Internet sa čoraz viac využíva ako prostriedok komunikácie medzi počítačmi, pretože ponúka efektívnu a nenákladnú komunikáciu. Internet je však sieť bežné používanie a na zabezpečenie bezpečnej komunikácie prostredníctvom nej je potrebný nejaký mechanizmus, ktorý spĺňa aspoň tieto úlohy:

    dôvernosť informácií;

    integrita údajov;

    dostupnosť informácií;

Tieto požiadavky spĺňa mechanizmus nazývaný VPN (Virtual Private Network – virtuálna privátna sieť) – všeobecný názov pre technológie, ktoré umožňujú poskytovanie jedného alebo viacerých sieťových pripojení (logickej siete) cez inú sieť (napríklad internet) pomocou kryptografie. nástroje (šifrovanie, autentifikácia, verejné kľúče infraštruktúry, prostriedky na ochranu proti opakovaniu a zmene správ prenášaných cez logickú sieť).

Vytvorenie VPN si nevyžaduje ďalšie investície a umožňuje vám prestať používať prenajaté linky. V závislosti od použitých protokolov a účelu môže VPN poskytovať tri typy pripojení: hostiteľ-hostiteľ, hostiteľ-sieť a sieť-sieť.

Pre názornosť si predstavme nasledujúci príklad: podnik má niekoľko územne vzdialených pobočiek a „mobilných“ zamestnancov pracujúcich doma alebo na cestách. Je potrebné zjednotiť všetkých zamestnancov podniku do jednej siete. Najjednoduchšie je dať do každej pobočky modemy a organizovať komunikáciu podľa potreby. Takéto riešenie však nie je vždy pohodlné a ziskové - niekedy potrebujete neustále pripojenie a veľkú šírku pásma. Aby ste to dosiahli, musíte buď položiť vyhradenú linku medzi pobočkami, alebo si ich prenajať. Obe sú dosť drahé. A tu môžete ako alternatívu pri budovaní jedinej zabezpečenej siete použiť VPN pripojenia všetkých pobočiek spoločnosti cez internet a nakonfigurovať nástroje VPN na hostiteľoch siete.

Ryža. 6.4. pripojenie VPN typu site-to-site

Ryža. 6.5. Pripojenie hostiteľa k sieti VPN

V tomto prípade je veľa problémov vyriešených - pobočky môžu byť umiestnené kdekoľvek na svete.

Nebezpečenstvo je v tom, že po prvé, otvorená sieť je otvorená útokom votrelcov z celého sveta. Po druhé, všetky údaje sa prenášajú cez internet v čistote a útočníci, ktorí hacknú sieť, budú mať všetky informácie prenášané cez sieť. A po tretie, údaje sa dajú nielen zachytiť, ale aj nahradiť počas prenosu cez sieť. Útočník môže napríklad ohroziť integritu databáz tým, že bude konať v mene klientov jednej z dôveryhodných pobočiek.

Aby sa tomu zabránilo, riešenia VPN používajú nástroje, ako je šifrovanie údajov na zabezpečenie integrity a dôvernosti, autentifikácia a autorizácia na overenie používateľských práv a umožnenie prístupu k virtuálnej súkromnej sieti.

Pripojenie VPN vždy pozostáva z prepojenia bod-bod, známeho aj ako tunel. Tunel je vytvorený v nezabezpečenej sieti, ktorou je najčastejšie internet.

Tunelovanie alebo zapuzdrenie je spôsob prenosu užitočných informácií prostredníctvom medziľahlej siete. Takouto informáciou môžu byť rámce (alebo pakety) iného protokolu. Pri zapuzdrení sa rámec neprenáša tak, ako ho vygeneroval odosielajúci hostiteľ, ale je vybavený dodatočnou hlavičkou obsahujúcou smerovacie informácie, ktoré umožňujú zapuzdreným paketom prejsť cez medziľahlú sieť (Internet). Na konci tunela sú rámce de-zapuzdrené a prenesené do príjemcu. Typicky je tunel vytvorený dvoma okrajovými zariadeniami umiestnenými na vstupných bodoch do verejnej siete. Jednou z jasných výhod tunelovania je, že táto technológia umožňuje zašifrovať celý pôvodný paket vrátane hlavičky, ktorá môže obsahovať údaje obsahujúce informácie, ktoré útočníci využívajú na hacknutie siete (napríklad IP adresy, počet podsietí atď.). ).

Aj keď je medzi dvoma bodmi vytvorený tunel VPN, každý hostiteľ môže vytvoriť ďalšie tunely s inými hostiteľmi. Napríklad, keď tri vzdialené stanice potrebujú kontaktovať rovnakú kanceláriu, vytvoria sa tri samostatné VPN tunely do tejto kancelárie. Pre všetky tunely môže byť uzol na strane kancelárie rovnaký. Je to možné vďaka skutočnosti, že uzol môže šifrovať a dešifrovať údaje v mene celej siete, ako je znázornené na obrázku:

Ryža. 6.6. Vytvorte VPN tunely pre viaceré vzdialené miesta

Používateľ vytvorí pripojenie k bráne VPN, po ktorom má používateľ prístup do vnútornej siete.

V rámci súkromnej siete k samotnému šifrovaniu nedochádza. Dôvodom je, že táto časť siete je považovaná za bezpečnú a pod priamou kontrolou, na rozdiel od internetu. Platí to aj pri pripájaní kancelárií pomocou brán VPN. Šifrovanie je teda zaručené iba pre informácie, ktoré sa medzi úradmi prenášajú cez nezabezpečený kanál.

Je ich veľa rôzne riešenia na budovanie virtuálnych privátnych sietí. Najznámejšie a najpoužívanejšie protokoly sú:

    PPTP (Point-to-Point Tunneling Protocol) - tento protokol sa stal pomerne populárnym vďaka jeho začleneniu do operačných systémov Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - kombinuje protokol L2F (Layer 2 Forwarding) a protokol PPTP. Zvyčajne sa používa v spojení s IPSec.

    IPSec (Internet Protocol Security) je oficiálny internetový štandard vyvinutý komunitou IETF (Internet Engineering Task Force).

Uvedené protokoly sú podporované zariadeniami D-Link.

Protokol PPTP je primárne určený pre virtuálne privátne siete založené na dial-up pripojeniach. Protokol umožňuje vzdialený prístup, takže používatelia môžu vytvoriť telefonické pripojenie s poskytovateľmi internetu a vytvoriť bezpečný tunel do svojich podnikových sietí. Na rozdiel od IPSec nebol protokol PPTP pôvodne určený na organizovanie tunelov medzi lokálnymi sieťami. PPTP rozširuje možnosti protokolu PPP, protokolu dátového spojenia, ktorý bol pôvodne navrhnutý na zapuzdrenie údajov a ich prenos cez spojenia bod-bod.

Protokol PPTP umožňuje vytvárať zabezpečené kanály na výmenu dát pomocou rôznych protokolov - IP, IPX, NetBEUI atď. Dáta týchto protokolov sú zabalené do rámcov PPP, zapuzdrené pomocou protokolu PPTP do paketov protokolu IP. Potom sú prenášané pomocou IP v šifrovanej forme cez akúkoľvek sieť TCP/IP. Prijímací uzol extrahuje PPP rámce z IP paketov a následne ich spracuje štandardným spôsobom, t.j. extrahuje paket IP, IPX alebo NetBEUI z rámca PPP a odošle ho cez lokálnu sieť. Protokol PPTP teda vytvára spojenie bod-bod v sieti a prenáša dáta cez vytvorený bezpečný kanál. Hlavnou výhodou zapuzdrených protokolov, ako je PPTP, je ich multiprotokolový charakter. Tie. ochrana údajov na vrstve dátového spojenia je transparentná pre protokoly sieťovej a aplikačnej vrstvy. Preto v rámci siete možno ako prenos použiť protokol IP (ako v prípade VPN založenej na IPSec) alebo akýkoľvek iný protokol.

V súčasnosti je protokol PPTP z dôvodu ľahkej implementácie široko používaný na získanie spoľahlivého zabezpečeného prístupu do podnikovej siete a na prístup k sieťam ISP, keď klient potrebuje vytvoriť PPTP spojenie s ISP, aby sa mohol dostať na internet.

Metóda šifrovania použitá v PPTP je špecifikovaná na vrstve PPP. Klientom PPP je zvyčajne stolný počítač s operačný systém Ako šifrovací protokol sa používa Microsoft a protokol Microsoft Point-to-Point Encryption (MPPE). Tento protokol je založený na štandarde RSA RC4 a podporuje 40 alebo 128 bitové šifrovanie. Pre mnohé aplikácie tejto úrovne šifrovania je použitie tohto algoritmu postačujúce, hoci sa považuje za menej bezpečný ako množstvo iných šifrovacích algoritmov, ktoré ponúka IPSec, najmä 168-bitový Triple-Data Encryption Standard (3DES).

Ako sa vytvorí spojeniePPTP?

PPTP zapuzdruje IP pakety na prenos cez IP sieť. Klienti PPTP vytvoria pripojenie na riadenie tunela, ktoré udržiava prepojenie nažive. Tento proces sa vykonáva na transportnej vrstve modelu OSI. Po vytvorení tunela si klientsky počítač a server začnú vymieňať servisné pakety.

Okrem riadiaceho pripojenia PPTP sa vytvorí pripojenie na odosielanie údajov cez tunel. Zapuzdrenie údajov pred ich odoslaním do tunela zahŕňa dva kroky. Najprv sa vytvorí informačná časť rámca PPP. Dáta prúdia zhora nadol, z aplikačnej vrstvy OSI do spojovacej vrstvy. Prijaté dáta sú potom odoslané do modelu OSI a zapuzdrené protokolmi vyššej vrstvy.

