ωστόσο, κατά την κατασκευή εικονικών δικτύων που βασίζονται σε πολλούς μεταγωγείς, αυτή η μέθοδος είναι πιο ευέλικτη από την ομαδοποίηση θυρών.

    ΔΗΜΙΟΥΡΓΙΑ VLAN ΒΑΣΙΣΜΕΝΟΥ ΣΕ ΠΟΛΛΑΠΛΟΥΣ ΔΙΑΚΟΠΤΕΣ

    Το Σχήμα 4 απεικονίζει την κατάσταση που παρουσιάζεται κατά τη δημιουργία εικονικών δικτύων που βασίζονται σε πολλαπλούς μεταγωγείς μέσω της διέλευσης θυρών. Εάν οι κόμβοι οποιουδήποτε εικονικού δικτύου συνδέονται με διαφορετικούς διακόπτες, τότε πρέπει να εκχωρηθεί ένα ξεχωριστό ζεύγος θυρών για τη σύνδεση των μεταγωγέων κάθε τέτοιου δικτύου. Διαφορετικά, οι πληροφορίες σχετικά με το πλαίσιο που ανήκει σε ένα συγκεκριμένο εικονικό δίκτυο θα χαθούν κατά τη μετάδοση από διακόπτη σε μεταγωγέα. Έτσι, η μέθοδος port trunking απαιτεί τόσες θύρες για τη σύνδεση μεταγωγέων όσες υποστηρίζουν VLAN, με αποτέλεσμα την πολύ σπάταλη χρήση των θυρών και των καλωδίων. Επιπλέον, για να οργανωθεί η αλληλεπίδραση εικονικών δικτύων μέσω του δρομολογητή, κάθε δίκτυο απαιτεί ξεχωριστό καλώδιο και ξεχωριστή θύρα δρομολογητή, γεγονός που οδηγεί επίσης σε υψηλά γενικά έξοδα.

    Η ομαδοποίηση διευθύνσεων MAC σε ένα εικονικό δίκτυο σε κάθε μεταγωγέα εξαλείφει την ανάγκη σύνδεσής τους μέσω πολλαπλών θυρών, επειδή σε αυτήν την περίπτωση, η ετικέτα του εικονικού δικτύου είναι η διεύθυνση MAC. Ωστόσο, αυτή η μέθοδος απαιτεί πολλές μη αυτόματες ετικέτες διεύθυνσης MAC σε κάθε μεταγωγέα στο δίκτυο.

    Οι δύο περιγραφόμενες προσεγγίσεις βασίζονται μόνο στην προσθήκη πληροφοριών στους πίνακες διευθύνσεων της γέφυρας και δεν περιλαμβάνουν πληροφορίες σχετικά με το πλαίσιο που ανήκει σε ένα εικονικό δίκτυο στο μεταδιδόμενο πλαίσιο. Άλλες προσεγγίσεις χρησιμοποιούν τα υπάρχοντα ή πρόσθετα πεδία του πλαισίου για να καταγράφουν πληροφορίες σχετικά με την ιδιοκτησία του πλαισίου όταν αυτό μετακινείται μεταξύ των μεταγωγέων δικτύου. Επιπλέον, δεν χρειάζεται να θυμάστε σε κάθε μεταγωγέα σε ποια εικονικά δίκτυα ανήκουν οι διευθύνσεις MAC του internetwork.

