Az internetet egyre gyakrabban használják a számítógépek közötti kommunikációs eszközként, mivel hatékony és olcsó kommunikációt kínál. Az Internet azonban nyilvános hálózat, és a biztonságos kommunikáció érdekében szükség van valamilyen mechanizmusra, amely legalább a következő feladatokat kielégíti:

    az információk bizalmas kezelése;

    adatintegritás;

    információk elérhetősége;

Ezeket a követelményeket a VPN (Virtual Private Network – virtuális magánhálózat) nevű mechanizmus teljesíti – olyan technológiák általános elnevezése, amelyek lehetővé teszik egy vagy több hálózati kapcsolat (logikai hálózat) biztosítását egy másik hálózaton (például az interneten) keresztül kriptográfia segítségével. eszközök (titkosítás, hitelesítés, infrastruktúra nyilvános kulcsok, a logikai hálózaton keresztül továbbított üzenetek ismétlődése és változása elleni védelem).

A VPN létrehozása nem igényel további beruházásokat, és lehetővé teszi a bérelt vonalak használatának abbahagyását. A használt protokolloktól és a céltól függően a VPN három típusú kapcsolatot biztosíthat: host-host, host-network és network-network.

Az érthetőség kedvéért képzeljük el a következő példát: egy vállalkozásnak több területileg távoli fióktelepe van, és „mobil” alkalmazottak dolgoznak otthon vagy úton. Egy hálózatba kell egyesíteni a vállalat összes alkalmazottját. A legegyszerűbb módja, hogy modemeket helyezünk el az egyes ágakba, és szükség szerint megszervezzük a kommunikációt. Egy ilyen megoldás azonban nem mindig kényelmes és jövedelmező - néha állandó kapcsolatra és nagy sávszélességre van szüksége. Ehhez vagy külön vonalat kell fektetni az ágak között, vagy bérelnie kell őket. Mindkettő elég drága. És itt alternatívaként egyetlen biztonságos hálózat kiépítésekor használhatja az összes vállalati fiók VPN-kapcsolatát az interneten keresztül, és konfigurálhatja a VPN-eszközöket a hálózati gazdagépeken.

Rizs. 6.4. helyek közötti VPN kapcsolat

Rizs. 6.5. VPN host-hálózat kapcsolat

Ebben az esetben sok probléma megoldódik - az ágak bárhol elhelyezkedhetnek a világon.

A veszély itt az, hogy először is a nyílt hálózat nyitott a világ minden tájáról érkező behatolók támadásaira. Másodszor, az összes adatot tisztán továbbítják az interneten, és a támadók, miután feltörték a hálózatot, minden információt továbbítanak a hálózaton. És harmadszor, az adatok nem csak elfoghatók, hanem cserélhetők is a hálózaton keresztüli átvitel során. Egy támadó például veszélyeztetheti az adatbázisok integritását, ha valamelyik megbízható ág ügyfelei nevében jár el.

Ennek megelőzése érdekében a VPN-megoldások olyan eszközöket használnak, mint az adattitkosítás az integritás és bizalmasság biztosítására, a hitelesítés és a jogosultság ellenőrzése a felhasználói jogok ellenőrzésére és a virtuális magánhálózathoz való hozzáférés lehetővé tételére.

A VPN-kapcsolat mindig egy pont-pont kapcsolatból, más néven alagútból áll. Az alagút egy nem biztonságos hálózatban jön létre, amely legtöbbször az internet.

Az alagút vagy tokozás a hasznos információk közvetítésének módja egy köztes hálózaton keresztül. Az ilyen információk egy másik protokoll keretei (vagy csomagjai) lehetnek. Beágyazás esetén a keret nem úgy kerül továbbításra, ahogy azt a küldő gazdagép hozta létre, hanem egy további fejléccel van ellátva, amely útválasztási információkat tartalmaz, amely lehetővé teszi, hogy a beágyazott csomagok áthaladjanak a köztes hálózaton (Internet). Az alagút végén a kereteket kicsomagolják és továbbítják a címzetthez. Általában egy alagutat két szélső eszköz hoz létre, amelyek a nyilvános hálózat belépési pontjain helyezkednek el. Az alagútkezelés egyik egyértelmű előnye, hogy ez a technológia lehetővé teszi a teljes eredeti csomag titkosítását, beleértve a fejlécet is, amely olyan információkat tartalmazhat, amelyeket a támadók a hálózat feltörésére használnak (például IP-címek, alhálózatok száma stb.). ) .

Bár két pont között VPN-alagút van kialakítva, mindegyik gazdagép további alagutakat hozhat létre más gazdagépekkel. Például, ha három távoli állomásnak kell kapcsolatba lépnie ugyanabban az irodával, három különálló VPN alagút jön létre ehhez az irodához. Az összes alagút esetében az irodai oldalon lévő csomópont azonos lehet. Ez annak a ténynek köszönhető, hogy a csomópont képes titkosítani és visszafejteni az adatokat a teljes hálózat nevében, amint az az ábrán látható:

Rizs. 6.6. Hozzon létre VPN-alagutakat több távoli helyhez

A felhasználó kapcsolatot létesít a VPN-átjáróval, amely után a felhasználó hozzáfér a belső hálózathoz.

Magánhálózaton belül maga a titkosítás nem történik meg. Ennek az az oka, hogy a hálózat ezen része biztonságosnak és közvetlen irányítás alatt áll, szemben az Internettel. Ez akkor is igaz, ha az irodákat VPN-átjárókkal csatlakoztatja. Így a titkosítás csak azon információk esetében garantált, amelyeket nem biztonságos csatornán továbbítanak az irodák között.

Sokan vannak különféle megoldások virtuális magánhálózatok kiépítéséhez. A leghíresebb és legszélesebb körben használt protokollok a következők:

    PPTP (Point-to-Point Tunneling Protocol) - ez a protokoll meglehetősen népszerűvé vált a Microsoft operációs rendszerekbe való beépítése miatt.

    L2TP (Layer-2 Tunneling Protocol) – egyesíti az L2F (Layer 2 Forwarding) protokollt és PPTP protokoll. Általában az IPSec-cel együtt használják.

    Az IPSec (Internet Protocol Security) egy hivatalos internetes szabvány, amelyet az IETF (Internet Engineering Task Force) közösség fejlesztett ki.

A felsorolt ​​protokollokat a D-Link eszközök támogatják.

A PPTP protokoll elsősorban betárcsázós kapcsolatokon alapuló virtuális magánhálózatokhoz készült. A protokoll lehetővé teszi a távoli hozzáférést, így a felhasználók betárcsázós kapcsolatot létesíthetnek az internetszolgáltatókkal, és biztonságos alagutat hozhatnak létre vállalati hálózataikhoz. Az IPSec-től eltérően a PPTP protokoll eredetileg nem a helyi hálózatok közötti alagutak szervezésére szolgál. A PPTP kiterjeszti a PPP képességeit, egy adatkapcsolati protokollt, amelyet eredetileg az adatok beágyazására és pont-pont kapcsolatokon keresztül történő továbbítására terveztek.

A PPTP protokoll lehetővé teszi, hogy biztonságos csatornákat hozzon létre az adatcseréhez különféle protokollok – IP, IPX, NetBEUI stb. – használatával. Ezen protokollok adatait PPP keretekbe csomagolják, a PPTP protokoll segítségével IP protokoll csomagokba zárják. Ezután IP-n keresztül, titkosított formában továbbítják őket bármely TCP/IP-hálózaton keresztül. A fogadó csomópont kibontja a PPP-kereteket az IP-csomagokból, majd a szabványos módon feldolgozza azokat, pl. kivon egy IP, IPX vagy NetBEUI csomagot egy PPP keretből, és elküldi a helyi hálózaton keresztül. Így a PPTP protokoll pont-pont kapcsolatot hoz létre a hálózatban, és adatokat továbbít a létrehozott biztonságos csatornán. A PPTP-hez hasonló protokollok tokozásának fő előnye a többprotokollos jellegük. Azok. Az adatkapcsolati réteg adatvédelme átlátható a hálózati és az alkalmazási réteg protokolljai számára. Ezért a hálózaton belül mind az IP-protokoll (mint az IPSec-alapú VPN esetében), mind pedig bármely más protokoll használható átvitelként.

Jelenleg a könnyű implementáció miatt a PPTP protokollt széles körben használják mind a vállalati hálózathoz való megbízható biztonságos hozzáférés megszerzésére, mind az ISP-hálózatokhoz való hozzáférésre, amikor az ügyfélnek PPTP-kapcsolatot kell létesítenie egy ISP-vel az internet eléréséhez.

A PPTP-ben használt titkosítási módszert a PPP-réteg határozza meg. A PPP-kliens általában egy asztali számítógép operációs rendszer A Microsoft és a Microsoft Point-to-Point Encryption (MPPE) protokollt használják titkosítási protokollként. Ez a protokoll az RSA RC4 szabványon alapul, és támogatja a 40 vagy 128 bites titkosítást. Sok ilyen szintű titkosítási alkalmazás esetén elegendő ennek az algoritmusnak a használata, bár kevésbé biztonságosnak tekinthető, mint az IPSec által kínált számos más titkosítási algoritmus, különösen a 168 bites Triple-Data Encryption Standard (3DES).

Hogyan jön létre a kapcsolatPPTP?

A PPTP beágyazza az IP-csomagokat az IP-hálózaton keresztüli továbbításhoz. A PPTP-kliensek alagútvezérlő kapcsolatot hoznak létre, amely életben tartja a kapcsolatot. Ezt a folyamatot az OSI modell szállítási rétegében hajtják végre. Az alagút létrehozása után az ügyfélszámítógép és a kiszolgáló megkezdi a szolgáltatáscsomagok cseréjét.

A PPTP vezérlőkapcsolaton kívül egy kapcsolat jön létre az alagúton keresztüli adatok küldésére. Az adatok beágyazása az alagútba küldés előtt két lépésből áll. Először létrejön a PPP keret információs része. Az adatok fentről lefelé haladnak, az OSI-alkalmazási rétegtől a kapcsolati rétegig. A kapott adatokat ezután felküldik az OSI-modellbe, és felső rétegbeli protokollokba zárják be.