Dáta z linkovej vrstvy sa dostanú do transportnej vrstvy. Informácie však nemožno odoslať na miesto určenia, pretože za to zodpovedá linková vrstva OSI. Preto PPTP zašifruje pole užitočného zaťaženia paketu a prevezme funkcie druhej úrovne, ktoré zvyčajne patria k PPP, t. j. do paketu PPTP pridá hlavičku PPP (hlavičku) a koniec (upútavku). Tým sa dokončí vytvorenie rámca vrstvy odkazu. Ďalej PPTP zapuzdrí rámec PPP do paketu GRE (Generic Routing Encapsulation), ktorý patrí do sieťovej vrstvy. GRE zapuzdruje protokoly sieťovej vrstvy, ako sú IP, IPX, aby ich bolo možné prenášať cez siete IP. Použitie samotného protokolu GRE však nezabezpečí vytvorenie relácie a bezpečnosť údajov. Toto využíva schopnosť PPTP vytvoriť prepojenie na riadenie tunela. Použitie GRE ako metódy zapuzdrenia obmedzuje rozsah PPTP iba ​​na siete IP.

Potom, čo bol rámec PPP zapuzdrený do rámca s hlavičkou GRE, je zapuzdrený do rámca s hlavičkou IP. Hlavička IP obsahuje adresu odosielateľa a príjemcu paketu. Nakoniec PPTP pridá hlavičku a koniec PPP.

Na ryža. 6.7 zobrazuje dátovú štruktúru pre presmerovanie cez tunel PPTP:

Ryža. 6.7.Štruktúra údajov na preposielanie cez tunel PPTP

Nastavenie VPN založenej na PPTP si nevyžaduje veľké výdavky a zložité nastavenia: stačí nainštalovať PPTP server do centrály (riešenia PPTP existujú pre platformy Windows aj Linux) a spustiť na klientskych počítačoch potrebné nastavenia. Ak potrebujete skombinovať niekoľko pobočiek, potom namiesto nastavenia PPTP na všetkých klientskych staniciach je lepšie použiť internetový smerovač alebo firewall s podporou PPTP: nastavenia sa vykonávajú iba na hraničnom smerovači (firewalle) pripojenom na internet, pre užívateľov je všetko úplne transparentné. Príkladmi takýchto zariadení sú multifunkčné internetové smerovače DIR/DSR a firewally série DFL.

GRE-tunely

Generic Routing Encapsulation (GRE) je protokol na zapuzdrenie sieťových paketov, ktorý poskytuje tunelovanie prevádzky cez siete bez šifrovania. Príklady použitia GRE:

    prenos prevádzky (vrátane vysielania) prostredníctvom zariadenia, ktoré nepodporuje špecifický protokol;

    tunelovanie prevádzky IPv6 cez sieť IPv4;

    prenos dát cez verejné siete na implementáciu bezpečného pripojenia VPN.

Ryža. 6.8. Príklad tunela GRE

Medzi dvoma smerovačmi A a B ( ryža. 6.8) existuje niekoľko smerovačov, tunel GRE umožňuje zabezpečiť spojenie medzi lokálnymi sieťami 192.168.1.0/24 a 192.168.3.0/24, ako keby boli smerovače A a B pripojené priamo.

L2 TP

Protokol L2TP sa objavil ako výsledok zlúčenia protokolov PPTP a L2F. Hlavnou výhodou protokolu L2TP je, že umožňuje vytvárať tunel nielen v sieťach IP, ale aj v sieťach ATM, X.25 a Frame relay. L2TP používa ako prenos UDP a používa rovnaký formát správy pre správu tunela aj preposielanie údajov.

Rovnako ako v prípade PPTP, L2TP začína zostavovať paket na prenos do tunela pridaním hlavičky PPP a potom hlavičky L2TP do informačného dátového poľa PPP. Takto prijatý paket je zapuzdrený pomocou UDP. V závislosti od typu zvolenej bezpečnostnej politiky IPSec môže L2TP šifrovať správy UDP a pridať hlavičku a koniec Encapsulating Security Payload (ESP), ako aj zakončenie overenia IPSec (pozri časť „L2TP cez IPSec“). Potom je zapuzdrený v IP. Pridá sa hlavička IP obsahujúca adresy odosielateľa a príjemcu. Nakoniec L2TP vykoná druhé zapuzdrenie PPP, aby pripravil dáta na prenos. Na ryža. 6.9 zobrazuje dátovú štruktúru, ktorá sa má odoslať cez tunel L2TP.

Ryža. 6.9.Štruktúra údajov na preposielanie cez tunel L2TP

Prijímajúci počítač prijme údaje, spracuje hlavičku a ukončenie PPP a odstráni hlavičku IP. IPSec Authentication overuje pole s informáciami o IP a hlavička IPSec ESP pomáha dešifrovať paket.

Počítač potom spracuje hlavičku UDP a na identifikáciu tunela použije hlavičku L2TP. Paket PPP teraz obsahuje iba užitočné zaťaženie, ktoré sa spracováva alebo posiela určenému príjemcovi.

IPsec (skratka pre IP Security) je súbor protokolov na zabezpečenie dát prenášaných cez IP internetový protokol, umožňujúci autentifikáciu a/alebo šifrovanie IP paketov. IPsec obsahuje aj protokoly na bezpečnú výmenu kľúčov na internete.

Bezpečnosť IPSec je dosiahnutá prostredníctvom dodatočných protokolov, ktoré pridávajú do IP paketu vlastné hlavičky – zapuzdrenie. Pretože IPSec je internetový štandard, potom preň existujú dokumenty RFC:

    RFC 2401 (Security Architecture for the Internet Protocol) je bezpečnostná architektúra pre protokol IP.

    RFC 2402 (IP Authentication header) - IP autentifikačná hlavička.

    RFC 2404 (Použitie HMAC-SHA-1-96 v rámci ESP a AH) – Použitie algoritmu hash SHA-1 na vytvorenie overovacej hlavičky.

    RFC 2405 (Šifrovací algoritmus ESP DES-CBC s explicitným IV) - Použitie šifrovacieho algoritmu DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - Šifrovanie dát.

    RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) je rozsah protokolu správy kľúčov.

    RFC 2408( internetová bezpečnosť Association and Key Management Protocol (ISAKMP) - správa kľúčov a autentifikátorov zabezpečených spojení.

    RFC 2409 (Internet Key Exchange (IKE)) – výmena kľúčov.

    RFC 2410 (NULL šifrovací algoritmus a jeho použitie s IPsec) - NULL šifrovací algoritmus a jeho použitie.

    RFC 2411 (IP Security Document Roadmap) je ďalším vývojom štandardu.

    RFC 2412 (OAKLEY Key Determination Protocol) – Kontrola pravosti kľúča.

IPsec je neoddeliteľnou súčasťou internetového protokolu IPv6 a voliteľným rozšírením verzie IPv4 internetového protokolu.

Mechanizmus IPSec vykonáva nasledujúce úlohy:

    overovanie používateľov alebo počítačov počas inicializácie zabezpečeného kanála;

    šifrovanie a overovanie údajov prenášaných medzi koncovými bodmi zabezpečeného kanála;

    automatické zásobovanie koncových bodov kanála tajnými kľúčmi potrebnými na fungovanie protokolov autentifikácie a šifrovania údajov.

Komponenty IPSec

Protokol AH (Authentication Header) je protokol identifikácie hlavičky. Zabezpečuje integritu overením, že počas prenosu neboli zmenené žiadne bity v chránenej časti paketu. Ale používanie AH môže spôsobiť problémy, napríklad keď paket prechádza cez NAT zariadenie. NAT zmení IP adresu paketu, aby umožnil prístup na internet zo súkromnej lokálnej adresy. Pretože v tomto prípade sa paket zmení, potom sa kontrolný súčet AH stane nesprávnym (na odstránenie tohto problému bol vyvinutý protokol NAT-Traversal (NAT-T), ktorý poskytuje prenos ESP cez UDP a pri svojej práci používa port UDP 4500). Za zmienku tiež stojí, že AH bol navrhnutý len pre integritu. Nezaručuje dôvernosť zašifrovaním obsahu balíka.

Protokol ESP (Encapsulation Security Payload) zabezpečuje nielen integritu a autentifikáciu prenášaných dát, ale aj šifrovanie dát, ako aj ochranu proti falšovaniu paketov.

Protokol ESP je zapuzdrený bezpečnostný protokol, ktorý poskytuje integritu aj dôvernosť. V transportnom režime je hlavička ESP medzi pôvodnou hlavičkou IP a hlavičkou TCP alebo UDP. V tunelovom režime je hlavička ESP umiestnená medzi novú hlavičku IP a plne zašifrovaný pôvodný paket IP.

Pretože oba protokoly - AH aj ESP - pridávajú svoje vlastné hlavičky IP, každý z nich má svoje vlastné číslo protokolu (ID), podľa ktorého môžete určiť, čo bude nasledovať po hlavičke IP. Každý protokol má podľa IANA (Internet Assigned Numbers Authority – organizácia zodpovedná za adresný priestor internetu) svoje vlastné číslo (ID). Napríklad pre TCP je toto číslo 6 a pre UDP je to 17. Preto je veľmi dôležité pri práci cez firewall nakonfigurovať filtre tak, aby prechádzali pakety s ID AH a/alebo ESP protokolu.

Protokol ID 51 je nastavený tak, aby indikoval, že AH je prítomný v hlavičke IP, a 50 pre ESP.

POZOR: ID protokolu nie je rovnaké ako číslo portu.

Protokol IKE (Internet Key Exchange) je štandardný protokol IPsec používaný na zabezpečenie komunikácie vo virtuálnych privátnych sieťach. Účelom IKE je bezpečné vyjednávanie a doručenie identifikovaného materiálu do bezpečnostnej asociácie (SA).

SA je termín IPSec pre pripojenie. Zavedená SA (zabezpečený kanál nazývaný „zabezpečené pridruženie“ alebo „bezpečnostné pridruženie“ – Security Association, SA) obsahuje zdieľaný tajný kľúč a súbor kryptografických algoritmov.

Protokol IKE vykonáva tri hlavné úlohy:

    poskytuje prostriedky autentifikácie medzi dvoma koncovými bodmi VPN;

    vytvorí nové prepojenia IPSec (vytvorí pár SA);

    riadi existujúce vzťahy.

IKE používa port UDP číslo 500. Pri použití funkcie NAT Traversal, ako už bolo spomenuté, protokol IKE používa port UDP s číslom 4500.

Výmena dát v IKE prebieha v 2 fázach. V prvej fáze vzniká združenie SA IKE. Zároveň sa overia koncové body kanála a vyberú sa parametre ochrany údajov, ako je šifrovací algoritmus, kľúč relácie atď.

V druhej fáze sa SA IKE používa na vyjednávanie protokolu (zvyčajne IPSec).

S nakonfigurovaným tunelom VPN sa pre každý použitý protokol vytvorí jeden pár SA. SA sa vytvárajú v pároch, as každé SA je jednosmerné pripojenie a údaje sa musia odosielať v dvoch smeroch. Prijaté SA páry sú uložené v každom uzle.

Keďže každý uzol je schopný vytvoriť viacero tunelov s inými uzlami, každá SA má jedinečné číslo A, ktoré vám umožňuje určiť, ku ktorému uzlu patrí. Toto číslo sa nazýva SPI (Security Parameter Index) alebo Security Parameter Index.

SA uložené v databáze (DB) SAD(Databáza bezpečnostných asociácií).

Každý uzol IPSec má aj druhú DB − SPD(Bezpečnostná databáza) – Databáza bezpečnostnej politiky. Obsahuje nakonfigurovanú politiku hostiteľa. Väčšina riešení VPN vám umožňuje vytvárať viaceré politiky s kombináciami vhodných algoritmov pre každého hostiteľa, ku ktorému sa chcete pripojiť.

Flexibilita IPSec spočíva v tom, že pre každú úlohu existuje niekoľko spôsobov jej riešenia a metódy zvolené pre jednu úlohu sú zvyčajne nezávislé od metód implementácie iných úloh. Pracovná skupina IETF však definovala základnú sadu podporovaných funkcií a algoritmov, ktoré musia byť implementované rovnakým spôsobom vo všetkých produktoch s podporou IPSec. Mechanizmy AH a ESP možno použiť s rôznymi schémami autentifikácie a šifrovania, z ktorých niektoré sú povinné. Napríklad IPSec špecifikuje, že pakety sa overujú pomocou jednosmernej funkcie MD5 alebo jednosmernej funkcie SHA-1 a šifrovanie sa vykonáva pomocou algoritmu DES. Výrobcovia produktov, ktoré používajú IPSec, môžu pridať ďalšie autentifikačné a šifrovacie algoritmy. Napríklad niektoré produkty podporujú šifrovacie algoritmy ako 3DES, Blowfish, Cast, RC5 atď.

Na šifrovanie údajov v IPSec možno použiť akýkoľvek symetrický šifrovací algoritmus, ktorý používa tajné kľúče.

Protokoly ochrany toku (AH a ESP) môžu fungovať v dvoch režimoch – in spôsob dopravy a v tunelový režim. Pri prevádzke v transportnom režime sa IPsec zaoberá iba informáciami transportnej vrstvy; šifrované je iba dátové pole paketu obsahujúceho protokoly TCP / UDP (hlavička IP paketu sa nemení (nešifruje)). Transportný režim sa zvyčajne používa na vytvorenie spojenia medzi hostiteľmi.

Režim tunelovania zašifruje celý IP paket vrátane hlavičky sieťovej vrstvy. Aby mohol byť prenášaný cez sieť, je umiestnený v inom IP pakete. V podstate ide o bezpečný IP tunel. Tunelový režim možno použiť na pripojenie vzdialených počítačov k virtuálnej súkromnej sieti (schéma pripojenia „hostiteľská sieť“) alebo na organizáciu bezpečného prenosu údajov prostredníctvom otvorených komunikačných kanálov (napríklad internetu) medzi bránami, aby sa skombinovali rôzne časti virtuálnej súkromnej siete. sieť ("schéma pripojenia k sieti"). -net").

Režimy IPsec sa navzájom nevylučujú. Na tom istom hostiteľovi môžu niektoré SA používať transportný režim, zatiaľ čo iné môžu používať tunelový režim.

Počas fázy autentifikácie sa vypočíta kontrolný súčet ICV (hodnota kontroly integrity) paketu. Predpokladá sa, že oba uzly vedia Tajný kľúč, ktorý umožňuje príjemcovi vypočítať ICV a porovnať ho s výsledkom zaslaným odosielateľom. Ak je porovnanie ICV úspešné, odosielateľ paketu sa považuje za overeného.

V režime dopravyAH

    celý IP paket, okrem niektorých polí v hlavičke IP, ktoré je možné počas prenosu zmeniť. Tieto polia, ktorých hodnoty pre výpočet ICV sú 0, môžu byť súčasťou služby (Type of Service, TOS), príznaky, offset fragmentu, čas životnosti (TTL), ako aj hlavička kontrolného súčtu;

    všetky polia v AH;

    užitočné zaťaženie IP paketov.

AH v transportnom režime chráni hlavičku IP (okrem polí, ktoré sa môžu meniť) a užitočné zaťaženie v pôvodnom pakete IP (obrázok 3.39).

V tunelovom režime sa pôvodný paket umiestni do nového IP paketu a prenos dát sa uskutoční na základe hlavičky nového IP paketu.

Pre tunelový režimAH pri vykonávaní výpočtu sú do kontrolného súčtu ICV zahrnuté tieto zložky:

    všetky polia vonkajšej hlavičky IP, s výnimkou niektorých polí v hlavičke IP, ktoré je možné počas prenosu zmeniť. Tieto polia, ktorých hodnoty pre výpočet ICV sú 0, môžu byť súčasťou služby (Type of Service, TOS), príznaky, offset fragmentu, čas životnosti (TTL), ako aj hlavička kontrolného súčtu;

    všetky polia AH;

    pôvodný IP paket.

Ako vidíte na nasledujúcom obrázku, režim tunela AH chráni celý zdrojový paket IP pomocou ďalšej vonkajšej hlavičky, ktorú režim prenosu AH nepoužíva:

Ryža. 6.10. Tunelové a transportné spôsoby prevádzky protokolu AN

V režime dopravyESP neoveruje celý paket, ale chráni iba užitočné zaťaženie IP. Hlavička ESP v transportnom režime ESP sa pridá do IP paketu hneď za hlavičku IP a za dáta sa zodpovedajúcim spôsobom pridá koncovka ESP (ESP Trailer).

Transportný režim ESP šifruje nasledujúce časti paketu:

    IP užitočné zaťaženie;

Šifrovací algoritmus, ktorý používa režim šifrovania Cipher Block Chaining (CBC), má medzi hlavičkou ESP a užitočným zaťažením nezašifrované pole. Toto pole sa nazýva IV (Initialization Vector) pre výpočet CBC, ktorý sa vykonáva na prijímači. Keďže toto pole sa používa na spustenie procesu dešifrovania, nedá sa zašifrovať. Aj keď má útočník možnosť zobraziť IV, neexistuje spôsob, ako by mohol dešifrovať zašifrovanú časť paketu bez šifrovacieho kľúča. Aby útočníci nemohli zmeniť inicializačný vektor, je strážený kontrolným súčtom ICV. V tomto prípade ICV vykoná nasledujúce výpočty:

    všetky polia v hlavičke ESP;

    užitočné zaťaženie vrátane otvoreného textu IV;

    všetky polia v ESP Trailer okrem poľa autentifikačných údajov.

Tunelový režim ESP zapuzdruje celý pôvodný paket IP do novej hlavičky IP, hlavičky ESP a upútavky ESP. Na označenie prítomnosti ESP v hlavičke IP sa identifikátor protokolu IP nastaví na 50, pričom pôvodná hlavička IP a užitočné zaťaženie sa ponechajú nezmenené. Rovnako ako v režime tunela AH je hlavička vonkajšej adresy IP založená na konfigurácii tunela IPSec. V prípade použitia tunelového režimu ESP oblasť autentifikácie paketu IP ukazuje, kde bol podpis vytvorený, čím sa potvrdzuje jeho integrita a autenticita, a zašifrovaná časť ukazuje, že informácie sú chránené a dôverné. Pôvodná hlavička sa umiestni za hlavičku ESP. Potom, čo je šifrovaná časť zapuzdrená do novej hlavičky tunela, ktorá nie je šifrovaná, sa prenesie IP paket. Pri odoslaní cez verejnú sieť je takýto paket smerovaný na IP adresu brány prijímajúcej siete a brána dešifruje paket a zahodí hlavičku ESP pomocou pôvodnej hlavičky IP, aby potom smerovala paket do počítača umiestneného na vnútornej siete. Režim tunelovania ESP šifruje nasledujúce časti paketu:

    pôvodný IP paket;

  • Pre režim tunela ESP sa ICV vypočíta takto:

    všetky polia v hlavičke ESP;

    pôvodný IP paket vrátane otvoreného textu IV;

    všetky polia hlavičky ESP okrem poľa autentifikačných údajov.

Ryža. 6.11. Tunel a transportný režim protokolu ESP

Ryža. 6.12. Porovnanie protokolov ESP a AH

Súhrn aplikačných režimovIPSec:

    Protokol - ESP (AH).

    Režim - tunel (doprava).

    Spôsob výmeny kľúčov - IKE (manuálne).

    Režim IKE - hlavný (agresívny).

    DH kľúč – skupina 5 (skupina 2, skupina 1) – číslo skupiny pre výber dynamicky vytváraných kľúčov relácie, dĺžka skupiny.

    Autentifikácia - SHA1 (SHA, MD5).

    Šifrovanie - DES (3DES, Blowfish, AES).

Pri vytváraní politiky je zvyčajne možné vytvoriť usporiadaný zoznam algoritmov a skupín Diffie-Hellman. Diffie-Hellman (DH) je šifrovací protokol používaný na vytvorenie zdieľaných tajných kľúčov pre IKE, IPSec a PFS (Perfect Forward Secrecy). V tomto prípade sa použije prvá pozícia, ktorá sa zhoduje na oboch uzloch. Je veľmi dôležité, aby všetko v bezpečnostnej politike umožňovalo dosiahnuť túto náhodu. Ak sa všetko ostatné zhoduje okrem jednej časti politiky, hostitelia stále nebudú môcť vytvoriť pripojenie VPN. Pri nastavovaní VPN tunela medzi rôzne systémy musíte zistiť, aké algoritmy sú podporované každou stranou, aby ste si mohli zvoliť najbezpečnejšiu politiku zo všetkých možných.

Hlavné nastavenia, ktoré bezpečnostná politika zahŕňa:

    Symetrické algoritmy na šifrovanie/dešifrovanie údajov.

    Kryptografické kontrolné súčty na kontrolu integrity údajov.

    Metóda identifikácie uzla. Najbežnejšími metódami sú predzdieľané tajomstvá alebo certifikáty CA.

    Či použiť režim tunela alebo režim dopravy.

    Ktorú skupinu Diffie-Hellman použiť (DH skupina 1 (768-bit); DH skupina 2 (1024-bit); DH skupina 5 (1536-bit)).

    Či použiť AH, ESP alebo oboje.

    Či použiť PFS.

Obmedzením protokolu IPSec je, že podporuje prenos údajov iba na vrstve protokolu IP.

Existujú dve hlavné schémy používania IPSec, ktoré sa líšia úlohou uzlov, ktoré tvoria zabezpečený kanál.

V prvej schéme sa medzi koncovými hostiteľmi siete vytvorí bezpečný kanál. V tejto schéme protokol IPSec chráni hostiteľa, ktorý je spustený:

Ryža. 6.13. Vytvorte bezpečný kanál medzi dvoma koncovými bodmi

V druhej schéme je vytvorený bezpečný kanál medzi dvoma bezpečnostnými bránami. Tieto brány prijímajú údaje od koncových hostiteľov pripojených k sieťam za bránami. Koncoví hostitelia v tomto prípade nepodporujú protokol IPSec, prevádzka smerujúca do verejnej siete prechádza cez bezpečnostnú bránu, ktorá vykonáva ochranu vo svojom mene.

Ryža. 6.14. Vytvorenie bezpečného kanála medzi dvoma bránami

Pre hostiteľov, ktorí podporujú IPSec, možno použiť režim prenosu aj režim tunela. Pre brány je povolený iba tunelový režim.

Inštalácia a podporaVPN

Ako je uvedené vyššie, inštalácia a údržba tunela VPN je dvojkrokový proces. V prvej fáze (fáze) sa dva uzly dohodnú na metóde identifikácie, šifrovacom algoritme, hashovom algoritme a Diffie-Hellmanovej skupine. Tiež sa navzájom identifikujú. To všetko sa môže stať v dôsledku výmeny troch nešifrovaných správ (tzv. agresívny režim, Agresívne režim) alebo šesť správ s výmenou zašifrovaných identifikačných informácií (štandardný režim, Hlavné režim).

V hlavnom režime je možné dohodnúť všetky konfiguračné parametre zariadenia odosielateľa a príjemcu, zatiaľ čo v agresívnom režime to nie je možné a niektoré parametre (skupina Diffie-Hellman, šifrovacie a autentifikačné algoritmy, PFS) musia byť vopred nastavené. - nakonfigurované rovnakým spôsobom na každom zariadení. V tomto režime je však počet výmen aj počet odoslaných paketov nižší, čo má za následok kratší čas na vytvorenie relácie IPSec.

Ryža. 6.15. Správy v štandardnom (a) a agresívnom (b) režime

Za predpokladu úspešného dokončenia operácie sa vytvorí prvá fáza SA − Fáza 1 SA(tiež nazývaný IKESA) a proces pokračuje do druhej fázy.

V druhom kroku sa vygenerujú kľúčové dáta, uzly sa dohodnú na politike, ktorá sa má použiť. Tento režim, nazývaný aj Rýchly režim, sa líši od Fázy 1 tým, že ho možno vytvoriť až po Fáze 1, keď sú všetky pakety Fázy 2 zašifrované. Správne dokončenie druhej fázy vedie k vzhľadu Fáza 2 SA alebo IPSecSA a na tomto sa inštalácia tunela považuje za dokončenú.

Najprv do uzla dorazí paket s cieľovou adresou v inej sieti a uzol zaháji prvú fázu s uzlom, ktorý je zodpovedný za druhú sieť. Povedzme, že tunel medzi uzlami bol úspešne vytvorený a čaká na pakety. Uzly sa však po určitom čase musia navzájom znovu identifikovať a porovnať politiky. Toto obdobie sa nazýva životnosť prvej fázy alebo životnosť IKE SA.

Uzly musia tiež zmeniť kľúč na šifrovanie údajov po časovom období, ktoré sa nazýva druhá fáza alebo životnosť IPSec SA.

Životnosť fázy dva je kratšia ako prvá fáza, pretože kľúč je potrebné meniť častejšie. Pre oba uzly musíte nastaviť rovnaké parametre životnosti. Ak to neurobíte, je možné, že spočiatku sa tunel úspešne vytvorí, ale po prvom nekonzistentnom období života sa spojenie preruší. Problémy môžu nastať aj vtedy, keď je životnosť prvej fázy kratšia ako životnosť druhej fázy. Ak predtým nakonfigurovaný tunel prestane fungovať, potom prvá vec, ktorú treba skontrolovať, je životnosť na oboch uzloch.

Treba tiež poznamenať, že ak zmeníte politiku na jednom z uzlov, zmeny sa prejavia až pri ďalšom nástupe prvej fázy. Aby sa zmeny prejavili okamžite, musíte odstrániť SA pre tento tunel z databázy SAD. To si vynúti revíziu dohody medzi uzlami s novými nastaveniami bezpečnostnej politiky.

Niekedy pri nastavovaní IPSec tunela medzi zariadeniami rôznych výrobcov existujú ťažkosti spojené s koordináciou parametrov pri stanovení prvej fázy. Mali by ste venovať pozornosť takému parametru, ako je Local ID - ide o jedinečný identifikátor pre koncový bod tunela (odosielateľ a príjemca). Toto je obzvlášť dôležité pri vytváraní viacerých tunelov a používaní protokolu NAT Traversal.

Mŕtvypeerdetekcia

Počas prevádzky VPN, ak medzi koncovými bodmi tunela nie je žiadna prevádzka, alebo ak sa zmenia počiatočné údaje vzdialeného uzla (napríklad zmena dynamicky pridelenej IP adresy), môže nastať situácia, keď tunel už v podstate nebude taký , ktorý sa stal akoby tunelom duchov. Pre udržanie neustálej pripravenosti na výmenu dát vo vytvorenom IPSec tuneli vám mechanizmus IKE (popísaný v RFC 3706) umožňuje kontrolovať prítomnosť prevádzky zo vzdialeného uzla tunela, a ak je neprítomná počas nastaveného času, odošle sa ahoj správa (vo firewalloch D-Link pošle správu "DPD-R-U-THERE"). Ak do určitého času nepríde žiadna odpoveď na túto správu, vo firewalloch D-Link nastavených v nastaveniach "DPD Expire Time" sa tunel demontuje. Firewally D-Link potom pomocou nastavení „DPD Keep Time“ ( ryža. 6.18) automaticky pokúsi obnoviť tunel.

ProtokolNATPrechádzanie

Prevádzka IPsec môže byť smerovaná podľa rovnakých pravidiel ako iné protokoly IP, ale keďže smerovač nemôže vždy extrahovať informácie špecifické pre protokoly transportnej vrstvy, je nemožné, aby IPsec prechádzal cez brány NAT. Ako už bolo spomenuté, na vyriešenie tohto problému IETF definovala spôsob zapuzdrenia ESP v UDP, ktorý sa nazýva NAT-T (NAT Traversal).

Protokol NAT Traversal zapuzdruje prevádzku IPSec a súčasne vytvára pakety UDP, ktoré NAT správne preposiela. Na tento účel umiestni NAT-T ďalšiu hlavičku UDP pred paket IPSec, takže sa s ním v celej sieti zaobchádza ako s normálnym paketom UDP a hostiteľ príjemcu nevykonáva žiadne kontroly integrity. Keď paket dorazí na miesto určenia, hlavička UDP sa odstráni a dátový paket pokračuje vo svojej ceste ako zapuzdrený paket IPSec. Pomocou mechanizmu NAT-T je teda možné nadviazať komunikáciu medzi IPSec klientmi v zabezpečených sieťach a verejnými IPSec hostiteľmi cez firewally.

Pri konfigurácii brány firewall D-Link na prijímacom zariadení je potrebné vziať do úvahy dva body:

    do polí Vzdialená sieť a Vzdialený koncový bod zadajte sieť a IP adresu vzdialeného odosielajúceho zariadenia. Je potrebné umožniť preklad IP adresy iniciátora (odosielateľa) pomocou technológie NAT (obrázok 3.48).

    pri použití zdieľaných kľúčov s viacerými tunelmi pripojenými k rovnakému diaľkovému ovládaču POŽARNE DVERE ktoré boli NAT prevedené na rovnakú adresu, je dôležité zabezpečiť, aby bolo lokálne ID jedinečné pre každý tunel.

Miestne ID môže byť jedným z:

    Auto– ako lokálny identifikátor sa používa adresa IP odchádzajúceho komunikačného rozhrania.

    IP– IP adresa WAN portu diaľkového ovládača POŽARNE DVERE

    DNS– DNS adresa

    Zálohovanie zašifrovaných súborov

    Dôležitým aspektom dizajnu akéhokoľvek mechanizmu šifrovania súborov je, že aplikácie nemôžu pristupovať k dešifrovaným údajom inak ako prostredníctvom šifrovacích mechanizmov. Toto obmedzenie je dôležité najmä pre verejné služby Rezervovať kópiu, pomocou ktorého sa súbory ukladajú na archívne médiá. EFS rieši tento problém poskytnutím mechanizmu na vytváranie zálohovacích nástrojov zálohy súbory a obnoviť ich v zašifrovanej podobe. Zálohovacie nástroje teda nemusia počas procesu zálohovania šifrovať alebo dešifrovať údaje súborov.

    EFS sa používa, keď je potrebné zašifrovať obsah súborov v pokoji. Na zabezpečenie bezpečného prenosu súborov a iných údajov cez sieť sa používajú iné mechanizmy. Jednou z nich sú ¾ virtuálne privátne siete.

    VPN (angličtina) Virtuálne súkromie Sieť – virtuálna privátna sieť) – logická sieť vytvorená nad inou sieťou, akou je internet. Napriek skutočnosti, že komunikácia prebieha cez verejné siete pomocou nezabezpečených protokolov, šifrovanie vytvára kanály na výmenu informácií, ktoré sú uzavreté pred vonkajšími osobami. VPN vám umožňuje spojiť napríklad niekoľko kancelárií organizácie do jednej siete pomocou nekontrolovaných kanálov na komunikáciu medzi nimi.

    AT Microsoft Windows výraz "VPN" sa vzťahuje na jednu z implementácií virtuálna sieť- PPTP a často sa používa na vytváranie súkromných sietí. Najčastejšie sa na vytvorenie virtuálnej siete používa zapuzdrenie protokolu PPP do iného protokolu - IP alebo Ethernet (PPPoE). Technológia VPN bola v poslednom čase využívaná nielen na vytváranie samotných súkromných sietí, ale aj niektorí poskytovatelia „poslednej míle“ na poskytovanie prístupu na internet.

    VPN sa skladá z dvoch častí: z „internej“ (riadenej) siete, ktorých môže byť niekoľko a z „externej“ siete, cez ktorú prechádza zapuzdrené pripojenie (zvyčajne sa využíva internet). Je tiež možné pripojiť sa k virtuálnej sieti samostatný počítač. Vzdialený používateľ je pripojený k VPN cez prístupový server, ktorý je pripojený k internej aj externej (verejnej) sieti. Pri pripájaní vzdialeného používateľa (alebo pri vytváraní pripojenia k inej zabezpečenej sieti) vyžaduje prístupový server proces identifikácie a následne proces autentifikácie. Po úspešnom dokončení oboch procesov vzdialený používateľ ( vzdialenej sieti) je oprávnená pracovať v sieti, to znamená, že prebieha proces autorizácie.



    Klasifikácia VPN

    Riešenia VPN možno klasifikovať podľa niekoľkých hlavných parametrov:

    1. Podľa typu použitého média

    Chránené

    Najbežnejšia verzia virtuálnych privátnych sietí. S jeho pomocou je možné vytvoriť spoľahlivú a bezpečnú podsieť založenú na nespoľahlivej sieti, zvyčajne na internete. Príklady bezpečných sietí VPN sú: IPSec, OpenVPN a PPTP.

    dôveryhodný

    Používajú sa v prípadoch, keď prenosové médium možno považovať za spoľahlivé a je potrebné len vyriešiť problém vytvorenia virtuálnej podsiete v rámci väčšej siete. Bezpečnostné otázky sa stávajú irelevantnými. Príklady takýchto riešení VPN sú: Multi-protocol label switching (MPLS) a L2TP (Layer 2 Tunneling Protocol). (Správnejšie je povedať, že tieto protokoly presúvajú úlohu poskytovania bezpečnosti na iných, napríklad L2TP sa zvyčajne používa v tandeme s IPSec).

    2. Spôsobom implementácie

    Vo forme špeciálneho softvéru a hardvéru

    Implementácia siete VPN sa vykonáva pomocou špeciálnej sady softvéru a hardvéru. Táto implementácia poskytuje vysoký výkon a spravidla vysoký stupeň bezpečnosť.

    · Ako softvérové ​​riešenie

    použitie Osobný počítač so špeciálnym softvérom, ktorý poskytuje funkčnosť VPN.

    · Integrované riešenie

    Funkcionalitu VPN poskytuje komplex, ktorý rieši aj problémy s filtrovaním sieťovej prevádzky, organizáciou firewallu a zabezpečením kvality služieb.

    3. Podľa dohody

    Používa sa na spojenie niekoľkých distribuovaných pobočiek jednej organizácie, ktoré si vymieňajú údaje, do jednej zabezpečenej siete otvorené kanály spojenia.

    Vzdialený prístup VPN

    Používa sa na vytvorenie zabezpečeného kanála medzi segmentom podnikovej siete (centrálna kancelária alebo pobočka) a jedným používateľom, ktorý sa pri práci doma pripája k podnikovým zdrojom pomocou domáci počítač alebo sa počas služobnej cesty pripája k podnikovým zdrojom pomocou prenosného počítača.

    Používa sa pre siete, ku ktorým sa pripájajú „externí“ používatelia. Úroveň dôvery v nich je oveľa nižšia ako u zamestnancov spoločnosti, preto je potrebné poskytnúť špeciálne „hranice“ ochrany, ktoré obmedzujú prístup týchto zamestnancov k obzvlášť cenným dôverným informáciám.

    4. Podľa typu protokolu

    Existujú implementácie virtuálnych privátnych sietí pod TCP/IP, IPX a AppleTalk. Dnes však existuje trend k všeobecnému prechodu na protokol TCP / IP a veľká väčšina riešení VPN ho podporuje.

    5. Podľa úrovne sieťového protokolu

    Podľa vrstvy sieťového protokolu na základe mapovania na vrstvy ISO/OSI sieťového referenčného modelu.

    testovacie otázky

    1. Čo sa stane, keď prvýkrát zašifrujete súbor EFS?

    2. Ako EFS rieši problém zálohovania šifrovaných súborov?

    3. Aké šifrovacie algoritmy sa používajú v EFS?

    4. Na čo slúži VPN?

    5. Ako sú siete VPN klasifikované podľa účelu?


    Prednáška 8

    MECHANIZMY KONTROLY INTEGRITY
    V OS WINDOWS FAMILY

    Mechanizmy kontroly integrity sa objavili v r Najnovšia verzia MS Windows ¾ Vista.

    Koncept súkromných virtuálnych sietí, skrátene VPN (z angličtiny sa objavil v r počítačová technológia nedávno. Vytvorenie tohto typu spojenia umožnilo kombinovať počítačové terminály a mobilné zariadenia do virtuálnych sietí bez obvyklých káblov, bez ohľadu na umiestnenie konkrétneho terminálu. Teraz sa pozrime na to, ako funguje pripojenie VPN, a zároveň dáme niekoľko odporúčaní na nastavenie takýchto sietí a súvisiacich klientskych programov.

    Čo je to VPN?

    Ako sme už pochopili, VPN je virtuálna súkromná sieť s niekoľkými zariadeniami, ktoré sú k nej pripojené. Nemali by ste sa lichotiť - zvyčajne nefunguje pripojenie dvoch alebo troch tuctov súčasne pracujúcich počítačových terminálov (ako to možno urobiť v „lokálnom prostredí“). To má svoje obmedzenia v nastavení siete, alebo dokonca len v šírku pásma smerovač zodpovedný za prideľovanie IP adries a

    Myšlienka pôvodne začlenená do technológie pripojenia však nie je nová. Dlho sa to snažili podložiť. A mnoho moderných používateľov počítačové siete ani si neuvedomujú, že o tom vedia celý život, ale jednoducho sa nesnažili dostať k podstate veci.

    Ako funguje pripojenie VPN: základné princípy a technológie

    Pre lepšie pochopenie uvedieme najjednoduchší príklad, ktorý pozná každý moderný človek. Vezmite si aspoň rádio. Koniec koncov, v skutočnosti je to vysielacie zariadenie (prekladač), sprostredkujúca jednotka (relé) zodpovedná za prenos a distribúciu signálu a prijímacie zariadenie (prijímač).

    Ďalšou vecou je, že signál je vysielaný absolútne všetkým spotrebiteľom a virtuálna sieť funguje selektívne, pričom do jednej siete kombinuje iba určité zariadenia. Upozorňujeme, že ani v prvom, ani v druhom prípade nie sú potrebné káble na pripojenie vysielacích a prijímacích zariadení, ktoré si navzájom vymieňajú údaje.

    Ale aj tu sú jemnosti. Faktom je, že pôvodne bol rádiový signál nechránený, to znamená, že ho môže prijímať každý rádioamatér s fungujúcim zariadením na vhodnej frekvencii. Ako funguje VPN? Áno, presne to isté. Iba v tomto prípade zohráva úlohu opakovača smerovač (router alebo ADSL modem) a úlohu prijímača stacionárny počítačový terminál, prenosný počítač alebo mobilné zariadenie, ktorá má vo výbave špeciálny modul bezdrôtové pripojenie(wi-fi).

    Pri tom všetkom sú údaje pochádzajúce zo zdroja najskôr zašifrované a až potom sa pomocou špeciálneho dekodéra prehrajú na konkrétne zariadenie. Tento princíp komunikácie cez VPN sa nazýva tunelovanie. A tento princíp je najviac v súlade s mobilné pripojenie keď dôjde k presmerovaniu na konkrétneho predplatiteľa.

    Tunelovanie lokálnych virtuálnych sietí

    Poďme pochopiť, ako funguje VPN v režime tunela. V podstate ide o vytvorenie určitej priamej línie, povedzme, z bodu „A“ do bodu „B“, keď pri prenose údajov z centrálneho zdroja (smerovača so serverovým pripojením) je definovanie všetkých sieťové zariadenia vykonávané automaticky podľa vopred určenej konfigurácie.

    Inými slovami, tunel sa vytvorí s kódovaním pri odosielaní údajov a dekódovaním pri prijímaní. Ukazuje sa, že žiadny iný používateľ, ktorý sa pokúsil zachytiť tento typ údajov počas prenosu, ich nebude môcť dešifrovať.

    Prostriedky implementácie

    Jedným z najvýkonnejších nástrojov pre tento druh pripojenia a zároveň bezpečnosť sú systémy Cisco. Je pravda, že niektorí neskúsení správcovia majú otázku, prečo zariadenie VPN-Cisco nefunguje.

    Dôvodom je predovšetkým nesprávna konfigurácia a nainštalované ovládače pre smerovače ako D-Link alebo ZyXEL, ktoré vyžadujú jemné ladenie len preto, že majú zabudované firewally.

    Okrem toho by ste mali venovať pozornosť schémam zapojenia. Môžu byť dva: route-to-route alebo vzdialený prístup. V prvom prípade hovoríme o združení viacerých distribučných zariadení a v druhom ide o riadenie pripojenia alebo prenosu dát pomocou vzdialeného prístupu.

    Prístupové protokoly

    Pokiaľ ide o protokoly, dnes sa väčšinou používajú konfiguračné nástroje na úrovni PCP/IP, hoci interné protokoly pre VPN sa môžu líšiť.

    VPN prestala fungovať? Mali by ste sa pozrieť na niektoré skryté možnosti. Napríklad dodatočné protokoly založené na technológii TCP PPP a PPTP stále patria do zásobníkov protokolov TCP / IP, ale pre pripojenie, povedzme, v prípade použitia PPTP, musíte namiesto požadovanej adresy použiť dve adresy IP. . V každom prípade však tunelovanie zahŕňa prenos údajov zabalených do interných protokolov, ako sú IPX alebo NetBEUI, a všetky sú vybavené špeciálnymi hlavičkami na báze PPP na bezproblémový prenos údajov do príslušného sieťového ovládača.

    Hardvérové ​​zariadenia

    Teraz sa pozrime na situáciu, kedy vyvstáva otázka, prečo VPN nefunguje. Skutočnosť, že problém môže súvisieť s nesprávnou konfiguráciou hardvéru, je pochopiteľná. Ale môže nastať aj iná situácia.

    Stojí za to venovať pozornosť samotným smerovačom, ktoré riadia pripojenie. Ako bolo uvedené vyššie, mali by ste používať iba zariadenia, ktoré sú vhodné pre parametre pripojenia.

    Napríklad smerovače ako DI-808HV alebo DI-804HV môžu súčasne pripojiť až štyridsať zariadení. Čo sa týka výbavy ZyXEL, v mnohých prípadoch dokáže pracovať aj cez vstavaný sieťový operačný systém ZyNOS, avšak len v režime ZyXEL. príkazový riadok cez protokol Telnet. Tento prístup vám umožňuje konfigurovať akékoľvek zariadenie s prenosom dát do troch sietí v spoločnom ethernetovom prostredí s IP prevádzkou, ako aj použiť jedinečnú technológiu Any-IP navrhnutú na použitie štandardnej tabuľky smerovačov s presmerovanou prevádzkou ako brány pre systémy, ktoré boli pôvodne nakonfigurované na prácu v iných podsieťach.

    Čo robiť, ak VPN nefunguje (Windows 10 a nižšie)?

    Úplne prvou a najdôležitejšou podmienkou je súlad výstupných a vstupných kľúčov (Pre-shared Keys). Na oboch koncoch tunela musia byť rovnaké. Tiež stojí za to venovať pozornosť algoritmom kryptografické šifrovanie(IKE alebo Manual) s funkciou overovania alebo bez nej.

    Napríklad rovnaký protokol AH (v anglickej verzii - Authentication Header) môže poskytnúť iba autorizáciu bez možnosti použitia šifrovania.

    VPN klienti a ich konfigurácia

    Čo sa týka klientov VPN, ani to nie je také jednoduché. Väčšina programov založených na takýchto technológiách používa štandardné konfiguračné metódy. Sú tu však isté úskalia.

    Problém je v tom, že bez ohľadu na to, ako nainštalujete klienta, keď je služba vypnutá v samotnom „OS“, nepríde z toho nič dobré. Preto musíte tieto nastavenia najskôr povoliť v systéme Windows, potom ich povoliť na smerovači (smerovači) a až potom pokračovať v konfigurácii samotného klienta.

    V samotnom systéme budete musieť vytvoriť nové pripojenie a nepoužívať existujúce. Nebudeme sa tým zaoberať, pretože postup je štandardný, ale na samotnom smerovači budete musieť prejsť do ďalších nastavení (najčastejšie sa nachádzajú v ponuke Typ pripojenia WLAN) a aktivovať všetko, čo súvisí so serverom VPN.

    Za zmienku stojí aj fakt, že bude musieť byť do systému nainštalovaný ako sprievodný program. Ale potom sa to dá použiť aj bez manuálne nastavenie jednoduchým výberom najbližšieho miesta.

    Jeden z najpopulárnejších a najjednoduchšie použiteľných VPN klient-server s názvom SecurityKISS. Program je nainštalovaný, ale potom ani nemusíte ísť do nastavení, aby ste zabezpečili normálnu komunikáciu pre všetky zariadenia pripojené k distribútorovi.

    Stáva sa, že pomerne známy a obľúbený balík Kerio Klient VPN nefunguje. Tu budete musieť venovať pozornosť nielen samotnému „OS“, ale aj parametrom klientsky program. Zavedenie správnych parametrov vám spravidla umožňuje zbaviť sa problému. Ako poslednú možnosť budete musieť skontrolovať nastavenia hlavného pripojenia a používaných protokolov TCP / IP (v4 / v6).

    aký je výsledok?

    Popísali sme, ako funguje VPN. V samotnom pripojení alebo vytváraní sietí tohto typu v zásade nie je nič zložité. Hlavné ťažkosti spočívajú v nastavovaní konkrétneho zariadenia a nastavovaní jeho parametrov, ktoré, žiaľ, mnohí používatelia prehliadajú, spoliehajúc sa na to, že celý proces sa zredukuje na automatizáciu.

    Na druhej strane sme sa teraz viac zaoberali otázkami súvisiacimi s technológiou samotných virtuálnych sietí VPN, takže budete musieť nakonfigurovať zariadenia, nainštalovať ovládače zariadení atď. pomocou samostatných pokynov a odporúčaní.

    Okrem svojho hlavného účelu - zvýšenie priepustnosti pripojení v sieti - vám prepínač umožňuje lokalizovať toky informácií, ako aj riadiť a riadiť tieto toky pomocou mechanizmu vlastné filtre. Užívateľský filter však dokáže zabrániť prenosu rámcov len na konkrétne adresy, pričom vysiela vysielanie do všetkých segmentov siete. Toto je princíp fungovania mostového algoritmu implementovaného v prepínači, preto sa siete vytvorené na základe mostov a prepínačov niekedy nazývajú ploché - kvôli absencii prekážok vysielania.

    Technológia virtuálnych lokálnych sietí (Virtual LAN, VLAN), predstavená pred niekoľkými rokmi, prekonáva toto obmedzenie. Virtuálna sieť je skupina sieťových uzlov, ktorých prevádzka, vrátane vysielania, je úplne izolovaná od ostatných uzlov na vrstve dátového spojenia (pozri obrázok 1). To znamená, že priamy prenos rámcov medzi rôznymi virtuálnymi sieťami nie je možný, bez ohľadu na typ adresy – jedinečná, multicast alebo broadcast. Zároveň sa v rámci virtuálnej siete prenášajú rámce v súlade s technológiou prepínania, teda len na port, ku ktorému je priradená cieľová adresa rámca.

    Virtuálne siete sa môžu prekrývať, ak je jeden alebo viac počítačov súčasťou viac ako jednej virtuálnej siete. Na obrázku 1 je server Email je súčasťou virtuálnych sietí 3 a 4, a preto sú jeho rámce prenášané prepínačmi na všetky počítače zahrnuté v týchto sieťach. Ak je počítač priradený iba k virtuálnej sieti 3, potom jeho rámce nedosiahnu sieť 4, ale môže interagovať s počítačmi v sieti 4 prostredníctvom spoločného poštového servera. Táto schéma od seba úplne neizoluje virtuálne siete – preto búrka vysielania iniciovaná e-mailovým serverom zaplaví sieť 3 aj sieť 4.

    Hovorí sa, že virtuálna sieť tvorí vysielaciu prevádzkovú doménu (broadcast doménu), analogicky s kolíznou doménou, ktorú tvoria opakovače ethernetových sietí.

    PRIDELENIE VLAN

    Technológia VLAN uľahčuje vytváranie izolovaných sietí, ktoré komunikujú prostredníctvom smerovačov, ktoré podporujú protokol sieťovej vrstvy, ako je IP. Toto riešenie vytvára oveľa silnejšie bariéry proti chybnej prevádzke z jednej siete do druhej. Dnes sa verí, že každá veľká sieť by mala obsahovať smerovače, inak by ju prúdy chybných rámcov, najmä vysielania, cez prepínače, ktoré sú pre ne transparentné, pravidelne „zaplavili“, čo vedie k nefunkčnému stavu.

    Technológia virtuálnych sietí poskytuje flexibilný základ pre vybudovanie veľkej siete prepojenej smerovačmi, pretože prepínače vám umožňujú vytvárať úplne izolované segmenty programovo bez toho, aby ste sa museli uchýliť k fyzickému prepínaniu.

    Pred príchodom technológie VLAN na nasadenie samostatná sieť boli použité buď fyzicky izolované kusy koaxiálneho kábla, alebo neprepojené segmenty založené na opakovačoch a mostíkoch. Potom sa siete spojili cez smerovače do jednej zloženej siete (pozri obrázok 2).

    Zmena zloženia segmentov (prechod používateľa do inej siete, rozdelenie veľkých sekcií) týmto prístupom znamenala fyzické opätovné pripojenie konektorov na predných paneloch opakovačov alebo v krížových paneloch, čo nie je príliš vhodné vo veľkých sieťach - je to veľmi pracná práca. a pravdepodobnosť chyby je veľmi vysoká. Preto, aby sa eliminovala potreba fyzického prepínania uzlov, začali sa používať multisegmentové huby, aby bolo možné preprogramovať zloženie zdieľaného segmentu bez fyzického prepínania.

    Zmena zloženia segmentov pomocou rozbočovačov však kladie veľké obmedzenia na štruktúru siete - počet segmentov takéhoto opakovača je zvyčajne malý a je nereálne prideľovať každému uzlu vlastný, ako je to možné pomocou prepínača. Navyše pri tomto prístupe všetka práca s prenosom dát medzi segmentmi pripadá na smerovače a prepínače s ich vysokým výkonom zostávajú „bez práce“. Siete s konfiguráciou prepínaných opakovačov teda stále zdieľajú médiá s veľkým počtom uzlov, a preto majú oveľa nižší výkon v porovnaní so sieťami založenými na prepínačoch.

    Pri použití technológie virtuálnej siete v prepínačoch sa súčasne riešia dve úlohy:

    • zlepšenie výkonu v každej z virtuálnych sietí, pretože prepínač posiela rámce iba cieľovému hostiteľovi;
    • izolovať siete od seba, spravovať prístupové práva používateľov a vytvárať ochranné bariéry v ceste vysielaných búrok.

    Kombinovanie virtuálnych sietí do spoločnej siete sa vykonáva na sieťová vrstva, ku ktorému je možné pristupovať pomocou samostatného smerovača resp softvér prepínač. Ten sa v tomto prípade stáva kombinovaným zariadením - takzvaným spínačom tretej úrovne.

    Technológia na vytváranie a prevádzku virtuálnych sietí pomocou prepínačov na dlhú dobu nebol štandardizovaný, aj keď bol implementovaný vo veľmi širokej škále modelov spínačov od rôznych výrobcov. Situácia sa zmenila po prijatí štandardu IEEE 802.1Q v roku 1998, ktorý definuje základné pravidlá pre budovanie virtuálnych lokálnych sietí bez ohľadu na to, ktorý protokol spojovej vrstvy switch podporuje.

    Vzhľadom na dlhú absenciu štandardu VLAN každá významná spoločnosť zaoberajúca sa prepínačmi vyvinula vlastnú technológiu virtuálnych sietí a spravidla nie je kompatibilná s technológiami iných výrobcov. Preto napriek vzhľadu štandardu nie je nezvyčajné, že virtuálne siete vytvorené na základe prepínačov od jedného dodávateľa nie sú rozpoznané, a preto nie sú podporované prepínačmi od iného.

    VYTVORENIE VLAN NA ZÁKLADE JEDNOHO PREPÍNAČA

    Pri vytváraní virtuálnych sietí založených na jedinom prepínači sa zvyčajne používa mechanizmus zoskupovania portov prepínača (pozri obrázok 3). Okrem toho je každý z nich priradený k jednej alebo inej virtuálnej sieti. Rámec prijatý z portu, ktorý patrí napríklad do virtuálnej siete 1, sa nikdy neprenesie na port, ktorý nie je jej súčasťou. Port môže byť priradený viacerým virtuálnym sieťam, aj keď sa to v praxi robí len zriedka - efekt úplnej izolácie sietí zmizne.

    Zoskupenie portov jedného prepínača je najlogickejší spôsob vytvorenia VLAN, keďže v tomto prípade nemôže byť viac virtuálnych sietí ako portov. Ak je opakovač pripojený k nejakému portu, potom nemá zmysel zahrnúť uzly zodpovedajúceho segmentu do rôznych virtuálnych sietí - ich prevádzka bude však spoločná.

    Tento prístup nevyžaduje veľké množstvo manuálnej práce od administrátora – stačí priradiť každý port jednej z niekoľkých vopred pomenovaných virtuálnych sietí. Táto operácia sa zvyčajne vykonáva pomocou špeciálny program dodávané s vypínačom. Správca vytvára virtuálne siete pretiahnutím ikon portov na ikony siete.

    Ďalší spôsob vytvárania virtuálnych sietí je založený na zoskupovaní MAC adries. Každá MAC adresa známa prepínaču je priradená jednej alebo inej virtuálnej sieti. Ak má sieť veľa uzlov, správca bude musieť vykonať veľa manuálnych operácií. Pri budovaní virtuálnych sietí založených na niekoľkých prepínačoch je však táto metóda flexibilnejšia ako zoskupovanie portov.

    VYTVORENIE VLAN NA ZÁKLADE VIACERÝCH PREPÍNAČOV

    Obrázok 4 ilustruje situáciu, ktorá nastáva pri vytváraní virtuálnych sietí založených na viacerých prepínačoch prostredníctvom združovania portov. Ak sú uzly akejkoľvek virtuálnej siete pripojené k rôznym prepínačom, potom musí byť na pripojenie prepínačov každej takejto siete pridelený samostatný pár portov. V opačnom prípade sa informácie o rámci patriacom konkrétnej virtuálnej sieti počas prenosu z prepínača do prepínača stratia. Metóda spájania portov teda vyžaduje toľko portov na pripojenie prepínačov, koľko podporujú siete VLAN, čo vedie k veľmi nehospodárnemu využívaniu portov a káblov. Okrem toho, na organizáciu interakcie virtuálnych sietí prostredníctvom smerovača si každá sieť vyžaduje samostatný kábel a samostatný port smerovača, čo tiež vedie k vysokým režijným nákladom.

    Zoskupenie MAC adries do virtuálnej siete na každom prepínači eliminuje potrebu ich spájania cez viacero portov, pretože v tomto prípade je štítkom virtuálnej siete MAC adresa. Táto metóda však vyžaduje veľa manuálneho označovania MAC adries na každom prepínači v sieti.

    Dva opísané prístupy sú založené len na pridávaní informácií do tabuliek adries mosta a nezahŕňajú informácie o rámci patriacom do virtuálnej siete vo prenášanom rámci. Iné prístupy využívajú existujúce alebo dodatočné polia rámca na zaznamenávanie informácií o vlastníctve rámca, keď sa pohybuje medzi sieťovými prepínačmi. Navyše nie je potrebné si na každom prepínači pamätať, do ktorých virtuálnych sietí patria MAC adresy siete.

    Dodatočné pole označené číslom virtuálnej siete sa používa iba vtedy, keď sa rámec posiela z prepínača do prepínača, a zvyčajne sa odstráni, keď sa rámec odošle do koncového uzla. Zároveň sa upravuje interakčný protokol „switch-switch“, pričom softvér a Hardvér koncové uzly zostávajú nezmenené. Existuje veľa príkladov takýchto proprietárnych protokolov, ale majú jednu spoločnú nevýhodu - nie sú podporované inými výrobcami. Cisco navrhlo hlavičku protokolu 802.10 ako štandardný doplnok k rámcom akýchkoľvek LAN protokolov, ktorých účelom je podpora bezpečnostných funkcií. počítačové siete. Samotná spoločnosť sa na túto metódu odvoláva v prípadoch, keď sú prepínače prepojené pomocou protokolu FDDI. Túto iniciatívu však nepodporili iní poprední výrobcovia prepínačov.

    Na uloženie čísla virtuálnej siete poskytuje štandard IEEE 802.1Q dodatočnú dvojbajtovú hlavičku, ktorá sa používa v spojení s protokolom 802.1p. Okrem troch bitov na uloženie hodnoty priority rámca, ako je opísané v štandarde 802.1p, sa 12 bitov v tejto hlavičke používa na uloženie čísla virtuálnej siete, do ktorej rámec patrí. Toto Ďalšie informácie nazývaná značka virtuálnej siete (VLAN TAG) a umožňuje prepínačom od rôznych výrobcov vytvárať až 4096 zdieľaných virtuálnych sietí. Takýto rám sa nazýva „označený“. Dĺžka označeného ethernetového rámca sa zväčší o 4 bajty, pretože okrem dvoch bajtov samotného tagu pribudnú ďalšie dva bajty. Štruktúra označeného ethernetového rámca je znázornená na obrázku 5. Po pridaní hlavičky 802.1p/Q sa dátové pole zmenší o dva bajty.

    Obrázok 5. Štruktúra označeného ethernetového rámca.

    Príchod štandardu 802.1Q umožnil prekonať rozdiely vo vlastných implementáciách VLAN a dosiahnuť kompatibilitu pri budovaní virtuálnych lokálnych sietí. Technika VLAN je podporovaná výrobcami prepínačov aj sieťových kariet. V druhom prípade môže NIC generovať a prijímať označené ethernetové rámce obsahujúce pole VLAN TAG. Ak sieťový adaptér generuje označené rámce, potom tým určí, či patria do konkrétnej virtuálnej lokálnej siete, takže ich musí prepínač podľa toho spracovať, t. j. vysielať alebo nevysielať na výstupný port, v závislosti od vlastníctva portu. Ovládač sieťového adaptéra získa číslo svojej (alebo svojej) virtuálnej lokálnej siete od správcu siete (manuálnou konfiguráciou) alebo z nejakej aplikácie spustenej na tomto uzle. Takáto aplikácia je schopná fungovať centrálne na jednom zo sieťových serverov a riadiť štruktúru celej siete.

    S podporou VLAN pre sieťové adaptéry môžete obísť statickú konfiguráciu priradením portu ku konkrétnej virtuálnej sieti. Metóda konfigurácie statickej siete VLAN však zostáva populárna, pretože vám umožňuje vytvoriť štruktúrovanú sieť bez použitia softvéru koncového uzla.

    Natalya Oliferová je publicistka časopisu Journal of Network Solutions/LAN. Možno ju kontaktovať na:

    Každým rokom sa elektronická komunikácia zlepšuje a na výmenu informácií sú kladené stále vyššie nároky na rýchlosť, bezpečnosť a kvalitu spracovania dát.

    A tu sa bližšie pozrieme na pripojenie vpn: čo to je, na čo slúži vpn tunel a ako používať pripojenie vpn.

    Tento materiál je akýmsi úvodným slovom k sérii článkov, v ktorých vám povieme, ako vytvoriť vpn na rôznych operačných systémoch.

    vpn pripojenie čo to je?

    Virtuálna súkromná sieť vpn je teda technológia, ktorá poskytuje bezpečné (uzavreté pred vonkajším prístupom) pripojenie logickej siete cez súkromnú alebo verejnú sieť za prítomnosti vysokorýchlostného internetu.

    Takéto sieťové pripojenie počítače (geograficky vzdialené od seba v značnej vzdialenosti) používa spojenie bod-bod (inými slovami „počítač-počítač“).

    Vedecky sa tento spôsob pripojenia nazýva tunel vpn (alebo tunelový protokol). K takémuto tunelu sa môžete pripojiť, ak máte počítač s akýmkoľvek operačným systémom, ktorý má integrovaného klienta VPN, ktorý dokáže „preposielať“ virtuálne porty pomocou protokolu TCP / IP do inej siete.

    Na čo slúži vpn?

    Hlavnou výhodou vpn je, že vyjednávači potrebujú platformu pripojenia, ktorá sa nielen rýchlo škáluje, ale tiež (predovšetkým) poskytuje dôvernosť údajov, integritu údajov a autentifikáciu.

    Diagram jasne ukazuje použitie vpn sietí.

    Pravidlá pre pripojenia cez zabezpečený kanál musia byť vopred napísané na serveri a smerovači.

    ako funguje vpn

    Keď dôjde k pripojeniu vpn, v hlavičke správy sa prenesú informácie o IP adrese servera VPN a vzdialenej ceste.

    Zapuzdrené dáta prechádzajúce cez verejnú alebo verejnú sieť nie je možné zachytiť, pretože všetky informácie sú šifrované.

    Fáza šifrovania VPN je implementovaná na strane odosielateľa a údaje príjemcu sú dešifrované hlavičkou správy (ak existuje spoločný šifrovací kľúč).

    Po správnom dešifrovaní správy sa medzi oboma sieťami vytvorí vpn spojenie, ktoré umožňuje aj prácu vo verejnej sieti (napríklad výmena dát s klientom 93.88.190.5).

    Čo sa týka informačná bezpečnosť, potom je internet extrémne nezabezpečená sieť a sieť VPN s protokolmi OpenVPN, L2TP / IPSec, PPTP, PPPoE je úplne bezpečná a bezpečným spôsobom prenos dát.

    Na čo slúži vpn kanál?

    Používa sa tunelovanie vpn:

    Vo vnútri podnikovej siete;

    Zjednotiť vzdialené kancelárie, ako aj malé pobočky;

    Pre službu digitálnej telefónie s veľká sada telekomunikačné služby;

    Prístup k externým IT zdrojom;

    Vytvoriť a implementovať videokonferencie.

    Prečo potrebujete vpn?

    vpn pripojenie je potrebné pre:

    Anonymná práca na internete;

    Sťahovanie aplikácií v prípade, že sa IP adresa nachádza v inej regionálnej zóne krajiny;

    Bezpečná práca v podnikovom prostredí s využitím komunikácie;

    Jednoduchosť a pohodlie nastavenia pripojenia;

    Zabezpečenie vysoká rýchlosť spojenia bez prestávok;

    Vytvorenie bezpečného kanála bez útokov hackerov.

    Ako používať vpn?

    Príkladov toho, ako vpn funguje, je neúrekom. Takže na akomkoľvek počítači v podnikovej sieti, pri inštalácii zabezpečený vpn pripojenia poštu môžete použiť na kontrolu správ, publikovanie materiálov odkiaľkoľvek v krajine alebo sťahovanie súborov z torrentových sietí.

    Vpn: čo je v telefóne?

    Prístup cez vpn na vašom telefóne (iPhone alebo akomkoľvek inom zariadení so systémom Android) vám umožňuje zostať v anonymite pri používaní internetu na verejných miestach, ako aj zabrániť odpočúvaniu premávky a hackovaniu zariadení.

    Klient VPN nainštalovaný na ľubovoľnom OS vám umožňuje obísť mnohé nastavenia a pravidlá poskytovateľa (ak nastavil nejaké obmedzenia).

    Ktorú vpn si vybrať pre telefón?

    Mobilné telefóny a smartfóny so systémom Android môžu používať aplikácie z trhu Google Play:

    • - vpnRoot, droidVPN,
    • - prehliadač tor pre surfovanie po sieťach, aka orbot
    • - InBrowser, orfox (firefox+tor),
    • - Bezplatný klient VPN SuperVPN
    • - Otvorte pripojenie VPN
    • - Tunnel Bear VPN
    • - Hideman VPN

    Väčšina týchto programov slúži na pohodlie „horúcej“ konfigurácie systému, umiestňovania skratiek spustenia, anonymného surfovania po internete a výberu typu šifrovania pripojenia.

    Hlavnou úlohou používania siete VPN v telefóne je však kontrola firemná pošta, vytváranie videokonferencií s viacerými účastníkmi, ako aj organizovanie stretnutí mimo organizácie (napríklad keď je zamestnanec na pracovnej ceste).

    Čo je to vpn na iphone?

    Zvážte, ktoré vpn si vybrať a ako ho pripojiť k iPhone podrobnejšie.

    V závislosti od typu podporovanej siete si pri prvom spustení konfigurácie VPN na iphone môžete vybrať nasledujúce protokoly: L2TP, PPTP a Cisco IPSec (okrem toho môžete „vytvoriť“ pripojenie vpn pomocou aplikácií tretích strán) .

    Všetky tieto protokoly podporujú šifrovacie kľúče, identifikáciu používateľa heslom a certifikáciu.

    Medzi pridané vlastnosti pri nastavovaní profilu VPN na iPhone si môžete všimnúť: zabezpečenie RSA, úroveň šifrovania a pravidlá autorizácie pre pripojenie k serveru.

    Pre iphone telefón z obchodu s aplikáciami by ste si mali vybrať:

    • - bezplatná aplikácia Tunnelbear, pomocou ktorého sa môžete pripojiť k serverom VPN v ktorejkoľvek krajine.
    • - OpenVPN connect je jedným z najlepších klientov VPN. Ak chcete spustiť aplikáciu, musíte najprv importovať kľúče rsa cez itunes do telefónu.
    • - Cloak je sharewarová aplikácia, pretože nejaký čas môže byť produkt "používaný" zadarmo, ale ak chcete program používať po uplynutí obdobia ukážky, budete si ho musieť kúpiť.

    Vytvorenie VPN: výber a konfigurácia zariadenia

    Pre firemná komunikácia veľké organizácie alebo klastre vzdialených pobočiek používajú hardvér schopný udržiavať neprerušovanú, zabezpečenú sieť.

    Na implementáciu technológií vpn môžu ako sieťová brána fungovať nasledovné: Unixové servery, Windows server, sieťový smerovač a sieťová brána, na ktorej je vytvorená VPN.

    Server alebo zariadenie používané na vytvorenie podnikovej siete vpn alebo kanála vpn medzi vzdialenými pobočkami musí vykonávať zložité technické úlohy a poskytovať používateľom na pracovných staniciach aj na mobilných zariadeniach celý rad služieb.

    Každý smerovač alebo smerovač vpn by mal poskytovať spoľahlivú sieťovú prevádzku bez „zamrznutia“. A vstavaná funkcia vpn vám umožňuje zmeniť konfiguráciu siete pre prácu doma, v organizácii alebo vzdialenej kancelárii.

    nastavenie vpn na smerovači

    Vo všeobecnom prípade sa konfigurácia VPN na smerovači vykonáva pomocou webového rozhrania smerovača. Na „klasických“ zariadeniach na organizáciu vpn musíte prejsť do sekcie „nastavenia“ alebo „nastavenia siete“, kde vyberiete sekciu VPN, určíte typ protokolu, zadáte nastavenia adresy podsiete, masky a určíte rozsah ip adresy pre používateľov.

    Okrem toho na zabezpečenie pripojenia budete musieť zadať kódovacie algoritmy, metódy autentifikácie, vygenerovať kľúče vyjednávania a špecifikovať servery DNS WINS. V parametroch "Gateway" je potrebné zadať ip-adresu brány (vaša ip) a vyplniť údaje o všetkých sieťových adaptéroch.

    Ak je v sieti viacero smerovačov, je potrebné vyplniť smerovaciu tabuľku vpn pre všetky zariadenia vo VPN tuneli.

    Tu je zoznam hardvérového vybavenia používaného pri budovaní sietí VPN:

    Smerovače Dlink: DIR-320, DIR-620, DSR-1000 s novým firmvérom resp. Smerovač D-Link DI808HV.

    Smerovače Cisco PIX 501, Cisco 871-SEC-K9

    Router Linksys Rv082 s podporou asi 50 VPN tunelov

    Router Netgear DG834G a modely smerovačov FVS318G, FVS318N, FVS336G, SRX5308

    Router Mikrotik s funkciou OpenVPN. Príklad RouterBoard RB/2011L-IN Mikrotik

    Vpn zariadenie RVPN S-Terra alebo VPN Gate

    Smerovače ASUS RT-N66U, RT-N16 a RT N-10

    Smerovače ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG