V tomto článku odpovieme na najviac FAQčo je server VPN, povieme vám, či môže VPN zvýšiť vašu bezpečnosť, či potrebujete použiť Double VPN a ako skontrolovať, či služba VPN uchováva protokoly, ako aj čo moderné technológie existujú na ochranu osobných údajov.

VPN je virtuálna privátna sieť, ktorý zabezpečuje šifrovanie medzi klientom a serverom VPN.


Hlavným účelom VPN je šifrovanie prevádzky a zmena IP adresy.

Pozrime sa, prečo a kedy je to potrebné.

Na čo je VPN?

Všetci poskytovatelia internetových služieb zaznamenávajú aktivity svojich zákazníkov na internete. To znamená, že poskytovateľ internetu vie, aké stránky ste navštívili. Je to potrebné na poskytnutie všetkých informácií o páchateľovi v prípade žiadostí polície, ako aj na zbavenie právnej zodpovednosti za konanie používateľa.

Situácií, kedy používateľ potrebuje chrániť svoje osobné údaje na internete a získať slobodu komunikácie, je veľa.

Príklad 1. Existuje obchod a je potrebné preniesť dôverné údaje cez internet, aby ich nikto nemohol zachytiť. Väčšina spoločností využíva technológiu VPN na prenos informácií medzi pobočkami spoločnosti.

Príklad 2. Mnohé služby na internete fungujú na princípe georeferencovania na lokalitu a zakazujú prístup používateľom z iných krajín.

Napríklad služba Yandex Music funguje iba pre IP adresy z Ruska a krajín bývalého SNŠ. Celá rusky hovoriaca populácia žijúca v iných krajinách teda nemá prístup k tejto službe.

Príklad 3. Blokovanie určitých stránok v kancelárii a v krajine. Kancelárie často blokujú prístup sociálne siete aby zamestnanci nestrácali pracovný čas komunikáciou.

Napríklad Čína mnohé zablokovala služby Google. Ak obyvateľ Číny spolupracuje so spoločnosťou z Európy, potom je potrebné použiť služby ako Google Disk.

Príklad 4. Skryť navštívené stránky pred ISP. Sú chvíle, keď potrebujete skryť zoznam navštívených stránok pred poskytovateľom internetu. Všetka prevádzka bude šifrovaná.


Vďaka šifrovaniu prenosu váš ISP nebude vedieť, aké stránky ste na internete navštívili. V tomto prípade bude vaša IP adresa na internete patriť do krajiny servera VPN.

Keď sa pripojíte k sieti VPN, medzi počítačom a serverom VPN sa vytvorí zabezpečený kanál. Všetky údaje v tomto kanáli sú šifrované.


Vďaka VPN budete mať slobodu komunikovať a chrániť svoje osobné údaje.

V denníkoch poskytovateľa internetu bude súbor rôzne postavy. Na obrázku nižšie je znázornená analýza údajov získaných špeciálnym programom.

V hlavičke HTTP hneď vidíte, na ktorú stránku sa pripájate. Tieto údaje zaznamenávajú poskytovatelia internetových služieb.


Nasledujúci obrázok zobrazuje hlavičku HTTP pri používaní VPN. Údaje sú šifrované a nie je možné zistiť, ktoré stránky ste navštívili.

Ako sa pripojiť k sieti VPN

Existuje niekoľko spôsobov, ako sa pripojiť k sieti VPN.

  • PPTP je zastaraný protokol. Väčšina moderných operačných systémov ho vylúčila zo zoznamu podporovaných. Nevýhody PPTP - nízka stabilita pripojenia. Pripojenie môže prepadnúť a nezabezpečené dáta môžu uniknúť na internet.
  • Pripojenie L2TP (IPSec) je spoľahlivejšie. Tiež zabudované do väčšiny operačných systémov (Windows, Mac OS, Linux, iOS, Android, Windows telefón a ďalšie). Má lepšiu spoľahlivosť ako pripojenie PPTP.
  • Pripojenie SSTP bolo vyvinuté relatívne nedávno. Je podporovaný iba v systéme Windows, takže nie je široko používaný.
  • IKEv2 je moderný protokol založený na IPSec. Tento protokol nahradil protokol PPTP a podporujú ho všetky populárne operačné systémy.
  • Pripojenie OpenVPN sa považuje za najspoľahlivejšie. Túto technológiu je možné flexibilne konfigurovať a pri výpadku spojenia OpenVPN zablokuje odosielanie nechránených dát do internetu.

Pre technológiu OpenVPN existujú 2 protokoly prenosu údajov:

  • UDP protokol - rýchla prevádzka (odporúča sa pre VoiP telefóny, Skype, online hry)
  • TCP protokol - charakterizovaný spoľahlivosťou prenášaných dát (vyžaduje potvrdenie prijatia paketu). Funguje trochu pomalšie ako UDP.

Ako nastaviť VPN

Nastavenie pripojenia VPN trvá niekoľko minút a líši sa v spôsobe pripojenia VPN.

V našej službe používame pripojenia PPTP a OpenVPN.

Zabezpečenie VPN

Vždy sa budeme baviť o komplexnom prístupe k bezpečnosti. Bezpečnosť používateľa nespočíva len v samotnom VPN pripojení. Je dôležité, aký program používate na pripojenie k serveru VPN.

V súčasnosti služby ponúkajú pohodlných VPN klientov – sú to programy, ktoré uľahčujú nastavenie VPN pripojenia. My sami ponúkame pohodlného klienta VPN. Vďaka takýmto programom nastavenie pripojenia VPN netrvá dlhšie ako 1 minútu.


Keď sme prvýkrát začali poskytovať služby VPN v roku 2006, všetci naši používatelia si nastavili oficiálnu aplikáciu OpenVPN. Má otvorený zdroj. Samozrejme, nastavenie oficiálneho klienta OpenVPN zaberie viac času. Pozrime sa však, čo je lepšie použiť z hľadiska anonymity.

Anonymita klienta VPN

V používaní takýchto programov vidíme nebezpečenstvo. Ide o to, že zdrojový kód takýchto programov je majetkom firmy a v záujme zachovania jedinečnosti jej programu ho nikto nezverejňuje.

Používatelia nemôžu zistiť, aké údaje o vás program zhromažďuje, ak nemáte otvorený zdrojový kód.

VPN programy a môže vás identifikovať ako konkrétneho používateľa, aj keď sú protokoly na serveri vypnuté.

Každý program môže mať funkciu zaznamenávania stránok, ktoré ste navštívili, vašej skutočnej IP adresy. A keďže svoje prihlasovacie údaje do programu zadávate sami, vo všeobecnosti nemožno hovoriť o anonymite používania programu.

Ak vaša aktivita vyžaduje vysokú úroveň anonymity, odporúčame vám, aby ste sa vzdali týchto programov VPN a použili oficiálnu verziu OpenVPN s otvoreným zdrojom.

Spočiatku vám to bude nepríjemné. Časom si ale zvyknete, ak je pre vás faktor bezpečnosti a anonymity na prvom mieste.

Garantujeme, že Secure Kit o vás neukladá žiadne údaje. Ale musíme vás varovať, že takéto programy vás môžu špehovať.

Ďalší nápad ako zvýšiť svoju bezpečnosť prišiel z pohľadu geografickej polohy serverov. Na internete sa nazýva offshore VPN.

Čo je to offshore VPN

Rôzne krajiny majú inú úroveň legislatívy. Sú silné štáty so silnými zákonmi. A sú malé krajiny, ktorých úroveň rozvoja to neumožňuje ochranu informáciíúdaje vo vašej krajine.

Pôvodne sa pojem offshore používal na označenie krajiny, v ktorej je daňová politika uvoľnená. Takéto krajiny majú veľmi nízke dane z podnikania. Globálne spoločnosti sa začali zaujímať o legálne daňové úniky vo svojej krajine a offshore bankové účty na Kajmanských ostrovoch sa stali veľmi populárnymi.

V súčasnosti už v mnohých krajinách sveta platia zákazy používania bankových účtov v offshore krajinách.

Väčšina offshore krajín sú malé štáty nachádzajúce sa v odľahlých kútoch planéty. Servery v takýchto krajinách sa hľadajú ťažšie a sú drahšie kvôli chýbajúcej rozvinutej internetovej infraštruktúre. Servery VPN v takýchto krajinách sa začali nazývať offshore.

Ukazuje sa, že slovo offshore VPN neznamená anonymnú VPN, ale hovorí len o územnej príslušnosti k offshore štátu.

Mali by ste používať offshore VPN?

Offshore VPN predstavuje ďalšie výhody z hľadiska anonymity.

Myslíte si, že je oveľa jednoduchšie napísať formálnu žiadosť:

  • na policajné oddelenie v Nemecku
  • alebo na policajné oddelenie na ostrovoch v Antigua Barbuda

Offshore VPN je ďalšou vrstvou ochrany. Je dobré používať offshore server ako súčasť reťazca Double VPN.

Nie je potrebné používať iba 1 offshore server VPN a myslieť si, že je úplne bezpečný. K svojej bezpečnosti a anonymite na internete musíte pristupovať z rôznych uhlov pohľadu.