A kapcsolati rétegből származó adatok elérik a szállítási réteget. Az információ azonban nem küldhető el a rendeltetési helyére, mivel ezért az OSI kapcsolati rétege a felelős. Ezért a PPTP titkosítja a csomag hasznos terhelési mezőjét, és átveszi azokat a második szintű funkciókat, amelyekhez a PPP általában tartozik, azaz hozzáad egy PPP fejlécet (fejléc) és egy végződést (trailer) a PPTP csomaghoz. Ezzel befejeződik a hivatkozási réteg keretének létrehozása. Ezután a PPTP a PPP-keretet egy általános útválasztási beágyazási (GRE) csomagba foglalja, amely a hálózati réteghez tartozik. A GRE olyan hálózati rétegbeli protokollokat foglal magában, mint például az IP, IPX, hogy lehetővé tegye azok IP-hálózatokon történő átvitelét. A GRE protokoll használata önmagában azonban nem biztosítja a munkamenetek létrehozását és az adatbiztonságot. Ez a PPTP azon képességét használja fel, hogy alagútvezérlő kapcsolatot hozzon létre. A GRE beágyazási módszerként való használata csak az IP-hálózatokra korlátozza a PPTP hatókörét.

Miután a PPP-keret egy GRE-fejléccel rendelkező keretbe került, egy IP-fejléccel rendelkező keretbe kerül. Az IP-fejléc tartalmazza a csomag küldőjének és címzettjének címét. Végül a PPTP hozzáad egy PPP fejlécet és végződést.

A rizs. 6.7 megmutatja a PPTP alagúton keresztüli továbbítás adatszerkezetét:

Rizs. 6.7. Adatstruktúra PPTP alagúton keresztül történő továbbításhoz

A PPTP alapú VPN felállítása nem igényel nagy kiadásokat és bonyolult beállításokat: elegendő egy PPTP szervert telepíteni a központi irodába (a PPTP megoldások Windows és Linux platformra is léteznek), és kliens számítógépeken futtatni. szükséges beállításokat. Ha több ágat kell kombinálnia, akkor az összes kliensállomáson a PPTP beállítása helyett jobb internetes útválasztót vagy PPTP-támogatással rendelkező tűzfalat használni: a beállításokat csak az internethez csatlakoztatott határútválasztón (tűzfalon) kell elvégezni, minden teljesen átlátható a felhasználók számára. Ilyen eszközök például a DIR/DSR multifunkcionális internetes útválasztók és a DFL sorozatú tűzfalak.

GRE- alagutak

A Generic Routing Encapsulation (GRE) egy hálózati csomagbeágyazási protokoll, amely titkosítás nélkül biztosítja a forgalom alagútvezetését a hálózatokon keresztül. Példák a GRE használatára:

    forgalom továbbítása (beleértve a műsorszórást is) olyan berendezéseken keresztül, amelyek nem támogatnak egy adott protokollt;

    IPv6-forgalom alagútvezetése IPv4-hálózaton keresztül;

    adatátvitel nyilvános hálózatokon a biztonságos VPN-kapcsolat megvalósítása érdekében.

Rizs. 6.8. Példa a GRE alagútra

Két A és B router között ( rizs. 6.8) több útválasztó is létezik, a GRE alagút lehetővé teszi a 192.168.1.0/24 és a 192.168.3.0/24 helyi hálózatok közötti kapcsolatot úgy, mintha az A és B router közvetlenül csatlakozna.

L2 TP

Az L2TP protokoll a PPTP és az L2F protokollok egyesítésének eredményeként jelent meg. Az L2TP protokoll fő előnye, hogy nem csak IP hálózatokban, hanem ATM, X.25 és Frame relay hálózatokban is lehetővé teszi alagút létrehozását. Az L2TP UDP-t használ átvitelként, és ugyanazt az üzenetformátumot használja mind az alagútkezeléshez, mind az adattovábbításhoz.

A PPTP-hez hasonlóan az L2TP elkezdi összeállítani a csomagot az alagútba való továbbításhoz úgy, hogy először hozzáadja a PPP fejlécet, majd az L2TP fejlécet a PPP információs adatmezőhöz. Az így kapott csomagot az UDP kapszulázza. A választott IPSec biztonsági házirend típusától függően az L2TP titkosíthatja az UDP-üzeneteket, és hozzáadhat egy Encapsulating Security Payload (ESP) fejlécet és végződést, valamint egy IPSec-hitelesítési végződést (lásd: „L2TP over IPSec” szakasz). Ezután IP-be kapszulázzák. A rendszer hozzáad egy IP-fejlécet, amely tartalmazza a feladó és a címzett címét. Végül az L2TP egy második PPP-beágyazást hajt végre, hogy előkészítse az adatokat az átvitelre. A rizs. 6.9 az L2TP alagúton keresztül küldendő adatszerkezetet mutatja.

Rizs. 6.9. Adatstruktúra L2TP alagúton keresztül történő továbbításhoz

A fogadó számítógép fogadja az adatokat, feldolgozza a PPP-fejlécet és a végződést, és eltávolítja az IP-fejlécet. Az IPSec Authentication hitelesíti az IP információs mezőt, az IPSec ESP fejléc pedig segít a csomag visszafejtésében.

A számítógép ezután feldolgozza az UDP-fejlécet, és az L2TP-fejlécet használja az alagút azonosítására. A PPP-csomag most csak a feldolgozás alatt álló vagy a megadott címzettnek továbbított hasznos terhelést tartalmazza.

Az IPsec (az IP Security rövidítése) az IP Internet Protokollon keresztül továbbított adatok védelmére szolgáló protokollok készlete, amely lehetővé teszi az IP-csomagok hitelesítését és/vagy titkosítását. Az IPsec protokollokat is tartalmaz a biztonságos kulcscseréhez az interneten.

Az IPSec biztonságát további protokollok biztosítják, amelyek saját fejlécet adnak az IP-csomaghoz – tokozás. Mert Az IPSec egy internetes szabvány, akkor vannak RFC dokumentumok hozzá:

    Az RFC 2401 (Security Architecture for the Internet Protocol) az IP-protokoll biztonsági architektúrája.

    RFC 2402 (IP Authentication header) – IP hitelesítési fejléc.

    RFC 2404 (A HMAC-SHA-1-96 használata az ESP-n és AH-n belül) – Az SHA-1 hash algoritmus használata hitelesítési fejléc létrehozására.

    RFC 2405 (Az ESP DES-CBC titkosítási algoritmus Explicit IV-el) – A DES titkosítási algoritmus használata.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – Adattitkosítás.

    Az RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) a kulcskezelési protokoll hatóköre.

    RFC 2408( internet biztonság Egyesület és Kulcs Management Protocol (ISAKMP)) - a biztonságos kapcsolatok kulcsainak és hitelesítőinek kezelése.

    RFC 2409 (Internet Key Exchange (IKE)) – Kulcscsere.

    RFC 2410 (A NULL titkosítási algoritmus és használata az IPsec-cel) – A NULL titkosítási algoritmus és annak használata.

    Az RFC 2411 (IP Security Document Roadmap) a szabvány továbbfejlesztése.

    RFC 2412 (The OAKLEY Key Determination Protocol) – Kulcs hitelességének ellenőrzése.

Az IPsec az IPv6 Internet Protokoll szerves része, és az Internet Protokoll IPv4 verziójának opcionális kiterjesztése.

Az IPSec mechanizmus a következő feladatokat hajtja végre:

    felhasználók vagy számítógépek hitelesítése a biztonságos csatorna inicializálása során;

    biztonságos csatorna végpontjai között továbbított adatok titkosítása és hitelesítése;

    csatornavégpontok automatikus ellátása a hitelesítési és adattitkosítási protokollok működéséhez szükséges titkos kulcsokkal.

IPSec komponensek

Az AH (Authentication Header) protokoll egy fejléc azonosítási protokoll. Az integritást azáltal biztosítja, hogy ellenőrzi, hogy a csomag védett részének bitjei nem változtak-e az átvitel során. Az AH használata azonban problémákat okozhat, például amikor egy csomag áthalad egy NAT-eszközön. A NAT megváltoztatja a csomag IP-címét, hogy lehetővé tegye az internet-hozzáférést egy privát helyi címről. Mert ilyenkor megváltozik a csomag, majd az AH ellenőrző összeg hibássá válik (e probléma kiküszöbölésére fejlesztették ki a NAT-Traversal (NAT-T) protokollt, amely UDP-n keresztül biztosítja az ESP átvitelt és a 4500-as UDP portot használja a munkájában). Azt is érdemes megjegyezni, hogy az AH-t csak az integritásra tervezték. Nem garantálja a titoktartást a csomag tartalmának titkosításával.

Az ESP (Encapsulation Security Payload) protokoll nemcsak a továbbított adatok integritását és hitelesítését biztosítja, hanem az adatok titkosítását, valamint a csomaghamisítás elleni védelmet is.

Az ESP protokoll egy beágyazó biztonsági protokoll, amely integritást és bizalmasságot egyaránt biztosít. Szállítási módban az ESP-fejléc az eredeti IP-fejléc és a TCP- vagy UDP-fejléc között található. Alagút módban az ESP fejléc az új IP-fejléc és a teljesen titkosított eredeti IP-csomag közé kerül.

Mert mindkét protokoll - AH és ESP - saját IP fejlécet ad hozzá, mindegyiknek saját protokollszáma (ID) van, amivel meghatározhatja, hogy mi kövesse az IP fejlécet. Az IANA (Internet Assigned Numbers Authority – az internet címteréért felelős szervezet) szerint minden protokollnak saját száma (ID) van. Például a TCP-nél ez a szám 6, az UDP-nél pedig 17. Ezért nagyon fontos a tűzfalon keresztüli munka során a szűrőket úgy beállítani, hogy az AH és/vagy ESP protokollazonosítójú csomagok áthaladhassanak. .

Az 51-es protokollazonosító úgy van beállítva, hogy jelezze, hogy az AH jelen van az IP-fejlécben, az 50-es pedig az ESP esetében.

FIGYELEM: A protokollazonosító nem egyezik meg a portszámmal.