    Το πρόσθετο πεδίο με την ένδειξη αριθμός εικονικού δικτύου χρησιμοποιείται μόνο όταν το πλαίσιο αποστέλλεται από διακόπτη σε μεταγωγέα και συνήθως αφαιρείται όταν το πλαίσιο αποστέλλεται στον τελικό κόμβο. Ταυτόχρονα τροποποιείται το πρωτόκολλο αλληλεπίδρασης «διακόπτης-διακόπτης», ενώ το λογισμικό και Σκεύη, εξαρτήματαοι τερματικοί κόμβοι παραμένουν αμετάβλητοι. Υπάρχουν πολλά παραδείγματα τέτοιων ιδιόκτητων πρωτοκόλλων, αλλά έχουν ένα κοινό μειονέκτημα - δεν υποστηρίζονται από άλλους κατασκευαστές. Η Cisco έχει προτείνει την κεφαλίδα πρωτοκόλλου 802.10 ως τυπική προσθήκη σε πλαίσια οποιωνδήποτε πρωτοκόλλων LAN, σκοπός της οποίας είναι η υποστήριξη χαρακτηριστικών ασφαλείας. δίκτυα υπολογιστών. Η ίδια η εταιρεία αναφέρεται σε αυτή τη μέθοδο σε περιπτώσεις που οι διακόπτες διασυνδέονται χρησιμοποιώντας το πρωτόκολλο FDDI. Ωστόσο, αυτή η πρωτοβουλία δεν υποστηρίχθηκε από άλλους κορυφαίους κατασκευαστές διακοπτών.

    Για την αποθήκευση του αριθμού εικονικού δικτύου, το πρότυπο IEEE 802.1Q παρέχει μια επιπλέον κεφαλίδα δύο byte που χρησιμοποιείται σε συνδυασμό με το πρωτόκολλο 802.1p. Εκτός από τα τρία bit για την αποθήκευση της τιμής προτεραιότητας του πλαισίου, όπως περιγράφεται από το πρότυπο 802.1p, 12 bit σε αυτήν την κεφαλίδα χρησιμοποιούνται για την αποθήκευση του αριθμού του εικονικού δικτύου στο οποίο ανήκει το πλαίσιο. Αυτό Επιπλέον πληροφορίεςονομάζεται εικονική ετικέτα δικτύου (VLAN TAG) και επιτρέπει σε μεταγωγείς από διαφορετικούς κατασκευαστές να δημιουργούν έως και 4096 κοινόχρηστα εικονικά δίκτυα. Ένα τέτοιο πλαίσιο ονομάζεται "tagged". Το μήκος του επισημασμένου πλαισίου Ethernet αυξάνεται κατά 4 byte, επειδή εκτός από τα δύο byte της ίδιας της ετικέτας, προστίθενται δύο ακόμη byte. Η δομή του επισημασμένου πλαισίου Ethernet φαίνεται στην Εικόνα 5. Όταν προστεθεί η κεφαλίδα 802.1p/Q, το πεδίο δεδομένων μειώνεται κατά δύο byte.

    Εικόνα 5. Η δομή του μαρκαρισμένου πλαισίου Ethernet.

    Η εμφάνιση του προτύπου 802.1Q κατέστησε δυνατή την υπέρβαση των διαφορών στις ιδιόκτητες υλοποιήσεις VLAN και την επίτευξη συμβατότητας κατά την κατασκευή εικονικών τοπικών δικτύων. Η τεχνική VLAN υποστηρίζεται τόσο από κατασκευαστές μεταγωγέων όσο και από κατασκευαστές NIC. Στην τελευταία περίπτωση, το NIC μπορεί να δημιουργήσει και να λάβει πλαίσια Ethernet με ετικέτα που περιέχουν ένα πεδίο VLAN TAG. Εάν ο προσαρμογέας δικτύου δημιουργεί πλαίσια με ετικέτα, τότε καθορίζει εάν ανήκουν σε ένα ή άλλο εικονικό τοπικό δίκτυο, επομένως ο μεταγωγέας πρέπει να τα επεξεργαστεί ανάλογα, δηλαδή να μεταδώσει ή να μην μεταδώσει στη θύρα εξόδου, ανάλογα με την ιδιοκτησία της θύρας. Το πρόγραμμα οδήγησης προσαρμογέα δικτύου λαμβάνει τον αριθμό VLAN του (ή τον δικό του) από τον διαχειριστή δικτύου (με μη αυτόματη διαμόρφωση) ή από κάποια εφαρμογή που εκτελείται στον κεντρικό υπολογιστή. Μια τέτοια εφαρμογή είναι σε θέση να λειτουργεί κεντρικά σε έναν από τους διακομιστές δικτύου και να διαχειρίζεται τη δομή ολόκληρου του δικτύου.