Použite offshore VPN ako prepojenie na vašu anonymitu.

A je čas odpovedať na najčastejšie kladené otázky. Môže anonymná služba VPN viesť denníky? A ako zistiť, či služba uchováva denníky?

Anonymná služba VPN a protokoly. Ako byť?

Anonymná služba VPN by nemala uchovávať denníky. Inak sa to už nedá nazvať anonymným.

Zostavili sme zoznam otázok, vďaka ktorým môžete presne určiť, či služba vedie denníky.

Teraz máte úplné informácie o pripojeniach VPN. Tieto znalosti stačia na to, aby ste sa na internete stali anonymnými a prenos osobných údajov bol bezpečný.

Nové technológie VPN

Existujú nejaké nové trendy v oblasti VPN?

Už sme hovorili o výhodách a nevýhodách sériového kaskádovania serverov VPN (Double, Triple, Quad VPN).

Aby ste sa vyhli nevýhodám technológie Double VPN, môžete vytvoriť paralelnú kaskádu reťazcov. Nazvali sme to Paralelná VPN.

Čo je paralelná VPN

Podstatou paralelnej VPN je nasmerovať prevádzku na paralelný dátový kanál.

Nevýhodou sekvenčnej kaskádovej technológie (Double, Triple, Quad VPN) je, že každý server dešifruje kanál a zašifruje ho do ďalšieho kanála. Údaje sú postupne šifrované.

V technológii Parallel VPN takýto problém neexistuje, pretože všetky údaje sú dvojito paralelne šifrované. To znamená, predstavte si cibuľu, ktorá má niekoľko šupiek. Rovnakým spôsobom údaje prechádzajú kanálom, ktorý je dvakrát šifrovaný.


Otázky VPN sú v súčasnosti populárne – čo to je, aké sú jej funkcie a ako najlepšie nastaviť VPN. Ide o to, že nie každý pozná podstatu samotnej technológie, keď to môže byť potrebné.

Aj po finančnej a ziskovej stránke je zriadenie VPN lukratívny biznis, za ktorý môžete ľahko získať peniaze.
Bolo by pekné vysvetliť používateľovi, čo je VPN a ako ju najlepšie nakonfigurovať na Win 7 a 10.

1. Základné

VPN (virtuálna súkromná sieť) je súkromná virtuálna sieť. Ešte jednoduchšie - technológia tvorby lokálna sieť, ale bez fyzických zariadení vo forme smerovačov a iných vecí, ale so skutočnými zdrojmi z internetu. VPN je dodatočná sieť postavené na druhom.

Na webovej stránke spoločnosti Microsoft sa našiel taký informatívny obrázok, ktorý pomôže pochopiť, že výraz „Dodatočná sieť vytvorená nad inou“.


Na zobrazenom obrázku je zariadenie vo forme počítača. Cloud je zdieľaná alebo verejná sieť, častejšie štandardný internet. Každý zo serverov je navzájom prepojený pomocou rovnakej VPN.

Zariadenia sú teda navzájom fyzicky prepojené. Ale prax ukázala, že to nie je potrebné.

Najmä preto, aby sa nepoužívali drôty, káble a iné rušivé zariadenia, je nakonfigurovaná VPN.

Lokálne zariadenia sú navzájom prepojené nie cez káble, ale cez Wi-FI, GPS, Bluetooth a ďalšie zariadenia.
Virtuálne siete sú najčastejšie štandardným internetovým pripojením. Samozrejme, získanie prístupu k zariadeniam jednoducho nebude fungovať, pretože všade existujú úrovne identifikácie zamerané na zabránenie hackerom a neprajníkom v sieti VPN.

2. Pár slov o štruktúre VPN

Štruktúra VPN je rozdelená na dve časti: externú a internú.
Každý počítač sa pripája k dvom častiam súčasne. To sa vykonáva pomocou servera.


Server je v našom prípade takzvaný strážca pri vchode. Zistí a zaregistruje členov virtuálnej siete.

Počítač alebo zariadenie pripojené k VPN musí disponovať všetkými údajmi na autorizáciu a takzvanú autentifikáciu, teda špeciálne, zvyčajne jednorazové heslo alebo iný nástroj, ktorý by vám mohol pomôcť prejsť procedúrou.

Tento proces nie je pre nás zvlášť dôležitý. Špecialisti vytvárajú stále výkonnejšie a serióznejšie metódy autorizácie na serveroch.

Ak chcete byť v takejto sieti, pri vchode musíte vedieť:
1. Napríklad meno, názov počítača alebo iné používané prihlasovacie meno, ktoré sa má identifikovať v sieti;
2. Heslo, ak existuje, na dokončenie autorizácie.
Taktiež počítač, ktorý sa chce pripojiť k ďalšej sieti VPN, „nesie“ všetky údaje na autorizáciu. Server vloží tieto údaje do svojej databázy. Po zaregistrovaní vášho PC do databázy už vyššie uvedené údaje nebudete potrebovať.

3. VPN a ich klasifikácia

Klasifikácia sietí VPN je uvedená nižšie.

Pokúsme sa pochopiť podrobnejšie.
- STUPEŇ OCHRANY. Siete vybrané podľa tohto kritéria:
1. Plne bezpečné – ide o inherentne zabezpečené siete;
2. Bezpečné „dôveryhodné“ – menej bezpečné siete, používané v prípadoch, keď je pôvodná alebo „rodičovská“ sieť spoľahlivá.
- IMPLEMENTÁCIA. Metódy implementácie. Siete vybrané podľa tohto kritéria:
1. Kombinované a softvérové ​​metódy;
2. Hardvérovým spôsobom– pomocou skutočných zariadení.
- ÚČEL. VPN zodpovedajúce tomuto kritériu:
1. Intranet (Intranet) – využíva sa najčastejšie vo firmách, kde potrebujete spojiť viacero pobočiek;
2. Extranet (Extranet) - používa sa špeciálne na organizovanie sietí, v ktorých sú rôzni účastníci, ako aj klienti spoločnosti;
3. Prístup (Remote Access) je organizácia sietí VPN, kde sú takzvané vzdialené pobočky.
- PROTOKOL. Implementácia VPN sietí je možná pomocou protokolov AppleTalk a IPX, ale v skutočnosti najčastejšie a efektívnejšie používam TCP/IP. Dôvodom je popularita tohto protokolu v hlavných sieťach.
- ÚROVEŇ PRÁCE. Uprednostňuje sa tu OSI, ale sieť VPN môže fungovať len na linkovej, sieťovej a transportnej vrstve.
Samozrejme, v praxi jedna sieť, môžete zahrnúť niekoľko funkcií súčasne. Prejdime k bodom o priamom nastavení siete VPN pomocou počítača alebo notebooku.

4. Ako nastaviť sieť VPN (virtuálna sieť)

Prvá metóda bola vyvinutá špeciálne pre Windows 7.
V systéme Windows 7 sa nastavenie vykonáva pomocou pomerne jednoduchých krokov a podľa nasledujúcich pokynov:
1. Prejdite na „ Centrum sietí a zdielania". Kliknite na panel rýchly prístup na ikone pripojenia a v okne vyberte položku, ktorú potrebujeme.

2. Program nie vždy vyzerá ako na obrázku vyššie, môže byť aj takto:

3. V novom okne nájdeme sekciu " Nastavte nové pripojenie alebo sieť". Táto časť je na obrázku zvýraznená.


4. V ďalšom odseku nájdeme „ Pripojenie k pracovisku"a choď" Ďalej».


5. V prípade, že na PC už existuje nejaké pripojenie VPN, malo by sa objaviť špeciálne okno, ako na obrázku nižšie. Vyberte „Nie, vytvorte nové pripojenie“ a prejdite znova „ Ďalej».


6. V novom okne nájdeme " Použiť moje internetové pripojenie (VPN)»


7. Teraz zadáme adresu, názov siete VPN. Všetky podrobnosti sa dozviete od správcu siete, ktorý vám prezradí aj špeciálne okno.

Ak došlo k pripojeniu k už fungujúcej sieti, je najlepšie požiadať o údaje správcu tejto siete. Zvyčajne tento postup netrvá veľa času. Zadajte údaje do poskytnutých polí.
8. V tom istom políčku začiarknite „ Teraz sa nepripájať...“ a potom prejdite na „ Ďalej».


9. Zadajte svoje údaje (login a heslo) zo siete. Na nasledujúcom obrázku sú tieto polia zvýraznené.

Ak ide o prvé spojenie so sieťou, údaje budú musieť byť vytvorené nové, po ich kontrole serverom budete môcť do siete vstúpiť a použiť ju.

Ak pripojenie nie je primárne, server nebude kontrolovať vaše údaje a priamo vás pustí do požadovanej siete.

10. Po zadaní požadovaných údajov kliknite na " Pripojiť».


11. Nasledujúce okno vás vyzve, aby ste sa teraz pripojili k sieti. Radšej to zatvor.


Nastavenie je úspešne dokončené a zostáva len pripojiť sa k sieti. Ak to chcete urobiť, musíte sa vrátiť k prvému odseku " Centrum sietí a zdielania».
12. V novom okne zvoľte " Pripojte sa k sieti».