Az IKE (Internet Key Exchange) protokoll egy szabványos IPsec-protokoll, amelyet a virtuális magánhálózatok kommunikációjának biztosítására használnak. Az IKE célja az azonosított anyagok biztonságos egyeztetése és eljuttatása egy biztonsági egyesülethez (SA).

Az SA a kapcsolat IPSec kifejezése. A létrehozott SA (biztonságos csatorna, amelyet "biztonságos társításnak" vagy "biztonsági társításnak" neveznek - Security Association, SA) tartalmaz egy megosztott titkos kulcsot és egy kriptográfiai algoritmuskészletet.

Az IKE protokoll három fő feladatot lát el:

    hitelesítési eszközt biztosít két VPN-végpont között;

    új IPSec kapcsolatokat hoz létre (létrehoz egy SA-párt);

    kezeli a meglévő kapcsolatokat.

Az IKE az 500-as UDP-portot használja. A NAT-bejárási szolgáltatás használatakor, amint azt korábban említettük, az IKE-protokoll a 4500-as UDP-portot használja.

Az adatcsere az IKE-ben 2 fázisban történik. Az első ütemben megalakul az SA IKE egyesület. Ezzel egyidejűleg a csatorna végpontjait hitelesítik, és kiválasztják az adatvédelmi paramétereket, mint például a titkosítási algoritmus, a munkamenet kulcsa stb.

A második fázisban az SA IKE-t használják protokollegyeztetésre (általában IPSec).

Egy konfigurált VPN-alagút esetén minden használt protokollhoz egy SA-pár jön létre. Az SA-k párban jönnek létre, as minden SA egyirányú kapcsolat, és az adatokat két irányba kell küldeni. A kapott SA párokat minden csomópont tárolja.

Mivel minden csomópont képes több alagutat létrehozni más csomópontokkal, minden SA rendelkezik egyedi szám A, amely lehetővé teszi annak meghatározását, hogy melyik csomóponthoz tartozik. Ezt a számot SPI-nek (Security Parameter Index) vagy Security Parameter Indexnek nevezik.

SA adatbázisban (DB) tárolva SZOMORÚ(Security Association Database).

Minden IPSec csomópontnak van egy második DB − is SPD(Security Policy Database) – Biztonsági szabályzat adatbázis. Ez tartalmazza a konfigurált gazdagép házirendet. A legtöbb VPN-megoldás lehetővé teszi több házirend létrehozását megfelelő algoritmusok kombinációjával minden egyes gazdagéphez, amelyhez csatlakozni kíván.

Az IPSec rugalmassága abban rejlik, hogy minden feladathoz többféle megoldási mód létezik, és az egy-egy feladathoz választott módszerek általában függetlenek a többi feladat megvalósításának módszereitől. Az IETF munkacsoport azonban meghatározta a támogatott szolgáltatások és algoritmusok alapvető készletét, amelyeket minden IPSec-kompatibilis termékben azonos módon kell megvalósítani. Az AH és ESP mechanizmusok különféle hitelesítési és titkosítási sémákkal használhatók, amelyek közül néhány kötelező. Például az IPSec meghatározza, hogy a csomagok hitelesítése az MD5 egyirányú funkciójával vagy az SHA-1 egyirányú funkciójával történik, a titkosítás pedig a DES algoritmussal történik. Az IPSec-et futtató termékek gyártói további hitelesítési és titkosítási algoritmusokat is hozzáadhatnak. Egyes termékek például támogatnak olyan titkosítási algoritmusokat, mint a 3DES, Blowfish, Cast, RC5 stb.

Bármilyen szimmetrikus titkosítási algoritmus, amely titkos kulcsokat használ, használható az adatok titkosításához az IPSec-ben.

Az adatfolyam-védelmi protokollok (AH és ESP) két módban működhetnek - be közlekedési módés be alagút mód. Ha szállítási módban működik, az IPsec csak a szállítási réteg információit kezeli; csak a TCP / UDP protokollokat tartalmazó csomag adatmezője titkosított (az IP csomag fejléce nem változik (nincs titkosítva)). A szállítási módot általában a gazdagépek közötti kapcsolat létrehozására használják.

Az alagút mód a teljes IP-csomagot titkosítja, beleértve a hálózati réteg fejlécét is. Ahhoz, hogy a hálózaton keresztül továbbítható legyen, egy másik IP-csomagba kerül. Lényegében ez egy biztonságos IP-alagút. Az alagút mód használható távoli számítógépek virtuális magánhálózathoz történő csatlakoztatására ("host-network" csatlakozási séma), vagy biztonságos adatátvitel megszervezésére nyílt kommunikációs csatornákon (például az interneten) keresztül az átjárók között a virtuális magánhálózat különböző részeinek kombinálására. hálózat ("hálózati csatlakozási séma"). -net").

Az IPsec módok nem zárják ki egymást. Ugyanazon a gazdagépen egyes SA-k szállítási módot, míg mások alagút módot használhatnak.

A hitelesítési szakaszban a csomag ICV ellenőrző összege (Integrity Check Value) kiszámításra kerül. Feltételezzük, hogy mindkét csomópont tudja A titkos kulcs, amely lehetővé teszi a címzett számára az ICV kiszámítását és összehasonlítását a küldő által küldött eredménnyel. Ha az ICV-összehasonlítás sikeres, a csomag feladója hitelesítettnek minősül.

módban szállításAH

    a teljes IP-csomagot, kivéve az IP fejléc egyes mezőit, amelyek továbbítás közben módosíthatók. Ezek a mezők, amelyeknek az ICV számítási értéke 0, a szolgáltatás részét képezhetik (Szolgáltatás típusa, TOS), zászlók, töredékeltolás, élettartam (TTL), valamint ellenőrző összeg fejléc;

    minden mező az AH-ban;

    IP-csomagok hasznos terhelése.

Az AH szállítási módban védi az IP-fejlécet (kivéve a változtatható mezőket) és az eredeti IP-csomag hasznos terhelését (3.39. ábra).

Alagút módban az eredeti csomag egy új IP-csomagba kerül, és az adatátvitel az új IP-csomag fejléce alapján történik.

Mert alagút módAH a számítás során a következő összetevőket tartalmazza az ICV ellenőrző összeg:

    minden mező külső fejléc IP, az IP fejléc egyes mezőinek kivételével, amelyek az átvitel során módosíthatók. Ezek a mezők, amelyeknek az ICV számítási értéke 0, a szolgáltatás részét képezhetik (Szolgáltatás típusa, TOS), zászlók, töredékeltolás, élettartam (TTL), valamint ellenőrző összeg fejléc;

    minden mező AH;

    eredeti IP-csomag.

Amint az a következő ábrán látható, az AH alagút mód a teljes forrás IP-csomagot egy további külső fejléccel védi, amelyet az AH szállítási mód nem használ:

Rizs. 6.10. Az AN protokoll alagút és szállítási módjai

módban szállításESP nem hitelesíti a teljes csomagot, csak az IP hasznos adatot védi. Az ESP átviteli módban lévő ESP fejléc közvetlenül az IP-fejléc után kerül az IP-csomagba, és ennek megfelelően az adatok után az ESP-végződés (ESP Trailer).

Az ESP szállítási mód a csomag következő részeit titkosítja:

    IP hasznos teher;

A Cipher Block Chaining (CBC) titkosítási módot használó titkosítási algoritmusnak van egy titkosítatlan mezője az ESP fejléc és a hasznos adat között. Ezt a mezőt IV-nek (Initialization Vector) nevezik a CBC számításhoz, amelyet a vevőn hajtanak végre. Mivel ez a mező a visszafejtési folyamat elindítására szolgál, nem titkosítható. Annak ellenére, hogy a támadó meg tudja tekinteni az IV-et, a titkosítási kulcs nélkül nem tudja visszafejteni a csomag titkosított részét. Annak megakadályozása érdekében, hogy a támadók megváltoztassák az inicializálási vektort, azt az ICV ellenőrző összege védi. Ebben az esetben az ICV a következő számításokat végzi el:

    az ESP fejléc összes mezője;

    hasznos teher, beleértve az egyszerű szöveget IV;

    az ESP Trailer összes mezője, kivéve a hitelesítési adatmezőt.

Az ESP alagút mód a teljes eredeti IP-csomagot egy új IP-fejlécbe, egy ESP-fejlécbe és egy ESP-előzetesbe foglalja. Annak jelzésére, hogy az ESP jelen van az IP-fejlécben, az IP-protokoll-azonosító 50-re van állítva, az eredeti IP-fejléc és a hasznos adat változatlan marad. Az AH alagút módhoz hasonlóan a külső IP-fejléc az IPSec alagútkonfiguráción alapul. Az ESP alagút mód használata esetén az IP-csomag hitelesítési területe mutatja, hogy hol készült az aláírás, amely igazolja annak integritását és hitelességét, a titkosított rész pedig azt, hogy az információ védett és bizalmas. Az eredeti fejléc az ESP fejléc mögé kerül. Miután a titkosított rész egy új, nem titkosított alagútfejlécbe került, az IP-csomag továbbításra kerül. Nyilvános hálózaton keresztül küldve az ilyen csomagot a fogadó hálózat átjárójának IP-címére irányítják, és az átjáró visszafejti a csomag titkosítását, és az eredeti IP-fejléc használatával elveti az ESP-fejlécet, majd a csomagot egy számítógépre irányítja. a belső hálózat. Az ESP alagút mód a csomag következő részeit titkosítja:

    eredeti IP-csomag;

  • Az ESP alagút üzemmódban az ICV kiszámítása a következőképpen történik:

    az ESP fejléc összes mezője;

    az eredeti IP-csomag, beleértve a IV. egyszerű szöveget;

    minden ESP fejléc mező, kivéve a hitelesítési adatmezőt.

Rizs. 6.11. Az ESP protokoll alagút- és szállítási módja

Rizs. 6.12. Az ESP és az AH protokollok összehasonlítása

Az alkalmazási módok összefoglalásaIPSec:

    Protokoll - ESP (AH).

    Mód - alagút (közlekedés).

    Kulcscsere módja - IKE (kézi).

    IKE mód - fő (agresszív).

    DH kulcs – 5. csoport (2. csoport, 1. csoport) – csoportszám a dinamikusan létrehozott munkamenetkulcsok kiválasztásához, csoport hossza.

    Hitelesítés - SHA1 (SHA, MD5).

    Titkosítás - DES (3DES, Blowfish, AES).

A házirend létrehozásakor általában lehetőség van algoritmusok és Diffie-Hellman csoportok rendezett listájának létrehozására. A Diffie-Hellman (DH) egy titkosítási protokoll, amelyet az IKE, IPSec és PFS (Perfect Forward Secrecy) megosztott titkos kulcsainak létrehozására használnak. Ebben az esetben a rendszer az első pozíciót használja, amelyik mindkét csomóponton megegyezik. Nagyon fontos, hogy a biztonsági politikában minden lehetővé tegye ennek a véletlennek az elérését. Ha a házirend egy részének kivételével minden más egyezik, a gazdagépek továbbra sem tudnak VPN-kapcsolatot létesíteni. közötti VPN-alagút felállításakor különféle rendszerek meg kell találnia, hogy az egyes oldalak milyen algoritmusokat támogatnak, hogy a lehető legbiztonságosabb házirendet tudja kiválasztani.

A biztonsági házirend főbb beállításai:

    Szimmetrikus algoritmusok az adatok titkosításához/visszafejtéséhez.

    Kriptográfiai ellenőrző összegek az adatok integritásának ellenőrzésére.

    Csomópont azonosítási módszer. A leggyakoribb módszerek az előre megosztott titkok vagy CA-tanúsítványok.

    Akár alagút, akár szállítási módot használunk.

    Melyik Diffie-Hellman csoportot kell használni (1. DH csoport (768 bit); 2. DH csoport (1024 bit; 5. DH csoport (1536 bit)).

    Akár AH-t, ESP-t, akár mindkettőt használja.

    Használja-e a PFS-t.

Az IPSec korlátja, hogy csak az IP protokoll rétegen támogatja az adatátvitelt.

Az IPSec használatára két fő séma létezik, amelyek a biztonságos csatornát alkotó csomópontok szerepében különböznek egymástól.

Az első sémában egy biztonságos csatorna jön létre a hálózat végállomásai között. Ebben a sémában az IPSec protokoll védi a futó gazdagépet:

Rizs. 6.13. Hozzon létre egy biztonságos csatornát két végpont között

A második sémában egy biztonságos csatorna jön létre két biztonsági átjáró között. Ezek az átjárók adatokat fogadnak az átjárók mögötti hálózatokhoz csatlakozó végállomásoktól. A végállomások ebben az esetben nem támogatják az IPSec protokollt, a nyilvános hálózatra irányított forgalom a biztonsági átjárón halad át, amely a saját nevében végez védelmet.

Rizs. 6.14. Biztonságos csatorna létrehozása két átjáró között

Az IPSec-et támogató gazdagépeknél a szállítási mód és az alagút mód is használható. Átjárók esetében csak alagút mód engedélyezett.

Telepítés és támogatásVPN

Mint fentebb említettük, a VPN-alagút telepítése és karbantartása kétlépéses folyamat. Az első szakaszban (fázisban) a két csomópont megállapodik egy azonosítási módszerben, egy titkosítási algoritmusban, egy hash algoritmusban és egy Diffie-Hellman csoportban. Egymást is azonosítják. Mindez három titkosítatlan üzenet cseréje (az ún. agresszív mód, Agresszív mód) vagy hat üzenet, titkosított azonosító információ cseréjével (standard mód, mód).

A Fő módban lehetőség van a küldő és a fogadó eszközök összes konfigurációs paraméterének egyeztetésére, míg az Agresszív módban ez nem lehetséges, és bizonyos paramétereket (Diffie-Hellman csoport, titkosítási és hitelesítési algoritmusok, PFS) előre meg kell határozni. - minden eszközön azonos módon konfigurálva. Ebben a módban azonban mind a cserék, mind a küldött csomagok száma kevesebb, így kevesebb időre van szükség az IPSec-munkamenet létrehozásához.

Rizs. 6.15.Üzenetküldés normál (a) és agresszív (b) módban

Feltételezve, hogy a művelet sikeresen befejeződött, létrejön egy első fázisú SA - Fázis 1 SA(más néven IKESA) és a folyamat a második fázisba lép.

A második lépésben a kulcsadatok generálódnak, a csomópontok megegyeznek a használandó szabályzatban. Ez a gyors módnak is nevezett mód abban különbözik az 1. fázistól, hogy csak az 1. fázis után hozható létre, amikor az összes 2. fázisú csomag titkosítva van. A második fázis helyes befejezése a megjelenéshez vezet Fázis 2 SA vagy IPSecSAés ezen az alagút beépítése befejezettnek tekintendő.

Először egy csomag érkezik a csomóponthoz egy másik hálózat célcímével, és a csomópont kezdeményezi az első fázist a másik hálózatért felelős csomóponttal. Tegyük fel, hogy a csomópontok közötti alagút sikeresen létrejött, és csomagokra vár. A csomópontoknak azonban újra kell azonosítaniuk egymást, és egy bizonyos idő elteltével össze kell hasonlítaniuk a házirendeket. Ezt az időszakot Phase One élettartamnak vagy IKE SA élettartamnak nevezik.

A csomópontoknak meg kell változtatniuk a kulcsot az adatok titkosításához a második fázisnak vagy IPSec SA élettartamának nevezett időtartam után.

A második fázis élettartama rövidebb, mint az első fázisé, mert a kulcsot gyakrabban kell cserélni. Mindkét csomóponthoz ugyanazokat az élettartam-paramétereket kell beállítani. Ha ezt nem teszi meg, akkor lehetséges, hogy kezdetben az alagút sikeresen létrejön, de az első inkonzisztens életszakasz után a kapcsolat megszakad. Problémák adódhatnak akkor is, ha az első fázis élettartama rövidebb, mint a második fázisé. Ha a korábban konfigurált alagút leáll, akkor az első dolog, amit ellenőrizni kell, mindkét csomópont élettartama.

Azt is meg kell jegyezni, hogy ha az egyik csomóponton módosítja a házirendet, a változtatások csak az első fázis következő kezdetén lépnek érvénybe. A módosítások azonnali érvénybe lépéséhez el kell távolítania az alagút SA-t az SAD-adatbázisból. Ez kikényszeríti a csomópontok közötti megállapodás felülvizsgálatát az új biztonsági házirend-beállításokkal.

Néha, amikor IPSec alagutat hoz létre a berendezések között különböző gyártók nehézségek merülnek fel a paraméterek koordinálásával az első fázis kialakításakor. Figyelni kell egy olyan paraméterre, mint a Helyi azonosító - ez az alagút végpontjának (feladó és címzett) egyedi azonosítója. Ez különösen fontos több alagút létrehozásakor és a NAT Traversal protokoll használatakor.

Halottegyenrangúérzékelés

VPN működés közben, ha nincs forgalom az alagút végpontjai között, vagy ha a távoli csomópont kezdeti adatai megváltoznak (például megváltozik a dinamikusan hozzárendelt IP-cím), akkor olyan helyzet állhat elő, amikor az alagút lényegében már nem , mintegy szellemalagúttá válik. A létrehozott IPSec alagútban az adatcsere folyamatos készenlétének fenntartása érdekében az IKE mechanizmus (az RFC 3706-ban leírt) lehetővé teszi az alagút távoli csomópontjából érkező forgalom szabályozását, és ha az egy meghatározott ideig nincs jelen, üdvözlő üzenetet küld (tűzfalakban a D-Link "DPD-R-U-THERE" üzenetet küld). Ha egy bizonyos időn belül nem érkezik válasz erre az üzenetre, a D-Link tűzfalakban a "DPD Expire Time" beállításaiban az alagút lebontásra kerül. Ezt követően a D-Link tűzfalak a "DPD Keep Time" beállításokkal ( rizs. 6.18) automatikusan megpróbálja helyreállítani az alagutat.

JegyzőkönyvNATBejárás

Az IPsec-forgalom ugyanazon szabályok szerint irányítható, mint a többi IP-protokoll, de mivel az útválasztó nem mindig tudja kinyerni a szállítási réteg protokolljaira jellemző információkat, lehetetlen, hogy az IPsec áthaladjon a NAT-átjárókon. Amint azt korábban említettük, a probléma megoldására az IETF meghatározta az ESP UDP-be ágyazásának módját, az úgynevezett NAT-T-t (NAT Traversal).

A NAT Traversal protokoll magába foglalja az IPSec forgalmat, és ezzel egyidejűleg UDP-csomagokat hoz létre, amelyeket a NAT megfelelően továbbít. Ehhez a NAT-T egy további UDP-fejlécet helyez el az IPSec-csomag elé, így azt normál UDP-csomagként kezeli az egész hálózaton, és a fogadó gazdagép nem végez integritás-ellenőrzést. Miután a csomag megérkezett a rendeltetési helyére, az UDP-fejléc eltávolításra kerül, és az adatcsomag tokozott IPSec-csomagként folytatja útját. Így a NAT-T mechanizmus használatával lehetőség nyílik a biztonságos hálózatokban lévő IPSec-kliensek és a tűzfalakon keresztüli nyilvános IPSec-gazdagépek közötti kommunikáció kialakítására.

Két szempontot kell figyelembe venni a D-Link tűzfalak konfigurálásakor a fogadó eszközön:

    a Távoli hálózat és a Távoli végpont mezőben adja meg a távoli küldő eszköz hálózatát és IP-címét. Engedélyezni kell a kezdeményező (küldő) IP-címének lefordítását NAT technológia segítségével (3.48. ábra).

    ha megosztott kulcsokat használ több alagúttal ugyanahhoz a távirányítóhoz tűzfal amelyek ugyanarra a címre NAT-lel vannak ellátva, fontos annak biztosítása, hogy a helyi azonosító minden alagútnál egyedi legyen.

Helyi ID a következők egyike lehet:

    Auto– helyi azonosítóként a kimenő forgalmi interfész IP-címét használjuk.

