Z samej nazwy - wirtualna sieć prywatna - wynika, że ​​w jakiś sposób odtwarza ona właściwości prawdziwej sieci prywatnej.

Bez przesady sieć można nazwać prywatną tylko wtedy, gdy przedsiębiorstwo jest wyłącznym właścicielem i zarządza całą infrastrukturą sieciową - kablami, sprzętem krosowym, sprzętem tworzącym kanały, przełącznikami, routerami i innym sprzętem komunikacyjnym.

Wirtualna sieć prywatna to rodzaj „sieci w sieci”, czyli usługa, która daje użytkownikom złudzenie, że ich sieć prywatna istnieje w sieci publicznej.

Głównym celem technologii VPN jest zapewnienie gwarantowanej jakości obsługi strumieni danych użytkowników w sieci publicznej, a także ochrona ich przed ewentualnym nieuprawnionym dostępem lub zniszczeniem.

Wirtualna sieć prywatna (wirtualna Prywatna sieć- VPN) to połączenie sieci lokalnych poprzez otwarte środowisko zewnętrzne (sieć globalna) w jedną sieć korporacyjną, która zapewnia bezpieczny obieg danych.

Istota technologii VPN jest następująca (rysunek 6.1):

Rysunek 6.1 - Schemat sieci VPN

Do wszystkich komputerów z dostępem do Internetu (zamiast Internetu może być dowolna inna sieć) powszechne zastosowanie), instalowane są agenty VPN, które przetwarzają pakiety IP przesyłane przez sieci komputerowe.

Agenci VPN automatycznie szyfrują wszystkie wychodzące informacje (i odpowiednio odszyfrowują wszystkie przychodzące informacje). Monitorują również jego integralność za pomocą elektronicznego podpisu cyfrowego (EDS) lub imitacji wstawek (kryptograficznej sumy kontrolnej obliczanej za pomocą klucza szyfrującego).

Przed wysłaniem pakietu IP Agent VPN działa w następujący sposób.

Analizowany jest adres IP odbiorcy pakietu, w zależności od tego adresu wybierany jest algorytm ochrony dla tego pakietu. Jeśli w ustawieniach agenta VPN nie ma takiego odbiorcy, informacja nie zostanie wysłana.

Generuje i dodaje do paczki EDS lub imitację nadawcy.

Szyfruje pakiet (w całości, łącznie z nagłówkiem).

Wykonuje enkapsulację, tj. generuje nowy nagłówek, w którym wskazuje nie adres odbiorcy, ale jego agenta VPN. Ta przydatna dodatkowa funkcja pozwala myśleć o wymianie między dwiema sieciami jako wymianie między dwoma komputerami, na których zainstalowano agentów VPN. Wszelkie przydatne informacje dla atakującego, takie jak wewnętrzne adresy IP, nie są już dla niego dostępne.

Po odebraniu pakietu IP wykonywane jest działanie odwrotne.

Nagłówek zawiera informacje o agencie VPN nadawcy. Jeśli nie znajduje się na liście dozwolonych w ustawieniach, informacje są po prostu odrzucane.

Zgodnie z ustawieniami wybierane są algorytmy kryptograficzne i EDS, a także niezbędne klucze, po których pakiet jest odszyfrowywany i sprawdzana jest jego integralność, odrzucane są również pakiety z uszkodzoną integralnością (EDS nie jest poprawny).

Po wszystkich przekształceniach odwrotnych pakiet w swojej pierwotnej postaci jest wysyłany do rzeczywistego miejsca docelowego za pośrednictwem sieci lokalnej.

Wszystkie powyższe operacje wykonywane są automatycznie, działanie agentów VPN jest niewidoczne dla użytkowników. Agent VPN może być zlokalizowany bezpośrednio na chronionym komputerze (co jest szczególnie przydatne dla użytkowników mobilnych). W tym przypadku chroni komunikację tylko jednego komputera, na którym jest zainstalowany.

6.1 Pojęcie „tunel” w transmisji danych w sieciach

Aby przesyłać dane, agenci VPN tworzą wirtualne kanały między chronionymi sieci lokalne lub komputery (taki kanał nazywa się „tunelem”, a technologia jego tworzenia nazywa się „tunelowaniem”). Wszystkie informacje są przesyłane przez tunel w postaci zaszyfrowanej.

Rysunek 6.2.

Jedną z obowiązkowych funkcji agentów VPN jest filtrowanie pakietów. Filtrowanie pakietów realizowane jest zgodnie z ustawieniami agenta VPN, których połączenie tworzy politykę bezpieczeństwa VPN. Aby zwiększyć bezpieczeństwo wirtualnych sieci prywatnych na końcach tuneli, wskazane jest umieszczenie zapór (filtrów).

Agenci VPN działają jako bramy VPN. VPN Security Gateway to urządzenie sieciowe, które łączy się z dwiema sieciami, siecią globalną i siecią lokalną, oraz wykonuje funkcje szyfrowania i uwierzytelniania hostów w sieci znajdującej się za nim. Brama VPN może być zaimplementowana jako oddzielne urządzenie sprzętowe, oddzielne rozwiązanie programowe, a także w postaci firewalla czy routera, uzupełnionego o funkcje VPN.

Połączenie sieciowe VPN Security Gateway jawi się użytkownikom sieci znajdującej się za nią jako linia dzierżawiona, podczas gdy w rzeczywistości jest to otwarta sieć z komutacją pakietów. Adres VPN Security Gateway w sieci zewnętrznej definiuje adres przychodzącego pakietu tunelowanego. Adres wewnętrzny to adres hosta za bramą. VPN Security Gateway może działać jako część routera, zapory i tym podobnych.

Cechą tunelowania jest to, że ta technologia umożliwia szyfrowanie całego pakietu źródłowego wraz z nagłówkiem, a nie tylko jego pola danych. Oryginalny pakiet jest w całości zaszyfrowany wraz z nagłówkiem, a zaszyfrowany pakiet jest umieszczany w innym zewnętrznym pakiecie z otwartym nagłówkiem. Aby przesyłać dane przez „niebezpieczną” sieć, otwarte pola nagłówek pakietu zewnętrznego, a gdy pakiet zewnętrzny dotrze do punktu końcowego bezpiecznego kanału, pakiet wewnętrzny jest z niego wyodrębniany, odszyfrowywany, a jego nagłówek jest używany do dalszej transmisji już w czystej postaci przez sieć, która nie wymaga ochrony .

Rysunek 6.3 - Ustanawianie tunelu VPN

W tym przypadku dla pakietów zewnętrznych wykorzystywane są adresy routerów granicznych (bram VPN) zainstalowanych w tych dwóch punktach, a adresy wewnętrzne węzłów końcowych są zawarte w pakietach wewnętrznych w postaci chronionej (rysunek 6.4).

Rysunek 6.4 - Tunelowanie pakietów

6.2 Architektura Sieci VPN

Architektura Istnieją trzy główne typy VPN:

1) Zdalny dostęp VPN

2) Wewnątrzkorporacyjny VPN (Intranet VPN)

3) Międzykorporacyjny VPN (Extranet VPN)

Zdalny dostęp VPN

Za pomocą tego schematu (rysunek 6.5) zapewniony jest zdalny dostęp poszczególnych pracowników do sieci korporacyjnej organizacji za pośrednictwem sieci publicznej. Klienci zdalni mogą pracować z domu lub, korzystając z komputera przenośnego, z dowolnego miejsca na świecie, gdzie jest dostęp do sieci WWW.

Rysunek 6.5 - VPN z zdalny dostęp

6.2.2 Wewnątrzkorporacyjne sieci VPN(Rysunek 6.6)

Rysunek 6.6 — Intranetowa sieć VPN

Tutaj komunikacja odbywa się w jednej wspólnej sieci rozproszonych geograficznie oddziałów firmy. Ta metoda nazywa się Intranetowy VPN . Ta metoda wskazane jest stosowanie zarówno do zwykłych oddziałów, jak i do biur mobilnych, które będą miały dostęp do zasobów firmy „matki”, a także w łatwy sposób wymieniają między sobą dane.

6.2.3 Międzyfirmowe sieci VPN(Rysunek 6.7)

Rysunek 6.7 - Extranet VPN

To tak zwane Ekstranet VPN gdy dostęp jest udzielany za pośrednictwem bezpiecznych kanałów dostępu dla klienci lub partnerzy organizacji. Zdobycie szerokiej dystrybucji dzięki popularności e-commerce.

W takim przypadku zdalni klienci (partnerzy) będą mieli bardzo ograniczone możliwości korzystania z sieci firmowej, w rzeczywistości będą ograniczeni do dostępu do tych zasobów firmy, które są niezbędne podczas pracy z ich klientami, na przykład strony z ofertami handlowymi , a VPN służy w tym przypadku do bezpiecznego przesyłania poufnych danych.

Oprócz bram VPN, Rysunek 6.7 pokazuje również zapory sieciowe. JA. Zapory sieciowe (filtry) zapewniają kontrolę nad przesyłanymi treściami (wirusy i inne ataki zewnętrzne). DOE to „ogrodzenie” wokół sieci, które uniemożliwia atakującym przeniknięcie przez nią, podczas gdy VPN to „opancerzony samochód”, który chroni cenne przedmioty, gdy są one wyjmowane z ogrodzenia. Dlatego oba rozwiązania muszą być zastosowane, aby zapewnić wymagany poziom bezpieczeństwa. zasoby informacji. Najczęściej funkcje ME i VPN są połączone w tym samym urządzeniu.

Z roku na rok poprawia się komunikacja elektroniczna, a wymiana informacji stawia coraz wyższe wymagania dotyczące szybkości, bezpieczeństwa i jakości przetwarzania danych.

I tu przyjrzymy się bliżej połączenie VPN: co to jest, do czego służy tunel VPN i jak korzystać z połączenia VPN.

Ten materiał jest rodzajem słowa wprowadzającego do serii artykułów, w których powiemy Ci, jak stworzyć VPN na różnych systemach operacyjnych.

połączenie VPN co to jest?