13. Tu vyberieme naše pripojenie a pripojíme sa k nemu.

Nastavenie siete VPN v systéme Windows 7 dokončené.

Prejdime k nastaveniu VPN v systéme Windows 10, algoritmus a akcie sú tam takmer rovnaké. Jediný rozdiel je v niektorých prvkoch rozhrania a prístupe k nim.

Napríklad, aby ste sa dostali do „Centra sietí a zdieľania“, musíte urobiť všetko rovnako ako v systéme Windows 7, okrem toho existuje špeciálna položka „ Vytváranie a konfigurácia nového pripojenia alebo...».
Ďalej sa nastavenie vykonáva rovnakým spôsobom ako v systéme Windows 7, iba rozhranie sa bude mierne líšiť.


Nejaké nepríjemnosti Používatelia systému Windows 10 môže súvisieť s tým, že budú hľadať klasický pohľad na sieť. Mali by ste ísť do " Sieť a internet“ a potom vyberte „Zobraziť úlohu a stav siete“ pre ďalšiu prácu s nastavením sietí VPN.

V skutočnosti nie je pri nastavovaní nič zložité. Mimochodom, toto VPN pripojenie je možné konfigurovať aj na zariadeniach so systémom Android, tomu bude venovaná časť nižšie.

5. Nastavenie VPN v systéme Android

Na vykonanie takejto operácie si budete musieť nainštalovať a stiahnuť nástroj s názvom SuperVPN Free VPM Client z oficiálnych obchodov pre Android.

Okno programu, ktoré ponúkne vytvorenie siete VPN v systéme Android.


Vo všeobecnosti je tu všetko jasné, kliknite na " Pripojte sa“, po ktorom sa spustí vyhľadávanie dostupné siete a ďalšie spojenie s nimi. Nastavenie VPN v systéme Android sa vykonáva bez ďalších programov.

Svet telekomunikácií zaznamenal v poslednom období zvýšený záujem o virtuálne privátne siete (Virtual Private Network – VPN). Dôvodom je potreba znížiť náklady na údržbu firemných sietí z dôvodu lacnejšieho pripojenia vzdialených pracovísk a vzdialených používateľov cez internet. Skutočne, pri porovnaní nákladov na služby na pripojenie niekoľkých sietí cez internet, napríklad so sieťami Frame Relay, si možno všimnúť významný rozdiel v nákladoch. Je však potrebné poznamenať, že pri prepojení sietí cez internet sa okamžite vynára otázka bezpečnosti prenosu údajov, takže bolo potrebné vytvoriť mechanizmy na zabezpečenie dôvernosti a integrity prenášaných informácií. Siete postavené na základe takýchto mechanizmov sa nazývajú VPN.

Navyše moderný človek, ktorý rozvíja svoje podnikanie, musí veľmi často veľa cestovať. Môžu to byť výlety do odľahlých kútov našej krajiny alebo do zahraničia. Nie je nezvyčajné, že ľudia potrebujú prístup k svojim informáciám uloženým v ich domácom alebo firemnom počítači. Tento problém je možné vyriešiť zabezpečením vzdialeného prístupu k nemu pomocou modemu a linky. Používanie telefónnej linky má svoje vlastné charakteristiky. Nevýhodou tohto riešenia je, že hovor z inej krajiny stojí veľa peňazí. Existuje ďalšie riešenie s názvom VPN. Výhodou technológie VPN je organizácia vzdialený prístup prebieha nie cez telefónnu linku, ale cez internet, ktorý je oveľa lacnejší a lepší. Podľa mňa technológia. VPN má vyhliadky na široké prijatie po celom svete.

1. Pojem a klasifikácia sietí VPN, ich konštrukcia

1.1 Čo je to VPN

VPN(angl. Virtual Private Network - virtuálna privátna sieť) - logická sieť vytvorená nad inou sieťou, akou je napríklad internet. Hoci komunikácie sú verejné siete pomocou nezabezpečených protokolov sa v dôsledku šifrovania vytvárajú kanály na výmenu informácií uzavreté pred cudzincami. VPN vám umožňuje spojiť napríklad niekoľko kancelárií organizácie do jednej siete pomocou nekontrolovaných kanálov na komunikáciu medzi nimi.


Vo svojom jadre má VPN mnoho vlastností prenajatej linky, ale je nasadená vo verejnej sieti, ako je . Pomocou techniky tunelovania sa dátové pakety vysielajú cez verejnú sieť, ako keby išlo o bežné spojenie bod-bod. Medzi každým párom "odosielateľ-prijímač údajov" je vytvorený určitý druh tunela - bezpečné logické spojenie, ktoré umožňuje zapuzdrenie údajov jedného protokolu do paketov druhého. Hlavnými komponentmi tunela sú:

  • iniciátor;
  • smerovaná sieť;
  • tunelový spínač;
  • jeden alebo viac ukončovacích tunelov.

Samotný princíp fungovania VPN nie je v rozpore s hlavnými sieťovými technológiami a protokolmi. Napríklad pri vytváraní telefonického pripojenia klient odošle prúd štandardných paketov PPP na server. V prípade organizovania virtuálnych prenajatých liniek medzi lokálnymi sieťami si ich smerovače vymieňajú aj PPP pakety. Zásadne novým bodom je však preposielanie paketov cez bezpečný tunel organizovaný v rámci verejnej siete.

Tunelovanie vám umožňuje organizovať prenos paketov jedného protokol v logickom prostredí, ktoré používa iný protokol. Výsledkom je, že je možné riešiť problémy interakcie medzi niekoľkými rôznymi typmi sietí, počnúc potrebou zabezpečiť integritu a dôvernosť prenášaných údajov a končiac prekonaním nezrovnalostí v externých protokoloch alebo schémach adresovania.

Existujúcu sieťovú infraštruktúru spoločnosti je možné poskytnúť na používanie VPN buď prostredníctvom softvéru alebo hardvér. Organizáciu virtuálnej privátnej siete možno prirovnať k položeniu kábla cez globálnu sieť. Priame spojenie medzi vzdialeným používateľom a koncovým zariadením tunela sa zvyčajne vytvorí pomocou protokolu PPP.

Najbežnejšou metódou vytvárania tunelov VPN je zapuzdrenie sieťových protokolov (IP, IPX, AppleTalk atď.) v PPP a následné zapuzdrenie vygenerovaných paketov do tunelovacieho protokolu. Zvyčajne je to IP alebo (oveľa menej často) ATM a Frame Relay. Tento prístup sa nazýva tunelovanie vrstvy 2, pretože „cestujúcim“ je tu protokol vrstvy 2.

Alternatívny prístup - zapuzdrenie paketov sieťového protokolu priamo do tunelovacieho protokolu (napr. VTP) sa nazýva tunelovanie 3. vrstvy.

Bez ohľadu na to, aké protokoly sa používajú alebo aké ciele prenasledovaní pri organizácii tunela, zostáva základná technikaprakticky nezmenené. Typicky sa jeden protokol používa na vytvorenie spojenia so vzdialeným hostiteľom a druhý sa používa na zapuzdrenie údajov a servisných informácií na prenos cez tunel.

1.2 Klasifikácia sietí VPN

Riešenia VPN možno klasifikovať podľa niekoľkých hlavných parametrov:

1. Podľa typu použitého média:

  • Zabezpečené siete VPN. Najbežnejší variant privátnych privátnych sietí. S jeho pomocou je možné vytvoriť spoľahlivú a bezpečnú podsieť založenú na nespoľahlivej sieti, zvyčajne na internete. Príklady bezpečných sietí VPN sú: IPSec, OpenVPN a PPTP.
  • Dôveryhodné siete VPN. Používajú sa v prípadoch, keď prenosové médium možno považovať za spoľahlivé a je potrebné len vyriešiť problém vytvorenia virtuálnej podsiete v rámci väčšej siete. Bezpečnostné otázky sa stávajú irelevantnými. Príklady takýchto riešení VPN sú: MPLS a L2TP. Je správnejšie povedať, že tieto protokoly presúvajú úlohu poskytovania bezpečnosti na iných, napríklad L2TP sa spravidla používa v tandeme s IPSec.

2. Podľa spôsobu realizácie:

  • VPN siete vo forme špeciálneho softvéru a hardvéru. Implementácia siete VPN sa vykonáva pomocou špeciálnej sady softvéru a hardvéru. Táto implementácia poskytuje vysoký výkon a spravidla vysoký stupeň bezpečnosť.
  • VPN siete ako softvérové ​​riešenie. použitie Osobný počítač so špeciálnym softvérom, ktorý poskytuje funkčnosť VPN.
  • VPN siete s integrovaným riešením. Funkcionalitu VPN poskytuje komplex, ktorý rieši aj úlohy filtrovania sieťovej prevádzky, organizácie POŽARNE DVERE a zabezpečenie kvality služieb.