    IP– A távirányító WAN portjának IP-címe tűzfal

    DNS– DNS cím

    Titkosított fájlok biztonsági mentése

    Bármely fájltitkosítási mechanizmus fontos tervezési szempontja, hogy az alkalmazások csak a titkosítási mechanizmusokon keresztül férhetnek hozzá a visszafejtett adatokhoz. Ez a korlátozás különösen fontos a közművek számára Tartalékmásolat, amellyel a fájlok az archív adathordozón tárolódnak. Az EFS megoldja ezt a problémát azáltal, hogy mechanizmust biztosít a biztonsági mentési segédprogramok létrehozásához biztonsági mentések fájlokat, és visszaállíthatja azokat titkosított formában. Így a biztonsági mentési segédprogramoknak nem kell titkosítaniuk vagy visszafejteni a fájladatokat a biztonsági mentési folyamat során.

    Az EFS akkor használatos, ha a nyugalmi állapotban lévő fájlok tartalmát titkosítani kell. Más mechanizmusokat használnak a fájlok és egyéb adatok hálózaton keresztüli biztonságos átvitelének biztosítására. Az egyik ¾ virtuális magánhálózat.

    VPN (angol) Virtuális Privát Hálózat – virtuális magánhálózat) – egy másik hálózat, például az internet tetején létrehozott logikai hálózat. Annak ellenére, hogy a kommunikáció nyilvános hálózatokon, nem biztonságos protokollok használatával történik, a titkosítás kívülállók elől elzárt információcsere-csatornákat hoz létre. A VPN lehetővé teszi, hogy például egy szervezet több irodáját egyetlen hálózatba vonja össze, ellenőrizetlen csatornák segítségével a köztük lévő kommunikációhoz.

    NÁL NÉL Microsoft Windows a „VPN” kifejezés az egyik megvalósításra utal virtuális hálózat- PPTP, és gyakran nem magánhálózatok létrehozására használják. Leggyakrabban egy virtuális hálózat létrehozásához a PPP protokollt valamilyen más protokollba - IP vagy Ethernet (PPPoE) - használják. A VPN technológiát a közelmúltban nemcsak maguknak a magánhálózatoknak a létrehozására használták, hanem egyes "utolsó mérföld" szolgáltatók is az internet-hozzáférés biztosítására.

    A VPN két részből áll: egy "belső" (vezérelt) hálózatból, amelyből több is lehet, és egy "külső" hálózatból, amelyen a beágyazott kapcsolat áthalad (általában az internetet használják). Virtuális hálózathoz is lehet csatlakozni külön számítógép. Egy távoli felhasználó egy hozzáférési szerveren keresztül csatlakozik a VPN-hez, amely mind a belső, mind a külső (nyilvános) hálózathoz csatlakozik. Távoli felhasználó csatlakoztatásakor (vagy egy másik biztonságos hálózathoz való csatlakozáskor) a hozzáférési kiszolgálónak meg kell haladnia az azonosítási folyamatot, majd a hitelesítési folyamatot. Mindkét folyamat sikeres befejezése után a távoli felhasználó ( távoli hálózat) jogosult a hálózaton való munkavégzésre, vagyis megtörténik az engedélyezési folyamat.



    VPN besorolás

    A VPN-megoldások több fő paraméter szerint osztályozhatók:

    1. A használt hordozó típusa szerint

    Védett

    A virtuális magánhálózatok leggyakoribb verziója. Segítségével megbízható és biztonságos alhálózatot lehet létrehozni egy megbízhatatlan hálózaton, általában az interneten. Példák a biztonságos VPN-ekre: IPSec, OpenVPN és PPTP.

    Megbízható

    Olyan esetekben használják őket, amikor az átviteli közeg megbízhatónak tekinthető, és csak egy nagyobb hálózaton belüli virtuális alhálózat létrehozásának problémáját kell megoldani. A biztonsági kérdések lényegtelenné válnak. Példák az ilyen VPN-megoldásokra: Multi-protocol label switching (MPLS) és L2TP (Layer 2 Tunneling Protocol). (Helyesebb azt mondani, hogy ezek a protokollok másokra hárítják a biztonságot, például az L2TP-t általában az IPSec-cel együtt használják).

    2. Megvalósítás útján

    Speciális szoftver és hardver formájában

    A VPN-hálózat megvalósítása speciális szoftver- és hardverkészlettel történik. Ez a megvalósítás nagy teljesítményt biztosít, és általában magas fok Biztonság.

    · Mint szoftveres megoldás

    használat Személyi számítógép VPN funkciót biztosító speciális szoftverrel.

    · Integrált megoldás

    A VPN funkcionalitást egy olyan komplexum biztosítja, amely a hálózati forgalom szűrésének, a tűzfal megszervezésének és a szolgáltatás minőségének biztosításának problémáit is megoldja.

    3. Megbeszélés szerint

    Egyetlen szervezet több elosztott fiókjának egyetlen biztonságos hálózatba való egyesítésére szolgál, amelyek adatcserét folytatnak csatornák megnyitása kapcsolatokat.

    Távoli hozzáférés VPN

    Biztonságos csatorna létrehozására szolgál egy vállalati hálózati szegmens (központi iroda vagy fiókiroda) és egyetlen felhasználó között, aki otthoni munkavégzése közben csatlakozik a vállalati erőforrásokhoz. otthoni számítógép vagy üzleti út során laptop segítségével csatlakozik a vállalati erőforrásokhoz.

    Olyan hálózatokhoz használják, amelyekhez "külső" felhasználók csatlakoznak. A velük szembeni bizalom szintje jóval alacsonyabb, mint a cég alkalmazottaiban, ezért olyan speciális védelmi „határokat” kell biztosítani, amelyek korlátozzák ez utóbbiak hozzáférését a különösen értékes, bizalmas információkhoz.

    4. A protokoll típusa szerint

    Vannak virtuális magánhálózatok megvalósítása TCP/IP, IPX és AppleTalk alatt. De manapság van egy tendencia a TCP / IP protokollra való általános átállás felé, és a VPN-megoldások túlnyomó többsége támogatja ezt.

    5. Hálózati protokollszint szerint

    Hálózati protokollréteg szerint, az ISO/OSI hálózati referenciamodell rétegeihez való leképezés alapján.

    tesztkérdések

    1. Mi történik, amikor először titkosít egy EFS-fájlt?

    2. Hogyan oldja meg az EFS a titkosított fájlok biztonsági mentésének problémáját?

    3. Milyen titkosítási algoritmusokat használnak az EFS-ben?

    4. Mire használható a VPN?

    5. Hogyan osztályozzák a VPN-eket cél szerint?


    8. előadás

    INTEGRITÁS ELLENŐRZÉSI MECHANIZMUSOK
    WINDOWS FAMILY OS-BEN

    Az integritás-ellenőrző mechanizmusok megjelentek legújabb verzió MS Windows ¾ Vista.

    A magán virtuális hálózatok fogalma, rövidítve VPN (angolul ben jelent meg számítógépes technológia nemrég. Az ilyen típusú kapcsolat létrehozása lehetővé tette a számítógépes terminálok és a mobil eszközök virtuális hálózatokba való kombinálását a szokásos vezetékek nélkül, függetlenül az adott terminál helyétől. Most nézzük meg, hogyan működik a VPN-kapcsolat, és egyúttal adjunk néhány ajánlást az ilyen hálózatok és a kapcsolódó kliensprogramok beállításához.

    Mi az a VPN?

    Amint már megértettük, a VPN egy virtuális magánhálózat, amelyhez több eszköz csatlakozik. Nem szabad hízelegnie magának - általában nem működik két vagy három tucat egyidejűleg működő számítógépes terminál csatlakoztatása (mivel ez megtehető a "helyi nyelven"). Ennek megvannak a korlátai a hálózat felállításában, vagy akár csak a hálózatban sávszélesség IP-címek kiosztásáért felelős router és

    A csatlakozási technológiába eredetileg beépített ötlet azonban nem új. Sokáig próbálták alátámasztani. És sok modern felhasználó számítógépes hálózatok nem is veszik észre, hogy egész életükben tudtak erről, de egyszerűen nem próbáltak rátérni a dolog lényegére.

    Hogyan működik a VPN-kapcsolat: alapelvek és technológiák

    A jobb megértés érdekében adjuk a legegyszerűbb példát, amelyet minden modern ember ismer. Vegyük legalább a rádiót. Hiszen valójában ez egy adó eszköz (fordító), egy közvetítő egység (relé), amely a jel továbbításáért és elosztásáért felelős, és egy vevő eszköz (vevő).

    A másik dolog az, hogy a jelet abszolút minden fogyasztóhoz sugározzák, és a virtuális hálózat szelektíven működik, és csak bizonyos eszközöket egyesít egy hálózatba. Vegye figyelembe, hogy sem az első, sem a második esetben nincs szükség vezetékekre az egymással adatcserét végző adó- és vevőkészülékek csatlakoztatásához.

    De még itt is vannak finomságok. A helyzet az, hogy kezdetben a rádiójel védelem nélküli volt, azaz bármely rádióamatőr képes fogadni működő készülékkel a megfelelő frekvencián. Hogyan működik a VPN? Igen, pontosan ugyanaz. Csak ebben az esetben az átjátszó szerepét az útválasztó (router vagy ADSL modem), a vevő szerepét pedig egy helyhez kötött számítógépes terminál, laptop vagy mobil eszköz, melynek felszerelésében egy speciális modul található vezetéknélküli kapcsolat(wi-fi).

    Mindezzel a forrásból érkező adatok kezdetben titkosításra kerülnek, és csak ezután, egy speciális dekóder segítségével játsszák le konkrét eszköz. A VPN-en keresztüli kommunikáció ezen elvét alagútnak nevezik. Ez az elv pedig leginkább összhangban van vele mobil kapcsolat amikor az átirányítás egy adott előfizetőhöz érkezik.

    Helyi virtuális hálózatok alagútkezelése

    Nézzük meg, hogyan működik a VPN alagút módban. Lényegében egy bizonyos egyenes létrehozását jelenti, mondjuk az "A" ponttól a "B" pontig, amikor egy központi forrásból (szerverkapcsolattal rendelkező routerből) való adatátvitelkor minden hálózati eszközök automatikusan végrehajtva egy előre meghatározott konfiguráció szerint.

    Más szóval, egy alagút jön létre a kódolással az adatok küldésekor és a dekódolással a fogadáskor. Kiderült, hogy egyetlen más felhasználó sem fogja tudni visszafejteni az ilyen típusú adatokat az átvitel során.

    A megvalósítás eszközei

    Az egyik leghatékonyabb eszköz az ilyen típusú kapcsolatokhoz és egyben biztonsághoz a Cisco rendszerek. Igaz, néhány tapasztalatlan adminisztrátornak van kérdése, hogy a VPN-Cisco berendezések miért nem működnek.

    Ennek oka elsősorban a helytelen konfiguráció és az olyan útválasztókhoz telepített illesztőprogramok, mint a D-Link vagy a ZyXEL, amelyekhez finomhangolás csak azért, mert beépített tűzfaluk van.

    Ezenkívül figyelni kell a kapcsolási rajzokra. Ezek közül kettő lehet: útvonal-útvonal vagy távoli hozzáférés. Az első esetben több elosztó eszköz társításáról van szó, a másodiknál ​​pedig a kapcsolat vagy adatátvitel távoli eléréssel történő kezeléséről.

    Hozzáférési protokollok

    A protokollokat tekintve manapság leginkább a PCP/IP szintű konfigurációs eszközöket használják, bár a VPN-ek belső protokolljai eltérőek lehetnek.

    A VPN leállt? Meg kell néznie néhány rejtett lehetőséget. Így például a TCP technológián alapuló kiegészítő protokollok a PPP és a PPTP továbbra is a TCP / IP protokoll veremekhez tartoznak, de egy kapcsolathoz, mondjuk PPTP használata esetén, két IP-címet kell használni a szükséges egy helyett. . Az alagútkészítés azonban minden esetben magában foglalja a belső protokollokban, például az IPX-ben vagy a NetBEUI-ban található adatok átvitelét, és mindegyik speciális PPP-alapú fejléccel van ellátva, hogy zökkenőmentesen továbbítsák az adatokat a megfelelő hálózati meghajtóhoz.

    Hardver eszközök

    Most nézzünk meg egy olyan helyzetet, ahol felmerül a kérdés, hogy miért nem működik a VPN. Érthető, hogy a probléma a nem megfelelő hardverkonfigurációhoz köthető. De lehet más helyzet is.

    Érdemes figyelni magukra az útválasztókra, amelyek a kapcsolatot vezérlik. Mint fentebb említettük, csak olyan eszközöket használjon, amelyek alkalmasak a csatlakozási paraméterekre.

    Például az olyan útválasztók, mint a DI-808HV vagy DI-804HV, akár negyven eszközt is csatlakoztathatnak egyszerre. Ami a ZyXEL berendezést illeti, sok esetben akár a beépített ZyNOS hálózati operációs rendszeren keresztül is működhet, de csak a ZyXEL módban. parancs sor Telnet protokollon keresztül. Ez a megközelítés lehetővé teszi, hogy bármilyen eszközt konfiguráljon adatátvitellel három hálózatra egy közös Ethernet-környezetben IP-forgalommal, valamint az egyedi Any-IP technológia használatát, amelyet arra terveztek, hogy a továbbított forgalommal rendelkező útválasztók szabványos táblázatát használja átjáróként olyan rendszerek számára, amelyek eredetileg úgy lettek beállítva, hogy más alhálózatokon működjenek.

    Mi a teendő, ha a VPN nem működik (Windows 10 és régebbi)?

    A legelső és legfontosabb feltétel a kimeneti és beviteli kulcsok (Pre-shared Keys) megfeleltetése. Az alagút mindkét végén azonosnak kell lenniük. Érdemes odafigyelni az algoritmusokra is kriptográfiai titkosítás(IKE vagy Manual) hitelesítési funkcióval vagy anélkül.

    Például ugyanaz az AH protokoll (az angol változatban - Authentication Header) csak engedélyezést tud biztosítani titkosítás használatának lehetősége nélkül.

    VPN kliensek és konfigurációjuk

    Ami a VPN-klienseket illeti, ez sem olyan egyszerű. A legtöbb ilyen technológiákon alapuló program szabványos konfigurációs módszereket használ. Itt azonban vannak buktatók.

    A probléma az, hogy hiába telepíted a klienst, ha magában az „OS-ben” kikapcsolják a szolgáltatást, abból semmi jó nem lesz. Ezért először engedélyeznie kell ezeket a beállításokat a Windows rendszerben, majd engedélyeznie kell őket az útválasztón (routeren), és csak ezután kell folytatnia magának az ügyfélnek a konfigurálását.

    Magában a rendszerben új kapcsolatot kell létrehoznia, és nem egy meglévőt kell használnia. Nem foglalkozunk ezzel, mivel az eljárás szabványos, de magára az útválasztóra kell mennie további beállítások(leggyakrabban a WLAN-kapcsolat típusa menüben találhatók), és aktiváljon mindent, ami a VPN-kiszolgálóval kapcsolatos.

    Érdemes megjegyezni azt a tényt is, hogy kísérőprogramként kell telepíteni a rendszerbe. De akkor anélkül is használható kézi beállítás egyszerűen válassza ki a legközelebbi helyet.

    Az egyik legnépszerűbb és legkönnyebben használható VPN-kliens-szerver, a SecurityKISS. A program telepítve van, de akkor még a beállításokba sem kell belemenni, hogy az elosztóhoz csatlakoztatott összes eszköz normális kommunikációját biztosítsa.

    Előfordul, hogy egy meglehetősen jól ismert és népszerű Kerio VPN Client csomag nem működik. Itt nem csak magára az „OS”-re, hanem a paraméterekre is figyelnie kell kliens program. Általános szabály, hogy a megfelelő paraméterek bevezetése lehetővé teszi, hogy megszabaduljon a problémától. Végső megoldásként ellenőriznie kell a fő kapcsolat beállításait és a használt TCP / IP protokollokat (v4 / v6).

    Mi az eredmény?

    Bemutattuk a VPN működését. Elvileg nincs semmi bonyolult magában a csatlakozásban vagy az ilyen típusú hálózatok létrehozásában. A fő nehézség a konkrét berendezések beállításában és paramétereinek beállításában rejlik, amit sajnos sok felhasználó figyelmen kívül hagy, arra támaszkodva, hogy az egész folyamat automatizmussá válik.

    Másrészt most többet foglalkoztunk maguknak a VPN virtuális hálózatoknak a technológiájával kapcsolatos kérdésekkel, így külön utasítások és ajánlások alapján kell majd konfigurálnia a berendezést, telepíteni az eszközillesztőket stb.

    A kapcsoló fő célja - a hálózati kapcsolatok átviteli sebességének növelése - mellett lehetővé teszi az információáramlások lokalizálását, valamint ezen áramlások szabályozását és kezelését a mechanizmus segítségével. egyéni szűrők. A felhasználói szűrő azonban képes megakadályozni a keretek átvitelét csak meghatározott címekre, miközben a broadcast forgalmat minden hálózati szegmenshez továbbítja. Ez a kapcsolóban megvalósított hídalgoritmus működési elve, ezért a hidak és kapcsolók alapján létrehozott hálózatokat néha laposnak nevezik - a sugárzott forgalom akadályainak hiánya miatt.

    A néhány éve bevezetett virtuális helyi hálózatok (Virtuális LAN, VLAN) technológiája felülmúlja ezt a korlátot. A virtuális hálózat olyan hálózati csomópontok csoportja, amelyek forgalma, beleértve a broadcast forgalmat is, teljesen el van szigetelve az adatkapcsolati réteg többi csomópontjától (lásd az 1. ábrát). Ez azt jelenti, hogy a különböző virtuális hálózatok közötti közvetlen keretátvitel nem lehetséges, függetlenül a cím típusától – egyedi, multicast vagy broadcast. Ugyanakkor a virtuális hálózaton belül a keretek átvitele a kapcsolási technológiának megfelelően történik, azaz csak arra a portra, amelyhez a keret célcíme hozzá van rendelve.

    A virtuális hálózatok átfedhetik egymást, ha egy vagy több számítógép egynél több virtuális hálózatban található. Az 1. ábrán a szerver Email a 3. és 4. virtuális hálózat része, ezért kereteit kapcsolók továbbítják az ezekben a hálózatokban található összes számítógéphez. Ha egy számítógép csak a 3-as virtuális hálózathoz van hozzárendelve, akkor a keretei nem érik el a 4-es hálózatot, de egy közös levelezőszerveren keresztül kommunikálhat a 4-es hálózat számítógépeivel. Ez a séma nem választja el teljesen egymástól a virtuális hálózatokat – így az e-mail szerver által kezdeményezett sugárzási vihar mind a 3-as, mind a 4-es hálózatot elborítja.

    Azt mondják, hogy a virtuális hálózat egy broadcast forgalmi tartományt (broadcast domain) alkot, hasonlóan az ütközési tartományhoz, amelyet az Ethernet hálózatok ismétlői alkotnak.

    VLAN MEGJEGYZÉS

    A VLAN technológia megkönnyíti olyan elszigetelt hálózatok létrehozását, amelyek olyan útválasztókon keresztül kommunikálnak, amelyek támogatják a hálózati réteg protokollját, például az IP-t. Ez a megoldás sokkal erősebb akadályokat teremt az egyik hálózatról a másikra irányuló hibás forgalom előtt. Ma úgy gondolják, hogy minden nagy hálózatnak tartalmaznia kell routereket, különben a hibás keretek, különösen a sugárzások, a számukra átlátszó kapcsolókon keresztül, időszakonként teljesen „elárasztják”, működésképtelen állapotot eredményezve.

    A virtuális hálózati technológia rugalmas alapot biztosít egy útválasztókkal összekapcsolt nagy hálózat kiépítéséhez, mivel a switchek lehetővé teszik teljesen elszigetelt szegmensek programozott létrehozását anélkül, hogy fizikai váltást kellene igénybe venniük.

    A VLAN technológia megjelenése előtt a telepítéshez külön hálózat vagy fizikailag izolált koaxiális kábeldarabokat, vagy átjátszókon és hidakon alapuló össze nem kapcsolt szegmenseket használtak. Ezután a hálózatokat útválasztókon keresztül egyetlen összetett hálózattá egyesítették (lásd a 2. ábrát).