    Με την υποστήριξη VLAN για προσαρμογείς δικτύου, μπορείτε να παρακάμψετε τη στατική διαμόρφωση εκχωρώντας μια θύρα σε ένα συγκεκριμένο εικονικό δίκτυο. Ωστόσο, η στατική μέθοδος διαμόρφωσης VLAN παραμένει δημοφιλής επειδή σας επιτρέπει να δημιουργήσετε ένα δομημένο δίκτυο χωρίς να εμπλέκετε λογισμικό τερματικού κόμβου.

    Η Natalya Olifer είναι αρθρογράφος στο Journal of Network Solutions/LAN. Μπορείτε να επικοινωνήσετε μαζί της στο:

    Κάθε χρόνο, οι ηλεκτρονικές επικοινωνίες βελτιώνονται και τίθενται όλο και μεγαλύτερες απαιτήσεις για την ανταλλαγή πληροφοριών για την ταχύτητα, την ασφάλεια και την ποιότητα της επεξεργασίας δεδομένων.

    Και εδώ θα ρίξουμε μια πιο προσεκτική ματιά σε μια σύνδεση vpn: τι είναι, τι είναι μια σήραγγα vpn και πώς να χρησιμοποιήσετε μια σύνδεση vpn.

    Αυτό το υλικό είναι ένα είδος εισαγωγικής λέξης σε μια σειρά άρθρων όπου θα σας πούμε πώς να δημιουργήσετε ένα vpn σε διάφορα λειτουργικά συστήματα.

    σύνδεση vpn τι είναι;

    Έτσι, ένα εικονικό ιδιωτικό δίκτυο vpn είναι μια τεχνολογία που παρέχει μια ασφαλή (κλειστή από εξωτερική πρόσβαση) σύνδεση ενός λογικού δικτύου μέσω ενός ιδιωτικού ή δημόσιου δικτύου παρουσία Internet υψηλής ταχύτητας.

    Τέτοιος σύνδεση δικτύουυπολογιστές (γεωγραφικά απομακρυσμένοι ο ένας από τον άλλο σε σημαντική απόσταση) χρησιμοποιούν μια σύνδεση σημείου προς σημείο (με άλλα λόγια, "υπολογιστής-σε-υπολογιστής").

    Επιστημονικά, αυτή η μέθοδος σύνδεσης ονομάζεται vpn tunnel (ή πρωτόκολλο σήραγγας). Μπορείτε να συνδεθείτε σε μια τέτοια σήραγγα εάν έχετε έναν υπολογιστή με οποιοδήποτε λειτουργικό σύστημα που διαθέτει ενσωματωμένο πρόγραμμα-πελάτη VPN που μπορεί να "προωθήσει" εικονικές θύρες χρησιμοποιώντας το πρωτόκολλο TCP / IP σε άλλο δίκτυο.

    Σε τι χρησιμεύει το vpn;

    Το κύριο πλεονέκτημα του vpn είναι ότι οι διαπραγματευτές χρειάζονται μια πλατφόρμα συνδεσιμότητας που όχι μόνο κλιμακώνεται γρήγορα, αλλά και (κυρίως) παρέχει εμπιστευτικότητα δεδομένων, ακεραιότητα δεδομένων και έλεγχο ταυτότητας.

    Το διάγραμμα δείχνει ξεκάθαρα τη χρήση δικτύων vpn.

    Προηγουμένως, οι κανόνες για τις συνδέσεις μέσω ασφαλούς καναλιού πρέπει να είναι γραμμένοι στον διακομιστή και στο δρομολογητή.

    πώς λειτουργεί το vpn

    Όταν πραγματοποιείται μια σύνδεση vpn, πληροφορίες σχετικά με τη διεύθυνση IP του διακομιστή VPN και την απομακρυσμένη διαδρομή μεταδίδονται στην κεφαλίδα του μηνύματος.