3. Po dohode:

  • Intranet VPN. Používa sa na spojenie niekoľkých distribuovaných pobočiek jednej organizácie, ktoré si vymieňajú údaje, do jednej zabezpečenej siete otvorené kanály spojenia.
  • Vzdialený prístup VPN. Používa sa na vytvorenie zabezpečeného kanála medzi segmentom podnikovej siete (centrálna kancelária alebo pobočka) a jedným používateľom, ktorý sa pri práci doma pripája k podnikovým zdrojom pomocou domáci počítač alebo sa počas služobnej cesty pripája k podnikovým zdrojom pomocou prenosného počítača.
  • Extranet VPN. Používa sa pre siete, ku ktorým sa pripájajú „externí“ používatelia (napríklad zákazníci alebo klienti). Úroveň dôvery v nich je oveľa nižšia ako u zamestnancov spoločnosti, preto je potrebné zabezpečiť špeciálne „hranice“ ochrany, ktoré im bránia alebo obmedzujú prístup k obzvlášť cenným dôverným informáciám.

4. Podľa typu protokolu:

  • Existujú implementácie virtuálnych privátnych sietí pod TCP/IP, IPX a AppleTalk. Dnes však existuje trend k všeobecnému prechodu na protokol TCP / IP a veľká väčšina riešení VPN ho podporuje.

5. Podľa úrovne sieťového protokolu:

  • Podľa vrstvy sieťového protokolu na základe mapovania na vrstvy referenčného modelu siete ISO/OSI.

1.3. Budovanie VPN

Existujú rôzne možnosti na vybudovanie VPN. Pri výbere riešenia musíte zvážiť výkonnostné faktory tvorcov VPN. Napríklad, ak router už funguje na svojom kapacitnom limite, potom pridanie VPN tunelov a použitie šifrovania / dešifrovania informácií môže zastaviť fungovanie celej siete, pretože tento router nebude schopný zvládnuť jednoduchú prevádzku, nie spomenúť VPN. Skúsenosti ukazujú, že s cieľom stavať VPN je lepšia používajte iba špecializované vybavenie, ale ak existuje obmedzenie finančných prostriedkov, môžete venovať pozornosť čisto softvérovému riešeniu. Zvážte niekoľko možností na vytvorenie siete VPN.

  • VPN založená na firewalle. Väčšina výrobcov brán firewall podporuje tunelovanie a šifrovanie údajov. Všetky takéto produkty sú založené na skutočnosti, že prevádzka prechádzajúca cez firewall je šifrovaná. K samotnému softvéru brány firewall je pridaný šifrovací modul. Nevýhodou tohto spôsobu je závislosť výkonu od hardvéru, na ktorom firewall beží. Pri používaní firewallov na báze PC myslite na to, že takéto riešenie je možné použiť len pre malé siete s malým množstvom prenášaných informácií.
  • VPN založená na smerovači. Ďalším spôsobom, ako vybudovať VPN, je použiť smerovače na vytvorenie bezpečných kanálov. Keďže všetky informácie prichádzajúce z lokálnej siete prechádzajú cez router, je vhodné priradiť šifrovacie úlohy aj tomuto routeru.Príkladom vybavenia na budovanie VPN na smerovačoch je vybavenie od Cisco Systems. Počnúc verziou softvér IOS 11.3, smerovače Cisco podporujú protokoly L2TP a IPSec. Okrem jednoduchého šifrovania prenosu Cisco podporuje ďalšie funkcie VPN, ako je autentifikácia pri vytváraní tunela a výmena kľúčov.Na zlepšenie výkonu smerovača je možné použiť voliteľný šifrovací modul ESA. Okrem toho spoločnosť Cisco System vydala vyhradené zariadenie VPN s názvom Cisco 1720 VPN Access Router na inštaláciu v malých a stredných podnikoch a veľkých pobočkách.
  • Softvérové ​​VPN. Ďalší prístup k budovaniu VPN je čisto softvérové ​​riešenia. Pri implementácii takéhoto riešenia sa používa špecializovaný softvér, ktorý beží na vyhradenom počítači a vo väčšine prípadov funguje ako proxy server. Počítač s týmto softvérom sa môže nachádzať za bránou firewall.
  • Sieťový operačný systém založený na VPN.Budeme uvažovať o riešeniach založených na sieťovom OS na príklade operačného systému Windows od spoločnosti Microsoft. Na vytvorenie VPN používa Microsoft protokol PPTP, ktorý je integrovaný do systému Windows. Toto riešenie je veľmi atraktívne pre organizácie používajúce Windows ako svoj firemný operačný systém. Treba poznamenať, že náklady na takéto riešenie sú oveľa nižšie ako náklady na iné riešenia. VPN so systémom Windows používa používateľskú základňu uloženú v primárnom radiči domény (PDC). Pri pripájaní k serveru PPTP je používateľ overený pomocou protokolov PAP, CHAP alebo MS-CHAP. Prenášané pakety sú zapuzdrené do paketov GRE/PPTP. Na šifrovanie paketov sa používa neštandardný protokol od Microsoft Point-to-Point Encryption so 40 alebo 128-bitovým kľúčom získaným v čase nadviazania spojenia. Nevýhodou tohto systému je chýbajúca kontrola integrity dát a nemožnosť meniť kľúče počas spojenia. Dobré body sú jednoduchou integráciou so systémom Windows a nízkymi nákladmi.
  • Hardvérové ​​VPN. Možnosť vybudovať VPN špeciálne zariadenia možno použiť v sieťach vyžadujúcich vysoký výkon. Príkladom takéhoto riešenia je produkt IPro-VPN od Radguard. Tento produkt používa hardvérové ​​šifrovanie prenášaných informácií, ktoré je schopné preniesť tok s rýchlosťou 100 Mbps. Podporuje IPro-VPN Protokol IPSec a mechanizmus správy kľúčov ISAKMP/Oakley. Okrem iného, toto zariadenie podporuje preklad sieťových adries a môže byť doplnený o špeciálnu dosku, ktorá pridáva funkcie firewallu

2. Protokoly sietí VPN

Siete VPN sú vybudované pomocou protokolov tunelovania údajov cez komunikačnú sieť bežné používanie Internetové a tunelovacie protokoly poskytujú šifrovanie údajov a zabezpečujú ich prenos medzi používateľmi. Na budovanie sietí VPN sa dnes spravidla používajú tieto protokoly:

  • Linková vrstva
  • sieťová vrstva
  • transportná vrstva.

2.1 Linková vrstva

Na vrstve dátového spojenia možno použiť protokoly tunelovania dát L2TP a PPTP, ktoré využívajú autorizáciu a autentifikáciu.

PPTP.

V súčasnosti je najrozšírenejším protokolom VPN Point-to-Point Tunneling Protocol – PPTP. Bol vyvinutý spoločnosťami 3Com a Microsoft, aby poskytoval bezpečný vzdialený prístup k podnikovým sieťam cez internet. PPTP využíva existujúce otvorené štandardy TCP/IP a vo veľkej miere sa spolieha na starý protokol PPP typu point-to-point. V praxi zostáva PPP komunikačným protokolom relácie pripojenia PPP. PPTP vytvorí tunel cez sieť na NT server príjemcu a odošle cez neho pakety PPP vzdialeného používateľa. Server a pracovná stanica používajú virtuálnu privátnu sieť a nezaujíma ich, aká bezpečná alebo prístupná je globálna sieť medzi nimi. Serverom iniciované ukončenie relácie pripojenia, na rozdiel od špecializovaných serverov pre vzdialený prístup, umožňuje správcom lokálnej siete nedovoliť vzdialeným používateľom opustiť bezpečnostný systém Windows Server.

Hoci rozsah protokolu PPTP sa rozširuje iba na zariadenia fungujúce pod Ovládanie Windows, dáva spoločnostiam možnosť spolupracovať s existujúcimi sieťovými infraštruktúrami bez ohrozenia ich vlastnej bezpečnosti. Vzdialený používateľ sa tak môže pripojiť k internetu pomocou miestneho ISP cez analógovú telefónnu linku alebo kanál ISDN a vytvoriť spojenie so serverom NT. Zároveň spoločnosť nemusí vynakladať veľké sumy na organizáciu a údržbu modemového fondu, ktorý poskytuje služby vzdialeného prístupu.

Ďalej sa diskutuje o práci RRTR. PPTP zapuzdruje IP pakety na prenos cez IP sieť. Klienti PPTP používajú cieľový port na vytvorenie pripojenia riadenia tunela. Tento proces prebieha na transportnej vrstve modelu OSI. Po vytvorení tunela si klientsky počítač a server začnú vymieňať servisné pakety. Okrem riadiaceho pripojenia PPTP, ktoré udržiava prepojenie nažive, sa vytvorí pripojenie na preposielanie dátového tunela. Dáta sú pred odoslaním cez tunel zapuzdrené trochu iným spôsobom ako pri bežnom prenose. Zapuzdrenie údajov pred ich odoslaním do tunela zahŕňa dva kroky:

  1. Najprv sa vytvorí informačná časť PPP. Dáta prúdia zhora nadol, z aplikačnej vrstvy OSI do spojovacej vrstvy.
  2. Prijaté dáta sú potom odoslané do modelu OSI a zapuzdrené protokolmi vyššej vrstvy.

Počas druhého prechodu sa teda dáta dostanú do transportnej vrstvy. Informácie však nemožno odoslať na miesto určenia, pretože za to zodpovedá kanál. OSI vrstva. Preto PPTP šifruje pole užitočného zaťaženia paketu a preberá funkcie druhej vrstvy normálne spojené s PPP, t.j. pridá hlavičku PPP a koniec paketu PPTP. Tým sa dokončí vytvorenie rámca vrstvy odkazu.