Tak więc wirtualna sieć prywatna VPN to technologia zapewniająca bezpieczne (zamknięte przed dostępem zewnętrznym) połączenie sieci logicznej z siecią prywatną lub publiczną w obecności szybkiego Internetu.

Taki połączenie internetowe komputery (geograficznie odległe od siebie w znacznej odległości) korzystają z połączenia punkt-punkt (innymi słowy „komputer-komputer”).

Naukowo ta metoda połączenia nazywa się tunelem VPN (lub protokołem tunelowym). Możesz połączyć się z takim tunelem, jeśli masz komputer z dowolnym systemem operacyjnym, który ma zintegrowanego klienta VPN, który może „przekierować” wirtualne porty za pomocą protokołu TCP / IP do innej sieci.

Do czego służy VPN?

Główną zaletą VPN jest to, że negocjatorzy potrzebują platformy łączności, która nie tylko szybko się skaluje, ale także (przede wszystkim) zapewnia poufność danych, integralność danych i uwierzytelnianie.

Schemat wyraźnie pokazuje wykorzystanie sieci VPN.

Wcześniej zasady połączeń przez bezpieczny kanał muszą być zapisane na serwerze i routerze.

jak działa VPN?

W przypadku nawiązania połączenia VPN informacje o adresie IP serwera VPN i zdalnej trasie są przesyłane w nagłówku wiadomości.

Enkapsulowane dane przechodzące przez sieć publiczną lub publiczną nie mogą zostać przechwycone, ponieważ wszystkie informacje są szyfrowane.

Etap szyfrowania VPN jest zaimplementowany po stronie nadawcy, a dane odbiorcy są odszyfrowywane przez nagłówek wiadomości (jeśli istnieje wspólny klucz szyfrowania).

Po prawidłowym odszyfrowaniu wiadomości nawiązywane jest połączenie VPN między dwiema sieciami, co pozwala również na pracę w sieci publicznej (na przykład wymiana danych z klientem 93.88.190.5).

Dotyczący bezpieczeństwo informacji, wtedy Internet jest bardzo niezabezpieczoną siecią, a sieć VPN z protokołami OpenVPN, L2TP/IPSec, PPTP, PPPoE jest całkowicie bezpieczna i w bezpieczny sposób transmisja danych.

Do czego służy kanał VPN?

Tunelowanie VPN jest używane:

Wewnątrz sieci korporacyjnej;

Łączenie zdalnych biur, a także małych oddziałów;

W przypadku usług telefonii cyfrowej z duży zestaw usługi telekomunikacyjne;

Dostęp do zewnętrznych zasobów IT;

Budowanie i wdrażanie wideokonferencji.

Dlaczego potrzebujesz VPN?

Połączenie VPN jest wymagane dla:

Anonimowa praca w Internecie;

Pobieranie aplikacji w przypadku, gdy adres ip znajduje się w innej strefie regionalnej kraju;

Bezpieczna praca w środowisku korporacyjnym z wykorzystaniem komunikacji;

Prostota i wygoda konfiguracji połączenia;

Zabezpieczenie wysoka prędkość połączenia bez przerw;

Stworzenie bezpiecznego kanału bez ataków hakerskich.

Jak korzystać z VPN?

Przykłady działania VPN są nieograniczone. Tak więc na dowolnym komputerze w sieci firmowej, nawiązując bezpieczne połączenie VPN, możesz używać poczty do sprawdzania wiadomości, publikowania materiałów z dowolnego miejsca w kraju lub pobierania plików z sieci torrent.

VPN: co to jest w telefonie?

Dostęp przez VPN na telefonie (iPhone lub inne urządzenie z systemem Android) pozwala zachować anonimowość podczas korzystania z Internetu w miejscach publicznych, a także zapobiegać przechwytywaniu ruchu i hakowaniu urządzeń.

Klient VPN zainstalowany na dowolnym systemie operacyjnym pozwala ominąć wiele ustawień i reguł dostawcy (jeśli ustawił jakiekolwiek ograniczenia).

Który VPN wybrać do telefonu?

Telefony komórkowe i smartfony z systemem Android mogą korzystać z aplikacji z rynku Google Play:

  • - vpnRoot, droidVPN,
  • - tor przeglądarka dla sieci surfowania, czyli orbot
  • - InBrowser, orfox (firefox+tor),
  • - Darmowy klient VPN SuperVPN
  • - Otwórz połączenie VPN
  • - Niedźwiedź tunelowy VPN
  • - Hideman VPN

Większość z tych programów służy wygodzie „gorącej” konfiguracji systemu, umieszczaniu skrótów uruchamiających, anonimowemu surfowaniu po Internecie oraz wyborze rodzaju szyfrowania połączenia.

Ale głównym zadaniem korzystania z VPN w telefonie jest sprawdzenie poczta firmowa, tworzenie wideokonferencji z wieloma uczestnikami, a także organizowanie spotkań poza organizacją (na przykład, gdy pracownik jest w podróży służbowej).

Co to jest VPN na iPhonie?

Zastanów się, który VPN wybrać i jak bardziej szczegółowo podłączyć go do iPhone'a.

W zależności od typu obsługiwanej sieci, przy pierwszym uruchomieniu konfiguracji VPN na iPhonie można wybrać następujące protokoły: L2TP, PPTP i Cisco IPSec (dodatkowo można „nawiązać” połączenie VPN za pomocą aplikacji innych firm) .

Wszystkie te protokoły obsługują klucze szyfrowania, identyfikację użytkownika za pomocą hasła i certyfikację.

Wśród dodatkowe funkcje podczas konfigurowania profilu VPN na iPhonie można zwrócić uwagę na: bezpieczeństwo RSA, poziom szyfrowania i reguły autoryzacji połączenia z serwerem.

Do telefon iphone z Appstore powinieneś wybrać:

  • - Darmowa aplikacja Tunnelbear, za pomocą którego możesz łączyć się z serwerami VPN w dowolnym kraju.
  • - OpenVPN connect to jeden z najlepszych klientów VPN. Tutaj, aby uruchomić aplikację, musisz najpierw zaimportować klucze rsa za pośrednictwem iTunes do telefonu.
  • - Cloak jest aplikacją typu shareware, ponieważ przez pewien czas produkt można „używać” za darmo, ale aby korzystać z programu po zakończeniu okresu demo, trzeba będzie go kupić.

Tworzenie VPN: wybór i konfiguracja sprzętu

Do komunikacji korporacyjnej w dużych organizacjach lub stowarzyszeniach zdalny przyjaciel od siebie, biura używają sprzętu zdolnego do obsługi nieprzerwanej, bezpiecznej sieci.

Aby wdrożyć technologie VPN, bramą sieciową mogą być: serwery Unix, serwer Windows, router sieciowy i brama sieciowa, na której podnoszona jest sieć VPN.

Serwer lub urządzenie wykorzystywane do tworzenia sieci VPN przedsiębiorstwa lub kanału VPN pomiędzy zdalnymi biurami musi wykonywać złożone zadania techniczne i zapewniać pełen zakres usług użytkownikom zarówno na stacjach roboczych, jak i na urządzeniach mobilnych.

Każdy router lub router VPN powinien zapewniać niezawodne działanie sieci bez „zawieszeń”. A wbudowana funkcja VPN pozwala zmienić konfigurację sieci do pracy w domu, w organizacji lub zdalnym biurze.

Konfiguracja VPN na routerze

W ogólnym przypadku konfiguracja VPN na routerze odbywa się za pomocą interfejsu sieciowego routera. Na „klasycznych” urządzeniach do organizowania VPN musisz przejść do sekcji „ustawienia” lub „ustawienia sieci”, gdzie wybierasz sekcję VPN, określasz typ protokołu, wprowadzasz ustawienia adresu podsieci, maski i określasz zakres adresów IP adresy dla użytkowników.

Ponadto, aby zabezpieczyć połączenie, należy określić algorytmy kodowania, metody uwierzytelniania, generować klucze negocjacji oraz określić serwery DNS WINS. W parametrach „Gateway” musisz określić adres IP bramy (Twoje IP) i wypełnić dane na wszystkich kartach sieciowych.

Jeśli w sieci jest kilka routerów, konieczne jest wypełnienie tabeli routingu VPN dla wszystkich urządzeń w tunelu VPN.

Oto lista sprzęt sprzętowy używane przy budowaniu sieci VPN:

Routery Dlink: DIR-320, DIR-620, DSR-1000 z nowym oprogramowaniem lub Router D-Link DI808HV.

Routery Cisco PIX 501, Cisco 871-SEC-K9

Router Linksys Rv082 obsługujący około 50 tuneli VPN

Router Netgear DG834G i modele routerów FVS318G, FVS318N, FVS336G, SRX5308

Router Mikrotik z funkcją OpenVPN. Przykład RouterBoard RB/2011L-IN Mikrotik

Sprzęt VPN RVPN S-Terra lub VPN Gate

Routery ASUS RT-N66U, RT-N16 i RT N-10

Routery ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Internet jest coraz częściej wykorzystywany jako środek komunikacji między komputerami, ponieważ oferuje wydajną i niedrogą komunikację. Jednak Internet jest siecią publiczną i aby zapewnić bezpieczną komunikację za jej pośrednictwem, potrzebny jest mechanizm, który spełnia co najmniej następujące zadania:

    poufność informacji;

    integralność danych;

    dostępność informacji;

Wymagania te spełnia mechanizm o nazwie VPN (Virtual Private Network - wirtualna sieć prywatna) - uogólniona nazwa technologii, które umożliwiają jedno lub więcej połączeń sieciowych (sieci logicznej) za pośrednictwem innej sieci (np. Internetu) z wykorzystaniem kryptografii narzędzia (szyfrowanie, uwierzytelnianie, klucze publiczne infrastruktury, środki zabezpieczające przed powtórzeniem i zmianą komunikatów przesyłanych w sieci logicznej).

Stworzenie VPN nie wymaga dodatkowych inwestycji i pozwala przestać korzystać z łączy dzierżawionych. W zależności od używanych protokołów i celu, VPN może zapewnić trzy rodzaje połączeń: host-host, host-sieć i sieć-sieć.

