Από το ίδιο το όνομα - ένα εικονικό ιδιωτικό δίκτυο - προκύπτει ότι με κάποιο τρόπο αναπαράγει τις ιδιότητες ενός πραγματικού ιδιωτικού δικτύου.

Χωρίς καμία υπερβολή, ένα δίκτυο μπορεί να ονομαστεί ιδιωτικό μόνο εάν η επιχείρηση κατέχει και διαχειρίζεται αποκλειστικά ολόκληρη την υποδομή του δικτύου - καλώδια, εξοπλισμό διασύνδεσης, εξοπλισμό διαμόρφωσης καναλιών, διακόπτες, δρομολογητές και άλλο εξοπλισμό επικοινωνίας.

Ένα εικονικό ιδιωτικό δίκτυο είναι ένα είδος «δικτύου εντός δικτύου», δηλαδή μια υπηρεσία που δίνει στους χρήστες την ψευδαίσθηση ότι το ιδιωτικό τους δίκτυο υπάρχει μέσα σε ένα δημόσιο δίκτυο.

Οι κύριοι στόχοι της τεχνολογίας VPN είναι η παροχή εγγυημένης ποιότητας υπηρεσιών για ροές δεδομένων χρήστη σε ένα δημόσιο δίκτυο, καθώς και η προστασία τους από πιθανή μη εξουσιοδοτημένη πρόσβαση ή καταστροφή.

Ένα εικονικό ιδιωτικό δίκτυο (Virtual Private Network - VPN) είναι ένας συνδυασμός τοπικών δικτύων μέσω ενός ανοιχτού εξωτερικού περιβάλλοντος (παγκόσμιο δίκτυο) σε ένα ενιαίο εταιρικό δίκτυο που παρέχει ασφαλήςκυκλοφορία δεδομένων.

Η ουσία της τεχνολογίας VPN είναι η εξής (Εικόνα 6.1):

Εικόνα 6.1 - Σχέδιο του δικτύου VPN

Σε όλους τους υπολογιστές με πρόσβαση στο Διαδίκτυο (αντί για το Διαδίκτυο, μπορεί να υπάρχει οποιοδήποτε άλλο δίκτυο κοινή χρήση), εγκαθίστανται πράκτορες VPN που επεξεργάζονται πακέτα IP που μεταδίδονται μέσω δικτύων υπολογιστών.

Οι πράκτορες VPN κρυπτογραφούν αυτόματα όλες τις εξερχόμενες πληροφορίες (και αποκρυπτογραφούν όλες τις εισερχόμενες πληροφορίες ανάλογα). Παρακολουθούν επίσης την ακεραιότητά του χρησιμοποιώντας μια ηλεκτρονική ψηφιακή υπογραφή (EDS) ή απομίμηση ένθετων (ένα κρυπτογραφικό άθροισμα ελέγχου που υπολογίζεται χρησιμοποιώντας ένα κλειδί κρυπτογράφησης).

Πριν στείλετε ένα πακέτο IPΟ πράκτορας VPN λειτουργεί ως εξής.

Η διεύθυνση IP του παραλήπτη του πακέτου αναλύεται, ανάλογα με αυτή τη διεύθυνση, επιλέγεται ο αλγόριθμος προστασίας για αυτό το πακέτο. Εάν δεν υπάρχει τέτοιος παραλήπτης στις ρυθμίσεις αντιπροσώπου VPN, τότε οι πληροφορίες δεν αποστέλλονται.

Δημιουργεί και προσθέτει το EDS του αποστολέα ή ένα απομίμητο ένθετο στη συσκευασία.

Κρυπτογραφεί το πακέτο (εξ ολοκλήρου, συμπεριλαμβανομένης της κεφαλίδας).

Εκτελεί ενθυλάκωση, δηλ. δημιουργεί μια νέα κεφαλίδα, όπου υποδεικνύει τη διεύθυνση όχι του παραλήπτη, αλλά του πράκτορα VPN του. Αυτή η χρήσιμη πρόσθετη δυνατότητα σάς επιτρέπει να σκεφτείτε μια ανταλλαγή μεταξύ δύο δικτύων ως ανταλλαγή μεταξύ δύο υπολογιστών στους οποίους είναι εγκατεστημένοι πράκτορες VPN. Οποιεσδήποτε χρήσιμες πληροφορίες για έναν εισβολέα, όπως εσωτερικές διευθύνσεις IP, δεν είναι πλέον διαθέσιμες σε αυτόν.

Όταν λαμβάνεται ένα πακέτο IP, αντίστροφες ενέργειες.

Η κεφαλίδα περιέχει πληροφορίες σχετικά με τον πράκτορα VPN του αποστολέα. Εάν κάποιο δεν περιλαμβάνεται στη λίστα των επιτρεπόμενων στις ρυθμίσεις, τότε οι πληροφορίες απλώς απορρίπτονται.

Σύμφωνα με τις ρυθμίσεις, επιλέγονται κρυπτογραφικοί αλγόριθμοι και EDS, καθώς και τα απαραίτητα κλειδιά, μετά τα οποία αποκρυπτογραφείται το πακέτο και ελέγχεται η ακεραιότητά του, απορρίπτονται επίσης πακέτα με σπασμένη ακεραιότητα (το EDS δεν είναι σωστό).

Μετά από όλους τους αντίστροφους μετασχηματισμούς, το πακέτο στην αρχική του μορφή αποστέλλεται στον πραγματικό προορισμό μέσω του τοπικού δικτύου.

Όλες οι παραπάνω λειτουργίες εκτελούνται αυτόματα, η λειτουργία των πρακτόρων VPN είναι αόρατη στους χρήστες. Ο πράκτορας VPN μπορεί να βρίσκεται απευθείας στον προστατευμένο υπολογιστή (που είναι ιδιαίτερα χρήσιμος για χρήστες κινητών). Σε αυτήν την περίπτωση, προστατεύει την επικοινωνία μόνο ενός υπολογιστή στον οποίο είναι εγκατεστημένος.

6.1 Η έννοια του «τούνελ» στη μετάδοση δεδομένων στα δίκτυα

Για τη μεταφορά δεδομένων, οι πράκτορες VPN δημιουργούν εικονικά κανάλια μεταξύ προστατευμένων τοπικά δίκτυαή υπολογιστές (ένα τέτοιο κανάλι ονομάζεται "σήραγγα" και η τεχνολογία για τη δημιουργία του ονομάζεται "σήραγγα"). Όλες οι πληροφορίες μεταδίδονται μέσω της σήραγγας σε κρυπτογραφημένη μορφή.

Εικόνα 6.2.

Ένα από τα υποχρεωτικά χαρακτηριστικά των πρακτόρων VPN είναι το φιλτράρισμα πακέτων. Το φιλτράρισμα πακέτων υλοποιείται σύμφωνα με τις ρυθμίσεις του πράκτορα VPN, ο συνδυασμός των οποίων αποτελεί την πολιτική ασφαλείας VPN. Για να αυξηθεί η ασφάλεια των εικονικών ιδιωτικών δικτύων στα άκρα των σηράγγων, καλό είναι να τοποθετούνται τείχη προστασίας (φίλτρα).

Οι πράκτορες VPN λειτουργούν ως πύλες VPN. Το VPN Security Gateway είναι μια συσκευή δικτύου που συνδέεται σε δύο δίκτυα, ένα παγκόσμιο και ένα τοπικό δίκτυο, και εκτελεί λειτουργίες κρυπτογράφησης και ελέγχου ταυτότητας για κεντρικούς υπολογιστές στο δίκτυο που βρίσκεται πίσω από αυτό. Η πύλη VPN μπορεί να υλοποιηθεί ως ξεχωριστή συσκευή υλικού, ξεχωριστή λύση λογισμικού, καθώς και με τη μορφή τείχους προστασίας ή δρομολογητή, συμπληρωμένου με λειτουργίες VPN.

Η σύνδεση δικτύου VPN του Security Gateway εμφανίζεται στους χρήστες του δικτύου πίσω από αυτό ως μισθωμένη γραμμή, ενώ στην πραγματικότητα είναι ένα ανοιχτό δίκτυο μεταγωγής πακέτων. Η διεύθυνση VPN της πύλης ασφαλείας στο εξωτερικό δίκτυο καθορίζει τη διεύθυνση του εισερχόμενου πακέτου με σήραγγα. Η εσωτερική διεύθυνση είναι η διεύθυνση του κεντρικού υπολογιστή πίσω από την πύλη. Η πύλη ασφαλείας VPN μπορεί να λειτουργήσει ως μέρος ενός δρομολογητή, ενός τείχους προστασίας και παρόμοια.

Ένα χαρακτηριστικό του tunneling είναι ότι αυτή η τεχνολογία σας επιτρέπει να κρυπτογραφήσετε ολόκληρο το πακέτο προέλευσης, μαζί με την κεφαλίδα, και όχι μόνο το πεδίο δεδομένων του. Το αρχικό πακέτο κρυπτογραφείται πλήρως μαζί με την κεφαλίδα και αυτό το κρυπτογραφημένο πακέτο τοποθετείται σε ένα άλλο εξωτερικό πακέτο με ανοιχτή κεφαλίδα. Για τη μεταφορά δεδομένων μέσω ενός «επικίνδυνου» δικτύου, ανοιχτά χωράφιατην κεφαλίδα του εξωτερικού πακέτου, και όταν το εξωτερικό πακέτο φτάσει στο τελικό σημείο του ασφαλούς καναλιού, το εσωτερικό πακέτο εξάγεται από αυτό, αποκρυπτογραφείται και η κεφαλίδα του χρησιμοποιείται για περαιτέρω μετάδοση ήδη σε καθαρή μορφή μέσω ενός δικτύου που δεν απαιτεί προστασία .

Εικόνα 6.3 - Δημιουργία σήραγγας VPN

Σε αυτήν την περίπτωση, για εξωτερικά πακέτα, χρησιμοποιούνται οι διευθύνσεις των δρομολογητών συνόρων (πύλες VPN) που είναι εγκατεστημένες σε αυτά τα δύο σημεία και οι εσωτερικές διευθύνσεις των τερματικών κόμβων περιέχονται σε εσωτερικά πακέτα σε προστατευμένη μορφή (Εικόνα 6.4).

Εικόνα 6.4 - Διοχέτευση πακέτων

6.2 Αρχιτεκτονική Δίκτυα VPN

ΑρχιτεκτονικήΥπάρχουν τρεις κύριοι τύποι VPN:

1) Απομακρυσμένη πρόσβαση VPN

2) Ενδοεταιρικό VPN (Intranet VPN)

3) Διεταιρικό VPN (Extranet VPN)

Απομακρυσμένη πρόσβαση VPN

Με τη βοήθεια αυτού του σχήματος (Εικόνα 6.5) παρέχεται απομακρυσμένη πρόσβαση μεμονωμένων εργαζομένων στο εταιρικό δίκτυο του οργανισμού μέσω ενός δημόσιου δικτύου. Οι απομακρυσμένοι πελάτες μπορούν να εργάζονται από το σπίτι ή, χρησιμοποιώντας φορητό υπολογιστή, από οπουδήποτε στον κόσμο όπου υπάρχει πρόσβαση στον Παγκόσμιο Ιστό.

Εικόνα 6.5 - VPN με απομακρυσμένη πρόσβαση

6.2.2 Ενδοεταιρικά VPN(Εικόνα 6.6)

Εικόνα 6.6 - Intranet VPN

Εδώ η επικοινωνία πραγματοποιείται σε ένα κοινό δίκτυο γεωγραφικά κατανεμημένων καταστημάτων της εταιρείας. Αυτή η μέθοδος ονομάζεται Intranet VPN . Αυτή η μέθοδοςΣυνιστάται η χρήση τόσο για συνηθισμένα υποκαταστήματα όσο και για κινητά γραφεία που θα έχουν πρόσβαση στους πόρους της «μητρικής» εταιρείας, καθώς και εύκολη ανταλλαγή δεδομένων μεταξύ τους.

6.2.3 Διεταιρικά VPN(Εικόνα 6.7)

Εικόνα 6.7 - Extranet VPN

Αυτό το λεγόμενο Extranet VPN όταν η πρόσβαση παρέχεται μέσω ασφαλών καναλιών πρόσβασης για πελάτες ή συνεργάτες του οργανισμού. Κερδίζει ευρεία διανομή λόγω της δημοτικότητας του ηλεκτρονικού εμπορίου.

Σε αυτήν την περίπτωση, οι απομακρυσμένοι πελάτες (συνεργάτες) θα έχουν πολύ περιορισμένες ευκαιρίες να χρησιμοποιήσουν το εταιρικό δίκτυο, στην πραγματικότητα, θα περιοριστούν στην πρόσβαση σε εκείνους τους πόρους της εταιρείας που είναι απαραίτητοι όταν εργάζονται με τους πελάτες τους, για παράδειγμα, έναν ιστότοπο με εμπορικές προσφορές , και το VPN χρησιμοποιείται σε αυτήν την περίπτωση για ασφαλή μεταφορά ευαίσθητων δεδομένων.

Εκτός από τις πύλες VPN, η Εικόνα 6.7 δείχνει επίσης τείχη προστασίας. ΜΟΥ. Τείχη προστασίας (φίλτρα) παρέχουν έλεγχο στο μεταδιδόμενο περιεχόμενο (ιοί και άλλες εξωτερικές επιθέσεις). Το DOE είναι ένας «φράχτης» γύρω από το δίκτυο που εμποδίζει τους εισβολείς να διεισδύσουν μέσα από αυτό, ενώ το VPN είναι ένα «θωρακισμένο αυτοκίνητο» που προστατεύει τα τιμαλφή όταν τα βγάζουν από τον φράχτη. Επομένως, πρέπει να χρησιμοποιηθούν και οι δύο λύσεις για να διασφαλιστεί το απαιτούμενο επίπεδο ασφάλειας. πληροφοριακούς πόρους. Τις περισσότερες φορές, οι λειτουργίες ME και VPN συνδυάζονται στην ίδια συσκευή.

Κάθε χρόνο, οι ηλεκτρονικές επικοινωνίες βελτιώνονται και τίθενται όλο και μεγαλύτερες απαιτήσεις για την ανταλλαγή πληροφοριών για την ταχύτητα, την ασφάλεια και την ποιότητα της επεξεργασίας δεδομένων.

Και εδώ ρίχνουμε μια πιο προσεκτική ματιά σύνδεση vpn: τι είναι, σε τι χρησιμεύει μια σήραγγα vpn και πώς να χρησιμοποιήσετε μια σύνδεση vpn.

Αυτό το υλικό είναι ένα είδος εισαγωγικής λέξης σε μια σειρά άρθρων όπου θα σας πούμε πώς να δημιουργήσετε ένα vpn σε διάφορα λειτουργικά συστήματα.

σύνδεση vpn τι είναι;

Έτσι, ένα εικονικό ιδιωτικό δίκτυο vpn είναι μια τεχνολογία που παρέχει μια ασφαλή (κλειστή από εξωτερική πρόσβαση) σύνδεση ενός λογικού δικτύου μέσω ενός ιδιωτικού ή δημόσιου δικτύου παρουσία Internet υψηλής ταχύτητας.

Τέτοιος σύνδεση δικτύουυπολογιστές (γεωγραφικά απομακρυσμένοι ο ένας από τον άλλο σε σημαντική απόσταση) χρησιμοποιούν μια σύνδεση σημείου προς σημείο (με άλλα λόγια, "υπολογιστής-σε-υπολογιστής").

Επιστημονικά, αυτή η μέθοδος σύνδεσης ονομάζεται vpn tunnel (ή πρωτόκολλο σήραγγας). Μπορείτε να συνδεθείτε σε μια τέτοια σήραγγα εάν έχετε έναν υπολογιστή με οποιοδήποτε λειτουργικό σύστημα που διαθέτει ενσωματωμένο πρόγραμμα-πελάτη VPN που μπορεί να "προωθήσει" εικονικές θύρες χρησιμοποιώντας το πρωτόκολλο TCP / IP σε άλλο δίκτυο.

Σε τι χρησιμεύει το vpn;

Το κύριο πλεονέκτημα του vpn είναι ότι οι διαπραγματευτές χρειάζονται μια πλατφόρμα συνδεσιμότητας που όχι μόνο κλιμακώνεται γρήγορα, αλλά και (κυρίως) παρέχει εμπιστευτικότητα δεδομένων, ακεραιότητα δεδομένων και έλεγχο ταυτότητας.

Το διάγραμμα δείχνει ξεκάθαρα τη χρήση δικτύων vpn.

Προηγουμένως, οι κανόνες για τις συνδέσεις μέσω ασφαλούς καναλιού πρέπει να είναι γραμμένοι στον διακομιστή και στο δρομολογητή.

πώς λειτουργεί το vpn

Όταν πραγματοποιείται μια σύνδεση vpn, πληροφορίες σχετικά με τη διεύθυνση IP του διακομιστή VPN και την απομακρυσμένη διαδρομή μεταδίδονται στην κεφαλίδα του μηνύματος.

Τα ενθυλακωμένα δεδομένα που περνούν από ένα δημόσιο ή δημόσιο δίκτυο δεν μπορούν να υποκλαπούν επειδή όλες οι πληροφορίες είναι κρυπτογραφημένες.

Το στάδιο κρυπτογράφησης VPN υλοποιείται από την πλευρά του αποστολέα και τα δεδομένα του παραλήπτη αποκρυπτογραφούνται από την κεφαλίδα του μηνύματος (εάν υπάρχει κοινό κλειδί κρυπτογράφησης).

Αφού αποκρυπτογραφηθεί σωστά το μήνυμα, δημιουργείται μια σύνδεση vpn μεταξύ των δύο δικτύων, η οποία σας επιτρέπει επίσης να εργάζεστε σε ένα δημόσιο δίκτυο (για παράδειγμα, να ανταλλάσσετε δεδομένα με έναν πελάτη 93.88.190.5).

Σχετικά με ασφάλεια πληροφοριών, τότε το Διαδίκτυο είναι ένα εξαιρετικά μη ασφαλές δίκτυο και ένα δίκτυο VPN με πρωτόκολλα OpenVPN, L2TP / IPSec, PPTP, PPPoE είναι απολύτως ασφαλές και με ασφαλή τρόπομετάδοση δεδομένων.

Σε τι χρησιμεύει ένα κανάλι vpn;

vpn tunneling χρησιμοποιείται:

Μέσα στο εταιρικό δίκτυο.

Να ενωθούν απομακρυσμένα γραφεία, καθώς και μικρά υποκαταστήματα.

Για υπηρεσία ψηφιακής τηλεφωνίας με μεγάλο σεττηλεπικοινωνιακές υπηρεσίες·

Για πρόσβαση σε εξωτερικούς πόρους πληροφορικής.

Για τη δημιουργία και υλοποίηση τηλεδιάσκεψης.

Γιατί χρειάζεστε ένα vpn;

Απαιτείται σύνδεση vpn για:

Ανώνυμη εργασία στο Διαδίκτυο.

Λήψεις εφαρμογών, στην περίπτωση που η διεύθυνση IP βρίσκεται σε άλλη περιφερειακή ζώνη της χώρας.

Ασφαλής εργασία σε εταιρικό περιβάλλον με χρήση επικοινωνιών.

Απλότητα και ευκολία εγκατάστασης σύνδεσης.

Εγγύηση υψηλή ταχύτηταΣυνδέσεις χωρίς σπασίματα.

Δημιουργία ασφαλούς καναλιού χωρίς επιθέσεις χάκερ.

Πώς να χρησιμοποιήσετε το vpn;

Τα παραδείγματα για το πώς λειτουργεί το vpn είναι ατελείωτα. Έτσι, σε οποιονδήποτε υπολογιστή στο εταιρικό δίκτυο, κατά την εγκατάσταση ενός ασφαλούς συνδέσεις vpnμπορείτε να χρησιμοποιήσετε την αλληλογραφία για να ελέγξετε μηνύματα, να δημοσιεύσετε υλικό από οπουδήποτε στη χώρα ή να κατεβάσετε αρχεία από δίκτυα torrent.

Vpn: τι είναι στο τηλέφωνο;

Η πρόσβαση μέσω vpn στο τηλέφωνό σας (iPhone ή οποιαδήποτε άλλη συσκευή Android) σάς επιτρέπει να παραμείνετε ανώνυμοι όταν χρησιμοποιείτε το Διαδίκτυο σε δημόσιους χώρους, καθώς και να αποτρέψετε την παρακολούθηση της κυκλοφορίας και την παραβίαση συσκευών.

Ένας πελάτης VPN που είναι εγκατεστημένος σε οποιοδήποτε λειτουργικό σύστημα σάς επιτρέπει να παρακάμψετε πολλές ρυθμίσεις και κανόνες του παρόχου (αν έχει θέσει περιορισμούς).

Ποιο vpn να επιλέξω για το τηλέφωνο;

Τα κινητά τηλέφωνα και τα smartphone Android μπορούν να χρησιμοποιούν εφαρμογές από την αγορά του Google Play:

  • - vpnRoot, droidVPN,
  • - πρόγραμμα περιήγησης torγια δίκτυα σερφ, γνωστό και ως orbot
  • - InBrowser, orfox (firefox+tor),
  • - Δωρεάν πελάτης VPN SuperVPN
  • - Ανοίξτε το VPN Connect
  • - Tunnel Bear VPN
  • - Hideman VPN

Τα περισσότερα από αυτά τα προγράμματα χρησιμεύουν για τη διευκόλυνση της "καυτής" διαμόρφωσης συστήματος, την τοποθέτηση συντομεύσεων εκκίνησης, την ανώνυμη περιήγηση στο Διαδίκτυο και την επιλογή του τύπου κρυπτογράφησης σύνδεσης.

Αλλά το κύριο καθήκον της χρήσης ενός VPN στο τηλέφωνό σας είναι να ελέγξετε εταιρική αλληλογραφία, δημιουργία βιντεοδιασκέψεων με πολλούς συμμετέχοντες, καθώς και διεξαγωγή συσκέψεων εκτός του οργανισμού (για παράδειγμα, όταν ένας υπάλληλος βρίσκεται σε επαγγελματικό ταξίδι).

Τι είναι το vpn στο iphone;

Εξετάστε ποιο vpn να επιλέξετε και πώς να το συνδέσετε με ένα iPhone με περισσότερες λεπτομέρειες.

Ανάλογα με τον τύπο του δικτύου που υποστηρίζεται, όταν ξεκινάτε για πρώτη φορά τη διαμόρφωση VPN στο iphone, μπορείτε να επιλέξετε τα ακόλουθα πρωτόκολλα: L2TP, PPTP και Cisco IPSec (επιπλέον, μπορείτε να «κάνετε» μια σύνδεση vpn χρησιμοποιώντας εφαρμογές τρίτων).

Όλα αυτά τα πρωτόκολλα υποστηρίζουν κλειδιά κρυπτογράφησης, αναγνώριση χρήστη με κωδικό πρόσβασης και πιστοποίηση.

Αναμεταξύ Επιπρόσθετα χαρακτηριστικάόταν ρυθμίζετε ένα προφίλ VPN σε ένα iPhone, μπορείτε να σημειώσετε: την ασφάλεια RSA, το επίπεδο κρυπτογράφησης και τους κανόνες εξουσιοδότησης για τη σύνδεση στο διακομιστή.

Για τηλέφωνο iphoneαπό το appstore θα πρέπει να επιλέξετε:

  • - δωρεάν εφαρμογή Tunnelbear, με το οποίο μπορείτε να συνδεθείτε σε διακομιστές VPN σε οποιαδήποτε χώρα.
  • - Η σύνδεση OpenVPN είναι ένας από τους καλύτερους πελάτες VPN. Εδώ, για να εκτελέσετε την εφαρμογή, πρέπει πρώτα να εισαγάγετε κλειδιά rsa μέσω του iTunes στο τηλέφωνό σας.
  • - Το Cloak είναι μια εφαρμογή shareware, γιατί για κάποιο χρονικό διάστημα το προϊόν μπορεί να «χρησιμοποιηθεί» δωρεάν, αλλά για να χρησιμοποιήσετε το πρόγραμμα μετά τη λήξη της περιόδου επίδειξης, θα πρέπει να το αγοράσετε.

Δημιουργία VPN: επιλογή και διαμόρφωση εξοπλισμού

Για εταιρική επικοινωνίασε μεγάλους οργανισμούς ή συλλόγους απομακρυσμένος φίλοςμεταξύ τους, τα γραφεία χρησιμοποιούν υλικό ικανό να υποστηρίζει αδιάκοπη, ασφαλή δικτύωση.

Για την εφαρμογή τεχνολογιών vpn, τα ακόλουθα μπορούν να λειτουργήσουν ως πύλη δικτύου: Διακομιστές Unix, διακομιστής windows, δρομολογητής δικτύου και πύλη δικτύου στην οποία έχει αναπτυχθεί το VPN.

Ο διακομιστής ή η συσκευή που χρησιμοποιείται για τη δημιουργία ενός δικτύου vpn μιας επιχείρησης ή ενός καναλιού vpn μεταξύ απομακρυσμένων γραφείων πρέπει να εκτελεί σύνθετες τεχνικές εργασίες και να παρέχει ένα πλήρες φάσμα υπηρεσιών στους χρήστες τόσο σε σταθμούς εργασίας όσο και σε κινητές συσκευές.

Οποιοσδήποτε δρομολογητής ή δρομολογητής vpn θα πρέπει να παρέχει αξιόπιστη λειτουργία δικτύου χωρίς «παγώσεις». Και η ενσωματωμένη λειτουργία vpn σάς επιτρέπει να αλλάξετε τη διαμόρφωση δικτύου για εργασία στο σπίτι, σε έναν οργανισμό ή σε ένα απομακρυσμένο γραφείο.

Ρύθμιση vpn στο δρομολογητή

Στη γενική περίπτωση, η διαμόρφωση VPN στο δρομολογητή πραγματοποιείται χρησιμοποιώντας τη διεπαφή ιστού του δρομολογητή. Στις "κλασικές" συσκευές για την οργάνωση vpn, πρέπει να μεταβείτε στην ενότητα "ρυθμίσεις" ή "ρυθμίσεις δικτύου", όπου επιλέγετε την ενότητα VPN, προσδιορίζετε τον τύπο πρωτοκόλλου, εισάγετε τις ρυθμίσεις διεύθυνσης υποδικτύου, μάσκες και προσδιορίζετε το εύρος της IP διευθύνσεις για χρήστες.

Επιπλέον, για να ασφαλίσετε τη σύνδεση, θα χρειαστεί να καθορίσετε αλγόριθμους κωδικοποίησης, μεθόδους ελέγχου ταυτότητας, να δημιουργήσετε κλειδιά διαπραγμάτευσης και να καθορίσετε διακομιστές DNS WINS. Στις παραμέτρους "Gateway", πρέπει να καθορίσετε τη διεύθυνση IP της πύλης (η ip σας) και να συμπληρώσετε τα δεδομένα σε όλους τους προσαρμογείς δικτύου.

Εάν υπάρχουν πολλοί δρομολογητές στο δίκτυο, είναι απαραίτητο να συμπληρώσετε τον πίνακα δρομολόγησης vpn για όλες τις συσκευές στη σήραγγα VPN.

Εδώ είναι μια λίστα εξοπλισμός υλικούχρησιμοποιείται κατά την κατασκευή δικτύων VPN:

Δρομολογητές Dlink: DIR-320, DIR-620, DSR-1000 με νέο υλικολογισμικό ή Δρομολογητής D-Link DI808HV.

Δρομολογητές Cisco PIX 501, Cisco 871-SEC-K9

Δρομολογητής Linksys Rv082 που υποστηρίζει περίπου 50 σήραγγες VPN

Μοντέλα δρομολογητή Netgear DG834G και δρομολογητές FVS318G, FVS318N, FVS336G, SRX5308

Router Mikrotik με λειτουργία OpenVPN. Παράδειγμα RouterBoard RB/2011L-IN Mikrotik

Εξοπλισμός Vpn RVPN S-Terra ή VPN Gate

Δρομολογητές ASUS RT-N66U, RT-N16 και RT N-10

Δρομολογητές ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Το Διαδίκτυο χρησιμοποιείται όλο και περισσότερο ως μέσο επικοινωνίας μεταξύ των υπολογιστών επειδή προσφέρει αποτελεσματική και φθηνή επικοινωνία. Ωστόσο, το Διαδίκτυο είναι ένα δημόσιο δίκτυο και για να διασφαλιστεί η ασφαλής επικοινωνία μέσω αυτού, απαιτείται κάποιος μηχανισμός που να ικανοποιεί τουλάχιστον τις ακόλουθες εργασίες:

    εμπιστευτικότητα των πληροφοριών·

    ακεραιότητα δεδομένων;

    διαθεσιμότητα πληροφοριών·

Αυτές οι απαιτήσεις ικανοποιούνται από έναν μηχανισμό που ονομάζεται VPN (Virtual Private Network - εικονικό ιδιωτικό δίκτυο) - ένα γενικευμένο όνομα για τεχνολογίες που σας επιτρέπουν να παρέχετε μία ή περισσότερες συνδέσεις δικτύου (λογικό δίκτυο) μέσω ενός άλλου δικτύου (για παράδειγμα, το Διαδίκτυο) χρησιμοποιώντας κρυπτογραφία εργαλεία (κρυπτογράφηση, έλεγχος ταυτότητας, δημόσια κλειδιά υποδομής, μέσα προστασίας από την επανάληψη και την αλλαγή των μηνυμάτων που μεταδίδονται μέσω του λογικού δικτύου).

Η δημιουργία ενός VPN δεν απαιτεί πρόσθετες επενδύσεις και σας επιτρέπει να σταματήσετε να χρησιμοποιείτε μισθωμένες γραμμές. Ανάλογα με τα πρωτόκολλα που χρησιμοποιούνται και τον σκοπό, ένα VPN μπορεί να παρέχει τρεις τύπους συνδέσεων: host-host, host-network και network-network.

Για λόγους σαφήνειας, ας φανταστούμε το ακόλουθο παράδειγμα: μια επιχείρηση έχει πολλά εδαφικά απομακρυσμένα υποκαταστήματα και «κινητούς» υπαλλήλους που εργάζονται στο σπίτι ή στο δρόμο. Είναι απαραίτητο να ενωθούν όλοι οι εργαζόμενοι της επιχείρησης σε ένα ενιαίο δίκτυο. Ο ευκολότερος τρόπος είναι να τοποθετήσετε μόντεμ σε κάθε κλάδο και να οργανώσετε την επικοινωνία όπως χρειάζεται. Μια τέτοια λύση, ωστόσο, δεν είναι πάντα βολική και κερδοφόρα - μερικές φορές χρειάζεστε σταθερή σύνδεση και μεγάλο εύρος ζώνης. Για να γίνει αυτό, θα πρέπει είτε να βάλετε μια ειδική γραμμή μεταξύ των υποκαταστημάτων είτε να τα νοικιάσετε. Και τα δύο είναι αρκετά ακριβά. Και εδώ, εναλλακτικά, όταν δημιουργείτε ένα ενιαίο ασφαλές δίκτυο, μπορείτε να χρησιμοποιήσετε συνδέσεις VPN όλων των υποκαταστημάτων της εταιρείας μέσω Διαδικτύου και να διαμορφώσετε τα εργαλεία VPN σε κεντρικούς υπολογιστές δικτύου.

Ρύζι. 6.4.σύνδεση VPN από ιστότοπο σε ιστότοπο

Ρύζι. 6.5.Σύνδεση κεντρικού υπολογιστή σε δίκτυο VPN

Σε αυτή την περίπτωση, επιλύονται πολλά προβλήματα - τα υποκαταστήματα μπορούν να βρίσκονται οπουδήποτε σε όλο τον κόσμο.

Ο κίνδυνος εδώ είναι ότι, πρώτον, το ανοιχτό δίκτυο είναι ανοιχτό σε επιθέσεις από εισβολείς σε όλο τον κόσμο. Δεύτερον, όλα τα δεδομένα μεταδίδονται μέσω του Διαδικτύου και οι εισβολείς, έχοντας παραβιάσει το δίκτυο, θα έχουν όλες τις πληροφορίες που μεταδίδονται μέσω του δικτύου. Και, τρίτον, τα δεδομένα μπορούν όχι μόνο να υποκλαπούν, αλλά και να αντικατασταθούν κατά τη μετάδοση μέσω του δικτύου. Ένας εισβολέας μπορεί, για παράδειγμα, να θέσει σε κίνδυνο την ακεραιότητα των βάσεων δεδομένων ενεργώντας για λογαριασμό των πελατών ενός από τα αξιόπιστα υποκαταστήματα.

Για να αποφευχθεί αυτό, οι λύσεις VPN χρησιμοποιούν εργαλεία όπως η κρυπτογράφηση δεδομένων για τη διασφάλιση της ακεραιότητας και του απορρήτου, τον έλεγχο ταυτότητας και την εξουσιοδότηση για την επαλήθευση των δικαιωμάτων χρήστη και την πρόσβαση σε ένα εικονικό ιδιωτικό δίκτυο.

Μια σύνδεση VPN αποτελείται πάντα από μια σύνδεση σημείου προς σημείο, γνωστή και ως σήραγγα. Η σήραγγα δημιουργείται σε ένα ανασφαλές δίκτυο, που τις περισσότερες φορές είναι το Διαδίκτυο.

Η σήραγγα ή η ενθυλάκωση είναι ένας τρόπος μεταφοράς χρήσιμων πληροφοριών μέσω ενός ενδιάμεσου δικτύου. Τέτοιες πληροφορίες μπορεί να είναι πλαίσια (ή πακέτα) άλλου πρωτοκόλλου. Με την ενθυλάκωση, το πλαίσιο δεν μεταδίδεται όπως δημιουργήθηκε από τον κεντρικό υπολογιστή αποστολής, αλλά παρέχεται με μια πρόσθετη κεφαλίδα που περιέχει πληροφορίες δρομολόγησης που επιτρέπει στα ενθυλακωμένα πακέτα να περάσουν μέσα από το ενδιάμεσο δίκτυο (Διαδίκτυο). Στο τέλος του τούνελ, τα πλαίσια απο-ενθυλακώνονται και μεταδίδονται στον παραλήπτη. Συνήθως, μια σήραγγα δημιουργείται από δύο συσκευές ακμών που βρίσκονται σε σημεία εισόδου στο δημόσιο δίκτυο. Ένα από τα προφανή πλεονεκτήματα του tunneling είναι ότι αυτή η τεχνολογία σάς επιτρέπει να κρυπτογραφείτε ολόκληρο το αρχικό πακέτο, συμπεριλαμβανομένης της κεφαλίδας, η οποία μπορεί να περιέχει δεδομένα που περιέχουν πληροφορίες που χρησιμοποιούν οι εισβολείς για να χακάρουν το δίκτυο (για παράδειγμα, διευθύνσεις IP, αριθμό υποδικτύων κ.λπ. ) .

Αν και μια σήραγγα VPN δημιουργείται μεταξύ δύο σημείων, κάθε κεντρικός υπολογιστής μπορεί να δημιουργήσει πρόσθετες σήραγγες με άλλους κεντρικούς υπολογιστές. Για παράδειγμα, όταν τρεις απομακρυσμένοι σταθμοί πρέπει να επικοινωνήσουν με το ίδιο γραφείο, θα δημιουργηθούν τρεις ξεχωριστές σήραγγες VPN σε αυτό το γραφείο. Για όλες τις σήραγγες, ο κόμβος στην πλευρά του γραφείου μπορεί να είναι ο ίδιος. Αυτό είναι δυνατό λόγω του γεγονότος ότι ο κόμβος μπορεί να κρυπτογραφήσει και να αποκρυπτογραφήσει δεδομένα για λογαριασμό ολόκληρου του δικτύου, όπως φαίνεται στο σχήμα:

Ρύζι. 6.6.Δημιουργήστε σήραγγες VPN για πολλές απομακρυσμένες τοποθεσίες

Ο χρήστης δημιουργεί μια σύνδεση με την πύλη VPN, μετά την οποία ο χρήστης έχει πρόσβαση στο εσωτερικό δίκτυο.

Μέσα σε ένα ιδιωτικό δίκτυο, η ίδια η κρυπτογράφηση δεν πραγματοποιείται. Ο λόγος είναι ότι αυτό το τμήμα του δικτύου θεωρείται ασφαλές και υπό άμεσο έλεγχο, σε αντίθεση με το Διαδίκτυο. Αυτό ισχύει επίσης κατά τη σύνδεση γραφείων χρησιμοποιώντας πύλες VPN. Έτσι, η κρυπτογράφηση είναι εγγυημένη μόνο για πληροφορίες που μεταδίδονται μέσω ενός μη ασφαλούς καναλιού μεταξύ των γραφείων.

Υπάρχουν πολλά διάφορες λύσειςγια την κατασκευή εικονικών ιδιωτικών δικτύων. Τα πιο διάσημα και ευρέως χρησιμοποιούμενα πρωτόκολλα είναι:

    PPTP (Point-to-Point Tunneling Protocol) - αυτό το πρωτόκολλο έχει γίνει αρκετά δημοφιλές λόγω της συμπερίληψής του στα λειτουργικά συστήματα της Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - συνδυάζει το πρωτόκολλο L2F (Layer 2 Forwarding) και Πρωτόκολλο PPTP. Συνήθως χρησιμοποιείται σε συνδυασμό με το IPSec.

    Το IPSec (Internet Protocol Security) είναι ένα επίσημο πρότυπο Διαδικτύου που αναπτύχθηκε από την κοινότητα IETF (Internet Engineering Task Force).

Τα πρωτόκολλα που αναφέρονται στη λίστα υποστηρίζονται από συσκευές D-Link.

Το πρωτόκολλο PPTP προορίζεται κυρίως για εικονικά ιδιωτικά δίκτυα που βασίζονται σε συνδέσεις μέσω τηλεφώνου. Το πρωτόκολλο σάς επιτρέπει να οργανώσετε την απομακρυσμένη πρόσβαση, έτσι ώστε οι χρήστες να μπορούν να δημιουργήσουν συνδέσεις μέσω τηλεφώνου με παρόχους Διαδικτύου και να δημιουργήσουν μια ασφαλή σήραγγα στα εταιρικά τους δίκτυα. Σε αντίθεση με το IPSec, το πρωτόκολλο PPTP δεν προοριζόταν αρχικά για την οργάνωση τούνελ μεταξύ τοπικών δικτύων. Το PPTP επεκτείνει τις δυνατότητες του PPP, ενός πρωτοκόλλου σύνδεσης δεδομένων που σχεδιάστηκε αρχικά για να ενθυλακώνει δεδομένα και να τα παραδίδει μέσω συνδέσεων από σημείο σε σημείο.

Το πρωτόκολλο PPTP σάς επιτρέπει να δημιουργείτε ασφαλή κανάλια για ανταλλαγή δεδομένων χρησιμοποιώντας διάφορα πρωτόκολλα - IP, IPX, NetBEUI, κ.λπ. Τα δεδομένα αυτών των πρωτοκόλλων συσκευάζονται σε πλαίσια PPP, ενσωματωμένα χρησιμοποιώντας το πρωτόκολλο PPTP σε πακέτα πρωτοκόλλου IP. Στη συνέχεια μεταφέρονται χρησιμοποιώντας IP σε κρυπτογραφημένη μορφή μέσω οποιουδήποτε δικτύου TCP/IP. Ο κόμβος λήψης εξάγει τα πλαίσια PPP από τα πακέτα IP και στη συνέχεια τα επεξεργάζεται με τον τυπικό τρόπο, π.χ. εξάγει ένα πακέτο IP, IPX ή NetBEUI από ένα πλαίσιο PPP και το στέλνει μέσω του τοπικού δικτύου. Έτσι, το πρωτόκολλο PPTP δημιουργεί μια σύνδεση από σημείο σε σημείο στο δίκτυο και μεταδίδει δεδομένα μέσω του δημιουργημένου ασφαλούς καναλιού. Το κύριο πλεονέκτημα της ενθυλάκωσης πρωτοκόλλων όπως το PPTP είναι η πολυπρωτόκολλη φύση τους. Εκείνοι. Η προστασία δεδομένων στο επίπεδο σύνδεσης δεδομένων είναι διαφανής για τα πρωτόκολλα του επιπέδου δικτύου και εφαρμογών. Επομένως, εντός του δικτύου, τόσο το πρωτόκολλο IP (όπως στην περίπτωση ενός VPN που βασίζεται σε IPSec) ή οποιοδήποτε άλλο πρωτόκολλο μπορεί να χρησιμοποιηθεί ως μεταφορά.

Επί του παρόντος, λόγω της ευκολίας εφαρμογής, το πρωτόκολλο PPTP χρησιμοποιείται ευρέως τόσο για την απόκτηση αξιόπιστης ασφαλούς πρόσβασης σε ένα εταιρικό δίκτυο όσο και για πρόσβαση σε δίκτυα ISP όταν ένας πελάτης χρειάζεται να δημιουργήσει μια σύνδεση PPTP με έναν ISP για να έχει πρόσβαση στο Διαδίκτυο.

Η μέθοδος κρυπτογράφησης που χρησιμοποιείται στο PPTP καθορίζεται στο επίπεδο PPP. Συνήθως ο πελάτης PPP είναι επιτραπέζιος υπολογιστήςμε το λειτουργικό σύστημα της Microsoft και το πρωτόκολλο κρυπτογράφησης από σημείο σε σημείο (MPPE) της Microsoft χρησιμοποιείται ως πρωτόκολλο κρυπτογράφησης. Αυτό το πρωτόκολλο βασίζεται στο πρότυπο RSA RC4 και υποστηρίζει κρυπτογράφηση 40 ή 128 bit. Για πολλές εφαρμογές αυτού του επιπέδου κρυπτογράφησης, η χρήση αυτού του αλγορίθμου είναι επαρκής, αν και θεωρείται λιγότερο ασφαλής από ορισμένους άλλους αλγόριθμους κρυπτογράφησης που προσφέρονται από το IPSec, ιδίως το Πρότυπο κρυπτογράφησης τριπλών δεδομένων 168 bit (3DES).

Πώς δημιουργείται η σύνδεσηPPTP?

Το PPTP ενσωματώνει πακέτα IP για μετάδοση μέσω δικτύου IP. Οι πελάτες PPTP δημιουργούν μια σύνδεση ελέγχου σήραγγας που διατηρεί τη σύνδεση ζωντανή. Αυτή η διαδικασία εκτελείται στο επίπεδο μεταφοράς του μοντέλου OSI. Μετά τη δημιουργία του τούνελ, ο υπολογιστής-πελάτης και ο διακομιστής αρχίζουν να ανταλλάσσουν πακέτα υπηρεσιών.

Εκτός από τη σύνδεση ελέγχου PPTP, δημιουργείται μια σύνδεση για την αποστολή δεδομένων μέσω της σήραγγας. Η ενθυλάκωση δεδομένων πριν από την αποστολή τους στη σήραγγα περιλαμβάνει δύο βήματα. Αρχικά, δημιουργείται το τμήμα πληροφοριών του πλαισίου PPP. Τα δεδομένα ρέουν από πάνω προς τα κάτω, από το επίπεδο εφαρμογής OSI στο επίπεδο σύνδεσης. Τα ληφθέντα δεδομένα αποστέλλονται στη συνέχεια στο μοντέλο OSI και ενθυλακώνονται από πρωτόκολλα ανώτερου επιπέδου.

Τα δεδομένα από το επίπεδο σύνδεσης φτάνουν στο επίπεδο μεταφοράς. Ωστόσο, οι πληροφορίες δεν μπορούν να σταλούν στον προορισμό τους, καθώς το επίπεδο σύνδεσης OSI είναι υπεύθυνο για αυτό. Επομένως, το PPTP κρυπτογραφεί το πεδίο ωφέλιμου φορτίου του πακέτου και αναλαμβάνει τις λειτουργίες δεύτερου επιπέδου που συνήθως ανήκουν στο PPP, δηλαδή προσθέτει μια κεφαλίδα PPP (κεφαλίδα) και μια κατάληξη (τρέιλερ) στο πακέτο PPTP. Αυτό ολοκληρώνει τη δημιουργία του πλαισίου επιπέδου σύνδεσης. Στη συνέχεια, το PPTP ενσωματώνει το πλαίσιο PPP σε ένα πακέτο Generic Routing Encapsulation (GRE) που ανήκει στο επίπεδο δικτύου. Το GRE ενσωματώνει πρωτόκολλα επιπέδου δικτύου όπως IP, IPX για να τους επιτρέψει να μεταφερθούν μέσω δικτύων IP. Ωστόσο, η χρήση του πρωτοκόλλου GRE από μόνη της δεν θα εξασφαλίσει τη δημιουργία συνεδρίας και την ασφάλεια των δεδομένων. Αυτό χρησιμοποιεί την ικανότητα του PPTP να δημιουργεί μια σύνδεση ελέγχου σήραγγας. Η χρήση του GRE ως μεθόδου ενθυλάκωσης περιορίζει το πεδίο εφαρμογής του PPTP μόνο σε δίκτυα IP.

Αφού το πλαίσιο PPP έχει ενθυλακωθεί σε ένα πλαίσιο με κεφαλίδα GRE, ενθυλακώνεται σε πλαίσιο με κεφαλίδα IP. Η κεφαλίδα IP περιέχει τις διευθύνσεις αποστολέα και παραλήπτη του πακέτου. Τέλος, το PPTP προσθέτει μια κεφαλίδα PPP και τέλος.

Επί ρύζι. 6.7δείχνει τη δομή δεδομένων για προώθηση μέσω μιας σήραγγας PPTP:

Ρύζι. 6.7.Δομή δεδομένων για προώθηση σε σήραγγα PPTP

Η εγκατάσταση ενός VPN που βασίζεται σε PPTP δεν απαιτεί μεγάλα έξοδα και πολύπλοκες ρυθμίσεις: αρκεί να εγκαταστήσετε έναν διακομιστή PPTP στο κεντρικό γραφείο (οι λύσεις PPTP υπάρχουν και για πλατφόρμες Windows και Linux) και να εκτελούνται σε υπολογιστές-πελάτες απαραίτητες ρυθμίσεις. Εάν πρέπει να συνδυάσετε πολλούς κλάδους, τότε αντί να ρυθμίσετε το PPTP σε όλους τους σταθμούς-πελάτες, είναι καλύτερο να χρησιμοποιήσετε έναν δρομολογητή Διαδικτύου ή ένα τείχος προστασίας με υποστήριξη PPTP: οι ρυθμίσεις γίνονται μόνο σε δρομολογητή συνόρων (τείχος προστασίας) συνδεδεμένο στο Διαδίκτυο. όλα είναι απολύτως διαφανή για τους χρήστες. Παραδείγματα τέτοιων συσκευών είναι οι πολυλειτουργικοί δρομολογητές Διαδικτύου DIR/DSR και τα τείχη προστασίας της σειράς DFL.

GRE- τούνελ

Το Generic Routing Encapsulation (GRE) είναι ένα πρωτόκολλο ενθυλάκωσης πακέτων δικτύου που παρέχει διοχέτευση κυκλοφορίας μέσω δικτύων χωρίς κρυπτογράφηση. Παραδείγματα χρήσης GRE:

    μετάδοση κίνησης (συμπεριλαμβανομένης της εκπομπής) μέσω εξοπλισμού που δεν υποστηρίζει συγκεκριμένο πρωτόκολλο·

    διοχέτευση της κυκλοφορίας IPv6 μέσω ενός δικτύου IPv4·

    μεταφορά δεδομένων μέσω δημόσια δίκτυαγια να εφαρμόσετε μια ασφαλή σύνδεση VPN.

Ρύζι. 6.8.Ένα παράδειγμα σήραγγας GRE

Ανάμεσα σε δύο δρομολογητές Α και Β ( ρύζι. 6.8) υπάρχουν αρκετοί δρομολογητές, η σήραγγα GRE σάς επιτρέπει να παρέχετε μια σύνδεση μεταξύ των τοπικών δικτύων 192.168.1.0/24 και 192.168.3.0/24 σαν να είχαν συνδεθεί απευθείας οι δρομολογητές Α και Β.

μεγάλο2 TP

Το πρωτόκολλο L2TP εμφανίστηκε ως αποτέλεσμα της συγχώνευσης των πρωτοκόλλων PPTP και L2F. Το κύριο πλεονέκτημα του πρωτοκόλλου L2TP είναι ότι σας επιτρέπει να δημιουργήσετε ένα τούνελ όχι μόνο σε δίκτυα IP, αλλά και σε δίκτυα ATM, X.25 και Frame relay. Το L2TP χρησιμοποιεί το UDP ως μεταφορά και χρησιμοποιεί την ίδια μορφή μηνύματος τόσο για τη διαχείριση σήραγγας όσο και για την προώθηση δεδομένων.

Όπως και στην περίπτωση του PPTP, το L2TP ξεκινά τη συναρμολόγηση ενός πακέτου για μετάδοση στη σήραγγα προσθέτοντας πρώτα την κεφαλίδα PPP και μετά την κεφαλίδα L2TP στο πεδίο δεδομένων πληροφοριών PPP. Το πακέτο που λαμβάνεται με αυτόν τον τρόπο ενθυλακώνεται από το UDP. Ανάλογα με τον τύπο της πολιτικής ασφάλειας IPSec που επιλέγεται, το L2TP μπορεί να κρυπτογραφήσει μηνύματα UDP και να προσθέσει μια κεφαλίδα και ένα τελείωμα Encapsulating Security Payload (ESP), καθώς και ένα τέλος ελέγχου ταυτότητας IPSec (δείτε την ενότητα "L2TP over IPSec"). Στη συνέχεια ενσωματώνεται σε IP. Προστίθεται μια κεφαλίδα IP που περιέχει τις διευθύνσεις αποστολέα και παραλήπτη. Τέλος, το L2TP εκτελεί μια δεύτερη ενθυλάκωση PPP για να προετοιμάσει τα δεδομένα για μετάδοση. Επί ρύζι. 6.9δείχνει τη δομή δεδομένων που πρόκειται να σταλεί μέσω μιας σήραγγας L2TP.

Ρύζι. 6.9.Δομή δεδομένων για προώθηση μέσω σήραγγας L2TP

Ο υπολογιστής λήψης λαμβάνει τα δεδομένα, επεξεργάζεται την κεφαλίδα και το τέλος PPP και αφαιρεί την κεφαλίδα IP. Το IPSec Authentication ελέγχει την ταυτότητα του πεδίου πληροφοριών IP και η κεφαλίδα IPSec ESP βοηθά στην αποκρυπτογράφηση του πακέτου.

Στη συνέχεια, ο υπολογιστής επεξεργάζεται την κεφαλίδα UDP και χρησιμοποιεί την κεφαλίδα L2TP για να αναγνωρίσει τη σήραγγα. Το πακέτο PPP περιέχει τώρα μόνο το ωφέλιμο φορτίο που υποβάλλεται σε επεξεργασία ή προωθείται στον καθορισμένο παραλήπτη.

Το IPsec (συντομογραφία της λέξης Ασφάλεια IP) είναι ένα σύνολο πρωτοκόλλων για την ασφάλεια των δεδομένων που μεταδίδονται μέσω του Πρωτοκόλλου Διαδικτύου IP, επιτρέποντας τον έλεγχο ταυτότητας και/ή την κρυπτογράφηση των πακέτων IP. Το IPsec περιλαμβάνει επίσης πρωτόκολλα για ασφαλή ανταλλαγή κλειδιών στο Διαδίκτυο.

Η ασφάλεια IPSec επιτυγχάνεται μέσω πρόσθετων πρωτοκόλλων που προσθέτουν τις δικές τους κεφαλίδες στο πακέτο IP - ενθυλάκωση. Επειδή Το IPSec είναι ένα πρότυπο Διαδικτύου, οπότε υπάρχουν έγγραφα RFC για αυτό:

    Το RFC 2401 (Αρχιτεκτονική ασφαλείας για το Πρωτόκολλο Διαδικτύου) είναι η αρχιτεκτονική ασφαλείας για το πρωτόκολλο IP.

    RFC 2402 (κεφαλίδα ελέγχου ταυτότητας IP) - Κεφαλίδα ελέγχου ταυτότητας IP.

    RFC 2404 (Η χρήση του HMAC-SHA-1-96 εντός ESP και AH) - Χρήση του αλγορίθμου κατακερματισμού SHA-1 για τη δημιουργία μιας κεφαλίδας ελέγχου ταυτότητας.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - Χρήση του αλγόριθμου κρυπτογράφησης DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - Κρυπτογράφηση δεδομένων.

    Το RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) είναι το πεδίο εφαρμογής του πρωτοκόλλου διαχείρισης κλειδιών.

    RFC 2408( διαδικτυακή ασφάλειαΠρωτόκολλο συσχέτισης και διαχείρισης κλειδιών (ISAKMP) - διαχείριση κλειδιών και ελέγχου ταυτότητας ασφαλών συνδέσεων.

    RFC 2409 (The Internet Key Exchange (IKE)) - Key Exchange.

    RFC 2410 (Ο αλγόριθμος κρυπτογράφησης NULL και η χρήση του με IPsec) - Ο αλγόριθμος κρυπτογράφησης NULL και η χρήση του.

    Το RFC 2411 (IP Security Document Roadmap) είναι μια περαιτέρω εξέλιξη του προτύπου.

    RFC 2412 (The OAKLEY Key Determination Protocol) - Έλεγχος της αυθεντικότητας ενός κλειδιού.

Το IPsec είναι αναπόσπαστο μέρος του Πρωτοκόλλου Διαδικτύου IPv6 και προαιρετική επέκταση της έκδοσης IPv4 του Πρωτοκόλλου Διαδικτύου.

Ο μηχανισμός IPSec εκτελεί τις ακόλουθες εργασίες:

    έλεγχος ταυτότητας χρηστών ή υπολογιστών κατά την προετοιμασία ασφαλούς καναλιού.

    κρυπτογράφηση και έλεγχος ταυτότητας των δεδομένων που μεταφέρονται μεταξύ καταληκτικά σημείαασφαλές κανάλι?

    αυτόματη παροχή τελικών σημείων καναλιού με μυστικά κλειδιά που είναι απαραίτητα για τη λειτουργία των πρωτοκόλλων ελέγχου ταυτότητας και κρυπτογράφησης δεδομένων.

Στοιχεία IPSec

Το πρωτόκολλο AH (Authentication Header) είναι ένα πρωτόκολλο αναγνώρισης κεφαλίδας. Διασφαλίζει την ακεραιότητα επαληθεύοντας ότι κανένα bit στο προστατευμένο τμήμα του πακέτου δεν έχει αλλάξει κατά τη μετάδοση. Αλλά η χρήση του AH μπορεί να προκαλέσει προβλήματα, για παράδειγμα, όταν ένα πακέτο διέρχεται από μια συσκευή NAT. Το NAT αλλάζει τη διεύθυνση IP του πακέτου για να επιτρέψει την πρόσβαση στο Internet από μια ιδιωτική τοπική διεύθυνση. Επειδή Σε αυτήν την περίπτωση, το πακέτο αλλάζει, τότε το άθροισμα ελέγχου AH γίνεται λανθασμένο (για την εξάλειψη αυτού του προβλήματος, αναπτύχθηκε το πρωτόκολλο NAT-Traversal (NAT-T), το οποίο παρέχει μετάδοση ESP μέσω UDP και χρησιμοποιεί τη θύρα UDP 4500 στην εργασία του). Αξίζει επίσης να σημειωθεί ότι το AH σχεδιάστηκε μόνο για ακεραιότητα. Δεν εγγυάται την εμπιστευτικότητα κρυπτογραφώντας τα περιεχόμενα της συσκευασίας.

Το πρωτόκολλο ESP (Encapsulation Security Payload) παρέχει όχι μόνο την ακεραιότητα και τον έλεγχο ταυτότητας των μεταδιδόμενων δεδομένων, αλλά και την κρυπτογράφηση δεδομένων, καθώς και προστασία από πλαστογράφηση πακέτων.

Το πρωτόκολλο ESP είναι ένα πρωτόκολλο ασφαλείας ενθυλάκωσης που παρέχει τόσο ακεραιότητα όσο και εμπιστευτικότητα. Στη λειτουργία μεταφοράς, η κεφαλίδα ESP βρίσκεται μεταξύ της αρχικής κεφαλίδας IP και της κεφαλίδας TCP ή UDP. Στη λειτουργία σήραγγας, η κεφαλίδα ESP τοποθετείται μεταξύ της νέας κεφαλίδας IP και του πλήρως κρυπτογραφημένου αρχικού πακέτου IP.

Επειδή Και τα δύο πρωτόκολλα - AH και ESP - προσθέτουν τις δικές τους κεφαλίδες IP, καθένα από αυτά έχει τον δικό του αριθμό πρωτοκόλλου (ID), με τον οποίο μπορείτε να καθορίσετε τι θα ακολουθήσει την κεφαλίδα IP. Κάθε πρωτόκολλο, σύμφωνα με την IANA (Internet Assigned Numbers Authority - ο οργανισμός που είναι υπεύθυνος για τον χώρο διευθύνσεων του Διαδικτύου), έχει τον δικό του αριθμό (ID). Για παράδειγμα, για το TCP αυτός ο αριθμός είναι 6 και για το UDP είναι 17. Επομένως, είναι πολύ σημαντικό όταν εργάζεστε μέσω ενός τείχους προστασίας να διαμορφώνετε τα φίλτρα με τέτοιο τρόπο ώστε να περνούν πακέτα με ID AH ή/και ESP του πρωτοκόλλου.

Το αναγνωριστικό πρωτοκόλλου 51 έχει οριστεί να υποδεικνύει ότι το AH υπάρχει στην κεφαλίδα IP και το 50 για το ESP.

ΠΡΟΣΟΧΗ: Το αναγνωριστικό πρωτοκόλλου δεν είναι το ίδιο με τον αριθμό θύρας.

Το πρωτόκολλο IKE (Internet Key Exchange) είναι ένα τυπικό πρωτόκολλο IPsec που χρησιμοποιείται για την ασφάλεια της επικοινωνίας σε εικονικά ιδιωτικά δίκτυα. Σκοπός της ΙΚΕ είναι η ασφαλής διαπραγμάτευση και παράδοση ταυτοποιημένου υλικού σε ένωση ασφαλείας (ΑΕ).

SA είναι ο όρος IPSec για μια σύνδεση. Ένα καθιερωμένο SA (ένα ασφαλές κανάλι που ονομάζεται "secure Association" ή "security Association" - Security Association, SA) περιλαμβάνει ένα κοινό μυστικό κλειδί και ένα σύνολο κρυπτογραφικών αλγορίθμων.

Το πρωτόκολλο IKE εκτελεί τρεις κύριες εργασίες:

    παρέχει ένα μέσο ελέγχου ταυτότητας μεταξύ δύο τελικών σημείων VPN.

    καθιερώνει νέες συνδέσεις IPSec (δημιουργεί ένα ζεύγος SA).

    διαχειρίζεται τις υπάρχουσες σχέσεις.

Το IKE χρησιμοποιεί τον αριθμό θύρας UDP 500. Όταν χρησιμοποιείτε τη δυνατότητα διέλευσης NAT, όπως αναφέρθηκε προηγουμένως, το πρωτόκολλο IKE χρησιμοποιεί τον αριθμό θύρας UDP 4500.

Η ανταλλαγή δεδομένων στο IKE γίνεται σε 2 φάσεις. Σε πρώτη φάση ιδρύεται ο σύλλογος Α.Ε.ΙΚΕ. Ταυτόχρονα, γίνεται έλεγχος ταυτότητας των τελικών σημείων του καναλιού και επιλέγονται παράμετροι προστασίας δεδομένων, όπως ο αλγόριθμος κρυπτογράφησης, το κλειδί συνεδρίας κ.λπ.

Στη δεύτερη φάση, η SA IKE χρησιμοποιείται για διαπραγμάτευση πρωτοκόλλου (συνήθως IPSec).

Με μια διαμορφωμένη σήραγγα VPN, δημιουργείται ένα ζεύγος SA για κάθε πρωτόκολλο που χρησιμοποιείται. Οι SA δημιουργούνται σε ζεύγη, όπως κάθε SA είναι μια σύνδεση μονής κατεύθυνσης και τα δεδομένα πρέπει να αποστέλλονται προς δύο κατευθύνσεις. Τα λαμβανόμενα ζεύγη SA αποθηκεύονται σε κάθε κόμβο.

Δεδομένου ότι κάθε κόμβος είναι ικανός να δημιουργήσει πολλαπλές σήραγγες με άλλους κόμβους, κάθε SA έχει μοναδικός αριθμόςΈνα που σας επιτρέπει να προσδιορίσετε σε ποιον κόμβο ανήκει. Αυτός ο αριθμός ονομάζεται SPI (Security Parameter Index) ή Security Parameter Index.

SA αποθηκευμένο σε βάση δεδομένων (DB) ΛΥΠΗΜΕΝΟΣ(Security Association Database).

Κάθε κόμβος IPSec έχει επίσης ένα δεύτερο DB − SPD(Security Policy Database) - Βάση δεδομένων πολιτικών ασφαλείας. Περιέχει τη διαμορφωμένη πολιτική κεντρικού υπολογιστή. Οι περισσότερες λύσεις VPN σάς επιτρέπουν να δημιουργήσετε πολλαπλές πολιτικές με συνδυασμούς κατάλληλων αλγορίθμων για κάθε κεντρικό υπολογιστή στον οποίο θέλετε να συνδεθείτε.

Η ευελιξία του IPSec έγκειται στο γεγονός ότι για κάθε εργασία υπάρχουν διάφοροι τρόποι επίλυσής της και οι μέθοδοι που επιλέγονται για μία εργασία είναι συνήθως ανεξάρτητες από τις μεθόδους για την υλοποίηση άλλων εργασιών. Ωστόσο, η Ομάδα Εργασίας IETF έχει ορίσει ένα βασικό σύνολο υποστηριζόμενων χαρακτηριστικών και αλγορίθμων που πρέπει να εφαρμοστούν με τον ίδιο τρόπο σε όλα τα προϊόντα με δυνατότητα IPSec. Οι μηχανισμοί AH και ESP μπορούν να χρησιμοποιηθούν με διάφορα σχήματα ελέγχου ταυτότητας και κρυπτογράφησης, μερικά από τα οποία είναι υποχρεωτικά. Για παράδειγμα, το IPSec καθορίζει ότι τα πακέτα επαληθεύονται είτε με τη μονόδρομη συνάρτηση MD5 είτε τη μονόδρομη συνάρτηση SHA-1 και η κρυπτογράφηση γίνεται χρησιμοποιώντας τον αλγόριθμο DES. Οι κατασκευαστές προϊόντων που εκτελούν IPSec μπορούν να προσθέσουν άλλους αλγόριθμους ελέγχου ταυτότητας και κρυπτογράφησης. Για παράδειγμα, ορισμένα προϊόντα υποστηρίζουν αλγόριθμους κρυπτογράφησης όπως 3DES, Blowfish, Cast, RC5 κ.λπ.

Οποιοσδήποτε συμμετρικός αλγόριθμος κρυπτογράφησης που χρησιμοποιεί μυστικά κλειδιά μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση δεδομένων σε IPSec.

Τα πρωτόκολλα προστασίας ροής (AH και ESP) μπορούν να λειτουργήσουν σε δύο λειτουργίες - in τρόπο μεταφοράςκαι στο λειτουργία σήραγγας. Όταν λειτουργεί σε λειτουργία μεταφοράς, το IPsec ασχολείται μόνο με πληροφορίες επιπέδου μεταφοράς. κρυπτογραφείται μόνο το πεδίο δεδομένων του πακέτου που περιέχει τα πρωτόκολλα TCP/UDP (η κεφαλίδα του πακέτου IP δεν αλλάζει (δεν είναι κρυπτογραφημένη)). Η λειτουργία μεταφοράς χρησιμοποιείται συνήθως για τη δημιουργία σύνδεσης μεταξύ κεντρικών υπολογιστών.

Η λειτουργία Tunneling κρυπτογραφεί ολόκληρο το πακέτο IP, συμπεριλαμβανομένης της κεφαλίδας επίπεδο δικτύου. Για να μεταδοθεί μέσω του δικτύου, τοποθετείται σε άλλο πακέτο IP. Ουσιαστικά, πρόκειται για μια ασφαλή σήραγγα IP. Η λειτουργία σήραγγας μπορεί να χρησιμοποιηθεί για τη σύνδεση απομακρυσμένων υπολογιστών σε ένα εικονικό ιδιωτικό δίκτυο (σύστημα σύνδεσης "κεντρικού δικτύου") ή για την οργάνωση ασφαλούς μεταφοράς δεδομένων μέσω ανοιχτά κανάλιασυνδέσεις (για παράδειγμα, το Διαδίκτυο) μεταξύ πυλών για τη σύνδεση διαφορετικών τμημάτων ενός εικονικού ιδιωτικού δικτύου (σχήμα σύνδεσης δικτύου σε δίκτυο).

Οι λειτουργίες IPsec δεν αποκλείονται αμοιβαία. Στον ίδιο κεντρικό υπολογιστή, ορισμένες SA μπορεί να χρησιμοποιούν τη λειτουργία μεταφοράς, ενώ άλλες μπορεί να χρησιμοποιούν τη λειτουργία σήραγγας.

Κατά τη φάση ελέγχου ταυτότητας, υπολογίζεται το άθροισμα ελέγχου ICV (Τιμή ελέγχου ακεραιότητας) του πακέτου. Υποτίθεται ότι και οι δύο κόμβοι γνωρίζουν Το μυστικό κλειδί, που επιτρέπει στον παραλήπτη να υπολογίσει το ICV και να το συγκρίνει με το αποτέλεσμα που έστειλε ο αποστολέας. Εάν η σύγκριση ICV είναι επιτυχής, ο αποστολέας του πακέτου θεωρείται επικυρωμένος.

Σε λειτουργία μεταφοράAH

    ολόκληρο το πακέτο IP, εκτός από ορισμένα πεδία στην κεφαλίδα IP, τα οποία μπορούν να αλλάξουν κατά τη μεταφορά. Αυτά τα πεδία, των οποίων οι τιμές για τον υπολογισμό ICV είναι 0, μπορούν να αποτελούν μέρος της υπηρεσίας (Τύπος υπηρεσίας, TOS), σημαίες, μετατόπιση θραύσματος, χρόνος ζωής (TTL), καθώς και κεφαλίδα αθροίσματος ελέγχου.

    όλα τα πεδία στο AH?

    ωφέλιμο φορτίο πακέτων IP.

Το AH στη λειτουργία μεταφοράς προστατεύει την κεφαλίδα IP (εκτός από τα πεδία που επιτρέπεται να αλλάξουν) και το ωφέλιμο φορτίο στο αρχικό πακέτο IP (Εικόνα 3.39).

Στη λειτουργία σήραγγας, το αρχικό πακέτο τοποθετείται σε ένα νέο πακέτο IP και η μεταφορά δεδομένων πραγματοποιείται με βάση την κεφαλίδα του νέου πακέτου IP.

Για λειτουργία σήραγγαςAHκατά την εκτέλεση ενός υπολογισμού, τα ακόλουθα στοιχεία περιλαμβάνονται στο άθροισμα ελέγχου ICV:

    όλα τα πεδία εξωτερική κεφαλίδα IP, εκτός από ορισμένα πεδία στην κεφαλίδα IP, τα οποία μπορούν να αλλάξουν κατά τη μεταφορά. Αυτά τα πεδία, των οποίων οι τιμές για τον υπολογισμό ICV είναι 0, μπορούν να αποτελούν μέρος της υπηρεσίας (Τύπος υπηρεσίας, TOS), σημαίες, μετατόπιση θραύσματος, χρόνος ζωής (TTL), καθώς και κεφαλίδα αθροίσματος ελέγχου.

    όλα τα πεδία AH?

    αρχικό πακέτο IP.

Όπως μπορείτε να δείτε στην παρακάτω εικόνα, η λειτουργία σήραγγας AH προστατεύει ολόκληρο το πακέτο IP πηγής με μια πρόσθετη εξωτερική κεφαλίδα που δεν χρησιμοποιεί η λειτουργία μεταφοράς AH:

Ρύζι. 6.10.Τρόποι λειτουργίας σήραγγας και μεταφοράς του πρωτοκόλλου ΑΝ

Σε λειτουργία μεταφοράESPδεν επαληθεύει ολόκληρο το πακέτο, αλλά προστατεύει μόνο το ωφέλιμο φορτίο IP. Η κεφαλίδα ESP στη λειτουργία μεταφοράς ESP προστίθεται στο πακέτο IP αμέσως μετά την κεφαλίδα IP και η κατάληξη ESP (ESP Trailer) προστίθεται ανάλογα μετά τα δεδομένα.

Η λειτουργία μεταφοράς ESP κρυπτογραφεί τα ακόλουθα μέρη του πακέτου:

    ωφέλιμο φορτίο IP;

Ένας αλγόριθμος κρυπτογράφησης που χρησιμοποιεί τη λειτουργία κρυπτογράφησης Cipher Block Chaining (CBC) έχει ένα μη κρυπτογραφημένο πεδίο μεταξύ της κεφαλίδας ESP και του ωφέλιμου φορτίου. Αυτό το πεδίο ονομάζεται IV (Διάνυσμα εκκίνησης) για τον υπολογισμό CBC, ο οποίος εκτελείται στον δέκτη. Δεδομένου ότι αυτό το πεδίο χρησιμοποιείται για την έναρξη της διαδικασίας αποκρυπτογράφησης, δεν μπορεί να κρυπτογραφηθεί. Παρόλο που ο εισβολέας έχει τη δυνατότητα να δει το IV, δεν υπάρχει τρόπος να αποκρυπτογραφήσει το κρυπτογραφημένο τμήμα του πακέτου χωρίς το κλειδί κρυπτογράφησης. Για να αποτρέψετε τους εισβολείς από το να αλλάξουν το διάνυσμα αρχικοποίησης, προστατεύεται από το άθροισμα ελέγχου ICV. Σε αυτήν την περίπτωση, το ICV εκτελεί τους ακόλουθους υπολογισμούς:

    όλα τα πεδία στην κεφαλίδα ESP.

    ωφέλιμο φορτίο συμπεριλαμβανομένου απλού κειμένου IV.

    όλα τα πεδία στο τρέιλερ ESP εκτός από το πεδίο δεδομένων ελέγχου ταυτότητας.

Η λειτουργία σήραγγας ESP ενσωματώνει ολόκληρο το αρχικό πακέτο IP σε μια νέα κεφαλίδα IP, μια κεφαλίδα ESP και ένα τρέιλερ ESP. Για να υποδείξετε ότι το ESP υπάρχει στην κεφαλίδα IP, το αναγνωριστικό πρωτοκόλλου IP ορίζεται στο 50, αφήνοντας την αρχική κεφαλίδα IP και το ωφέλιμο φορτίο αμετάβλητα. Όπως και με τη λειτουργία σήραγγας AH, η εξωτερική κεφαλίδα IP βασίζεται στη διαμόρφωση της σήραγγας IPSec. Στην περίπτωση χρήσης της λειτουργίας σήραγγας ESP, η περιοχή ελέγχου ταυτότητας του πακέτου IP δείχνει πού έγινε η υπογραφή, πιστοποιώντας την ακεραιότητα και τη γνησιότητά της, και το κρυπτογραφημένο τμήμα δείχνει ότι οι πληροφορίες είναι προστατευμένες και εμπιστευτικές. Η αρχική κεφαλίδα τοποθετείται μετά την κεφαλίδα ESP. Αφού το κρυπτογραφημένο τμήμα ενθυλακωθεί σε μια νέα κεφαλίδα σήραγγας που δεν είναι κρυπτογραφημένη, μεταδίδεται το πακέτο IP. Όταν αποστέλλεται μέσω ενός δημόσιου δικτύου, ένα τέτοιο πακέτο δρομολογείται στη διεύθυνση IP της πύλης του δικτύου λήψης και η πύλη αποκρυπτογραφεί το πακέτο και απορρίπτει την κεφαλίδα ESP χρησιμοποιώντας την αρχική κεφαλίδα IP για να δρομολογήσει στη συνέχεια το πακέτο σε έναν υπολογιστή που βρίσκεται στο το εσωτερικό δίκτυο. Η λειτουργία ESP tunneling κρυπτογραφεί τα ακόλουθα μέρη του πακέτου:

    αρχικό πακέτο IP.

  • Για τη λειτουργία σήραγγας ESP, το ICV υπολογίζεται ως εξής:

    όλα τα πεδία στην κεφαλίδα ESP.

    το αρχικό πακέτο IP, συμπεριλαμβανομένου του απλού κειμένου IV.

    όλα τα πεδία κεφαλίδας ESP εκτός από το πεδίο δεδομένων ελέγχου ταυτότητας.

Ρύζι. 6.11.Σήραγγα και τρόπος μεταφοράς του πρωτοκόλλου ESP

Ρύζι. 6.12.Σύγκριση πρωτοκόλλων ESP και AH

Σύνοψη των τρόπων εφαρμογήςIPSec:

    Πρωτόκολλο - ESP (AH).

    Τρόπος - σήραγγα (μεταφορά).

    Μέθοδος ανταλλαγής κλειδιών - IKE (εγχειρίδιο).

    Λειτουργία IKE - κύρια (επιθετική).

    Κλειδί DH – ομάδα 5 (ομάδα 2, ομάδα 1) – αριθμός ομάδας για επιλογή δυναμικά δημιουργημένων κλειδιών συνεδρίας, διάρκεια ομάδας.

    Έλεγχος ταυτότητας - SHA1 (SHA, MD5).

    Κρυπτογράφηση - DES (3DES, Blowfish, AES).

Κατά τη δημιουργία μιας πολιτικής, είναι συνήθως δυνατή η δημιουργία μιας ταξινομημένης λίστας αλγορίθμων και ομάδων Diffie-Hellman. Το Diffie-Hellman (DH) είναι ένα πρωτόκολλο κρυπτογράφησης που χρησιμοποιείται για τη δημιουργία κοινών μυστικών κλειδιών για IKE, IPSec και PFS (Perfect Forward Secrecy). Σε αυτήν την περίπτωση, θα χρησιμοποιηθεί η πρώτη θέση που ταιριάζει και στους δύο κόμβους. Είναι πολύ σημαντικό ότι όλα στην πολιτική ασφαλείας σας επιτρέπουν να επιτύχετε αυτή τη σύμπτωση. Εάν όλα τα άλλα ταιριάζουν εκτός από ένα μέρος της πολιτικής, οι οικοδεσπότες θα εξακολουθούν να μην μπορούν να δημιουργήσουν μια σύνδεση VPN. Κατά τη ρύθμιση μιας σήραγγας VPN μεταξύ διάφορα συστήματαπρέπει να μάθετε ποιοι αλγόριθμοι υποστηρίζονται από κάθε πλευρά, ώστε να μπορείτε να επιλέξετε την πιο ασφαλή πολιτική από όλες τις δυνατές.

Οι κύριες ρυθμίσεις που περιλαμβάνει η πολιτική ασφαλείας:

    Συμμετρικοί αλγόριθμοι για κρυπτογράφηση/αποκρυπτογράφηση δεδομένων.

    Κρυπτογραφικά αθροίσματα ελέγχου για τον έλεγχο της ακεραιότητας των δεδομένων.

    Μέθοδος αναγνώρισης κόμβου. Οι πιο συνηθισμένες μέθοδοι είναι τα εκ των προτέρων κοινά μυστικά ή τα πιστοποιητικά ΑΠ.

    Είτε θα χρησιμοποιήσετε τη λειτουργία σήραγγας είτε τη λειτουργία μεταφοράς.

    Ποια ομάδα Diffie-Hellman να χρησιμοποιήσετε (ομάδα DH 1 (768-bit), DH ομάδα 2 (1024-bit), DH ομάδα 5 (1536-bit)).

    Είτε θα χρησιμοποιήσετε AH, ESP ή και τα δύο.

    Εάν θα χρησιμοποιήσετε το PFS.

Ένας περιορισμός του IPSec είναι ότι υποστηρίζει μεταφορά δεδομένων μόνο στο επίπεδο πρωτοκόλλου IP.

Υπάρχουν δύο βασικά σχήματα για τη χρήση του IPSec, που διαφέρουν ως προς τον ρόλο των κόμβων που σχηματίζουν το ασφαλές κανάλι.

Στο πρώτο σχήμα, σχηματίζεται ένα ασφαλές κανάλι μεταξύ των τερματικών κεντρικών υπολογιστών του δικτύου. Σε αυτό το σχήμα, το πρωτόκολλο IPSec προστατεύει τον κεντρικό υπολογιστή που εκτελείται:

Ρύζι. 6.13.Δημιουργήστε ένα ασφαλές κανάλι μεταξύ δύο τελικών σημείων

Στο δεύτερο σχήμα, δημιουργείται ένα ασφαλές κανάλι μεταξύ δύο πυλών ασφαλείας. Αυτές οι πύλες λαμβάνουν δεδομένα από τερματικούς κεντρικούς υπολογιστές που είναι συνδεδεμένοι σε δίκτυα πίσω από τις πύλες. Οι τελικοί κεντρικοί υπολογιστές σε αυτήν την περίπτωση δεν υποστηρίζουν το πρωτόκολλο IPSec, η κίνηση που κατευθύνεται στο δημόσιο δίκτυο διέρχεται από την πύλη ασφαλείας, η οποία εκτελεί προστασία για λογαριασμό της.

Ρύζι. 6.14.Δημιουργία ασφαλούς καναλιού μεταξύ δύο πυλών

Για κεντρικούς υπολογιστές που υποστηρίζουν IPSec, μπορούν να χρησιμοποιηθούν τόσο η λειτουργία μεταφοράς όσο και η λειτουργία σήραγγας. Για τις πύλες, επιτρέπεται μόνο η λειτουργία σήραγγας.

Εγκατάσταση και υποστήριξηVPN

Όπως αναφέρθηκε παραπάνω, η εγκατάσταση και η συντήρηση μιας σήραγγας VPN είναι μια διαδικασία δύο βημάτων. Στο πρώτο στάδιο (φάση), οι δύο κόμβοι συμφωνούν σε μια μέθοδο αναγνώρισης, έναν αλγόριθμο κρυπτογράφησης, έναν αλγόριθμο κατακερματισμού και μια ομάδα Diffie-Hellman. Ταυτίζονται επίσης μεταξύ τους. Όλα αυτά μπορούν να συμβούν ως αποτέλεσμα της ανταλλαγής τριών μη κρυπτογραφημένων μηνυμάτων (η λεγόμενη επιθετική λειτουργία, Επιθετικός τρόπος) ή έξι μηνύματα, με την ανταλλαγή κρυπτογραφημένων πληροφοριών αναγνώρισης (τυπική λειτουργία, Κύριος τρόπος).

Στην κύρια λειτουργία, είναι δυνατή η διαπραγμάτευση όλων των παραμέτρων διαμόρφωσης των συσκευών αποστολέα και παραλήπτη, ενώ στην επιθετική λειτουργία αυτό δεν είναι δυνατό και ορισμένες παράμετροι (ομάδα Diffie-Hellman, αλγόριθμοι κρυπτογράφησης και ελέγχου ταυτότητας, PFS) πρέπει να είναι προ -Ρυθμίζεται με τον ίδιο τρόπο σε κάθε συσκευή. Ωστόσο, σε αυτήν τη λειτουργία, τόσο ο αριθμός των ανταλλαγών όσο και ο αριθμός των πακέτων που αποστέλλονται είναι λιγότερα, με αποτέλεσμα λιγότερο χρόνο για τη δημιουργία μιας περιόδου λειτουργίας IPSec.

Ρύζι. 6.15.Μηνύματα σε τυπικές λειτουργίες (α) και επιθετικές (β).

Υποθέτοντας ότι η λειτουργία ολοκληρώθηκε με επιτυχία, δημιουργείται μια πρώτη φάση SA − Φάση 1 ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ(επίσης λέγεται ΙΚΕΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ) και η διαδικασία προχωρά στη δεύτερη φάση.

Στο δεύτερο βήμα, δημιουργούνται τα βασικά δεδομένα, οι κόμβοι συμφωνούν για την πολιτική που θα χρησιμοποιηθεί. Αυτή η λειτουργία, που ονομάζεται επίσης γρήγορη λειτουργία, διαφέρει από τη Φάση 1 στο ότι μπορεί να δημιουργηθεί μόνο μετά τη Φάση 1, όταν όλα τα πακέτα Φάσης 2 είναι κρυπτογραφημένα. Η σωστή ολοκλήρωση της δεύτερης φάσης οδηγεί στην εμφάνιση Φάση 2 ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑή IPSecΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑκαι σε αυτό η εγκατάσταση της σήραγγας θεωρείται ολοκληρωμένη.

Πρώτον, ένα πακέτο φτάνει στον κόμβο με μια διεύθυνση προορισμού σε άλλο δίκτυο και ο κόμβος ξεκινά την πρώτη φάση με τον κόμβο που είναι υπεύθυνος για το άλλο δίκτυο. Ας υποθέσουμε ότι το τούνελ μεταξύ των κόμβων έχει δημιουργηθεί με επιτυχία και περιμένει πακέτα. Ωστόσο, οι κόμβοι πρέπει να επαναπροσδιορίσουν ο ένας τον άλλον και να συγκρίνουν τις πολιτικές μετά από ένα ορισμένο χρονικό διάστημα. Αυτή η περίοδος ονομάζεται διάρκεια ζωής Phase One ή διάρκεια ζωής IKE SA.

Οι κόμβοι πρέπει επίσης να αλλάξουν το κλειδί για να κρυπτογραφήσουν δεδομένα μετά από μια χρονική περίοδο που ονομάζεται διάρκεια ζωής Φάσης Δεύτερη ή IPSec SA.

Η διάρκεια ζωής της δεύτερης φάσης είναι μικρότερη από την πρώτη φάση, γιατί το κλειδί πρέπει να αλλάζει πιο συχνά. Πρέπει να ορίσετε τις ίδιες παραμέτρους διάρκειας ζωής και για τους δύο κόμβους. Εάν δεν το κάνετε αυτό, τότε είναι πιθανό ότι αρχικά η σήραγγα θα εγκατασταθεί με επιτυχία, αλλά μετά την πρώτη ασυνεπή περίοδο ζωής, η σύνδεση θα διακοπεί. Προβλήματα μπορεί επίσης να προκύψουν όταν η διάρκεια ζωής της πρώτης φάσης είναι μικρότερη από αυτή της δεύτερης φάσης. Εάν η προηγουμένως διαμορφωμένη σήραγγα σταματήσει να λειτουργεί, τότε το πρώτο πράγμα που πρέπει να ελέγξετε είναι η διάρκεια ζωής και στους δύο κόμβους.

Θα πρέπει επίσης να σημειωθεί ότι εάν αλλάξετε την πολιτική σε έναν από τους κόμβους, οι αλλαγές θα τεθούν σε ισχύ μόνο στην επόμενη έναρξη της πρώτης φάσης. Για να τεθούν σε ισχύ οι αλλαγές αμέσως, πρέπει να αφαιρέσετε το SA για αυτήν τη σήραγγα από τη βάση δεδομένων SAD. Αυτό θα αναγκάσει μια αναθεώρηση της συμφωνίας μεταξύ των κόμβων με τις νέες ρυθμίσεις πολιτικής ασφαλείας.

Μερικές φορές, κατά τη δημιουργία μιας σήραγγας IPSec μεταξύ εξοπλισμού διαφορετικών κατασκευαστών, υπάρχουν δυσκολίες που σχετίζονται με τον συντονισμό των παραμέτρων κατά τη δημιουργία της πρώτης φάσης. Θα πρέπει να δώσετε προσοχή σε μια παράμετρο όπως το Local ID - αυτό είναι ένα μοναδικό αναγνωριστικό για το τελικό σημείο της σήραγγας (αποστολέας και παραλήπτης). Αυτό είναι ιδιαίτερα σημαντικό όταν δημιουργείτε πολλαπλές σήραγγες και χρησιμοποιείτε το πρωτόκολλο NAT Traversal.

Νεκρόςσυνομήλικοςανίχνευση

Κατά τη λειτουργία VPN, εάν δεν υπάρχει κίνηση μεταξύ των τελικών σημείων της σήραγγας ή εάν αλλάξουν τα αρχικά δεδομένα του απομακρυσμένου κεντρικού υπολογιστή (για παράδειγμα, αλλαγή της δυναμικά εκχωρημένης διεύθυνσης IP), μπορεί να προκύψει μια κατάσταση όταν η σήραγγα ουσιαστικά δεν είναι πλέον τέτοια , να γίνει, σαν να λέγαμε, ένα τούνελ φάντασμα. Προκειμένου να διατηρείται σταθερή ετοιμότητα για ανταλλαγή δεδομένων στη δημιουργημένη σήραγγα IPSec, ο μηχανισμός IKE (που περιγράφεται στο RFC 3706) σας επιτρέπει να ελέγχετε την παρουσία κίνησης από τον απομακρυσμένο κόμβο της σήραγγας και εάν απουσιάζει για ένα καθορισμένο χρονικό διάστημα, αποστέλλεται ένα μήνυμα γεια (στα τείχη προστασίας το D-Link στέλνει ένα μήνυμα "DPD-R-U-THERE"). Εάν δεν υπάρξει απάντηση σε αυτό το μήνυμα μέσα σε ένα συγκεκριμένο χρονικό διάστημα, στα τείχη προστασίας D-Link που έχουν οριστεί από τις ρυθμίσεις "DPD Expire Time", η σήραγγα αποσυναρμολογείται. Μετά από αυτό, τείχη προστασίας D-Link, χρησιμοποιώντας τις ρυθμίσεις "DPD Keep Time" ( ρύζι. 6.18) επιχειρήστε αυτόματα να αποκαταστήσετε τη σήραγγα.

ΠρωτόκολλοNATΔιασταύρωση

Η κίνηση IPsec μπορεί να δρομολογηθεί σύμφωνα με τους ίδιους κανόνες με άλλα πρωτόκολλα IP, αλλά επειδή ο δρομολογητής δεν μπορεί πάντα να εξάγει πληροφορίες ειδικά για πρωτόκολλα επιπέδου μεταφοράς, είναι αδύνατο για το IPsec να περάσει από πύλες NAT. Όπως αναφέρθηκε προηγουμένως, για να λύσει αυτό το πρόβλημα, το IETF έχει ορίσει έναν τρόπο ενθυλάκωσης του ESP στο UDP, που ονομάζεται NAT-T (NAT Traversal).

Το πρωτόκολλο NAT Traversal ενσωματώνει την κίνηση IPSec και ταυτόχρονα δημιουργεί πακέτα UDP που το NAT προωθεί σωστά. Για να γίνει αυτό, το NAT-T τοποθετεί μια πρόσθετη κεφαλίδα UDP πριν από το πακέτο IPSec, έτσι ώστε να αντιμετωπίζεται σαν ένα κανονικό πακέτο UDP σε όλο το δίκτυο και ο κεντρικός υπολογιστής παραλήπτης να μην εκτελεί κανέναν έλεγχο ακεραιότητας. Αφού το πακέτο φτάσει στον προορισμό του, η κεφαλίδα UDP αφαιρείται και το πακέτο δεδομένων συνεχίζει την πορεία του ως ένα ενθυλακωμένο πακέτο IPSec. Έτσι, χρησιμοποιώντας τον μηχανισμό NAT-T, είναι δυνατή η δημιουργία επικοινωνίας μεταξύ των πελατών IPSec σε ασφαλή δίκτυα και των δημόσιων κεντρικών υπολογιστών IPSec μέσω τείχη προστασίας.

Υπάρχουν δύο σημεία που πρέπει να προσέξετε κατά τη διαμόρφωση των τειχών προστασίας D-Link στη συσκευή λήψης:

    στα πεδία Remote Network και Remote Endpoint, καθορίστε το δίκτυο και τη διεύθυνση IP της απομακρυσμένης συσκευής αποστολής. Είναι απαραίτητο να επιτρέπεται η μετάφραση της διεύθυνσης IP του εκκινητή (αποστολέα) χρησιμοποιώντας τεχνολογία NAT (Εικόνα 3.48).

    όταν χρησιμοποιείτε κοινόχρηστα κλειδιά με πολλαπλές σήραγγες συνδεδεμένες στο ίδιο τηλεχειριστήριο τείχος προστασίαςπου έχουν γίνει NAT στην ίδια διεύθυνση, είναι σημαντικό να βεβαιωθείτε ότι το Local ID είναι μοναδικό για κάθε σήραγγα.

Τοπικός ταυτότηταμπορεί να είναι ένα από:

    Αυτο– η διεύθυνση IP της διεπαφής εξερχόμενης κίνησης χρησιμοποιείται ως τοπικό αναγνωριστικό.

    IP– Διεύθυνση IP της θύρας WAN του απομακρυσμένου τείχους προστασίας

    DNS– Διεύθυνση DNS

    Τα ιδιωτικά δίκτυα χρησιμοποιούνται από οργανισμούς για σύνδεση σε απομακρυσμένους ιστότοπους και σε άλλους οργανισμούς. Τα ιδιωτικά δίκτυα αποτελούνται από γραμμές επικοινωνίας που μισθώνονται από διάφορες τηλεφωνικές εταιρείες και παρόχους υπηρεσιών Διαδικτύου. Αυτοί οι σύνδεσμοι χαρακτηρίζονται από το ότι συνδέουν μόνο δύο τοποθεσίες ενώ διαχωρίζονται από την άλλη κίνηση καθώς οι μισθωμένοι σύνδεσμοι παρέχουν αμφίδρομη επικοινωνία μεταξύ δύο τοποθεσιών. Τα ιδιωτικά δίκτυα έχουν πολλά πλεονεκτήματα.

    • Οι πληροφορίες κρατούνται μυστικές.
    • Οι απομακρυσμένοι ιστότοποι μπορούν να ανταλλάσσουν πληροφορίες αμέσως.
    • Οι απομακρυσμένοι χρήστες δεν αισθάνονται απομονωμένοι από το σύστημα στο οποίο έχουν πρόσβαση.

    Δυστυχώς, αυτός ο τύπος δικτύου έχει ένα μεγάλο μειονέκτημα - υψηλό κόστος. Η χρήση ιδιωτικών δικτύων είναι πολύ ακριβή. Μπορείτε να εξοικονομήσετε χρήματα χρησιμοποιώντας πιο αργούς συνδέσμους, αλλά στη συνέχεια οι απομακρυσμένοι χρήστες θα αρχίσουν να παρατηρούν την έλλειψη ταχύτητας και ορισμένα από τα οφέλη που αναφέρονται παραπάνω θα γίνουν λιγότερο εμφανή.

    Με την αύξηση του αριθμού των χρηστών του Διαδικτύου, πολλοί οργανισμοί έχουν στραφεί στη χρήση εικονικών ιδιωτικών δικτύων (VPN). Εικονικά ιδιωτικά δίκτυαπαρέχουν πολλά από τα οφέλη των ιδιωτικών δικτύων με χαμηλότερο κόστος. Ωστόσο, με την εισαγωγή ενός VPN, υπάρχουν μια σειρά από ερωτήματα και κινδύνους για τον οργανισμό. Ένα καλοφτιαγμένο εικονικό ιδιωτικό δίκτυο μπορεί να αποφέρει μεγάλα οφέλη σε έναν οργανισμό. Εάν το VPN δεν έχει εφαρμοστεί σωστά, όλες οι πληροφορίες που μεταδίδονται μέσω του VPN είναι προσβάσιμες από το Διαδίκτυο.

    Ορισμός εικονικών ιδιωτικών δικτύων

    Έτσι, σκοπεύουμε να μεταφέρουμε εμπιστευτικά δεδομένα του οργανισμού μέσω του Διαδικτύου χωρίς τη χρήση μισθωμένων καναλιών επικοινωνίας, λαμβάνοντας παράλληλα όλα τα μέτρα για να διασφαλίσουμε απόρρητο της κυκλοφορίας. Πώς θα μπορέσουμε να διαχωρίσουμε την επισκεψιμότητά μας από την κίνηση άλλων χρηστών του παγκόσμιου δικτύου; Η απάντηση σε αυτό το ερώτημα είναι η κρυπτογράφηση.

    Στο Διαδίκτυο, μπορείτε να βρείτε κίνηση οποιουδήποτε τύπου. Μεγάλο μέρος αυτής της επισκεψιμότητας μεταδίδεται σε καθαρό και οποιοσδήποτε χρήστης παρατηρεί αυτήν την κίνηση θα μπορεί να την αναγνωρίσει. Αυτό ισχύει για τις περισσότερες επισκεψιμότητα ηλεκτρονικού ταχυδρομείου και ιστού, καθώς και για τις συνεδρίες telnet και FTP. Η κυκλοφορία ασφαλούς κελύφους (SSH) και πρωτοκόλλου μεταφοράς υπερκειμένου (HTTPS) είναι κρυπτογραφημένη κίνηση και δεν μπορεί να προβληθεί από τον χρήστη που ανιχνεύει τα πακέτα. Ωστόσο, επισκεψιμότητα όπως το SSH και το HTTPS δεν αποτελούν VPN.

    Εικονικά ιδιωτικά δίκτυαέχουν πολλά χαρακτηριστικά.

    • Η κυκλοφορία είναι κρυπτογραφημένη για να παρέχει προστασία από υποκλοπές.
    • Ο απομακρυσμένος ιστότοπος έχει επικυρωθεί.
    • Τα VPN παρέχουν υποστήριξη για πολλά πρωτόκολλα.
    • Μια σύνδεση παρέχει επικοινωνία μόνο μεταξύ δύο συγκεκριμένων συνδρομητών.

    Δεδομένου ότι τα SSH και HTTPS δεν είναι ικανά να υποστηρίζουν πολλαπλά πρωτόκολλα, το ίδιο ισχύει και για τα πραγματικά VPN. Τα πακέτα VPN αναμειγνύονται με την κανονική ροή κυκλοφορίας στο Διαδίκτυο και υπάρχουν χωριστά επειδή αυτή η κίνηση μπορεί να διαβαστεί μόνο από τα τελικά σημεία σύνδεσης.

    Σημείωση

    Είναι δυνατή η υλοποίηση της κίνησης που διέρχεται από μια περίοδο λειτουργίας SSH χρησιμοποιώντας σήραγγες. Ωστόσο, για τους σκοπούς αυτής της διάλεξης, δεν θα θεωρήσουμε το SSH ως VPN.

    Ας ρίξουμε μια πιο προσεκτική ματιά σε καθένα από τα χαρακτηριστικά του VPN. Όπως αναφέρθηκε παραπάνω, η κίνηση VPN είναι κρυπτογραφημένη για προστασία από την υποκλοπή. Η κρυπτογράφηση πρέπει να είναι αρκετά ισχυρή ώστε να εγγυάται εμπιστευτικότηταδιαβιβάζονται πληροφορίες για όσο διάστημα είναι σχετικές. Οι κωδικοί πρόσβασης έχουν περίοδο λήξης 30 ημερών (υποθέτοντας πολιτική αλλαγής κωδικού πρόσβασης κάθε 30 ημέρες). Ωστόσο, οι διαβαθμισμένες πληροφορίες ενδέχεται να μην χάσουν την αξία τους με τα χρόνια. Επομένως, ο αλγόριθμος κρυπτογράφησης και η χρήση VPN θα πρέπει να αποτρέψουν την παράνομη αποκρυπτογράφηση της κυκλοφορίας για αρκετά χρόνια.

    Το δεύτερο χαρακτηριστικό είναι ότι η απομακρυσμένη τοποθεσία είναι πιστοποιημένη. Αυτή η δυνατότητα ενδέχεται να απαιτεί από ορισμένους χρήστες έλεγχο ταυτότητας έναντι κεντρικού διακομιστή ή αμοιβαίο έλεγχο ταυτότητας και των δύο κόμβων που συνδέει το VPN. Ο μηχανισμός ελέγχου ταυτότητας που χρησιμοποιείται ελέγχεται από την πολιτική. Η πολιτική μπορεί να προβλέπει έλεγχο ταυτότητας χρήστη με δύο παραμέτρους ή με χρήση δυναμικών κωδικών πρόσβασης. Στο αμοιβαίος έλεγχος ταυτότηταςκαι οι δύο τοποθεσίες ενδέχεται να απαιτείται να αποδείξουν τη γνώση ενός συγκεκριμένου κοινόχρηστου μυστικού (μυστικό είναι ορισμένες πληροφορίες που είναι γνωστές και στους δύο ιστότοπους εκ των προτέρων), ή

    Τα εικονικά ιδιωτικά δίκτυα (VPN) προσελκύουν την προσοχή τόσο των παρόχων υπηρεσιών δικτύου όσο και των παρόχων υπηρεσιών Διαδικτύου, καθώς και των εταιρικών χρηστών. Η Infonetics Research προβλέπει ότι η αγορά VPN θα αυξάνεται περισσότερο από 100% ετησίως μέχρι το 2003 και θα φτάσει τα 12 δισεκατομμύρια δολάρια.

    Πριν σας πω για τη δημοτικότητα των VPN, επιτρέψτε μου να σας υπενθυμίσω ότι μόνο ιδιωτικά (εταιρικά) δίκτυα δεδομένων κατασκευάζονται, κατά κανόνα, χρησιμοποιώντας μισθωμένα (αποκλειστικά) κανάλια επικοινωνίας δημόσιων τηλεφωνικών δικτύων μεταγωγής. Για πολλά χρόνια, αυτά τα ιδιωτικά δίκτυα έχουν σχεδιαστεί έχοντας κατά νου συγκεκριμένες εταιρικές απαιτήσεις, με αποτέλεσμα ιδιόκτητα πρωτόκολλα που υποστηρίζουν ιδιόκτητες εφαρμογές (ωστόσο, τα πρωτόκολλα Frame Relay και ATM έχουν αποκτήσει πρόσφατα δημοτικότητα). Τα αποκλειστικά κανάλια παρέχουν αξιόπιστη προστασία εμπιστευτικές πληροφορίες, ωστόσο, η άλλη όψη του νομίσματος είναι το υψηλό κόστος λειτουργίας και η δυσκολία επέκτασης του δικτύου, για να μην αναφέρουμε την ικανότητα ενός χρήστη κινητού να συνδεθεί σε αυτό σε ένα ακούσιο σημείο. Ταυτόχρονα για σύγχρονη επιχείρησηχαρακτηρίζεται από σημαντική διασπορά και κινητικότητα του εργατικού δυναμικού. Όλο και περισσότεροι χρήστες χρειάζονται πρόσβαση σε εταιρικές πληροφορίες μέσω καναλιών μέσω τηλεφώνου, ενώ αυξάνεται επίσης ο αριθμός των εργαζομένων που εργάζονται από το σπίτι.

    Επιπλέον, τα ιδιωτικά δίκτυα δεν είναι σε θέση να παρέχουν τις ίδιες επιχειρηματικές ευκαιρίες που παρέχουν το Διαδίκτυο και οι εφαρμογές που βασίζονται σε IP, όπως η προώθηση προϊόντων, η υποστήριξη πελατών ή η συνεχής επικοινωνία με τους προμηθευτές. Αυτή η διαδικτυακή αλληλεπίδραση απαιτεί τη διασύνδεση ιδιωτικών δικτύων, τα οποία συνήθως χρησιμοποιούν διαφορετικά πρωτόκολλα και εφαρμογές, διαφορετικά συστήματαδιαχείρισης δικτύου και διαφορετικών παρόχων υπηρεσιών επικοινωνίας.

    Έτσι, το υψηλό κόστος, η στατική φύση και οι δυσκολίες που προκύπτουν όταν είναι απαραίτητος ο συνδυασμός ιδιωτικών δικτύων με βάση διαφορετικές τεχνολογίες, έρχονται σε σύγκρουση με τη δυναμικά αναπτυσσόμενη επιχείρηση, την επιθυμία της για αποκέντρωση και την πρόσφατη τάση προς συγχωνεύσεις.

    Ταυτόχρονα, παράλληλα, υπάρχουν δημόσια δίκτυα μετάδοσης δεδομένων χωρίς αυτές τις ελλείψεις και το Διαδίκτυο, που κυριολεκτικά τύλιξε ολόκληρη την υδρόγειο με τον «ιστό» του. Είναι αλήθεια ότι στερούνται επίσης το σημαντικότερο πλεονέκτημα των ιδιωτικών δικτύων - την αξιόπιστη προστασία των εταιρικών πληροφοριών. Η τεχνολογία Virtual Private Network συνδυάζει την ευελιξία, την επεκτασιμότητα, το χαμηλό κόστος και τη διαθεσιμότητα του Διαδικτύου και των δημόσιων δικτύων κυριολεκτικά "οποτεδήποτε και οπουδήποτε" με την ασφάλεια των ιδιωτικών δικτύων. Στον πυρήνα τους, τα VPN είναι ιδιωτικά δίκτυα που χρησιμοποιούν παγκόσμια δίκτυα για τη μετάδοση κίνησης. δημόσια πρόσβαση(Internet, Frame Relay, ATM). Η εικονικότητα εκδηλώνεται στο γεγονός ότι για έναν εταιρικό χρήστη φαίνεται να είναι αποκλειστικά ιδιωτικά δίκτυα.

    ΣΥΜΒΑΤΟΤΗΤΑ

    Ζητήματα συμβατότητας δεν προκύπτουν εάν τα VPN χρησιμοποιούν απευθείας υπηρεσίες Frame Relay και ATM, καθώς είναι αρκετά καλά προσαρμοσμένα για να λειτουργούν σε περιβάλλον πολλαπλών πρωτοκόλλων και είναι κατάλληλα τόσο για εφαρμογές IP όσο και για μη IP. Το μόνο που απαιτείται σε αυτή την περίπτωση είναι η διαθεσιμότητα μιας κατάλληλης υποδομής δικτύου που να καλύπτει την απαιτούμενη γεωγραφική περιοχή. Οι πιο συχνά χρησιμοποιούμενες συσκευές πρόσβασης είναι οι συσκευές πρόσβασης αναμετάδοσης πλαισίου ή δρομολογητές με διεπαφές Frame Relay και ATM. Πολλά μόνιμα ή μεταγωγικά εικονικά κυκλώματα μπορούν να λειτουργήσουν (εικονικά) με οποιοδήποτε μείγμα πρωτοκόλλων και τοπολογιών. Το θέμα γίνεται πιο περίπλοκο εάν το VPN βασίζεται στο Διαδίκτυο. Σε αυτήν την περίπτωση, οι εφαρμογές απαιτείται να είναι συμβατές με το πρωτόκολλο IP. Με την προϋπόθεση ότι πληρούται αυτή η απαίτηση, μπορείτε να χρησιμοποιήσετε το Διαδίκτυο «ως έχει» για να δημιουργήσετε ένα VPN, έχοντας προηγουμένως παράσχει το απαραίτητο επίπεδο ασφάλειας. Επειδή όμως τα περισσότερα ιδιωτικά δίκτυα είναι πολλαπλών πρωτοκόλλων ή χρησιμοποιούν ανεπίσημες, εσωτερικές διευθύνσεις IP, δεν μπορούν να συνδεθούν απευθείας στο Διαδίκτυο χωρίς την κατάλληλη προσαρμογή. Υπάρχουν πολλές λύσεις συμβατότητας. Τα πιο δημοφιλή είναι τα ακόλουθα:
    - μετατροπή υπαρχόντων πρωτοκόλλων (IPX, NetBEUI, AppleTalk ή άλλα) σε πρωτόκολλο IP με επίσημη διεύθυνση.
    - μετατροπή εσωτερικών διευθύνσεων IP σε επίσημες διευθύνσεις IP.
    — εγκατάσταση ειδικών πυλών IP σε διακομιστές·
    — χρήση εικονικής δρομολόγησης IP·
    — χρήση καθολικής τεχνικής διάνοιξης σήραγγας.
    Ο πρώτος τρόπος είναι ξεκάθαρος, οπότε ας δούμε εν συντομία τους άλλους.
    Η μετατροπή εσωτερικών διευθύνσεων IP σε επίσημες είναι απαραίτητη όταν το ιδιωτικό δίκτυο βασίζεται στο πρωτόκολλο IP. Η μετάφραση διευθύνσεων για ολόκληρο το εταιρικό δίκτυο δεν είναι απαραίτητη, καθώς οι επίσημες διευθύνσεις IP μπορούν να συνυπάρχουν με εσωτερικές σε μεταγωγείς και δρομολογητές στο εταιρικό δίκτυο. Με άλλα λόγια, ο διακομιστής με την επίσημη διεύθυνση IP εξακολουθεί να είναι διαθέσιμος στον ιδιωτικό πελάτη δικτύου μέσω της τοπικής υποδομής. Η πιο συχνά χρησιμοποιούμενη τεχνική είναι η διαίρεση ενός μικρού μπλοκ επίσημων διευθύνσεων από πολλούς χρήστες. Είναι παρόμοιο με το διαχωρισμό μιας ομάδας μόντεμ, καθώς βασίζεται επίσης στην υπόθεση ότι δεν χρειάζονται όλοι οι χρήστες πρόσβαση στο Διαδίκτυο ταυτόχρονα. Υπάρχουν δύο βιομηχανικά πρότυπα εδώ, το Dynamic Host Configuration Protocol (DHCP) και η Network Address Translation (NAT), τα οποία έχουν ελαφρώς διαφορετικές προσεγγίσεις. Το DHCP εκμισθώνει μια διεύθυνση σε έναν κεντρικό υπολογιστή για μια περίοδο που καθορίζεται από τον διαχειριστή του δικτύου, ενώ το NAT μεταφράζει εσωτερική διεύθυνση IPστον επίσημο δυναμικά, για τη διάρκεια της συνεδρίας επικοινωνίας με
    Διαδίκτυο.

    Ένας άλλος τρόπος για να κάνετε ένα ιδιωτικό δίκτυο συμβατό με το Διαδίκτυο είναι να εγκαταστήσετε μια πύλη IP. Η πύλη μεταφράζει πρωτόκολλα που δεν είναι IP σε πρωτόκολλα IP και αντίστροφα. Τα περισσότερα δίκτυα λειτουργικά συστήματαπου χρησιμοποιούν εγγενή πρωτόκολλα έχουν λογισμικόγια την πύλη IP.