Ďalej PPTP zapuzdrí rámec PPP do paketu GRE (Generic Routing Encapsulation), ktorý patrí do sieťovej vrstvy. GRE zapuzdruje protokoly sieťovej vrstvy, ako sú IPX, AppleTalk, DECnet, aby ich bolo možné prenášať cez siete IP. GRE však nemá schopnosť vytvárať relácie a poskytovať ochranu údajov pred votrelcami. Toto využíva schopnosť PPTP vytvoriť prepojenie na riadenie tunela. Použitie GRE ako metódy zapuzdrenia obmedzuje rozsah PPTP iba ​​na siete IP.

Potom, čo bol rámec PPP zapuzdrený do rámca s hlavičkou GRE, je zapuzdrený do rámca s hlavičkou IP. Hlavička IP obsahuje adresu odosielateľa a príjemcu paketu. Nakoniec PPTP pridá hlavičku a koniec PPP.

Odosielajúci systém posiela dáta cez tunel. Prijímací systém odstráni všetky hlavičky služieb a ponechá len údaje PPP.

L2TP

V blízkej budúcnosti sa očakáva nárast počtu VPN nasadených na základe nového Layer 2 Tunneling Protocol - L2TP.

L2TP sa objavil v dôsledku zlúčenia protokolov PPTP a L2F (Layer 2 Forwarding). PPTP umožňuje prenos paketov PPP cez tunel a paketov SLIP a PPP L2F. Aby sa predišlo zmätkom a problémom s interoperabilitou na telekomunikačnom trhu, výbor Internet Engineering Task Force (IETF) odporučil, aby Cisco Systems kombinovali PPTP a L2F. Podľa všetkého protokol L2TP obsahuje najlepšie vlastnosti PPTP a L2F. Hlavnou výhodou L2TP je, že tento protokol umožňuje vytvárať tunel nielen v sieťach IP, ale aj v sieťach ako ATM, X.25 a Frame Relay. Implementácia L2TP v systéme Windows 2000 bohužiaľ podporuje iba IP.

L2TP používa UDP ako prenos a používa rovnaký formát správy pre správu tunela aj preposielanie údajov. Implementácia L2TP od spoločnosti Microsoft využíva ako riadiace správy pakety UDP obsahujúce zašifrované pakety PPP. Spoľahlivosť doručenia je zaručená kontrolou poradia paketov.

Funkčnosť PPTP a L2TP je odlišná. L2TP je možné použiť nielen v IP sieťach, servisné správy na vytvorenie tunela a posielanie dát cez neho používajú rovnaký formát a protokoly. PPTP je možné použiť iba v sieťach IP a na vytvorenie a používanie tunela potrebuje samostatné pripojenie TCP. L2TP over IPSec ponúka viac vrstiev zabezpečenia ako PPTP a môže zaručiť takmer 100% bezpečnosť kritických obchodných údajov. Vlastnosti L2TP z neho robia veľmi sľubný protokol na zostavenie virtuálne siete.

Protokoly L2TP a PPTP sa líšia od tunelovacích protokolov vrstvy 3 niekoľkými spôsobmi:

  1. Dáva spoločnostiam možnosť vybrať si, ako používatelia overia a overia svoje prihlasovacie údaje – na ich vlastnom „území“ alebo u poskytovateľa internetových služieb. Spracovaním tunelovaných paketov PPP získavajú podnikové sieťové servery všetky informácie, ktoré potrebujú na identifikáciu používateľov.
  2. Podpora prepínania tunelov - ukončenie jedného tunela a spustenie ďalšieho na jeden z mnohých potenciálnych terminátorov. Prepínacie tunely umožňujú takpovediac rozšíriť PPP pripojenie na požadovaný koncový bod.
  3. Poskytovanie správcov systému firemná sieť, možnosť implementovať stratégie prideľovania prístupových práv používateľom priamo na firewalle a interných serveroch. Pretože ukončovače tunelov prijímajú PPP pakety obsahujúce užívateľské informácie, sú schopné aplikovať bezpečnostné politiky definované správcom na prevádzku jednotlivých užívateľov. (Tunelovanie vrstvy 3 nerozlišuje medzi paketmi prichádzajúcimi od ISP, takže na koncových pracovných staniciach sa musia použiť filtre bezpečnostnej politiky. sieťové zariadenia.) Navyše v prípade použitia tunelového prepínača je možné zorganizovať „pokračovanie“ tunela druhá úroveň pre priamy preklad návštevnosti jednotlivcapoužívateľov na príslušné interné servery. Takéto servery môžu mať za úlohu dodatočné filtrovanie paketov.

MPLS

Aj na linkovej vrstve možno technológiu MPLS použiť na organizáciu tunelov ( Z angličtiny Multiprotocol Label Switching – prepínanie viacerých protokolov štítkov – mechanizmus prenosu dát, ktorý emuluje rôzne vlastnosti siete s prepínaním okruhov cez siete s prepínaním paketov). MPLS funguje na vrstve, ktorá môže byť umiestnená medzi vrstvou dátového spojenia a treťou sieťovou vrstvou modelu OSI, a preto sa bežne označuje ako protokol vrstvy sieťového spojenia. Bol navrhnutý tak, aby poskytoval všestranné dátové služby pre zákazníkov siete s prepínaním okruhov aj s prepínaním paketov. S MPLS môžete prenášať širokú škálu prenosov, ako sú IP pakety, ATM, SONET a ethernetové rámce.

Riešenia VPN na úrovni prepojenia majú dosť obmedzený rozsah, zvyčajne v doméne poskytovateľa.

2.2 Sieťová vrstva

Sieťová vrstva (IP vrstva). Používa sa protokol IPSec, ktorý implementuje šifrovanie a dôvernosť údajov, ako aj autentifikáciu predplatiteľa. Použitie protokolu IPSec umožňuje implementovať plnohodnotný prístup ekvivalentný k fyzické spojenie do podnikovej siete. Na vytvorenie VPN musí každý účastník nakonfigurovať určité parametre IPSec, t.j. každý klient musí mať softvér, ktorý implementuje IPSec.

IPSec

Prirodzene, žiadna spoločnosť by nechcela otvorene previesť Internetové finančné alebo iné dôverné informácie. Kanály VPN sú chránené výkonnými šifrovacími algoritmami zabudovanými do štandardov bezpečnostného protokolu IPsec. IPSec alebo Internet Protocol Security - štandard vybraný medzinárodnou komunitou, IETF - Internet Engineering Task Force, vytvára bezpečnostný základ pre internetový protokol (IP / IPSec protokol poskytuje ochranu na úrovni siete a vyžaduje podporu pre štandard IPSec len od zariadenia, ktoré spolu komunikujú na oboch, všetky ostatné zariadenia medzi sebou jednoducho poskytujú IP paketovú prevádzku.

Spôsob interakcie medzi osobami využívajúcimi technológiu IPSec je zvyčajne definovaný pojmom „bezpečná asociácia“ – Security Association (SA). Bezpečné spojenie funguje na základe dohody uzavretej medzi stranami, ktoré používajú IPSec na ochranu vzájomne prenášaných informácií. Táto dohoda upravuje niekoľko parametrov: IP adresy odosielateľa a príjemcu, kryptografický algoritmus, poradie výmeny kľúčov, veľkosti kľúčov, životnosť kľúča, autentifikačný algoritmus.

IPSec je konsenzuálny súbor otvorených štandardov, ktorý má jadro, ktoré možno ľahko rozšíriť o nové funkcie a protokoly. Jadro IPSec pozostáva z troch protokolov:

· AN alebo Authentication Header - autentifikačná hlavička - zaručuje integritu a autentickosť údajov. Hlavným účelom protokolu AH je umožniť prijímajúcej strane zabezpečiť, aby:

  • paket bol odoslaný stranou, s ktorou bolo vytvorené bezpečné spojenie;
  • obsah paketu nebol počas jeho prenosu po sieti skreslený;
  • balík nie je duplikátom už prijatého balíka.

Prvé dve funkcie sú povinné pre protokol AH a posledná je voliteľná pri vytváraní asociácie. Na vykonávanie týchto funkcií používa protokol AH špeciálnu hlavičku. Jeho štruktúra sa posudzuje takto:

  1. Ďalšie pole hlavičky udáva kód protokolu vyššej úrovne, to znamená protokolu, ktorého správa je umiestnená v dátovom poli paketu IP.
  2. Pole dĺžky užitočného zaťaženia obsahuje dĺžku hlavičky AH.
  3. Index bezpečnostných parametrov (SPI) sa používa na priradenie balíka k jeho zamýšľanému bezpečnému priradeniu.
  4. Pole Sequence Number (SN) označuje poradové číslo paketu a používa sa na ochranu pred spoofingom (keď sa tretia strana pokúša znova použiť zachytené zabezpečené pakety odoslané skutočne overeným odosielateľom).
  5. Pole autentifikačných údajov, ktoré obsahuje takzvanú hodnotu kontroly integrity (ICV), sa používa na autentifikáciu a kontrolu integrity paketu. Táto hodnota, nazývaná aj súhrn, sa vypočíta pomocou jednej z dvoch výpočtovo ireverzibilných funkcií MD5 alebo SAH-1 požadovaných protokolom AH, ale možno použiť akúkoľvek inú funkciu.

· ESP alebo Encapsulating Security Payload- zapuzdrenie šifrovaných údajov - šifruje prenášané údaje, poskytuje dôvernosť, môže tiež zachovať autentifikáciu a integritu údajov;

Protokol ESP rieši dve skupiny problémov.

  1. Prvá zahŕňa úlohy podobné úlohám protokolu AH – ide o zabezpečenie autentifikácie a integrity údajov na základe súhrnu,
  2. Po druhé - prenášané údaje ich šifrovaním pred neoprávneným prezeraním.

Hlavička je rozdelená na dve časti oddelené dátovým poľom.

  1. Prvá časť, nazývaná samotná hlavička ESP, je tvorená dvoma poliami (SPI a SN), ktorých účel je podobný ako pri rovnomenných poliach v protokole AH a je umiestnená pred dátovým poľom.
  2. Zvyšné servisné polia protokolu ESP, nazývané ESP trailer, sú umiestnené na konci paketu.

Dve polia upútavky – ďalšia hlavička a autentifikačné údaje – sú podobné poliam hlavičky AH. Pole Authentication Data je vynechané, ak bolo prijaté rozhodnutie nepoužívať schopnosti integrity protokolu ESP pri vytváraní bezpečného spojenia. Okrem týchto polí obsahuje príves dve ďalšie polia - plnivo a dĺžka plniva.

Protokoly AH a ESP môžu chrániť údaje v dvoch režimoch:

  1. v preprave - prenos sa uskutočňuje s originálnymi IP hlavičkami;
  2. v tuneli - pôvodný paket sa umiestni do nového IP paketu a prenos sa uskutoční s novými hlavičkami.

Použitie jedného alebo druhého režimu závisí od požiadaviek na ochranu údajov, ako aj od úlohy, ktorú v sieti zohráva uzol, ktorý ukončuje zabezpečený kanál. Uzol teda môže byť hostiteľ (koncový uzol) alebo brána (medziľahlý uzol).

V súlade s tým existujú tri schémy používania protokolu IPSec:

  1. hostiteľ hostiteľ;
  2. brána-brána;
  3. hostiteľská brána.

Možnosti protokolov AH a ESP sa čiastočne prekrývajú: protokol AH je zodpovedný len za zabezpečenie integrity a autentifikácie údajov, protokol ESP dokáže šifrovať údaje a navyše vykonávať funkcie protokolu AH (v skrátenej forme) . ESP môže podporovať šifrovanie a funkcie autentifikácie/integrity v akejkoľvek kombinácii, t.j. buď celú skupinu funkcií, alebo iba autentifikáciu/integritu, alebo iba šifrovanie.

· IKE alebo Internet Key Exchange - Internetová výmena kľúčov - rieši pomocnú úlohu automatického poskytovania bezpečných koncových bodov kanálov tajnými kľúčmi potrebnými na fungovanie protokolov autentifikácie a šifrovania údajov.

2.3 Transportná vrstva

Transportná vrstva využíva protokol SSL/TLS alebo Secure Socket Layer/Transport Layer Security, ktorý implementuje šifrovanie a autentifikáciu medzi transportnými vrstvami prijímača a vysielača. SSL/TLS je možné použiť na zabezpečenie TCP prevádzky, nemožno ho použiť na zabezpečenie UDP prevádzky. Na fungovanie SSL/TLS VPN nie je potrebné implementovať špeciálny softvér, pretože každý prehliadač a poštového klienta vybavené týmito protokolmi. Vďaka tomu, že SSL/TLS je implementované na transportnej vrstve, je zabezpečené spojenie medzi koncovými bodmi.

Protokol TLS je založený na protokole Netscape SSL verzie 3.0 a pozostáva z dvoch častí – protokolu TLS Record Protocol a TLS Handshake Protocol. Rozdiel medzi SSL 3.0 a TLS 1.0 je malý.

SSL/TLS zahŕňa tri hlavné fázy:

  1. Dialóg medzi stranami, ktorého účelom je vybrať si šifrovací algoritmus;
  2. Výmena kľúčov na základe kryptosystémov s verejným kľúčom alebo autentizácie na základe certifikátu;
  3. Prenos údajov šifrovaných pomocou symetrických šifrovacích algoritmov.

2.4 Implementácia VPN: IPSec alebo SSL/TLS?

Vedúci IT oddelení sa často stretávajú s otázkou: ktorý z protokolov zvoliť na budovanie firemnej siete VPN? Odpoveď nie je jednoznačná, pretože každý prístup má svoje klady aj zápory. Pokúsime sa vykonať a identifikovať, kedy je potrebné použiť IPSec a kedy SSL / TLS. Ako je zrejmé z analýzy charakteristík týchto protokolov, nie sú vzájomne zameniteľné a môžu fungovať samostatne aj paralelne, pričom definujú funkčné vlastnosti každej z implementovaných sietí VPN.

Výber protokolu na vybudovanie podnikovej siete VPN je možné vykonať podľa nasledujúcich kritérií:

· Typ požadovaného prístupu pre používateľov VPN.

  1. Plne funkčné trvalé pripojenie do firemnej siete. Odporúčaná voľba je IPSec.
  2. Dočasné pripojenie, ako napríklad mobilný používateľ alebo používateľ využívajúci verejný počítač, za účelom prístupu k určitým službám, ako napr e-mail alebo databázy. Odporúčanou voľbou je protokol SSL/TLS, ktorý vám umožňuje organizovať VPN pre každú jednotlivú službu.

· Či je používateľ zamestnancom spoločnosti.

  1. Ak je používateľ zamestnancom spoločnosti, zariadenie, ktoré používa na prístup do podnikovej siete cez IPSec VPN, môže byť nakonfigurované nejakým špecifickým spôsobom.
  2. Ak používateľ nie je zamestnancom spoločnosti, do ktorej podnikovej siete sa pristupuje, odporúča sa použiť SSL/TLS. Tým sa obmedzí prístup hostí len k určitým službám.

· Aká je úroveň zabezpečenia podnikovej siete.

  1. Vysoká. Odporúčaná voľba je IPSec. Úroveň zabezpečenia, ktorú ponúka IPSec, je skutočne oveľa vyššia ako úroveň zabezpečenia ponúkaná protokolom SSL / TLS vďaka použitiu konfigurovateľného softvéru na strane používateľa a bezpečnostnej brány na strane podnikovej siete.
  2. Priemerná. Odporúčanou voľbou je protokol SSL/TLS umožňujúci prístup z akéhokoľvek terminálu.

· Úroveň bezpečnosti údajov prenášaných používateľom.

  1. Vysoké napríklad vedenie spoločnosti. Odporúčaná voľba je IPSec.
  2. Stredný, napríklad partner. Odporúčaná voľba je protokol SSL/TLS.

V závislosti od služby - od strednej po vysokú. Odporúčaná voľba je kombinácia IPSec (pre služby vyžadujúce vysokú úroveň zabezpečenia) a SSL/TLS (pre služby vyžadujúce strednú úroveň zabezpečenia).

· Čo je dôležitejšie, rýchle nasadenie VPN alebo budúca škálovateľnosť riešenia.

  1. Rýchle nasadenie siete VPN s minimálne náklady. Odporúčaná voľba je protokol SSL/TLS. V tomto prípade nie je potrebné implementovať špeciálny softvér na strane užívateľa, ako v prípade IPSec.
  2. Škálovateľnosť siete VPN – pridanie prístupu k rôznym službám. Odporúčanou voľbou je protokol IPSec umožňujúci prístup ku všetkým službám a zdrojom podnikovej siete.
  3. Rýchle nasadenie a škálovateľnosť. Odporúčaná voľba je kombinácia IPSec a SSL/TLS: v prvej fáze použite SSL/TLS na prístup k požadovaným službám, potom nasleduje implementácia IPSec.

3. Metódy implementácie sietí VPN

Virtuálna privátna sieť je založená na troch implementačných metódach:

· Tunelovanie;

· Šifrovanie;

· Overenie.

3.1 Tunelovanie

Tunelovanie zabezpečuje prenos dát medzi dvoma bodmi - koncami tunela - tak, že celá sieťová infraštruktúra ležiaca medzi nimi je skrytá pre zdroj a cieľ dát.

Tunelové transportné médium, podobne ako trajekt, preberá pakety sieťového protokolu používaného pri vstupe do tunela a doručuje ich nezmenené k východu. Vybudovanie tunela stačí na prepojenie dvoch sieťových uzlov tak, aby sa z pohľadu na nich spusteného softvéru javili ako pripojené k rovnakej (lokálnej) sieti. Netreba však zabúdať, že v skutočnosti „trajekt“ s dátami prechádza mnohými medziuzlami (smerovačmi) otvorenej verejnej siete.