Dla jasności wyobraźmy sobie następujący przykład: przedsiębiorstwo ma kilka odległych terytorialnie oddziałów i pracowników „mobilnych” pracujących w domu lub w podróży. Konieczne jest zjednoczenie wszystkich pracowników przedsiębiorstwa w jednej sieci. Najprostszym sposobem jest umieszczenie modemów w każdym oddziale i zorganizowanie komunikacji według potrzeb. Takie rozwiązanie nie zawsze jednak jest wygodne i opłacalne – czasami potrzebne jest stałe łącze i duża przepustowość. Aby to zrobić, będziesz musiał albo wytyczyć dedykowaną linię między oddziałami, albo je wynająć. Oba są dość drogie. A tutaj jako alternatywa, budując jedną bezpieczną sieć, można wykorzystać połączenia VPN wszystkich oddziałów firmy przez Internet i skonfigurować narzędzia VPN na hostach sieciowych.

Ryż. 6.4. połączenie VPN typu lokacja-lokacja

Ryż. 6.5. Połączenie VPN host-sieć

W tym przypadku wiele problemów zostaje rozwiązanych - oddziały mogą znajdować się w dowolnym miejscu na świecie.

Niebezpieczeństwo polega na tym, że, po pierwsze, otwarta sieć jest otwarta na ataki intruzów z całego świata. Po drugie, wszystkie dane są przesyłane przez Internet w sposób jawny, a osoby atakujące po zhakowaniu sieci będą miały wszystkie informacje przesyłane przez sieć. I po trzecie, dane mogą być nie tylko przechwytywane, ale także zastępowane podczas transmisji przez sieć. Atakujący może na przykład naruszyć integralność baz danych działając w imieniu klientów jednej z zaufanych gałęzi.

Aby temu zapobiec, rozwiązania VPN wykorzystują narzędzia, takie jak szyfrowanie danych, aby zapewnić integralność i poufność, uwierzytelnianie i autoryzację w celu weryfikacji praw użytkownika i umożliwienia dostępu do wirtualnej sieci prywatnej.

Połączenie VPN zawsze składa się z łącza punkt-punkt, znanego również jako tunel. Tunel powstaje w niezabezpieczonej sieci, którą najczęściej jest Internet.

Tunelowanie lub enkapsulacja to sposób przesyłania przydatnych informacji za pośrednictwem sieci pośredniej. Takie informacje mogą być ramkami (lub pakietami) innego protokołu. W przypadku enkapsulacji ramka nie jest przesyłana tak, jak została wygenerowana przez hosta wysyłającego, ale jest dostarczana z dodatkowym nagłówkiem zawierającym informacje o routingu, które umożliwiają przesyłanie hermetyzowanych pakietów przez sieć pośrednią (Internet). Na końcu tunelu ramki są rozpakowywane i przesyłane do odbiorcy. Zazwyczaj tunel jest tworzony przez dwa urządzenia brzegowe zlokalizowane w punktach wejścia do sieci publicznej. Jedną z wyraźnych zalet tunelowania jest to, że ta technologia umożliwia szyfrowanie całego oryginalnego pakietu, w tym nagłówka, który może zawierać dane zawierające informacje, których atakujący używają do włamania się do sieci (na przykład adresy IP, liczba podsieci itp.). ) .

Chociaż tunel VPN jest ustanawiany między dwoma punktami, każdy host może ustanowić dodatkowe tunele z innymi hostami. Na przykład, gdy trzy zdalne stacje muszą skontaktować się z tym samym biurem, do tego biura zostaną utworzone trzy oddzielne tunele VPN. We wszystkich tunelach węzeł po stronie biura może być taki sam. Jest to możliwe dzięki temu, że węzeł może szyfrować i deszyfrować dane w imieniu całej sieci, jak pokazano na rysunku:

Ryż. 6.6. Twórz tunele VPN dla wielu zdalnych lokalizacji

Użytkownik nawiązuje połączenie z bramą VPN, po czym uzyskuje dostęp do sieci wewnętrznej.

W sieci prywatnej samo szyfrowanie nie występuje. Powodem jest to, że ta część sieci jest uważana za bezpieczną i pod bezpośrednią kontrolą, w przeciwieństwie do Internetu. Dotyczy to również łączenia biur za pomocą bram VPN. W ten sposób szyfrowanie jest gwarantowane tylko dla informacji przesyłanych przez niezabezpieczony kanał między biurami.

Jest wiele różne rozwiązania do budowy wirtualnych sieci prywatnych. Najbardziej znane i szeroko stosowane protokoły to:

    PPTP (Point-to-Point Tunneling Protocol) - protokół ten stał się dość popularny dzięki włączeniu go do systemów operacyjnych Microsoft.

    L2TP (Layer-2 Tunneling Protocol) — łączy protokół L2F (Layer 2 Forwarding) i Protokół PPTP. Zwykle używany w połączeniu z IPSec.

    IPSec (Internet Protocol Security) to oficjalny standard internetowy opracowany przez społeczność IETF (Internet Engineering Task Force).

Wymienione protokoły są obsługiwane przez urządzenia D-Link.

Protokół PPTP jest przeznaczony przede wszystkim dla wirtualnych sieci prywatnych opartych na połączeniach telefonicznych. Protokół umożliwia zdalny dostęp, dzięki czemu użytkownicy mogą nawiązywać połączenia telefoniczne z dostawcami Internetu i tworzyć bezpieczny tunel do swoich sieci korporacyjnych. W przeciwieństwie do IPSec, protokół PPTP nie był pierwotnie przeznaczony do organizowania tuneli między sieciami lokalnymi. PPTP rozszerza możliwości PPP, protokołu łącza danych, który został pierwotnie zaprojektowany do enkapsulacji danych i dostarczania ich przez połączenia punkt-punkt.

Protokół PPTP umożliwia tworzenie bezpiecznych kanałów wymiany danych przy użyciu różnych protokołów - IP, IPX, NetBEUI itp. Dane tych protokołów są pakowane w ramki PPP, enkapsulowane przy użyciu protokołu PPTP w pakiety protokołu IP. Są one następnie przesyłane za pomocą protokołu IP w postaci zaszyfrowanej przez dowolną sieć TCP/IP. Węzeł odbiorczy wyodrębnia ramki PPP z pakietów IP, a następnie przetwarza je w standardowy sposób, tj. wyodrębnia pakiet IP, IPX lub NetBEUI z ramki PPP i wysyła go przez sieć lokalną. W ten sposób protokół PPTP tworzy połączenie punkt-punkt w sieci i przesyła dane przez utworzony bezpieczny kanał. Główną zaletą protokołów enkapsulacji, takich jak PPTP, jest ich wieloprotokołowy charakter. Tych. ochrona danych w warstwie łącza danych jest niewidoczna dla protokołów warstwy sieci i aplikacji. Dlatego w sieci jako transport może być używany zarówno protokół IP (jak w przypadku sieci VPN opartej na IPSec), jak i dowolny inny protokół.

Obecnie, ze względu na łatwość wdrożenia, protokół PPTP jest szeroko stosowany zarówno do uzyskania niezawodnego, bezpiecznego dostępu do sieci korporacyjnej, jak i do uzyskania dostępu do sieci ISP, gdy klient musi nawiązać połączenie PPTP z ISP w celu uzyskania dostępu do Internetu.

Metoda szyfrowania używana w PPTP jest określona w warstwie PPP. Zwykle klient PPP to: komputer stacjonarny z systemem operacyjnym Microsoft, a jako protokół szyfrowania używany jest protokół Microsoft Point-to-Point Encryption (MPPE). Protokół ten jest oparty na standardzie RSA RC4 i obsługuje szyfrowanie 40 lub 128-bitowe. W wielu zastosowaniach tego poziomu szyfrowania użycie tego algorytmu jest wystarczające, chociaż jest on uważany za mniej bezpieczny niż wiele innych algorytmów szyfrowania oferowanych przez IPSec, w szczególności 168-bit Triple-Data Encryption Standard (3DES).

Jak nawiązywane jest połączeniePPTP?

PPTP hermetyzuje pakiety IP do transmisji przez sieć IP. Klienci PPTP tworzą połączenie sterujące tunelem, które utrzymuje połączenie przy życiu. Proces ten jest realizowany w warstwie transportowej modelu OSI. Po utworzeniu tunelu komputer kliencki i serwer rozpoczynają wymianę pakietów usług.

Oprócz połączenia kontrolnego PPTP tworzone jest połączenie do przesyłania danych przez tunel. Enkapsulacja danych przed wysłaniem ich do tunelu obejmuje dwa kroki. Najpierw tworzona jest część informacyjna ramki PPP. Dane przepływają od góry do dołu, od warstwy aplikacji OSI do warstwy łącza. Otrzymane dane są następnie przesyłane do modelu OSI i enkapsulowane przez protokoły wyższych warstw.

Dane z warstwy łącza docierają do warstwy transportowej. Informacji nie można jednak przesłać do miejsca docelowego, ponieważ odpowiada za to warstwa łącza OSI. Dlatego PPTP szyfruje pole danych pakietu i przejmuje funkcje drugiego poziomu, które zwykle należą do PPP, tj. dodaje nagłówek (nagłówek) PPP i końcówkę (zawias) do pakietu PPTP. Na tym kończy się tworzenie ramki warstwy łącza. Następnie PPTP hermetyzuje ramkę PPP w pakiecie Generic Routing Encapsulation (GRE), który należy do warstwy sieci. GRE hermetyzuje protokoły warstwy sieciowej, takie jak IP, IPX, aby umożliwić ich transport przez sieci IP. Jednak korzystanie z samego protokołu GRE nie zapewni ustanowienia sesji i bezpieczeństwa danych. Wykorzystuje to zdolność PPTP do tworzenia połączenia kontroli tunelu. Wykorzystanie GRE jako metody enkapsulacji ogranicza zakres PPTP tylko do sieci IP.