    A szegmensek összetételének megváltoztatása (felhasználói átállás egy másik hálózatra, nagy szakaszok felosztása) ezzel a megközelítéssel a csatlakozók fizikai újracsatlakoztatását jelentette az átjátszók elülső paneljein vagy a keresztpaneleken, ami nem túl kényelmes nagy hálózatokban - ez nagyon fáradságos munka , és a hiba valószínűsége nagyon magas. Ezért, hogy kiküszöböljék a csomópontok fizikai átkapcsolásának szükségességét, több szegmensből álló hubokat kezdtek el használni, hogy egy megosztott szegmens összetételét fizikai átkapcsolás nélkül át lehessen programozni.

    A szegmensek összetételének hubok segítségével történő megváltoztatása azonban nagy korlátozásokat ró a hálózati struktúrára - az ilyen átjátszó szegmenseinek száma általában kicsi, és irreális minden csomóponthoz sajátot rendelni, ahogy az egy kapcsolóval megtehető. Ezen túlmenően ezzel a megközelítéssel a szegmensek közötti adatátvitel minden munkája az útválasztókra hárul, és a nagy teljesítményű kapcsolók "kiesik a munkából". Így a konfigurációkapcsolt átjátszó hálózatokhoz továbbra is szükség van megosztás nagy számú csomóponttal rendelkező átviteli környezetek, és ezért sokkal alacsonyabb teljesítményűek, mint a kapcsolóalapú hálózatok.

    Virtuális hálózati technológia kapcsolókban történő alkalmazásakor két feladatot oldanak meg egyszerre:

    • teljesítménynövekedés az egyes virtuális hálózatokban, mivel a kapcsoló csak a célállomásnak küld kereteket;
    • hálózatok elkülönítése egymástól a felhasználói hozzáférési jogok kezeléséhez és létrehozásához védőkorlátok sugárzott viharok útján.

    Virtuális hálózatok konszolidációja közös hálózat végzett hálózati réteg, amely külön router segítségével érhető el, ill szoftver kapcsoló. Ez utóbbi ebben az esetben egy kombinált eszköz lesz - az úgynevezett harmadik szintű kapcsoló.

    Technológia virtuális hálózatok kialakítására és működtetésére kapcsolók segítségével hosszú ideje nem volt szabványos, bár a különböző gyártók kapcsolómodelljeinek igen széles skálájában implementálták. A helyzet megváltozott az IEEE 802.1Q szabvány 1998-as elfogadása után, amely meghatározza a virtuális helyi hálózatok kiépítésének alapvető szabályait, függetlenül attól, hogy a switch melyik kapcsolati réteg protokollt támogatja.

    A VLAN szabvány hosszú távú hiánya miatt minden nagyobb switchcég kifejlesztette saját virtuális hálózati technológiáját, és általában nem kompatibilis más gyártók technológiáival. Ezért a szabvány megjelenése ellenére nem ritka az olyan helyzet, amikor az egyik gyártó kapcsolói alapján létrehozott virtuális hálózatokat nem ismerik fel, és ennek megfelelően nem támogatják őket egy másik gyártó kapcsolói.

    VLAN KÉSZÍTÉSE EGY KAPCSOLÁS ALAPJÁN

    Egyetlen kapcsolón alapuló virtuális hálózatok létrehozásakor általában a switch port csoportosítási mechanizmusát alkalmazzák (lásd 3. ábra). Ezenkívül mindegyik hozzá van rendelve egy vagy másik virtuális hálózathoz. Egy például az 1. virtuális hálózathoz tartozó portról kapott keret soha nem kerül átvitelre olyan portra, amely nem része annak. Egy port több virtuális hálózathoz is hozzárendelhető, bár ez a gyakorlatban ritkán történik meg - a hálózatok teljes elszigetelésének hatása megszűnik.

    Egy switch portjainak csoportosítása a leglogikusabb módja a VLAN kialakításának, mivel ebben az esetben nem lehet több virtuális hálózat, mint port. Ha egy átjátszó csatlakozik valamilyen porthoz, akkor nincs értelme a megfelelő szegmens csomópontjait különböző virtuális hálózatokba foglalni - mindazonáltal a forgalmuk közös lesz.

    Ez a megközelítés nem igényel nagy mennyiségű kézi munkát az adminisztrátortól - elegendő minden portot hozzárendelni a több előre elnevezett virtuális hálózat valamelyikéhez. Ezt a műveletet általában a speciális program kapcsolóval együtt szállítjuk. A rendszergazda virtuális hálózatokat hoz létre úgy, hogy a port ikonokat ráhúzza a hálózati ikonokra.

    A virtuális hálózatok kialakításának másik módja a MAC-címek csoportosítása. Minden, a switch által ismert MAC-cím hozzá van rendelve egyik vagy másik virtuális hálózathoz. Ha a hálózat sok csomóponttal rendelkezik, a rendszergazdának sok manuális műveletet kell végrehajtania. Ha azonban több kapcsolón alapuló virtuális hálózatokat építünk, ez a módszer rugalmasabb, mint a port tröning.

    VLAN LÉTREHOZÁSA TÖBB KAPCSOLÓ ALAPJÁN

    A 4. ábra azt a helyzetet szemlélteti, amely akkor fordul elő, amikor több kapcsolón alapuló virtuális hálózatokat hoznak létre port tröningen keresztül. Ha bármely virtuális hálózat csomópontjai különböző kapcsolókhoz csatlakoznak, akkor minden ilyen hálózat kapcsolóinak összekapcsolásához külön portpárt kell kijelölni. Ellenkező esetben az adott virtuális hálózathoz tartozó kerettel kapcsolatos információk elvesznek a kapcsolóról switchre történő átvitel során. Így a port trunking módszer annyi portot igényel a switchek csatlakoztatásához, amennyi támogatja a VLAN-okat, ami a portok és kábelek nagyon pazarló használatát eredményezi. Emellett a virtuális hálózatok útválasztón keresztüli interakciójának megszervezéséhez minden hálózathoz külön kábelre és külön router portra van szükség, ami szintén magas rezsiköltségekhez vezet.

    A MAC-címek virtuális hálózatba csoportosítása az egyes kapcsolókon szükségtelenné teszi őket több porton keresztül történő összekapcsolásukkal, mert ebben az esetben a virtuális hálózat címkéje a MAC-cím. Ez a módszer azonban sok kézi MAC-címcímkézést igényel a hálózat minden kapcsolóján.

    A két ismertetett megközelítés csak a híd címtábláihoz való információk hozzáadására épül, és nem tartalmaz információt a virtuális hálózathoz tartozó keretről az átvitt keretben. Más megközelítések a keret meglévő vagy további mezőit használják a keret tulajdonjogával kapcsolatos információk rögzítésére, amikor az a hálózati kapcsolók között mozog. Ezenkívül nem kell minden kapcsolón megjegyezni, hogy az internetes MAC-címek mely virtuális hálózatokhoz tartoznak.

    A virtuális hálózati számmal jelölt extra mező csak akkor használatos, amikor a keretet kapcsolóról kapcsolóra küldik, és általában eltávolítják, amikor a keretet a végcsomóponthoz küldik. Ezzel egyidejűleg módosul a "kapcsoló-kapcsoló" interakciós protokoll, míg a szoftver ill Hardver végcsomópontok változatlanok maradnak. Számos példa van ilyen szabadalmaztatott protokollokra, de van egy közös hátrányuk - más gyártók nem támogatják őket. A Cisco a 802.10 protokoll fejlécet javasolta bármely LAN-protokoll keretének szabványos kiegészítéseként, amelynek célja a biztonsági funkciók támogatása. számítógépes hálózatok. A cég maga hivatkozik erre a módszerre azokban az esetekben, amikor a switcheket FDDI protokollal kapcsolják össze. Ezt a kezdeményezést azonban más vezető kapcsológyártók nem támogatták.

    A virtuális hálózat számának tárolásához az IEEE 802.1Q szabvány egy további kétbájtos fejlécet biztosít, amelyet a 802.1p protokollal együtt használnak. A 802.1p szabvány által leírt, a keret prioritási értékének tárolására szolgáló három biten kívül ebben a fejlécben 12 bit szolgál annak a virtuális hálózatnak a számának tárolására, amelyhez a keret tartozik. Ez további információ virtuális hálózati címkének (VLAN TAG) nevezik, és lehetővé teszi a különböző gyártók kapcsolóinak akár 4096 megosztott virtuális hálózat létrehozását. Az ilyen keretet "címkézettnek" nevezik. A megjelölt Ethernet keret hossza 4 bájttal nő, mert magának a tagnak a két bájtja mellé még két bájt kerül hozzáadásra. A megjelölt Ethernet keret szerkezetét az 5. ábra mutatja. A 802.1p/Q fejléc hozzáadásával az adatmező két bájttal csökken.

    5. ábra A megjelölt Ethernet keret felépítése.

    A 802.1Q szabvány megjelenése lehetővé tette a szabadalmaztatott VLAN-megvalósítások közötti különbségek leküzdését és a kompatibilitás elérését a virtuális helyi hálózatok építése során. A VLAN technikát a kapcsolók és a NIC gyártók egyaránt támogatják. Az utóbbi esetben a hálózati kártya generálhat és fogadhat VLAN TAG mezőt tartalmazó címkézett Ethernet kereteket. Ha a hálózati adapter címkézett kereteket generál, akkor ezzel meghatározza, hogy azok egy adott virtuális helyi hálózathoz tartoznak-e, tehát a switch-nek ennek megfelelően kell ezeket feldolgoznia, azaz a port tulajdonától függően továbbítania kell vagy sem a kimeneti portra. A hálózati adapter illesztőprogramja beszerzi a virtuális helyi hálózatának (vagy annak) számát a hálózati adminisztrátortól (kézi konfigurálással) vagy egy, a csomóponton futó alkalmazástól. Egy ilyen alkalmazás képes központilag működni az egyik hálózati szerveren, és kezelni a teljes hálózat szerkezetét.

    A hálózati adapterek VLAN-támogatásával megkerülheti a statikus konfigurációt, ha portot rendel egy adott virtuális hálózathoz. A statikus VLAN konfigurációs módszer azonban továbbra is népszerű, mert lehetővé teszi strukturált hálózat létrehozását a végcsomópont-szoftver bevonása nélkül.

    Natalya Olifer a Journal of Network Solutions/LAN rovatvezetője. Érdeklődni a következő címen lehet:

    Évről évre javul az elektronikus kommunikáció, és egyre magasabb követelményeket támasztanak az információcserével szemben az adatfeldolgozás gyorsasága, biztonsága és minősége tekintetében.

    És itt közelebbről megvizsgáljuk a vpn-kapcsolatot: mi az, mire való a vpn-alagút, és hogyan kell használni a vpn-kapcsolatot.

    Ez az anyag egyfajta bevezető szó egy cikksorozathoz, ahol elmondjuk, hogyan hozhat létre vpn-t különböző operációs rendszereken.

    vpn kapcsolat mi ez?

    Tehát a virtuális magánhálózat vpn olyan technológia, amely biztonságos (külső hozzáféréstől zárt) kapcsolatot biztosít egy logikai hálózathoz magán vagy nyilvános hálózaton keresztül, nagy sebességű internet jelenlétében.

    Ilyen internetkapcsolat számítógépek (földrajzilag egymástól jelentős távolságra) pont-pont kapcsolatot (más szóval "számítógép-számítógép") használnak.

    Tudományosan ezt a csatlakozási módot vpn-alagútnak (vagy alagútprotokollnak) nevezik. Akkor csatlakozhat egy ilyen alagúthoz, ha olyan operációs rendszerrel rendelkező számítógépe van, amely integrált VPN-klienssel rendelkezik, amely képes a virtuális portokat a TCP / IP protokoll használatával egy másik hálózatra „továbbítani”.

    Mire való a vpn?

    A vpn fő előnye, hogy a tárgyalópartnereknek olyan csatlakozási platformra van szükségük, amely nem csak gyorsan skálázódik, hanem (elsősorban) adattitkosságot, adatintegritást és hitelesítést is biztosít.

    A diagram jól mutatja a vpn hálózatok használatát.

    Előzetesen meg kell írni a biztonságos csatornán keresztüli kapcsolatok szabályait a szerveren és az útválasztón.

    hogyan működik a vpn

    VPN-kapcsolat létrejöttekor a VPN-kiszolgáló IP-címével és a távoli útvonallal kapcsolatos információk az üzenet fejlécében kerülnek továbbításra.

    Beágyazott adatok áthaladása egy közös ill nyilvános hálózat, nem lehet elfogni, mert minden információ titkosítva van.

    A VPN titkosítási szakaszt a küldő oldalon valósítják meg, és a címzett adatait az üzenet fejléce dekódolja (ha van közös titkosítási kulcs).

    Az üzenet helyes visszafejtése után vpn-kapcsolat jön létre a két hálózat között, amely lehetővé teszi a nyilvános hálózatban való munkát is (például adatcserét 93.88.190.5 ügyféllel).

    Vonatkozó információ biztonság, akkor az internet egy rendkívül nem biztonságos hálózat, az OpenVPN, L2TP / IPSec, PPTP, PPPoE protokollokkal rendelkező VPN hálózat pedig teljesen biztonságos és biztonságos módon adatátvitel.

    Mire jó a vpn csatorna?

    vpn tunneling használatos:

    A vállalati hálózaton belül;

    A távoli irodák, valamint a kis fiókok egyesítése;

    Digitális telefonszolgáltatáshoz nagy készlet távközlési szolgáltatások;

    Külső informatikai erőforrásokhoz való hozzáférés;

    Videokonferencia létrehozása és megvalósítása.

    Miért kell vpn?

    vpn kapcsolat szükséges a következőkhöz:

    Névtelen munka az interneten;

    Alkalmazásletöltések abban az esetben, ha az IP-cím az ország másik regionális zónájában található;

    Biztonságos munkavégzés vállalati környezetben kommunikáció segítségével;

    A csatlakozás beállításának egyszerűsége és kényelme;

    Járulékos Magassebesség csatlakozások megszakítások nélkül;

    Biztonságos csatorna létrehozása hacker támadások nélkül.

    Hogyan kell használni a vpn-t?

    A vpn működésére példák végtelenek. Tehát a vállalati hálózat bármely számítógépén biztonságos telepítésekor vpn kapcsolatok e-mailek segítségével ellenőrizheti az üzeneteket, publikálhat anyagokat az ország bármely pontjáról, vagy letölthet fájlokat torrent hálózatokról.

    Vpn: mi van a telefonban?

    A telefonján (iPhone vagy bármely más Android-eszközön) található vpn-n keresztüli hozzáférés lehetővé teszi, hogy névtelen maradjon, amikor nyilvános helyeken internetezik, valamint megakadályozza a forgalom elfogását és az eszközök feltörését.

    A bármely operációs rendszerre telepített VPN-kliens lehetővé teszi a szolgáltató számos beállításának és szabályának megkerülését (ha korlátozásokat állított be).

    Melyik vpn-t válasszam a telefonhoz?

    Az Android mobiltelefonok és okostelefonok használhatják a Google Play piacról származó alkalmazásokat:

    • - vpnRoot, droidVPN,
    • - tor böngészőhöz szörfözési hálózatokhoz, más néven orbot
    • - InBrowser, orfox (firefox+tor),
    • - SuperVPN ingyenes VPN-kliens
    • - Nyissa meg a VPN-kapcsolatot
    • - Tunnel Bear VPN
    • - Hideman VPN

    A legtöbb ilyen program a "forró" rendszerkonfiguráció kényelmét, az indító parancsikonok elhelyezését, az anonim internetes böngészést és a kapcsolat titkosítási típusának kiválasztását szolgálja.

    De a fő feladata a VPN használatának a telefonon az ellenőrzés vállalati posta, videokonferenciák létrehozása több résztvevővel, valamint megbeszélések megtartása a szervezeten kívül (például amikor egy alkalmazott üzleti úton van).

    Mi az a vpn az iphone-on?

    Fontolja meg részletesebben, melyik VPN-t válassza, és hogyan csatlakoztassa iPhone-hoz.

    A támogatott hálózat típusától függően, amikor először elindítja a VPN-konfigurációt az iphone-on, a következő protokollokat választhatja: L2TP, PPTP és Cisco IPSec (ezen kívül VPN-kapcsolatot is létrehozhat harmadik féltől származó alkalmazások segítségével) .

    Mindezek a protokollok támogatják a titkosítási kulcsokat, a felhasználó jelszóval történő azonosítását és a tanúsítást.

    Között további jellemzők amikor VPN-profilt állít be iPhone-on, megjegyezheti: RSA-biztonság, titkosítási szint és engedélyezési szabályok a szerverhez való csatlakozáshoz.

    Mert iphone telefon az alkalmazásboltból a következőket kell választania:

    • - ingyenes alkalmazás Tunnelbear, amivel csatlakozhatsz VPN szerverek bármelyik ország.
    • - Az OpenVPN connect az egyik legjobb VPN-kliens. Itt az alkalmazás futtatásához először rsa-kulcsokat kell importálnia az itunes segítségével a telefonjára.
    • - A Cloak egy shareware alkalmazás, mert egy ideig ingyenesen "használható" a termék, de a program használatához a demo időszak lejárta után meg kell vásárolni.

    VPN létrehozása: berendezések kiválasztása és konfigurálása

    Mert vállalati kommunikáció nagy szervezetekben vagy egyesületekben távoli barát egymástól az irodák olyan hardvert használnak, amely képes támogatni a zavartalan, biztonságos hálózatépítést.

    A vpn technológiák megvalósításához a következők működhetnek hálózati átjáróként: Unix szerverek, Windows szerver, hálózati útválasztó és hálózati átjáró, amelyen a VPN fel van emelve.

    A vállalat vpn-hálózatának vagy távoli irodák közötti vpn-csatornának a létrehozásához használt szervernek vagy eszköznek összetett technikai feladatokat kell ellátnia, és teljes körű szolgáltatást kell nyújtania a felhasználóknak munkaállomásokon és mobileszközökön egyaránt.

    Minden útválasztónak vagy VPN-útválasztónak megbízható hálózati működést kell biztosítania „lefagyás” nélkül. A beépített vpn funkció pedig lehetővé teszi a hálózati konfiguráció megváltoztatását az otthoni, szervezeti vagy távoli irodai munkához.

    vpn beállítás az útválasztón

    Általános esetben a VPN konfigurálása az útválasztón az útválasztó webes felületén keresztül történik. A "klasszikus" eszközökön a vpn rendszerezéséhez el kell lépnie a "beállítások" vagy a "hálózati beállítások" szakaszba, ahol kiválasztja a VPN részt, megadja a protokoll típusát, adja meg az alhálózati cím beállításait, maszkjait és adja meg az IP tartományát. címek a felhasználók számára.

    Ezenkívül a kapcsolat biztonságossá tételéhez meg kell adnia a kódolási algoritmusokat, a hitelesítési módszereket, létre kell hoznia tárgyalási kulcsokat, és meg kell adnia a DNS WINS-kiszolgálókat. Az "Átjáró" paraméterekben meg kell adnia az átjáró ip-címét (az Ön IP-címét), és ki kell töltenie az adatokat az összes hálózati adapteren.

    Ha több útválasztó is van a hálózatban, akkor a VPN-alagútban lévő összes eszközre ki kell tölteni a vpn útválasztási táblázatot.

    Itt található a VPN-hálózatok kiépítéséhez használt hardvereszközök listája:

    Dlink routerek: DIR-320, DIR-620, DSR-1000 új firmware-rel ill. D-Link router DI808HV.

    Útválasztók Cisco PIX 501, Cisco 871-SEC-K9

    A Linksys Rv082 router körülbelül 50 VPN alagutat támogat

    Netgear DG834G router és FVS318G, FVS318N, FVS336G, SRX5308 router modellek

    Mikrotik router OpenVPN funkcióval. Példa RouterBoard RB/2011L-IN Mikrotik

    VPN-berendezés RVPN S-Terra vagy VPN Gate

    ASUS RT-N66U, RT-N16 és RT N-10 routerek

    ZyXel routerek ZyWALL 5, ZyWALL P1, ZyWALL USG