Tento stav má dva problémy. Prvým je, že informácie prenášané cez tunel môžu zachytiť votrelci. Ak je dôverný (čísla bankové karty, finančné správy, osobné informácie), potom je hrozba jeho kompromitácie celkom reálna, čo je už samo o sebe nepríjemné. Horšie je, že útočníci majú možnosť upraviť dáta prenášané cez tunel tak, aby príjemca nemohol overiť ich pravosť. Následky môžu byť tie najžalostnejšie. Vzhľadom na vyššie uvedené prichádzame k záveru, že tunel vo svojej čistej podobe je vhodný len pre určité typy sietí počítačové hry a nemôže sa kvalifikovať pre vážnejšiu aplikáciu. Oba problémy sú vyriešené modernými prostriedkami kryptografická ochrana informácie. Aby sa zabránilo neoprávneným zmenám dátového paketu pozdĺž tunela, elektronický digitálny podpis(). Podstatou metódy je, že každý prenášaný paket je dodávaný s dodatočným blokom informácií, ktorý je generovaný v súlade s asymetrickým kryptografickým algoritmom a je jedinečný pre obsah paketu a tajný kľúč EDS odosielateľa. Tento blok informácií je EDS balíka a umožňuje overenie údajov príjemcom, ktorý vie verejný kľúč EDS odosielateľa. Ochrana údajov prenášaných cez tunel pred neoprávneným prezeraním je dosiahnutá použitím silných šifrovacích algoritmov.

3.2 Autentifikácia

Bezpečnosť je hlavnou funkciou VPN. Všetky údaje z klientskych počítačov prechádzajú cez internet na server VPN. Takýto server môže byť veľká vzdialenosť z klientskeho počítača a dáta na ceste do siete organizácie prechádzajú cez zariadenia mnohých poskytovateľov. Ako sa uistiť, že údaje neboli prečítané alebo zmenené? Na tento účel podajte žiadosť rôzne metódy autentifikácia a šifrovanie.

PPTP môže používať ktorýkoľvek z protokolov používaných pre PPP na autentifikáciu používateľov.

  • EAP alebo Extensible Authentication Protocol;
  • MSCHAP alebo Microsoft Challenge Handshake Authentication Protocol (verzia 1 a 2);
  • CHAP alebo Challenge Handshake Authentication Protocol;
  • SPAP alebo Shiva Password Authentication Protocol;
  • PAP alebo Password Authentication Protocol.

MSCHAP verzia 2 a Transport Layer Security (EAP-TLS) sú považované za najlepšie, pretože poskytujú vzájomnú autentifikáciu, t.j. Server VPN a klient sa navzájom identifikujú. Vo všetkých ostatných protokoloch overuje klientov iba server.

Hoci PPTP poskytuje dostatočný stupeň bezpečnosti, L2TP cez IPSec je stále spoľahlivejšie. L2TP over IPSec poskytuje autentifikáciu na úrovni užívateľa a počítača, ako aj autentifikáciu a šifrovanie dát.

Autentifikácia sa vykonáva buď otvoreným testom (heslo s čistým textom) alebo schémou žiadosť / odpoveď (výzva / odpoveď). Pri priamom texte je všetko jasné. Klient odošle heslo na server. Server to porovná s benchmarkom a buď prístup zamietne, alebo povie „vítajte“. Otvorená autentifikácia prakticky neexistuje.

Schéma žiadosť/odpoveď je oveľa pokročilejšia. Vo všeobecnosti to vyzerá takto:

  • klient odošle požiadavku na server na autentifikáciu;
  • server vráti náhodnú odpoveď (výzva);
  • klient odstráni hash zo svojho hesla (haš je výsledkom hašovacej funkcie, ktorá prevádza pole vstupných údajov ľubovoľnej dĺžky na výstupný bitový reťazec pevnej dĺžky), zašifruje s ním odpoveď a odošle ju na server;
  • server urobí to isté a porovná výsledok s odpoveďou klienta;
  • ak sa zašifrovaná odpoveď zhoduje, autentifikácia sa považuje za úspešnú;

V prvom kroku autentifikácie klientov a serverov VPN používa L2TP over IPSec lokálne certifikáty získané od certifikačnej autority. Klient a server si vymenia certifikáty a vytvoria bezpečné spojenie ESP SA (security Association). Keď L2TP (cez IPSec) dokončí proces overovania počítača, vykoná sa overenie na úrovni používateľa. Na autentifikáciu je možné použiť akýkoľvek protokol, dokonca aj protokol PAP, ktorý prenáša používateľské meno a heslo vo forme čistého textu. To je celkom bezpečné, pretože L2TP cez IPSec šifruje celú reláciu. Autentifikácia používateľa pomocou MSCHAP, ktorý používa rôzne šifrovacie kľúče na overenie počítača a používateľa, však môže zvýšiť bezpečnosť.

3.3. Šifrovanie

Šifrovanie pomocou PPTP zaisťuje, že nikto nemá prístup k údajom počas ich odosielania cez internet. V súčasnosti sú podporované dve metódy šifrovania:

  • MPPE alebo Microsoft Point-to-Point Encryption je kompatibilný iba s MSCHAP (verzie 1 a 2);
  • EAP-TLS a dokáže automaticky zvoliť dĺžku šifrovacieho kľúča pri vyjednávaní parametrov medzi klientom a serverom.

MPPE podporuje 40, 56 alebo 128 bitové kľúče. Staré operačné sály systémy Windows podporujú iba šifrovanie s dĺžkou kľúča 40 bitov, takže v zmiešanom prostredí systému Windows vyberte minimálnu dĺžku kľúča.

PPTP mení hodnotu šifrovacieho kľúča po každom prijatom pakete. Protokol MMPE bol navrhnutý pre spojenia bod-bod, kde sa pakety prenášajú sekvenčne a dochádza k veľmi malej strate dát. V tejto situácii závisí hodnota kľúča pre nasledujúci paket od výsledkov dešifrovania predchádzajúceho paketu. Pri budovaní virtuálnych sietí naprieč sieťami verejný prístup tieto podmienky nie je možné splniť, pretože dátové pakety často prichádzajú k príjemcovi v nesprávnom poradí, v akom boli odoslané. Preto PPTP používa na zmenu šifrovacieho kľúča poradové čísla balíkov. To umožňuje vykonávať dešifrovanie nezávisle od predchádzajúcich prijatých paketov.

Oba protokoly sú implementované v Microsoft Windows aj mimo neho (napríklad v BSD), algoritmy prevádzky VPN sa môžu výrazne líšiť.

Balík „tunelovanie + autentifikácia + šifrovanie“ vám teda umožňuje prenášať údaje medzi dvoma bodmi cez verejnú sieť, simulujúc prevádzku súkromnej (lokálnej) siete. Inými slovami, uvažované nástroje vám umožňujú vybudovať virtuálnu súkromnú sieť.

Ďalším pekným efektom pripojenia VPN je schopnosť (a dokonca aj potreba) používať systém adresovania prijatý v lokálnej sieti.

Implementácia virtuálnej privátnej siete v praxi je nasledovná. V miestnom počítačová sieť VPN server je nainštalovaný v kancelárii spoločnosti. Vzdialený používateľ (alebo smerovač, ak sú pripojené dve kancelárie) pomocou klientskeho softvéru VPN iniciuje procedúru pripojenia k serveru. Nastáva overenie používateľa - prvá fáza nadviazania pripojenia VPN. V prípade potvrdenia oprávnenia začína druhá fáza - medzi klientom a serverom sa dohadujú detaily zaistenia bezpečnosti spojenia. Potom je zorganizované pripojenie VPN, ktoré zabezpečuje výmenu informácií medzi klientom a serverom vo forme, keď každý dátový paket prechádza procedúrami šifrovania / dešifrovania a kontroly integrity - autentifikácie údajov.

Hlavným problémom sietí VPN je nedostatok zavedených štandardov pre autentifikáciu a výmenu šifrovaných informácií. Tieto normy sú stále vo vývoji a teda aj produkty rôznych výrobcov nemôže vytvoriť pripojenia VPN a automaticky si vymieňať kľúče. Tento problém so sebou prináša spomalenie šírenia VPN, keďže je ťažké prinútiť rôzne spoločnosti, aby používali produkty jedného výrobcu, a preto je proces spájania sietí partnerských spoločností do takzvaných extranetových sietí náročný.

Výhody technológie VPN spočívajú v tom, že organizácia vzdialeného prístupu sa nevykonáva cez telefónnu linku, ale cez internet, čo je oveľa lacnejšie a lepšie. Nevýhodou technológie VPN je, že nástroje na budovanie VPN nie sú plnohodnotnými nástrojmi na detekciu a blokovanie útokov. Môžu zabrániť množstvu neoprávnených akcií, ale nie všetkým možnostiam, do ktorých sa dá preniknúť firemná sieť. Ale napriek tomu všetkému má technológia VPN vyhliadky na ďalší rozvoj.

Čo môžeme očakávať z hľadiska rozvoja VPN technológií v budúcnosti? Bez akýchkoľvek pochybností bude vypracovaný a schválený jednotný štandard pre budovanie takýchto sietí. S najväčšou pravdepodobnosťou bude základom tohto štandardu už osvedčený protokol IPSec. Ďalej sa výrobcovia zamerajú na zlepšenie výkonu svojich produktov a vytváranie pohodlných ovládacích prvkov VPN. S najväčšou pravdepodobnosťou sa vývoj nástrojov na vytváranie VPN bude uberať smerom k VPN založenej na smerovačoch toto rozhodnutie kombinuje pomerne vysoký výkon, integráciu VPN a smerovanie v jednom zariadení. Vyvíjať sa však budú aj nízkonákladové riešenia pre menšie organizácie. Na záver treba povedať, že aj napriek tomu, že technológia VPN je stále veľmi mladá, má pred sebou veľkú budúcnosť.

Zanechajte svoj komentár!

VPN (Virtual Private Network) je virtuálna súkromná sieť.

Laicky povedané, VPN je úplne bezpečný kanál, ktorý spája vaše internetové zariadenie s akýmkoľvek iným zariadením na celosvetovej sieti. Ak je to ešte jednoduchšie, môžete si to predstaviť obraznejšie: bez pripojenia k službe VPN je váš počítač (notebook, telefón, televízor alebo akékoľvek iné zariadenie), keď pristupujete k sieti, ako súkromný dom bez plota. Každú chvíľu môže ktokoľvek úmyselne alebo náhodne polámať stromy, pošliapať záhony vo vašej záhrade. S použitím VPN sa váš domov zmení na nepreniknuteľnú pevnosť, ktorej ochranu bude jednoducho nemožné prelomiť.

Ako to funguje?

Princíp fungovania VPN je jednoduchý a pre koncového užívateľa „transparentný“. Vo chvíli, keď sa pripojíte k internetu, medzi vaším zariadením a zvyškom internetu sa vytvorí virtuálny „tunel“, ktorý blokuje akékoľvek pokusy zvonku dostať sa dovnútra. Pre vás zostáva práca VPN absolútne „transparentná“ a neviditeľná. Vaše osobné Obchodná korešpondencia, Skype alebo telefonické rozhovory nie je možné žiadnym spôsobom zachytiť ani vypočuť. Všetky vaše údaje sú šifrované pomocou špeciálneho šifrovacieho algoritmu, ktorý je takmer nemožné prelomiť.

Okrem ochrany pred vniknutím zvonku poskytuje VPN možnosť virtuálne dočasne navštíviť ktorúkoľvek krajinu na svete a využívať sieťové zdroje týchto krajín. TV kanály ktoré boli predtým nedostupné. VPN nahradí vašu IP adresu akoukoľvek inou. Stačí, ak si vyberiete krajinu z navrhovaného zoznamu, napríklad Holandsko, a všetky stránky a služby, ktoré navštívite, si budú automaticky „myslieť“, že sa nachádzate v tejto konkrétnej krajine.

Prečo nie anonymizátor alebo proxy?

Vynára sa otázka: prečo v sieti nepoužívať len nejaký anonymizátor alebo proxy server, pretože nahrádzajú aj IP adresu? Áno, všetko je veľmi jednoduché – žiadna z vyššie uvedených služieb neposkytuje ochranu, stále zostávate „viditeľní“ pre votrelcov, a teda aj všetky dáta, ktoré si vymieňate na internete. A navyše, práca s proxy servermi vyžaduje, aby ste mali určitú schopnosť nastaviť presné nastavenia. VPN funguje na nasledujúcom princípe: „Pripojené a fungujú“, č pokročilé nastavenia on nevyžaduje. Celý proces pripojenia trvá niekoľko minút a je veľmi jednoduchý.

O bezplatných sieťach VPN

Pri výbere by ste mali pamätať na to, že bezplatné siete VPN majú takmer vždy obmedzenia na objem prenosu a rýchlosť prenosu údajov. To znamená, že môže nastať situácia, keď jednoducho nemôžete pokračovať v používaní bezplatnej siete VPN. Nezabudnite, že bezplatné siete VPN nie sú vždy stabilné a často sú preťažené. Aj keď váš limit nebude prekročený, prenos dát môže trvať dlho kvôli vysokému zaťaženiu servera VPN. Platené služby VPN sa vyznačujú veľkým priepustnosť, absencia obmedzení, čo sa týka premávky aj rýchlosti, a úroveň bezpečnosti je vyššia ako u bezplatných.

kde začať?

Väčšina služieb VPN poskytuje možnosť otestovať kvalitu na krátky čas zadarmo. Testovacie obdobie môže trvať niekoľko hodín až niekoľko dní. Počas testovania zvyčajne získate úplný prístup ku všetkým funkčnosť služba VPN. Naša služba umožňuje nájsť takéto služby VPN odkaz:

Privátne siete používajú organizácie na pripojenie k vzdialeným lokalitám a iným organizáciám. Privátne siete pozostávajú z komunikačných liniek prenajatých od rôznych telefónnych spoločností a poskytovateľov internetových služieb. Tieto prepojenia sa vyznačujú tým, že spájajú iba dve lokality, pričom sú oddelené od ostatnej prevádzky, keďže prenajaté prepojenia poskytujú obojsmernú komunikáciu medzi dvoma lokalitami. Privátne siete majú mnoho výhod.

  • Informácie sú utajené.
  • Vzdialené lokality si môžu okamžite vymieňať informácie.
  • Vzdialení používatelia sa necítia izolovaní od systému, ku ktorému pristupujú.

Bohužiaľ, tento typ siete má jednu veľkú nevýhodu - vysokú cenu. Používanie súkromných sietí je veľmi drahé. Môžete ušetriť peniaze používaním pomalších prepojení, ale vzdialení používatelia si začnú všímať nedostatočnú rýchlosť a niektoré z vyššie uvedených výhod budú menej zrejmé.

S nárastom počtu používateľov internetu mnohé organizácie prešli na používanie virtuálnych privátnych sietí (VPN). Virtuálne privátne siete poskytujú mnohé z výhod súkromných sietí za nižšiu cenu. So zavedením VPN však pre organizáciu vzniká množstvo otázok a nebezpečenstiev. Dobre vybudovaná virtuálna privátna sieť môže organizácii priniesť veľké výhody. Ak je VPN implementovaná nesprávne, všetky informácie prenášané cez VPN sú dostupné z internetu.

Definícia virtuálnych privátnych sietí

Takže máme v úmysle prenášať dôverné údaje organizácie cez internet bez použitia prenajatých komunikačných kanálov, pričom stále prijímame všetky opatrenia na zabezpečenie dopravné súkromie. Ako budeme môcť oddeliť našu návštevnosť od návštevnosti ostatných používateľov globálnej siete? Odpoveďou na túto otázku je šifrovanie.

Na internete môžete nájsť návštevnosť akéhokoľvek typu. Veľká časť tejto premávky sa prenáša v čistom formáte a každý používateľ, ktorý túto premávku sleduje, ju dokáže rozpoznať. Týka sa to väčšiny e-mailových a webových prenosov, ako aj relácií telnet a FTP. Prevádzka Secure Shell ( SSH ) a Hypertext Transfer Protocol Secure ( HTTPS ) je šifrovaná prevádzka a používateľ sledujúci pakety ju nemôže zobraziť. Prenos ako SSH a HTTPS však netvorí VPN.

Virtuálne privátne siete majú niekoľko vlastností.

  • Premávka je šifrovaná, aby bola zaistená ochrana pred odpočúvaním.
  • Vzdialená lokalita je overená.
  • VPN poskytujú podporu pre mnoho protokolov.
  • Spojenie poskytuje komunikáciu iba medzi dvoma konkrétnymi účastníkmi.

Keďže SSH a HTTPS nie sú schopné podporovať viacero protokolov, to isté platí pre skutočné VPN. Pakety VPN sú zmiešané s tokom normálneho internetového prenosu a existujú oddelene z dôvodu, že tento prenos je možné iba čítať koncové body spojenia.

Poznámka

Je možné implementovať prevádzku prechádzajúcu reláciou SSH pomocou tunelov. SSH však pre účely tejto prednášky nebudeme považovať za VPN.

Pozrime sa bližšie na každú z vlastností VPN. Ako je uvedené vyššie, prevádzka VPN je šifrovaná, aby bola chránená pred odpočúvaním. Šifrovanie musí byť dostatočne silné, aby to zaručilo dôvernosti prenášané informácie tak dlho, ako sú relevantné. Heslá majú expiračnú dobu 30 dní (za predpokladu, že politika zmeny hesla každých 30 dní); utajované skutočnosti však v priebehu rokov nemusia stratiť svoju hodnotu. Preto by šifrovací algoritmus a používanie VPN mali zabrániť nelegálnemu dešifrovaniu prevádzky na niekoľko rokov.

Druhou charakteristikou je, že vzdialené miesto je overené. Táto funkcia môže vyžadovať od niektorých používateľov autentifikáciu voči centrálnemu serveru alebo vzájomnú autentifikáciu oboch uzlov, ktoré VPN spája. Použitý autentifikačný mechanizmus je riadený politikou. Politika môže poskytovať autentifikáciu používateľa s dvoma parametrami alebo s použitím dynamických hesiel. O vzájomné overenie od oboch stránok sa môže vyžadovať preukázanie znalosti určitého zdieľaného tajomstva (tajomstvom sú niektoré informácie známe obom stránkam vopred), príp