    Η ουσία της εικονικής δρομολόγησης IP είναι η επέκταση των ιδιωτικών πινάκων δρομολόγησης και του χώρου διευθύνσεων στην υποδομή (δρομολογητές και μεταγωγείς) του ISP. Ένας εικονικός δρομολογητής IP είναι ένα λογικό μέρος ενός φυσικού δρομολογητή IP που ανήκει και λειτουργεί από έναν πάροχο υπηρεσιών. Κάθε εικονικός δρομολογητής εξυπηρετεί μια συγκεκριμένη ομάδα χρηστών.
    Ωστόσο, ίσως το περισσότερο ο καλύτερος τρόποςη διαλειτουργικότητα μπορεί να επιτευχθεί χρησιμοποιώντας τεχνικές διάνοιξης σήραγγας. Αυτές οι τεχνικές έχουν χρησιμοποιηθεί για μεγάλο χρονικό διάστημα για τη μετάδοση μιας ροής πακέτων πολλαπλών πρωτοκόλλων σε μια κοινή ραχοκοκαλιά. Αυτή η δοκιμασμένη τεχνολογία είναι επί του παρόντος βελτιστοποιημένη για VPN που βασίζονται στο Διαδίκτυο.
    Τα κύρια στοιχεία της σήραγγας είναι:
    — εκκινητής σήραγγας·
    — δρομολογημένο δίκτυο·
    - διακόπτης σήραγγας (προαιρετικό).
    — ένας ή περισσότεροι τερματιστές σήραγγας.
    Η διάνοιξη σήραγγας πρέπει να εκτελείται και στα δύο άκρα του συνδέσμου από άκρο σε άκρο. Η σήραγγα πρέπει να ξεκινά με έναν εκκινητή σήραγγας και να τελειώνει με έναν τερματιστή σήραγγας. Η εκκίνηση και ο τερματισμός των λειτουργιών της σήραγγας μπορεί να πραγματοποιηθεί από διάφορους συσκευές δικτύουκαι λογισμικό. Για παράδειγμα, μια σήραγγα μπορεί να ξεκινήσει από έναν υπολογιστή απομακρυσμένου χρήστη που έχει εγκατεστημένο ένα μόντεμ και το απαραίτητο λογισμικό VPN, έναν δρομολογητή front-end σε ένα εταιρικό υποκατάστημα ή έναν συγκεντρωτή πρόσβασης δικτύου σε έναν πάροχο υπηρεσιών.

    Για μετάδοση μέσω Διαδικτύου, πακέτα εκτός των πρωτοκόλλων δικτύου IP ενσωματώνονται στην πλευρά της πηγής σε πακέτα IP. Η πιο συχνά χρησιμοποιούμενη μέθοδος για τη δημιουργία σηράγγων VPN είναι η ενθυλάκωση ενός πακέτου που δεν είναι IP σε ένα πακέτο PPP (Point-to-Point Protocol) και στη συνέχεια η ενθυλάκωσή του σε ένα πακέτο IP. Επιτρέψτε μου να σας υπενθυμίσω ότι το πρωτόκολλο PPP χρησιμοποιείται για μια σύνδεση από σημείο σε σημείο, για παράδειγμα, για επικοινωνία πελάτη-διακομιστή. Η διαδικασία ενθυλάκωσης IP περιλαμβάνει την προσθήκη μιας τυπικής κεφαλίδας IP στο αρχικό πακέτο, η οποία στη συνέχεια αντιμετωπίζεται ως χρήσιμες πληροφορίες. Η αντίστοιχη διαδικασία στο άλλο άκρο του τούνελ αφαιρεί την κεφαλίδα IP, αφήνοντας το αρχικό πακέτο αμετάβλητο. Δεδομένου ότι η τεχνολογία διάνοιξης σήραγγας είναι αρκετά απλή, είναι επίσης η πιο προσιτή από πλευράς κόστους.

    ΑΣΦΑΛΕΙΑ

    Η διασφάλιση του απαιτούμενου επιπέδου ασφάλειας είναι συχνά το πρωταρχικό μέλημα όταν μια εταιρεία σκέφτεται να χρησιμοποιήσει VPN που βασίζονται στο Διαδίκτυο. Πολλοί διαχειριστές πληροφορικής είναι συνηθισμένοι στο εγγενές απόρρητο των ιδιωτικών δικτύων και βλέπουν το Διαδίκτυο ως πολύ "δημόσιο" για να χρησιμοποιηθεί ως ιδιωτικό δίκτυο. Εάν χρησιμοποιείτε την αγγλική ορολογία, τότε υπάρχουν τρία "P", η εφαρμογή των οποίων μαζί παρέχει πλήρη προστασία των πληροφοριών. Αυτό:
    Προστασία - προστασία πόρων με χρήση τείχους προστασίας (τείχος προστασίας).
    Απόδειξη - επαλήθευση της ταυτότητας (ακεραιότητας) του πακέτου και πιστοποίηση του αποστολέα (επιβεβαίωση του δικαιώματος πρόσβασης).
    Απόρρητο - προστασία εμπιστευτικών πληροφοριών με χρήση κρυπτογράφησης.
    Και τα τρία P είναι εξίσου σημαντικά για κάθε εταιρικό δίκτυο, συμπεριλαμβανομένων των VPN. Σε αυστηρά ιδιωτικά δίκτυα, για την προστασία των πόρων και της εμπιστευτικότητας των πληροφοριών, αρκεί να χρησιμοποιηθούν αρκετά απλούς κωδικούς πρόσβασης. Αλλά από τη στιγμή που ένα ιδιωτικό δίκτυο συνδεθεί με ένα δημόσιο, κανένα από τα τρία P δεν μπορεί να παρέχει την απαραίτητη προστασία. Επομένως, για οποιοδήποτε VPN, τα τείχη προστασίας πρέπει να είναι εγκατεστημένα σε όλα τα σημεία της αλληλεπίδρασής του με το δημόσιο δίκτυο και τα πακέτα πρέπει να είναι κρυπτογραφημένα και πιστοποιημένα.

    Τα τείχη προστασίας είναι ένα απαραίτητο συστατικό σε οποιοδήποτε VPN. Επιτρέπουν μόνο εξουσιοδοτημένη κυκλοφορία για αξιόπιστους χρήστες και αποκλείουν οτιδήποτε άλλο. Με άλλα λόγια, όλες οι προσπάθειες πρόσβασης από άγνωστους ή μη αξιόπιστους χρήστες διασταυρώνονται. Αυτή η μορφή προστασίας πρέπει να παρέχεται για κάθε ιστότοπο και χρήστη, καθώς το να μην το έχετε πουθενά σημαίνει να μην το έχετε παντού. Χρησιμοποιούνται ειδικά πρωτόκολλα για τη διασφάλιση της ασφάλειας των εικονικών ιδιωτικών δικτύων. Αυτά τα πρωτόκολλα επιτρέπουν στους οικοδεσπότες να «διαπραγματεύονται» την τεχνική κρυπτογράφησης και ψηφιακής υπογραφής που θα χρησιμοποιηθεί, διατηρώντας έτσι την εμπιστευτικότητα και την ακεραιότητα των δεδομένων και τον έλεγχο ταυτότητας του χρήστη.

    Το Microsoft Point-to-Point Encryption Protocol (MPPE) κρυπτογραφεί τα πακέτα PPP στον υπολογιστή-πελάτη προτού σταλούν στη σήραγγα. Η συνεδρία κρυπτογράφησης αρχικοποιείται κατά την εγκατάσταση της επικοινωνίας με τον τερματιστή της σήραγγας χρησιμοποιώντας το πρωτόκολλο
    ΣΔΙΤ.

    Τα πρωτόκολλα ασφαλούς IP (IPSec) είναι μια σειρά προκαταρκτικών προτύπων που αναπτύσσονται από την Ομάδα Εργασίας Μηχανικής Διαδικτύου (IETF). Η ομάδα πρότεινε δύο πρωτόκολλα: Authentication Header (AH) και Encapsulating Security Payload (ESP). Προσθέτει το πρωτόκολλο AH ψηφιακή υπογραφήκεφαλίδα που πιστοποιεί την ταυτότητα του χρήστη και διασφαλίζει την ακεραιότητα των δεδομένων παρακολουθώντας τυχόν αλλαγές κατά τη μεταφορά. Αυτό το πρωτόκολλο προστατεύει μόνο τα δεδομένα, αφήνοντας το τμήμα διεύθυνσης του πακέτου IP αμετάβλητο. Το πρωτόκολλο ESP, από την άλλη πλευρά, μπορεί να κρυπτογραφήσει είτε ολόκληρο το πακέτο (Λειτουργία σήραγγας) είτε μόνο τα δεδομένα (Λειτουργία μεταφοράς). Αυτά τα πρωτόκολλα χρησιμοποιούνται τόσο ξεχωριστά όσο και σε συνδυασμό.

    Για τη διαχείριση της ασφάλειας, χρησιμοποιείται το βιομηχανικό πρότυπο RADIUS (Remote Authentication Dial-In User Service), το οποίο είναι μια βάση δεδομένων με προφίλ χρηστών που περιέχουν κωδικούς πρόσβασης (έλεγχος ταυτότητας) και δικαιώματα πρόσβασης (εξουσιοδότηση).

    Τα χαρακτηριστικά ασφαλείας δεν περιορίζονται στα παραδείγματα που δίνονται. Πολλοί κατασκευαστές δρομολογητών και τείχους προστασίας προσφέρουν τις δικές τους λύσεις. Μεταξύ αυτών είναι τα Ascend, CheckPoint και Cisco.

    ΔΙΑΘΕΣΙΜΟΤΗΤΑ

    Η διαθεσιμότητα περιλαμβάνει τρία εξίσου σημαντικά στοιχεία: τον χρόνο παροχής υπηρεσιών, διακίνησηκαι χρόνος καθυστέρησης. Ο χρόνος παροχής της υπηρεσίας είναι το αντικείμενο της σύμβασης με τον πάροχο υπηρεσιών και τα άλλα δύο στοιχεία σχετίζονται με τα στοιχεία της ποιότητας της υπηρεσίας (Quality of Service - QoS). Σύγχρονες τεχνολογίεςμεταφορά σάς επιτρέπει να δημιουργήσετε ένα VPN που πληροί τις απαιτήσεις σχεδόν όλων των υπαρχουσών εφαρμογών.

    ΧΑΛΙΝΑΓΩΓΗΣΗ

    Οι διαχειριστές δικτύου θέλουν πάντα να είναι σε θέση να εκτελούν από άκρο σε άκρο, από άκρο σε άκρο διαχείριση του εταιρικού δικτύου, συμπεριλαμβανομένου του τμήματος που σχετίζεται με την εταιρεία τηλεπικοινωνιών. Αποδεικνύεται ότι τα VPN παρέχουν περισσότερες επιλογές από αυτή την άποψη από τα κανονικά ιδιωτικά δίκτυα. Τυπικά ιδιωτικά δίκτυα διαχειρίζονται «από σύνορα σε σύνορα», δηλ. ο πάροχος υπηρεσιών διαχειρίζεται το δίκτυο μέχρι τους μπροστινούς δρομολογητές του εταιρικού δικτύου, ενώ ο συνδρομητής διαχειρίζεται το ίδιο το εταιρικό δίκτυο μέχρι τις συσκευές πρόσβασης WAN. Η τεχνολογία VPN αποφεύγει αυτού του είδους τη διαίρεση των «σφαιρών επιρροής», παρέχοντας τόσο στον πάροχο όσο και στον συνδρομητή ενιαίο σύστημαδιαχείριση του δικτύου στο σύνολό του, τόσο του εταιρικού του μέρους όσο και της δικτυακής υποδομής του δημόσιου δικτύου. Ο διαχειριστής εταιρικού δικτύου έχει τη δυνατότητα να παρακολουθεί και να διαμορφώνει εκ νέου το δίκτυο, να διαχειρίζεται συσκευές μπροστινής πρόσβασης και να προσδιορίζει την κατάσταση του δικτύου σε πραγματικό χρόνο.

    ΑΡΧΙΤΕΚΤΟΝΙΚΗ VPN

    Υπάρχουν τρία μοντέλα εικονικής αρχιτεκτονικής ιδιωτικού δικτύου: εξαρτημένο, ανεξάρτητο και υβριδικό ως συνδυασμός των δύο πρώτων εναλλακτικών. Το να ανήκεις σε ένα συγκεκριμένο μοντέλο καθορίζεται από το πού εφαρμόζονται οι τέσσερις κύριες απαιτήσεις για το VPN. Εάν ο πάροχος υπηρεσιών παγκόσμιου δικτύου παρέχει ολοκληρωμένη λύσηγια VPN, δηλ. παρέχει σήραγγα, ασφάλεια, απόδοση και διαχείριση, καθιστά την αρχιτεκτονική εξαρτημένη από αυτήν. Σε αυτήν την περίπτωση, όλες οι διεργασίες VPN είναι διαφανείς στον χρήστη και βλέπει μόνο την εγγενή επισκεψιμότητά του — πακέτα IP, IPX ή NetBEUI. Το πλεονέκτημα της εξαρτημένης αρχιτεκτονικής για τον συνδρομητή είναι ότι μπορεί να χρησιμοποιήσει την υπάρχουσα υποδομή δικτύου «ως έχει», προσθέτοντας μόνο ένα τείχος προστασίας μεταξύ του VPN και του ιδιωτικού δικτύου.
    WAN/LAN.

    Μια ανεξάρτητη αρχιτεκτονική υλοποιείται όταν ένας οργανισμός παρέχει όλες τις τεχνολογικές απαιτήσεις στον εξοπλισμό του, αναθέτοντας μόνο λειτουργίες μεταφοράς στον πάροχο υπηρεσιών. Αυτή η αρχιτεκτονική είναι πιο ακριβή, αλλά δίνει στον χρήστη πλήρη έλεγχο όλων των λειτουργιών.

    Η υβριδική αρχιτεκτονική περιλαμβάνει εξαρτημένες και ανεξάρτητες από τον οργανισμό (αντίστοιχα, από τον πάροχο υπηρεσιών) τοποθεσίες.

    Ποιες είναι οι υποσχέσεις του VPN για εταιρικούς χρήστες; Καταρχάς, σύμφωνα με βιομηχανικούς αναλυτές, πρόκειται για μείωση του κόστους για όλους τους τύπους τηλεπικοινωνιών από 30 σε 80%. Και επίσης είναι σχεδόν πανταχού παρούσα πρόσβαση στα δίκτυα μιας εταιρείας ή άλλων οργανισμών. είναι η εφαρμογή ασφαλών επικοινωνιών με προμηθευτές και πελάτες. είναι μια βελτιωμένη και βελτιωμένη υπηρεσία που δεν είναι διαθέσιμη σε δίκτυα PSTN και πολλά άλλα. Οι ειδικοί βλέπουν τα VPN ως μια νέα γενιά δικτυακών επικοινωνιών και πολλοί αναλυτές πιστεύουν ότι τα VPN θα αντικαταστήσουν σύντομα τα περισσότερα ιδιωτικά δίκτυα που βασίζονται σε μισθωμένες γραμμές.