Po zamknięciu ramki PPP w ramce z nagłówkiem GRE jest ona kapsułkowana w ramce z nagłówkiem IP. Nagłówek IP zawiera adresy nadawcy i odbiorcy pakietu. Na koniec PPTP dodaje nagłówek i zakończenie PPP.

Na Ryż. 6,7 przedstawia strukturę danych do przekazywania przez tunel PPTP:

Ryż. 6.7. Struktura danych do przekazywania przez tunel PPTP

Konfiguracja VPN w oparciu o PPTP nie wymaga dużych nakładów i skomplikowanych ustawień: wystarczy zainstalować serwer PPTP w centrali (rozwiązania PPTP istnieją zarówno na platformę Windows, jak i Linux) i uruchomić na komputerach klienckich niezbędne ustawienia. Jeśli potrzebujesz połączyć kilka oddziałów, zamiast konfigurować PPTP na wszystkich stacjach klienckich, lepiej użyć routera internetowego lub zapory z obsługą PPTP: ustawienia są dokonywane tylko na routerze granicznym (firewall) podłączonym do Internetu, wszystko jest całkowicie przejrzyste dla użytkowników. Przykładami takich urządzeń są wielofunkcyjne routery internetowe DIR/DSR oraz zapory sieciowe serii DFL.

GRE-tunele

Generic Routing Encapsulation (GRE) to protokół enkapsulacji pakietów sieciowych, który zapewnia tunelowanie ruchu w sieci bez szyfrowania. Przykłady użycia GRE:

    transmisja ruchu (w tym rozgłoszeniowego) przez sprzęt nieobsługujący określonego protokołu;

    tunelowanie ruchu IPv6 przez sieć IPv4;

    transmisja danych przez sieci publiczne w celu wdrożenia bezpiecznego połączenia VPN.

Ryż. 6.8. Przykład tunelu GRE

Między dwoma routerami A i B ( Ryż. 6,8) jest kilka routerów, tunel GRE umożliwia zapewnienie połączenia między sieciami lokalnymi 192.168.1.0/24 i 192.168.3.0/24 tak, jakby routery A i B były połączone bezpośrednio.

L2 TP

Protokół L2TP powstał w wyniku połączenia protokołów PPTP i L2F. Główną zaletą protokołu L2TP jest możliwość tworzenia tunelu nie tylko w sieciach IP, ale także w sieciach ATM, X.25 i Frame relay. L2TP używa UDP jako transportu i używa tego samego formatu wiadomości zarówno do zarządzania tunelami, jak i przekazywania danych.

Podobnie jak w przypadku PPTP, L2TP rozpoczyna składanie pakietu do transmisji do tunelu, dodając najpierw nagłówek PPP, a następnie nagłówek L2TP do pola danych PPP. Otrzymany w ten sposób pakiet jest enkapsulowany przez UDP. W zależności od typu wybranej zasady zabezpieczeń IPSec, L2TP może szyfrować wiadomości UDP i dodawać nagłówek i zakończenie Encapsulating Security Payload (ESP), a także zakończenie uwierzytelniania IPSec (patrz sekcja „L2TP przez IPSec”). Następnie jest enkapsulowany w IP. Dodawany jest nagłówek IP zawierający adresy nadawcy i odbiorcy. Na koniec L2TP wykonuje drugą enkapsulację PPP, aby przygotować dane do transmisji. Na Ryż. 6,9 przedstawia strukturę danych do wysłania przez tunel L2TP.

Ryż. 6.9. Struktura danych do przekazywania przez tunel L2TP

Komputer odbierający odbiera dane, przetwarza nagłówek i zakończenie PPP oraz usuwa nagłówek IP. Uwierzytelnianie IPSec uwierzytelnia pole informacji IP, a nagłówek IPSec ESP pomaga odszyfrować pakiet.

Następnie komputer przetwarza nagłówek UDP i używa nagłówka L2TP do identyfikacji tunelu. Pakiet PPP zawiera teraz tylko ładunek, który jest przetwarzany lub przekazywany do określonego odbiorcy.

IPsec (skrót od IP Security) to zestaw protokołów do zabezpieczania danych przesyłanych przez IP Internet Protocol, umożliwiający uwierzytelnianie i/lub szyfrowanie pakietów IP. IPsec zawiera również protokoły do ​​bezpiecznej wymiany kluczy w Internecie.

Bezpieczeństwo IPSec jest osiągane dzięki dodatkowym protokołom, które dodają własne nagłówki do pakietu IP - enkapsulacja. Dlatego IPSec jest standardem internetowym, więc są dla niego dokumenty RFC:

    RFC 2401 (Security Architecture for the Internet Protocol) to architektura bezpieczeństwa dla protokołu IP.

    RFC 2402 (nagłówek uwierzytelniania IP) — nagłówek uwierzytelniania IP.

    RFC 2404 (Użycie HMAC-SHA-1-96 w ramach ESP i AH) — Użycie algorytmu skrótu SHA-1 do utworzenia nagłówka uwierzytelniania.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) — Zastosowanie algorytmu szyfrowania DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) — szyfrowanie danych.

    RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) to zakres protokołu zarządzania kluczami.

    RFC 2408 ( ochrona Internetu Association and Key Management Protocol (ISAKMP) - zarządzanie kluczami i uwierzytelnieniami bezpiecznych połączeń.

    RFC 2409 (Internet Key Exchange (IKE)) — wymiana kluczy.

    RFC 2410 (Algorytm szyfrowania NULL i jego użycie z IPsec) — Algorytm szyfrowania NULL i jego użycie.

    RFC 2411 (IP Security Document Roadmap) to dalszy rozwój standardu.

    RFC 2412 (protokół określania klucza OAKLEY) — sprawdzanie autentyczności klucza.

IPsec jest integralną częścią protokołu internetowego IPv6 i opcjonalnym rozszerzeniem wersji IPv4 protokołu internetowego.

Mechanizm IPSec realizuje następujące zadania:

    uwierzytelnianie użytkowników lub komputerów podczas inicjowania bezpiecznego kanału;

    szyfrowanie i uwierzytelnianie danych przesyłanych pomiędzy punkty końcowe bezpieczny kanał;

    automatyczne zasilanie punktów końcowych kanałów tajnymi kluczami niezbędnymi do działania protokołów uwierzytelniania i szyfrowania danych.

Komponenty IPSec

Protokół AH (Authentication Header) to protokół identyfikacji nagłówka. Zapewnia integralność poprzez weryfikację, czy żadne bity w chronionej części pakietu nie zostały zmienione podczas transmisji. Jednak używanie AH może powodować problemy, na przykład, gdy pakiet przechodzi przez urządzenie NAT. NAT zmienia adres IP pakietu, aby umożliwić dostęp do Internetu z prywatnego adresu lokalnego. Dlatego w tym przypadku pakiet się zmienia, wtedy suma kontrolna AH staje się nieprawidłowa (aby wyeliminować ten problem opracowano protokół NAT-Traversal (NAT-T), który zapewnia transmisję ESP po UDP i wykorzystuje w swojej pracy port UDP 4500). Warto również zauważyć, że AH został zaprojektowany wyłącznie z myślą o uczciwości. Nie gwarantuje poufności poprzez szyfrowanie zawartości paczki.

Protokół ESP (Encapsulation Security Payload) zapewnia nie tylko integralność i uwierzytelnianie przesyłanych danych, ale także szyfrowanie danych, a także ochronę przed fałszowaniem pakietów.

Protokół ESP to hermetyzujący protokół bezpieczeństwa, który zapewnia zarówno integralność, jak i poufność. W trybie transportu nagłówek ESP znajduje się między oryginalnym nagłówkiem IP a nagłówkiem TCP lub UDP. W trybie tunelu nagłówek ESP jest umieszczany między nowym nagłówkiem IP a w pełni zaszyfrowanym oryginalnym pakietem IP.

Dlatego oba protokoły - AH i ESP - dodają własne nagłówki IP, każdy z nich posiada własny numer protokołu (ID), dzięki któremu można określić, co nastąpi po nagłówku IP. Każdy protokół, według IANA (Internet Assigned Numbers Authority - organizacji odpowiedzialnej za przestrzeń adresową Internetu), ma swój własny numer (ID). Np. dla TCP jest to 6, a dla UDP 17. Dlatego bardzo ważne jest, aby podczas pracy przez firewall skonfigurować filtry w taki sposób, aby przepuszczały pakiety z ID protokołu AH i/lub ESP .

Identyfikator protokołu 51 jest ustawiony tak, aby wskazywał, że AH jest obecny w nagłówku IP, a 50 dla ESP.

UWAGA: Identyfikator protokołu nie jest taki sam jak numer portu.

Protokół IKE (Internet Key Exchange) to standardowy protokół IPsec używany do zabezpieczania komunikacji w wirtualnych sieciach prywatnych. Celem IKE jest bezpieczne negocjowanie i dostarczanie zidentyfikowanego materiału do stowarzyszenia Security Association (SA).

SA to termin IPSec dla połączenia. Ustanowiony SA (bezpieczny kanał zwany „bezpiecznym powiązaniem” lub „powiązaniem bezpieczeństwa” — Security Association, SA) zawiera wspólny tajny klucz i zestaw algorytmów kryptograficznych.

Protokół IKE realizuje trzy główne zadania:

    zapewnia sposób uwierzytelniania między dwoma punktami końcowymi VPN;

    ustanawia nowe łącza IPSec (tworzy parę SA);

    zarządza istniejącymi relacjami.

Protokół IKE używa portu UDP o numerze 500. W przypadku korzystania z funkcji NAT Traversal, jak wspomniano wcześniej, protokół IKE używa portu UDP o numerze 4500.

Wymiana danych w IKE odbywa się w 2 fazach. W pierwszej fazie powstaje stowarzyszenie SA IKE. Jednocześnie uwierzytelniane są punkty końcowe kanału i dobierane są parametry ochrony danych, takie jak algorytm szyfrowania, klucz sesji itp.

W drugiej fazie SA IKE służy do negocjacji protokołu (zwykle IPSec).

W przypadku skonfigurowanego tunelu VPN dla każdego używanego protokołu tworzona jest jedna para SA. SA są tworzone w parach, ponieważ każde SA jest połączeniem jednokierunkowym, a dane muszą być przesyłane w dwóch kierunkach. Odebrane pary SA są przechowywane w każdym węźle.

Ponieważ każdy węzeł jest w stanie ustanowić wiele tuneli z innymi węzłami, każdy SA ma: unikalny numer A, który pozwala określić, do którego węzła należy. Numer ten nosi nazwę SPI (Security Parameter Index) lub Security Parameter Index.

SA przechowywane w bazie danych (DB) SMUTNY(Baza danych stowarzyszeń bezpieczeństwa).

Każdy węzeł IPSec ma również drugą bazę danych − SPD(Baza danych zasad bezpieczeństwa) — baza danych zasad bezpieczeństwa. Zawiera skonfigurowaną politykę hosta. Większość rozwiązań VPN umożliwia tworzenie wielu polityk z kombinacjami odpowiednich algorytmów dla każdego hosta, z którym chcesz się połączyć.

Elastyczność IPSec polega na tym, że dla każdego zadania istnieje kilka sposobów jego rozwiązania, a metody wybrane dla jednego zadania są zwykle niezależne od metod realizacji innych zadań. Jednak Grupa Robocza IETF zdefiniowała podstawowy zestaw obsługiwanych funkcji i algorytmów, które muszą być zaimplementowane jednolicie we wszystkich produktach obsługujących IPSec. Mechanizmy AH i ESP mogą być używane z różnymi schematami uwierzytelniania i szyfrowania, z których niektóre są obowiązkowe. Na przykład IPSec określa, że ​​pakiety są uwierzytelniane przy użyciu funkcji jednokierunkowej MD5 lub funkcji jednokierunkowej SHA-1, a szyfrowanie odbywa się przy użyciu algorytmu DES. Producenci produktów obsługujących protokół IPSec mogą dodawać inne algorytmy uwierzytelniania i szyfrowania. Na przykład niektóre produkty obsługują algorytmy szyfrowania, takie jak 3DES, Blowfish, Cast, RC5 itp.

Do szyfrowania danych w protokole IPSec można użyć dowolnego algorytmu szyfrowania symetrycznego, który używa tajnych kluczy.

Protokoły ochrony strumienia (AH i ESP) mogą działać w dwóch trybach - in tryb transportu i w tryb tunelowy. Podczas pracy w trybie transportowym, IPsec zajmuje się tylko informacjami warstwy transportowej; tylko pole danych pakietu zawierającego protokoły TCP/UDP jest szyfrowane (nagłówek pakietu IP nie jest zmieniany (nie jest szyfrowany)). Tryb transportu jest zwykle używany do nawiązywania połączenia między hostami.

Tryb tunelowania szyfruje cały pakiet IP, w tym nagłówek warstwy sieci. W celu przesłania go przez sieć umieszczany jest w kolejnym pakiecie IP. Zasadniczo jest to bezpieczny tunel IP. Tryb tunelowy może być używany do łączenia zdalnych komputerów z wirtualną siecią prywatną (schemat połączeń „host-sieć”) lub do organizowania bezpiecznego przesyłania danych za pośrednictwem otwarte kanałyłącza (na przykład Internet) między bramami w celu połączenia różnych części wirtualnej sieci prywatnej (schemat połączenia sieć-sieć).

Tryby IPsec nie wykluczają się wzajemnie. Na tym samym hoście niektóre SA mogą używać trybu transportu, podczas gdy inne mogą używać trybu tunelu.

Podczas fazy uwierzytelniania obliczana jest suma kontrolna ICV (wartość kontrolna integralności) pakietu. Zakłada się, że oba węzły wiedzą Sekretny klucz, który umożliwia odbiorcy obliczenie ICV i porównanie go z wynikiem przesłanym przez nadawcę. Jeśli porównanie ICV powiedzie się, nadawca pakietu jest uważany za uwierzytelnionego.

W trybie transportAH

    cały pakiet IP, z wyjątkiem niektórych pól w nagłówku IP, które można zmieniać podczas przesyłania. Pola te, których wartości do obliczenia ICV wynoszą 0, mogą być częścią usługi (Type of Service, TOS), flagami, przesunięciem fragmentu, czasem życia (TTL), a także nagłówkiem sumy kontrolnej;

    wszystkie pola w AH;

    ładunek pakietów IP.

AH w trybie transportu chroni nagłówek IP (z wyjątkiem pól, które mogą się zmieniać) oraz ładunek w oryginalnym pakiecie IP (rysunek 3.39).

W trybie tunelowym oryginalny pakiet jest umieszczany w nowym pakiecie IP, a transfer danych odbywa się na podstawie nagłówka nowego pakietu IP.

Do tryb tunelowyAH podczas wykonywania obliczeń w sumie kontrolnej ICV uwzględniane są następujące składniki:

    wszystkie pola zewnętrzny nagłówek IP, z wyjątkiem niektórych pól w nagłówku IP, które można zmieniać w trakcie transmisji. Pola te, których wartości do obliczenia ICV wynoszą 0, mogą być częścią usługi (Type of Service, TOS), flagami, przesunięciem fragmentu, czasem życia (TTL), a także nagłówkiem sumy kontrolnej;

    wszystkie pola AH;

    oryginalny pakiet IP.

Jak widać na poniższej ilustracji, tryb tunelu AH chroni cały źródłowy pakiet IP za pomocą dodatkowego nagłówka zewnętrznego, którego nie używa tryb transportu AH:

Ryż. 6.10. Tunelowe i transportowe tryby działania protokołu AN

W trybie transportESP nie uwierzytelnia całego pakietu, a jedynie chroni ładunek IP. Nagłówek ESP w trybie transportu ESP jest dodawany do pakietu IP bezpośrednio po nagłówku IP, a zakończenie ESP (ESP Trailer) jest odpowiednio dodawane po danych.

Tryb transportu ESP szyfruje następujące części pakietu:

    ładunek IP;

Algorytm szyfrowania korzystający z trybu szyfrowania Cipher Block Chaining (CBC) ma niezaszyfrowane pole między nagłówkiem ESP a ładunkiem. To pole nazywa się IV (wektor inicjujący) do obliczeń CBC, które są wykonywane na odbiorniku. Ponieważ to pole jest używane do rozpoczęcia procesu odszyfrowywania, nie można go zaszyfrować. Mimo że atakujący ma możliwość podglądu IV, nie ma możliwości odszyfrowania zaszyfrowanej części pakietu bez klucza szyfrowania. Aby uniemożliwić atakującym zmianę wektora inicjalizacji, jest on chroniony przez sumę kontrolną ICV. W takim przypadku ICV wykonuje następujące obliczenia:

    wszystkie pola w nagłówku ESP;

    ładunek zawierający tekst jawny IV;

    wszystkie pola w zwiastunie ESP z wyjątkiem pola danych uwierzytelniających.

Tryb tunelu ESP hermetyzuje cały oryginalny pakiet IP w nowym nagłówku IP, nagłówku ESP i zwiastunie ESP. Aby wskazać, że ESP jest obecny w nagłówku IP, identyfikator protokołu IP jest ustawiony na 50, pozostawiając oryginalny nagłówek IP i ładunek bez zmian. Podobnie jak w przypadku trybu tunelu AH, zewnętrzny nagłówek IP jest oparty na konfiguracji tunelu IPSec. W przypadku korzystania z trybu tunelu ESP, obszar uwierzytelniania pakietu IP pokazuje, gdzie został złożony podpis, potwierdzając jego integralność i autentyczność, a zaszyfrowana część pokazuje, że informacje są chronione i poufne. Oryginalny nagłówek jest umieszczany po nagłówku ESP. Po umieszczeniu zaszyfrowanej części w nowym nagłówku tunelu, który nie jest zaszyfrowany, przesyłany jest pakiet IP. Po wysłaniu przez sieć publiczną taki pakiet jest kierowany na adres IP bramy sieci odbierającej, a brama odszyfrowuje pakiet i odrzuca nagłówek ESP przy użyciu oryginalnego nagłówka IP, aby następnie skierować pakiet do komputera znajdującego się na sieć wewnętrzna. Tryb tunelowania ESP szyfruje następujące części pakietu:

    oryginalny pakiet IP;

  • W trybie tunelowym ESP ICV oblicza się w następujący sposób:

    wszystkie pola w nagłówku ESP;

    oryginalny pakiet IP, w tym tekst jawny IV;

    wszystkie pola nagłówka ESP z wyjątkiem pola danych uwierzytelniających.

Ryż. 6.11. Tunel i tryb transportu protokołu ESP

Ryż. 6.12. Porównanie protokołów ESP i AH

Podsumowanie trybów aplikacjiIPSec:

    Protokół - ESP (AH).

    Tryb - tunel (transport).

    Metoda wymiany kluczy - IKE (ręczna).

    Tryb IKE - główny (agresywny).

    Klucz DH – grupa 5 (grupa 2, grupa 1) – numer grupy do wybierania dynamicznie tworzonych kluczy sesji, długość grupy.

    Uwierzytelnianie — SHA1 (SHA, MD5).

    Szyfrowanie - DES (3DES, Blowfish, AES).

Podczas tworzenia polityki zwykle można utworzyć uporządkowaną listę algorytmów i grup Diffie-Hellmana. Diffie-Hellman (DH) to protokół szyfrowania używany do ustanawiania wspólnych tajnych kluczy dla IKE, IPSec i PFS (Perfect Forward Secrecy). W takim przypadku zostanie użyta pierwsza pozycja, która pasuje do obu węzłów. Bardzo ważne jest, aby wszystko w polityce bezpieczeństwa pozwalało osiągnąć ten zbieg okoliczności. Jeśli wszystko inne jest zgodne z wyjątkiem jednej części zasady, hosty nadal nie będą mogły nawiązać połączenia VPN. Podczas konfigurowania tunelu VPN między różne systemy musisz dowiedzieć się, jakie algorytmy są obsługiwane przez każdą ze stron, abyś mógł wybrać najbezpieczniejszą politykę ze wszystkich możliwych.

Główne ustawienia, które obejmuje polityka bezpieczeństwa:

    Algorytmy symetryczne do szyfrowania/deszyfrowania danych.

    Kryptograficzne sumy kontrolne sprawdzające integralność danych.

    Metoda identyfikacji węzła. Najpopularniejszymi metodami są wstępnie udostępnione klucze tajne lub certyfikaty CA.

    Czy używać trybu tunelowego czy transportu.

    Którą grupę Diffie-Hellmana użyć (grupa DH 1 (768 bitów); grupa DH 2 (1024 bity); grupa DH 5 (1536 bitów)).

    Czy używać AH, ESP, czy obu.

    Czy używać PFS.

Ograniczeniem protokołu IPSec jest to, że obsługuje tylko transfer danych w warstwie protokołu IP.

Istnieją dwa główne schematy korzystania z protokołu IPSec, różniące się rolą węzłów tworzących bezpieczny kanał.

W pierwszym schemacie między końcowymi hostami sieci tworzony jest bezpieczny kanał. W tym schemacie protokół IPSec chroni uruchomionego hosta:

Ryż. 6.13. Utwórz bezpieczny kanał między dwoma punktami końcowymi

W drugim schemacie między dwiema bramami bezpieczeństwa ustanawiany jest bezpieczny kanał. Te bramy odbierają dane od hostów końcowych podłączonych do sieci za bramami. Hosty końcowe w tym przypadku nie obsługują protokołu IPSec, ruch kierowany do sieci publicznej przechodzi przez bramę bezpieczeństwa, która wykonuje ochronę we własnym imieniu.

Ryż. 6.14. Tworzenie bezpiecznego kanału między dwiema bramami

W przypadku hostów obsługujących protokół IPSec można używać zarówno trybu transportu, jak i trybu tunelu. W przypadku bram dozwolony jest tylko tryb tunelowy.

Instalacja i wsparcieVPN

Jak wspomniano powyżej, instalacja i utrzymanie tunelu VPN to proces dwuetapowy. W pierwszym etapie (fazie) dwa węzły uzgadniają metodę identyfikacji, algorytm szyfrowania, algorytm mieszania i grupę Diffie-Hellmana. One również się identyfikują. Wszystko to może nastąpić w wyniku wymiany trzech niezaszyfrowanych wiadomości (tzw. tryb agresywny, Agresywny tryb) lub sześć komunikatów, z wymianą zaszyfrowanych informacji identyfikacyjnych (tryb standardowy, Główny tryb).

W Trybie Głównym możliwe jest negocjowanie wszystkich parametrów konfiguracyjnych urządzeń nadawcy i odbiorcy, natomiast w Trybie Agresywnym nie jest to możliwe, a niektóre parametry (grupa Diffiego-Hellmana, algorytmy szyfrowania i uwierzytelniania, PFS) muszą być wcześniej -skonfigurowany w ten sam sposób na każdym urządzeniu. Jednak w tym trybie zarówno liczba wymian, jak i wysyłanych pakietów jest mniejsza, co skutkuje krótszym czasem na ustanowienie sesji IPSec.

Ryż. 6.15. Powiadamianie w trybie standardowym (a) i agresywnym (b)

Zakładając, że operacja zakończyła się sukcesem, powstaje I faza SA − Faza 1 SA(nazywane również IKESA) i proces przechodzi do drugiej fazy.

W drugim kroku generowane są kluczowe dane, węzły uzgadniają politykę, która ma być użyta. Ten tryb, zwany także trybem szybkim, różni się od fazy 1 tym, że można go ustanowić dopiero po fazie 1, kiedy wszystkie pakiety fazy 2 są szyfrowane. Prawidłowe zakończenie drugiej fazy prowadzi do pojawienia się Faza 2 SA lub IPSecSA i na tym etapie instalacja tunelu jest uważana za zakończoną.

Najpierw pakiet dociera do węzła z adresem docelowym w innej sieci, a węzeł inicjuje pierwszą fazę z węzłem odpowiedzialnym za inną sieć. Załóżmy, że tunel między węzłami został pomyślnie ustanowiony i czeka na pakiety. Jednak po pewnym czasie węzły muszą ponownie się zidentyfikować i porównać zasady. Okres ten nazywany jest czasem życia Fazy Pierwszej lub czasem życia IKE SA.

Węzły muszą również zmienić klucz, aby zaszyfrować dane po okresie czasu zwanym okresem życia fazy drugiej lub IPSec SA.

Żywotność drugiej fazy jest krótsza niż pierwszej fazy, ponieważ klucz musi być częściej zmieniany. Musisz ustawić te same parametry czasu życia dla obu węzłów. Jeśli nie zostanie to zrobione, możliwe jest, że początkowo tunel zostanie pomyślnie ustanowiony, ale po pierwszym niespójnym okresie życia połączenie zostanie przerwane. Problemy mogą również pojawić się, gdy czas życia pierwszej fazy jest krótszy niż drugiej fazy. Jeśli wcześniej skonfigurowany tunel przestanie działać, pierwszą rzeczą do sprawdzenia jest czas życia na obu węzłach.

Należy również zauważyć, że jeśli zmienisz politykę na jednym z węzłów, zmiany zaczną obowiązywać dopiero przy następnym początku pierwszej fazy. Aby zmiany zaczęły obowiązywać natychmiast, musisz usunąć SA dla tego tunelu z bazy danych SAD. Wymusi to zmianę umowy między węzłami z nowymi ustawieniami zasad bezpieczeństwa.

Czasami przy tworzeniu tunelu IPSec pomiędzy urządzeniami różnych producentów pojawiają się trudności związane z koordynacją parametrów podczas ustanawiania pierwszej fazy. Należy zwrócić uwagę na taki parametr jak Local ID - jest to unikalny identyfikator punktu końcowego tunelu (nadawcy i odbiorcy). Jest to szczególnie ważne podczas tworzenia wielu tuneli i korzystania z protokołu NAT Traversal.

Nie żyjerówieśnikwykrycie

Podczas działania VPN, jeśli nie ma ruchu między punktami końcowymi tunelu lub jeśli początkowe dane zdalnego węzła ulegną zmianie (na przykład zmiana dynamicznie przypisanego adresu IP), może wystąpić sytuacja, gdy tunel zasadniczo nie jest już taki , stając się jakby tunelem duchów. W celu utrzymania stałej gotowości do wymiany danych w tworzonym tunelu IPSec mechanizm IKE (opisany w RFC 3706) pozwala kontrolować obecność ruchu ze zdalnego węzła tunelu, a w przypadku jego nieobecności przez określony czas, wysyłana jest wiadomość hello (w firewallach D-Link wysyła wiadomość "DPD-R-U-THERE"). W przypadku braku odpowiedzi na ten komunikat w określonym czasie, w zaporach sieciowych D-Link ustawionych w ustawieniach „Czas wygaśnięcia DPD”, tunel jest zdemontowany. Następnie zapory sieciowe D-Link, korzystające z ustawień „DPD Keep Time” ( Ryż. 6.18) automatycznie spróbuje ponownie ustanowić tunel.

ProtokółNATPrzemierzanie

Ruch IPsec może być kierowany zgodnie z tymi samymi regułami, co inne protokoły IP, ale ponieważ router nie zawsze może wyodrębnić informacje specyficzne dla protokołów warstwy transportowej, IPsec nie może przejść przez bramy NAT. Jak wspomniano wcześniej, aby rozwiązać ten problem, IETF zdefiniował sposób enkapsulacji ESP w UDP o nazwie NAT-T (NAT Traversal).

Protokół NAT Traversal hermetyzuje ruch IPSec i jednocześnie tworzy pakiety UDP, które NAT prawidłowo przekazuje dalej. W tym celu NAT-T umieszcza dodatkowy nagłówek UDP przed pakietem IPSec, aby był traktowany jako zwykły pakiet UDP w całej sieci, a host odbiorcy nie przeprowadzał żadnych kontroli integralności. Po dotarciu pakietu do miejsca docelowego nagłówek UDP jest usuwany, a pakiet danych jest kontynuowany w postaci hermetyzowanego pakietu IPSec. Dzięki temu, wykorzystując mechanizm NAT-T, możliwe jest nawiązanie komunikacji między klientami IPSec w bezpiecznych sieciach a publicznymi hostami IPSec przez zapory.

Podczas konfigurowania zapór sieciowych D-Link na urządzeniu odbiorczym należy zwrócić uwagę na dwa punkty:

    w polach Sieć zdalna i Zdalny punkt końcowy określ sieć i adres IP zdalnego urządzenia wysyłającego. Konieczne jest umożliwienie translacji adresu IP inicjatora (nadawcy) przy użyciu technologii NAT (rysunek 3.48).

    podczas korzystania z kluczy współdzielonych z wieloma tunelami podłączonymi do tego samego pilota zapora sieciowa które zostały poddane translacji NAT do tego samego adresu, ważne jest, aby upewnić się, że identyfikator lokalny jest unikalny dla każdego tunelu.

Lokalny ID może być jednym z:

    Automatyczny– jako identyfikator lokalny używany jest adres IP interfejsu ruchu wychodzącego.

    IP– adres IP portu WAN zdalnego firewalla

    DNS– adres DNS

    Sieci prywatne są używane przez organizacje do łączenia się z lokalizacjami zdalnymi i innymi organizacjami. Sieci prywatne składają się z linii komunikacyjnych dzierżawionych od różnych firm telefonicznych i dostawców usług internetowych. Łącza te charakteryzują się tym, że łączą tylko dwie lokacje, będąc jednocześnie oddzielonymi od innego ruchu, ponieważ łącza dzierżawione zapewniają dwukierunkową komunikację między dwiema lokacjami. Sieci prywatne mają wiele zalet.

    • Informacje są utrzymywane w tajemnicy.
    • Zdalne witryny mogą natychmiast wymieniać informacje.
    • Użytkownicy zdalni nie czują się odizolowani od systemu, do którego uzyskują dostęp.

    Niestety tego typu sieć ma jedną dużą wadę – wysoki koszt. Korzystanie z sieci prywatnych jest bardzo kosztowne. Korzystanie z wolniejszych łączy może zaoszczędzić pieniądze, ale wtedy zdalni użytkownicy zaczną zauważać brak szybkości, a niektóre z wyżej wymienionych korzyści staną się mniej oczywiste.

    Wraz ze wzrostem liczby użytkowników Internetu wiele organizacji przeszło na korzystanie z wirtualnych sieci prywatnych (VPN). Wirtualne sieci prywatne zapewniają wiele korzyści płynących z sieci prywatnych przy niższych kosztach. Jednak wraz z wprowadzeniem VPN pojawia się szereg pytań i zagrożeń dla organizacji. Dobrze zbudowana wirtualna sieć prywatna może przynieść organizacji ogromne korzyści. Jeśli VPN jest zaimplementowany niepoprawnie, wszystkie informacje przesyłane przez VPN są dostępne z Internetu.

    Definicja wirtualnych sieci prywatnych

    Zamierzamy więc przesyłać poufne dane organizacji przez Internet bez korzystania z dzierżawionych kanałów komunikacji, jednocześnie podejmując wszelkie działania, aby zapewnić prywatność ruchu. Jak będziemy w stanie oddzielić nasz ruch od ruchu innych użytkowników globalnej sieci? Odpowiedzią na to pytanie jest szyfrowanie.

    W Internecie można znaleźć ruch dowolnego typu. Duża część tego ruchu jest przesyłana w sposób jawny, a każdy użytkownik obserwujący ten ruch będzie w stanie go rozpoznać. Dotyczy to większości ruchu pocztowego i internetowego, a także sesji telnet i FTP. Ruch Secure Shell (SSH) i Hypertext Transfer Protocol Secure (HTTPS) jest ruchem zaszyfrowanym i nie może być przeglądany przez użytkownika wykrywającego pakiety. Jednak ruch taki jak SSH i HTTPS nie tworzy VPN.

    Wirtualne sieci prywatne mają kilka cech.

    • Ruch jest szyfrowany, aby zapewnić ochronę przed podsłuchem.
    • Witryna zdalna została uwierzytelniona.
    • Sieci VPN zapewniają obsługę wielu protokołów.
    • Połączenie zapewnia komunikację tylko między dwoma określonymi abonentami.

    Ponieważ protokoły SSH i HTTPS nie obsługują wielu protokołów, to samo dotyczy prawdziwych sieci VPN. Pakiety VPN są mieszane z normalnym przepływem ruchu internetowego i istnieją osobno, ponieważ ruch ten może być odczytywany tylko przez punkty końcowe połączenia.

    Notatka

    Możliwe jest zaimplementowanie ruchu przechodzącego przez sesję SSH za pomocą tuneli. Jednak na potrzeby tego wykładu nie będziemy traktować SSH jako VPN.

    Przyjrzyjmy się bliżej każdej z cech VPN. Jak wspomniano powyżej, ruch VPN jest szyfrowany w celu ochrony przed podsłuchem. Szyfrowanie musi być wystarczająco silne, aby zagwarantować poufność przesyłać informacje tak długo, jak jest to istotne. Hasła mają 30-dniowy okres ważności (przy założeniu polityki zmiany hasła co 30 dni); informacje niejawne nie mogą jednak z biegiem lat tracić na wartości. Dlatego algorytm szyfrowania i korzystanie z VPN powinny zapobiec nielegalnemu odszyfrowaniu ruchu przez kilka lat.

    Drugą cechą jest to, że witryna zdalna jest uwierzytelniana. Ta funkcja może wymagać uwierzytelnienia niektórych użytkowników na serwerze centralnym lub wzajemnego uwierzytelnienia obu węzłów, z którymi łączy się sieć VPN. Stosowany mechanizm uwierzytelniania jest kontrolowany przez politykę. Polityka może przewidywać uwierzytelnianie użytkowników dwoma parametrami lub z wykorzystaniem haseł dynamicznych. Na wzajemne uwierzytelnianie obie strony mogą być wymagane do wykazania znajomości pewnego wspólnego sekretu (tajemnica to pewne informacje znane obu stronom z góry), lub

    Wirtualne sieci prywatne (VPN) przyciągają szczególną uwagę zarówno dostawców usług sieciowych i dostawców usług internetowych, jak i użytkowników korporacyjnych. Infonetics Research przewiduje, że rynek VPN będzie rósł o ponad 100% rocznie do 2003 roku i osiągnie 12 miliardów dolarów.

    Zanim opowiem o popularności VPN, przypomnę, że właśnie prywatne (korporacyjne) sieci transmisji danych budowane są z reguły z wykorzystaniem dzierżawionych (dedykowanych) kanałów komunikacji publicznych komutowanych sieci telefonicznych. Przez wiele lat te prywatne sieci były projektowane z myślą o specyficznych wymaganiach korporacyjnych, czego efektem są zastrzeżone protokoły obsługujące zastrzeżone aplikacje (jednak ostatnio popularność zyskały protokoły Frame Relay i ATM). Dedykowane kanały pozwalają zapewnić niezawodną ochronę poufnych informacji, ale drugą stroną medalu są wysokie koszty eksploatacji i trudności w rozbudowie sieci, nie mówiąc już o możliwości podłączenia do niej użytkownika mobilnego w niezamierzonym punkcie. W tym samym czasie dla nowoczesny biznes charakteryzuje się znacznym rozproszeniem i mobilnością siły roboczej. Coraz więcej użytkowników potrzebuje dostępu do informacji firmowych za pośrednictwem kanałów dial-up, rośnie też liczba pracowników pracujących w domu.

    Co więcej, sieci prywatne nie są w stanie zapewnić takich samych możliwości biznesowych, jakie oferują aplikacje internetowe i oparte na protokole IP, takich jak promocja produktów, obsługa klienta lub ciągła komunikacja z dostawcami. Ta interakcja online wymaga połączenia sieci prywatnych, które zazwyczaj wykorzystują różne protokoły i aplikacje, różne systemy zarządzanie siecią i różnymi dostawcami usług komunikacyjnych.

    Stąd wysoki koszt, statyczny charakter i trudności, które pojawiają się, gdy konieczne jest łączenie sieci prywatnych opartych o różne technologie, stoją w konflikcie z dynamicznie rozwijającym się biznesem, jego dążeniem do decentralizacji i niedawnym trendem fuzji.

    Równolegle działają też pozbawione tych wad publiczne sieci transmisji danych oraz Internet, który dosłownie ogarnął swoją „siecią” cały glob. To prawda, że ​​są też pozbawieni najważniejszej zalety sieci prywatnych – niezawodnej ochrony informacji firmowych. Technologia wirtualnej sieci prywatnej łączy elastyczność, skalowalność, niski koszt i dostępność dosłownie w dowolnym miejscu Internetu i sieci publicznych z bezpieczeństwem sieci prywatnych. U podstaw VPN są sieci prywatne, które wykorzystują sieci globalne do przesyłania ruchu. dostęp publiczny(Internet, Frame Relay, ATM). Wirtualność przejawia się w tym, że dla użytkownika korporacyjnego wydają się być dedykowanymi sieciami prywatnymi.

    ZGODNOŚĆ

    Problemy ze zgodnością nie pojawiają się, jeśli sieci VPN bezpośrednio korzystają z usług Frame Relay i ATM, ponieważ są one dość dobrze przystosowane do pracy w środowisku wieloprotokołowym i nadają się zarówno do zastosowań IP, jak i innych. Wystarczy w tym przypadku dysponować odpowiednią infrastrukturą sieciową obejmującą wymagany obszar geograficzny. Najczęściej używanymi urządzeniami dostępowymi są urządzenia dostępowe Frame Relay lub routery z interfejsami Frame Relay i ATM. Wiele stałych lub przełączanych obwodów wirtualnych może pracować (wirtualnie) z dowolną kombinacją protokołów i topologii. Sprawa komplikuje się, jeśli VPN opiera się na Internecie. W takim przypadku aplikacje muszą być kompatybilne z protokołem IP. Pod warunkiem spełnienia tego warunku można wykorzystać Internet „takim, jaki jest” do zbudowania VPN, po uprzednim zapewnieniu niezbędnego poziomu bezpieczeństwa. Ponieważ jednak większość sieci prywatnych jest wieloprotokołowych lub korzysta z nieoficjalnych, wewnętrznych adresów IP, nie mogą one bezpośrednio łączyć się z Internetem bez odpowiedniej adaptacji. Istnieje wiele rozwiązań kompatybilności. Najpopularniejsze to:
    - konwersja istniejących protokołów (IPX, NetBEUI, AppleTalk lub inne) na protokół IP z oficjalnym adresem;
    - konwersja wewnętrznych adresów IP na oficjalne adresy IP;
    — instalacja specjalnych bramek IP na serwerach;
    — wykorzystanie wirtualnego routingu IP;
    — zastosowanie uniwersalnej techniki tunelowania.
    Pierwsza droga jest jasna, więc przyjrzyjmy się pokrótce pozostałym.
    Konwersja wewnętrznych adresów IP na oficjalne jest konieczna, gdy sieć prywatna opiera się na protokole IP. Translacja adresów dla całej sieci firmowej nie jest konieczna, ponieważ oficjalne adresy IP mogą współistnieć z wewnętrznymi na przełącznikach i routerach w sieci firmowej. Innymi słowy, serwer z oficjalnym adresem IP jest nadal dostępny dla klienta sieci prywatnej poprzez lokalną infrastrukturę. Najczęściej stosowaną techniką jest dzielenie małego bloku oficjalnych adresów przez wielu użytkowników. Jest to podobne do dzielenia puli modemów, ponieważ również opiera się na założeniu, że nie wszyscy użytkownicy potrzebują dostępu do Internetu w tym samym czasie. Istnieją tutaj dwa standardy branżowe, protokół dynamicznej konfiguracji hosta (DHCP) i translacja adresów sieciowych (NAT), które mają nieco inne podejścia. DHCP dzierżawi adres hostowi na czas określony przez administratora sieci, podczas gdy NAT tłumaczy wewnętrzny adres IP do urzędnika dynamicznie, na czas trwania sesji komunikacyjnej z
    Internet.

    Innym sposobem na zapewnienie kompatybilności sieci prywatnej z Internetem jest zainstalowanie bramy IP. Brama tłumaczy protokoły inne niż IP na protokoły IP i odwrotnie. Większość sieci system operacyjny które używają natywnych protokołów mają oprogramowanie dla bramy IP.

    Istotą wirtualnego routingu IP jest rozszerzenie prywatnych tablic routingu i przestrzeni adresowej na infrastrukturę (routery i przełączniki) dostawcy usług internetowych. Wirtualny router IP jest logiczną częścią fizycznego routera IP, którego właścicielem i operatorem jest usługodawca. Każdy router wirtualny obsługuje określoną grupę użytkowników.
    Jednak chyba najbardziej Najlepszym sposobem interoperacyjność można osiągnąć za pomocą technik tunelowania. Techniki te są używane od dawna do przesyłania wieloprotokołowego strumienia pakietów przez wspólną sieć szkieletową. Ta sprawdzona technologia jest obecnie zoptymalizowana pod kątem sieci VPN opartych na Internecie.
    Główne elementy tunelu to:
    — inicjator tunelu;
    — sieć trasowana;
    - przełącznik tunelowy (opcja);
    — jeden lub więcej terminatorów tunelu.
    Tunelowanie musi być wykonane na obu końcach łącza typu koniec-koniec. Tunel musi zaczynać się inicjatorem tunelu i kończyć się terminatorem tunelu. Inicjowanie i kończenie operacji tunelowych może być wykonywane przez różne urządzenia sieciowe i oprogramowanie. Na przykład tunel może być zainicjowany przez komputer użytkownika zdalnego, na którym zainstalowano modem i oprogramowanie VPN, router frontonu w oddziale firmy lub koncentrator dostępu do sieci u dostawcy usług.

    W przypadku transmisji przez Internet pakiety inne niż protokoły sieciowe IP są enkapsulowane po stronie źródłowej w pakiety IP. Najczęściej stosowaną metodą tworzenia tuneli VPN jest enkapsulacja pakietu innego niż IP w pakiecie PPP (Point-to-Point Protocol), a następnie enkapsulacja go w pakiecie IP. Przypomnę, że protokół PPP jest używany do połączeń punkt-punkt, na przykład do komunikacji klient-serwer. Proces enkapsulacji IP polega na dodaniu standardowego nagłówka IP do oryginalnego pakietu, który jest następnie traktowany jako przydatna informacja. Odpowiedni proces na drugim końcu tunelu usuwa nagłówek IP, pozostawiając oryginalny pakiet bez zmian. Ponieważ technologia tunelowania jest dość prosta, jest również najbardziej przystępna cenowo.

    BEZPIECZEŃSTWO

    Zapewnienie wymaganego poziomu bezpieczeństwa jest często podstawowym czynnikiem, gdy firma rozważa korzystanie z internetowych sieci VPN. Wielu menedżerów IT jest przyzwyczajonych do nieodłącznej ochrony prywatności sieci prywatnych i postrzega Internet jako zbyt „publiczny”, aby można go było używać jako sieci prywatnej. Jeśli używasz terminologii angielskiej, istnieją trzy „P”, których wdrożenie razem zapewnia pełną ochronę informacji. To:
    Ochrona - ochrona zasobów za pomocą firewalli (firewall);
    Dowód – weryfikacja tożsamości (integralności) przesyłki oraz uwierzytelnienie nadawcy (potwierdzenie prawa dostępu);
    Prywatność - ochrona poufnych informacji za pomocą szyfrowania.
    Wszystkie trzy P są równie ważne dla każdej sieci korporacyjnej, w tym VPN. W sieciach stricte prywatnych, aby chronić zasoby i poufność informacji, wystarczy użyć dość proste hasła. Ale kiedy sieć prywatna jest połączona z publiczną, żaden z trzech P nie może zapewnić niezbędnej ochrony. Dlatego dla dowolny VPN zapory ogniowe muszą być zainstalowane we wszystkich punktach jego interakcji z siecią publiczną, a pakiety muszą być szyfrowane i uwierzytelniane.

    Zapory sieciowe są niezbędnym elementem każdej sieci VPN. Zezwalają tylko na autoryzowany ruch zaufanym użytkownikom i blokują wszystko inne. Innymi słowy, krzyżowane są wszystkie próby dostępu ze strony nieznanych lub niezaufanych użytkowników. Ta forma ochrony musi być zapewniona dla każdej witryny i każdego użytkownika, ponieważ nie posiadanie jej nigdzie oznacza nie posiadanie jej wszędzie. W celu zapewnienia bezpieczeństwa wirtualnych sieci prywatnych stosowane są specjalne protokoły. Protokoły te umożliwiają hostom „negocjowanie” stosowanej techniki szyfrowania i podpisu cyfrowego, zachowując w ten sposób poufność i integralność danych oraz uwierzytelniając użytkownika.

    Microsoft Point-to-Point Encryption Protocol (MPPE) szyfruje pakiety PPP na komputerze klienckim przed wysłaniem ich do tunelu. Sesja szyfrowania jest inicjowana podczas nawiązywania komunikacji z terminatorem tunelu przy użyciu protokołu
    PPP.

    Bezpieczne protokoły IP (IPSec) to seria wstępnych standardów opracowywanych przez Internet Engineering Task Force (IETF). Grupa zaproponowała dwa protokoły: Authentication Header (AH) i Encapsulating Security Payload (ESP). Protokół AH dodaje do nagłówka podpis cyfrowy, który uwierzytelnia użytkownika i zapewnia integralność danych, śledząc wszelkie zmiany w tranzycie. Protokół ten chroni tylko dane, pozostawiając część adresową pakietu IP bez zmian. Z drugiej strony protokół ESP może szyfrować cały pakiet (tryb tunelowy) lub tylko dane (tryb transportowy). Protokoły te są używane zarówno osobno, jak i w połączeniu.

    Do zarządzania bezpieczeństwem wykorzystywany jest branżowy standard RADIUS (Remote Authentication Dial-In User Service), który jest bazą profili użytkowników zawierającą hasła (uwierzytelnianie) i prawa dostępu (autoryzacja).

    Funkcje bezpieczeństwa nie ograniczają się do podanych przykładów. Wielu producentów routerów i zapór ogniowych oferuje własne rozwiązania. Wśród nich są Ascend, CheckPoint i Cisco.

    DOSTĘPNOŚĆ

    Dostępność obejmuje trzy równie ważne elementy: czas świadczenia usługi, wydajność i czas opóźnienia. Czas świadczenia usługi jest przedmiotem umowy z usługodawcą, a pozostałe dwa elementy związane są z elementami jakości usługi (Quality of Service – QoS). Nowoczesne technologie transport pozwala na zbudowanie sieci VPN spełniającej wymagania niemal wszystkich istniejących aplikacji.

    STEROWALNOŚĆ

    Administratorzy sieci zawsze chcą mieć możliwość zarządzania kompleksowo, od końca do końca sieć korporacyjna, w tym część dotyczącą firmy telekomunikacyjnej. Okazuje się, że VPN zapewniają w tym zakresie więcej opcji niż zwykłe sieci prywatne. Typowe sieci prywatne są administrowane „od granicy do granicy”, tj. usługodawca zarządza siecią aż do przednich routerów sieci korporacyjnej, podczas gdy abonent sam zarządza siecią korporacyjną aż do urządzeń dostępowych WAN. Technologia VPN unika tego rodzaju podziału „stref wpływów”, zapewniając zarówno dostawcy, jak i abonentowi jeden system zarządzania siecią jako całością, zarówno jej częścią korporacyjną, jak i infrastrukturą sieciową sieci publicznej. Administrator sieci korporacyjnej ma możliwość monitorowania i rekonfiguracji sieci, zarządzania urządzeniami dostępu z przodu oraz określania stanu sieci w czasie rzeczywistym.

    ARCHITEKTURA VPN

    Istnieją trzy modele architektury wirtualnej sieci prywatnej: zależne, niezależne i hybrydowe jako połączenie dwóch pierwszych alternatyw. Przynależność do konkretnego modelu zależy od tego, gdzie zaimplementowano cztery główne wymagania dotyczące VPN. Jeśli globalny dostawca usług sieciowych zapewnia kompletne rozwiązanie VPN, tj. zapewnia tunelowanie, bezpieczeństwo, wydajność i zarządzanie, uzależnia od tego architekturę. W tym przypadku wszystkie procesy VPN są przezroczyste dla użytkownika i widzi on tylko swój natywny ruch — pakiety IP, IPX lub NetBEUI. Zaletą architektury zależnej dla abonenta jest to, że może on korzystać z istniejącej infrastruktury sieciowej „tak jak jest”, dodając jedynie zaporę sieciową między VPN a siecią prywatną.
    WAN/LAN.

    Niezależna architektura jest wdrażana, gdy organizacja zapewnia wszystkie wymagania technologiczne na swoim sprzęcie, delegując tylko funkcje transportowe na usługodawcę. Taka architektura jest droższa, ale daje użytkownikowi pełną kontrolę nad wszystkimi operacjami.

    Architektura hybrydowa obejmuje lokacje zależne i niezależne od organizacji (odpowiednio od dostawcy usług).

    Jakie są obietnice VPN dla użytkowników korporacyjnych? Przede wszystkim według analityków przemysłowych jest to obniżenie kosztów dla wszystkich rodzajów telekomunikacji z 30 do 80%. A także jest to niemal wszechobecny dostęp do sieci korporacji lub innych organizacji; jest to wdrożenie bezpiecznej komunikacji z dostawcami i klientami; jest to ulepszona i ulepszona usługa niedostępna w sieciach PSTN i wiele więcej. Specjaliści postrzegają VPN jako nową generację komunikacji sieciowej, a wielu analityków uważa, że ​​VPN wkrótce zastąpią większość prywatnych sieci opartych na liniach dzierżawionych.