    Ενθυλακωμένα δεδομένα που περνούν πάνω από ένα κοινό ή δημόσιο δίκτυο, δεν μπορεί να υποκλαπεί επειδή όλες οι πληροφορίες είναι κρυπτογραφημένες.

    Το στάδιο κρυπτογράφησης VPN υλοποιείται από την πλευρά του αποστολέα και τα δεδομένα του παραλήπτη αποκρυπτογραφούνται από την κεφαλίδα του μηνύματος (εάν υπάρχει κοινό κλειδί κρυπτογράφησης).

    Αφού αποκρυπτογραφηθεί σωστά το μήνυμα, δημιουργείται μια σύνδεση vpn μεταξύ των δύο δικτύων, η οποία σας επιτρέπει επίσης να εργάζεστε σε ένα δημόσιο δίκτυο (για παράδειγμα, να ανταλλάσσετε δεδομένα με έναν πελάτη 93.88.190.5).

    Σχετικά με ασφάλεια πληροφοριών, τότε το Διαδίκτυο είναι ένα εξαιρετικά μη ασφαλές δίκτυο και ένα δίκτυο VPN με πρωτόκολλα OpenVPN, L2TP / IPSec, PPTP, PPPoE είναι απολύτως ασφαλές και με ασφαλή τρόπομετάδοση δεδομένων.

    Σε τι χρησιμεύει ένα κανάλι vpn;

    vpn tunneling χρησιμοποιείται:

    Μέσα στο εταιρικό δίκτυο.

    Να ενωθούν απομακρυσμένα γραφεία, καθώς και μικρά υποκαταστήματα.

    Για υπηρεσία ψηφιακής τηλεφωνίας με μεγάλο σεττηλεπικοινωνιακές υπηρεσίες·

    Για πρόσβαση σε εξωτερικούς πόρους πληροφορικής.

    Για τη δημιουργία και υλοποίηση τηλεδιάσκεψης.

    Γιατί χρειάζεστε ένα vpn;

    Απαιτείται σύνδεση vpn για:

    Ανώνυμη εργασία στο Διαδίκτυο.

    Λήψεις εφαρμογών, στην περίπτωση που η διεύθυνση IP βρίσκεται σε άλλη περιφερειακή ζώνη της χώρας.

    Ασφαλής εργασία σε εταιρικό περιβάλλον με χρήση επικοινωνιών.

    Απλότητα και ευκολία εγκατάστασης σύνδεσης.

    Εγγύηση υψηλή ταχύτηταΣυνδέσεις χωρίς σπασίματα.

    Δημιουργία ασφαλούς καναλιού χωρίς επιθέσεις χάκερ.

    Πώς να χρησιμοποιήσετε το vpn;

    Τα παραδείγματα για το πώς λειτουργεί το vpn είναι ατελείωτα. Έτσι, σε οποιονδήποτε υπολογιστή στο εταιρικό δίκτυο, κατά την εγκατάσταση ενός ασφαλούς συνδέσεις vpnμπορείτε να χρησιμοποιήσετε την αλληλογραφία για να ελέγξετε μηνύματα, να δημοσιεύσετε υλικό από οπουδήποτε στη χώρα ή να κατεβάσετε αρχεία από δίκτυα torrent.

    Vpn: τι είναι στο τηλέφωνο;

    Η πρόσβαση μέσω vpn στο τηλέφωνό σας (iPhone ή οποιαδήποτε άλλη συσκευή Android) σάς επιτρέπει να παραμείνετε ανώνυμοι όταν χρησιμοποιείτε το Διαδίκτυο σε δημόσιους χώρους, καθώς και να αποτρέψετε την παρακολούθηση της κυκλοφορίας και την παραβίαση συσκευών.

    Ένας πελάτης VPN που είναι εγκατεστημένος σε οποιοδήποτε λειτουργικό σύστημα σάς επιτρέπει να παρακάμψετε πολλές ρυθμίσεις και κανόνες του παρόχου (αν έχει θέσει περιορισμούς).

    Ποιο vpn να επιλέξω για το τηλέφωνο;

    Τα κινητά τηλέφωνα και τα smartphone Android μπορούν να χρησιμοποιούν εφαρμογές από την αγορά του Google Play:

    • - vpnRoot, droidVPN,
    • - πρόγραμμα περιήγησης torγια δίκτυα σερφ, γνωστό και ως orbot
    • - InBrowser, orfox (firefox+tor),
    • - Δωρεάν πελάτης VPN SuperVPN
    • - Ανοίξτε το VPN Connect
    • - Tunnel Bear VPN
    • - Hideman VPN

    Τα περισσότερα από αυτά τα προγράμματα χρησιμεύουν για τη διευκόλυνση της "καυτής" διαμόρφωσης συστήματος, την τοποθέτηση συντομεύσεων εκκίνησης, την ανώνυμη περιήγηση στο Διαδίκτυο και την επιλογή του τύπου κρυπτογράφησης σύνδεσης.

    Αλλά το κύριο καθήκον της χρήσης ενός VPN στο τηλέφωνό σας είναι να ελέγξετε εταιρική αλληλογραφία, δημιουργία βιντεοδιασκέψεων με πολλούς συμμετέχοντες, καθώς και διεξαγωγή συσκέψεων εκτός του οργανισμού (για παράδειγμα, όταν ένας υπάλληλος βρίσκεται σε επαγγελματικό ταξίδι).

    Τι είναι το vpn στο iphone;

    Εξετάστε ποιο vpn να επιλέξετε και πώς να το συνδέσετε με ένα iPhone με περισσότερες λεπτομέρειες.

    Ανάλογα με τον τύπο του δικτύου που υποστηρίζεται, όταν ξεκινάτε για πρώτη φορά τη διαμόρφωση VPN στο iphone, μπορείτε να επιλέξετε τα ακόλουθα πρωτόκολλα: L2TP, PPTP και Cisco IPSec (επιπλέον, μπορείτε να «κάνετε» μια σύνδεση vpn χρησιμοποιώντας εφαρμογές τρίτων).

    Όλα αυτά τα πρωτόκολλα υποστηρίζουν κλειδιά κρυπτογράφησης, αναγνώριση χρήστη με κωδικό πρόσβασης και πιστοποίηση.

    Αναμεταξύ Επιπρόσθετα χαρακτηριστικάόταν ρυθμίζετε ένα προφίλ VPN σε ένα iPhone, μπορείτε να σημειώσετε: την ασφάλεια RSA, το επίπεδο κρυπτογράφησης και τους κανόνες εξουσιοδότησης για τη σύνδεση στο διακομιστή.

    Για τηλέφωνο iphoneαπό το appstore θα πρέπει να επιλέξετε:

    • - δωρεάν εφαρμογή Tunnelbear, με το οποίο μπορείτε να συνδεθείτε Διακομιστές VPNοποιαδήποτε χώρα.
    • - Η σύνδεση OpenVPN είναι ένας από τους καλύτερους πελάτες VPN. Εδώ, για να εκτελέσετε την εφαρμογή, πρέπει πρώτα να εισαγάγετε κλειδιά rsa μέσω του iTunes στο τηλέφωνό σας.
    • - Το Cloak είναι μια εφαρμογή shareware, γιατί για κάποιο χρονικό διάστημα το προϊόν μπορεί να «χρησιμοποιηθεί» δωρεάν, αλλά για να χρησιμοποιήσετε το πρόγραμμα μετά τη λήξη της περιόδου επίδειξης, θα πρέπει να το αγοράσετε.

    Δημιουργία VPN: επιλογή και διαμόρφωση εξοπλισμού

    Για εταιρική επικοινωνίασε μεγάλους οργανισμούς ή συλλόγους απομακρυσμένος φίλοςμεταξύ τους, τα γραφεία χρησιμοποιούν υλικό ικανό να υποστηρίζει αδιάκοπη, ασφαλή δικτύωση.

    Για την εφαρμογή τεχνολογιών vpn, τα ακόλουθα μπορούν να λειτουργήσουν ως πύλη δικτύου: Διακομιστές Unix, διακομιστής windows, δρομολογητής δικτύου και πύλη δικτύου στην οποία έχει αναπτυχθεί το VPN.

    Ο διακομιστής ή η συσκευή που χρησιμοποιείται για τη δημιουργία ενός δικτύου vpn μιας επιχείρησης ή ενός καναλιού vpn μεταξύ απομακρυσμένων γραφείων πρέπει να εκτελεί σύνθετες τεχνικές εργασίες και να παρέχει ένα πλήρες φάσμα υπηρεσιών στους χρήστες τόσο σε σταθμούς εργασίας όσο και σε κινητές συσκευές.

    Οποιοσδήποτε δρομολογητής ή δρομολογητής vpn θα πρέπει να παρέχει αξιόπιστη λειτουργία δικτύου χωρίς «παγώσεις». Και η ενσωματωμένη λειτουργία vpn σάς επιτρέπει να αλλάξετε τη διαμόρφωση δικτύου για εργασία στο σπίτι, σε έναν οργανισμό ή σε ένα απομακρυσμένο γραφείο.

    Ρύθμιση vpn στο δρομολογητή

    Στη γενική περίπτωση, η διαμόρφωση VPN στο δρομολογητή πραγματοποιείται χρησιμοποιώντας τη διεπαφή ιστού του δρομολογητή. Στις "κλασικές" συσκευές για την οργάνωση vpn, πρέπει να μεταβείτε στην ενότητα "ρυθμίσεις" ή "ρυθμίσεις δικτύου", όπου επιλέγετε την ενότητα VPN, προσδιορίζετε τον τύπο πρωτοκόλλου, εισάγετε τις ρυθμίσεις διεύθυνσης υποδικτύου, μάσκες και προσδιορίζετε το εύρος της IP διευθύνσεις για χρήστες.

    Επιπλέον, για να ασφαλίσετε τη σύνδεση, θα χρειαστεί να καθορίσετε αλγόριθμους κωδικοποίησης, μεθόδους ελέγχου ταυτότητας, να δημιουργήσετε κλειδιά διαπραγμάτευσης και να καθορίσετε διακομιστές DNS WINS. Στις παραμέτρους "Gateway", πρέπει να καθορίσετε τη διεύθυνση IP της πύλης (η ip σας) και να συμπληρώσετε τα δεδομένα σε όλους τους προσαρμογείς δικτύου.

    Εάν υπάρχουν πολλοί δρομολογητές στο δίκτυο, είναι απαραίτητο να συμπληρώσετε τον πίνακα δρομολόγησης vpn για όλες τις συσκευές στη σήραγγα VPN.

    Ακολουθεί μια λίστα εξοπλισμού υλικού που χρησιμοποιείται για την κατασκευή δικτύων VPN:

    Δρομολογητές Dlink: DIR-320, DIR-620, DSR-1000 με νέο υλικολογισμικό ή Δρομολογητής D-Link DI808HV.

    Δρομολογητές Cisco PIX 501, Cisco 871-SEC-K9

    Δρομολογητής Linksys Rv082 που υποστηρίζει περίπου 50 σήραγγες VPN

    Μοντέλα δρομολογητή Netgear DG834G και δρομολογητές FVS318G, FVS318N, FVS336G, SRX5308

    Router Mikrotik με λειτουργία OpenVPN. Παράδειγμα RouterBoard RB/2011L-IN Mikrotik

    Εξοπλισμός Vpn RVPN S-Terra ή VPN Gate

    Δρομολογητές ASUS RT-N66U, RT-N16 και RT N-10

    Δρομολογητές ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG