İnternet, verimli ve ucuz iletişim sağladığı için bilgisayarlar arasında giderek artan bir şekilde bir iletişim aracı olarak kullanılmaktadır. Ancak internet bir ağdır. Genel kullanım ve bunun üzerinden güvenli iletişimi sağlamak için en azından aşağıdaki görevleri yerine getiren bir mekanizmaya ihtiyaç vardır:

    bilgilerin gizliliği;

    veri bütünlüğü;

    bilginin mevcudiyeti;

Bu gereksinimler, VPN (Sanal Özel Ağ - sanal özel ağ) adı verilen bir mekanizma tarafından karşılanır - kriptografi kullanarak bir veya daha fazla ağ bağlantısının (mantıksal ağ) başka bir ağ (örneğin İnternet) üzerinden sağlanmasına izin veren teknolojiler için genelleştirilmiş bir ad araçlar (şifreleme, kimlik doğrulama, altyapı ortak anahtarları, mantıksal ağ üzerinden iletilen mesajların tekrarına ve değiştirilmesine karşı koruma araçları).

Bir VPN oluşturmak ek yatırım gerektirmez ve kiralık hatları kullanmayı bırakmanıza izin verir. Kullanılan protokollere ve amaca bağlı olarak, bir VPN üç tür bağlantı sağlayabilir: ana bilgisayar, ana bilgisayar ağı ve ağ ağı.

Netlik sağlamak için, şu örneği hayal edelim: bir işletmenin, bölgesel olarak uzak birkaç şubesi ve evde veya yolda çalışan "mobil" çalışanları vardır. İşletmenin tüm çalışanlarını tek bir ağda birleştirmek gerekir. En kolay yol, her şubeye modem koymak ve iletişimi gerektiği gibi organize etmektir. Ancak böyle bir çözüm her zaman uygun ve karlı değildir - bazen sürekli bir bağlantıya ve geniş bir bant genişliğine ihtiyacınız vardır. Bunun için ya şubeler arasına özel bir hat çekmeniz ya da kiralamanız gerekecek. İkisi de oldukça pahalı. Ve burada alternatif olarak, tek bir güvenli ağ oluştururken, tüm şirket şubelerinin İnternet üzerinden VPN bağlantılarını kullanabilir ve ağ ana bilgisayarlarında VPN araçlarını yapılandırabilirsiniz.

Pirinç. 6.4. siteden siteye VPN bağlantısı

Pirinç. 6.5. VPN ana bilgisayardan ağa bağlantı

Bu durumda, birçok sorun çözülür - şubeler dünyanın herhangi bir yerinde bulunabilir.

Buradaki tehlike, ilk olarak, açık ağın dünyanın dört bir yanındaki davetsiz misafirlerden gelen saldırılara açık olmasıdır. İkincisi, tüm veriler net bir şekilde İnternet üzerinden iletilir ve ağı hackleyen saldırganlar, ağ üzerinden iletilen tüm bilgilere sahip olacaktır. Üçüncüsü, veriler yalnızca ele geçirilemez, aynı zamanda ağ üzerinden iletim sırasında da değiştirilebilir. Örneğin bir saldırgan, güvenilir şubelerden birinin istemcileri adına hareket ederek veritabanlarının bütünlüğünü tehlikeye atabilir.

Bunun olmasını önlemek için VPN çözümleri, bütünlüğü ve gizliliği sağlamak için veri şifreleme, kullanıcı haklarını doğrulamak ve sanal bir özel ağa erişime izin vermek için kimlik doğrulama ve yetkilendirme gibi araçlar kullanır.

Bir VPN bağlantısı her zaman tünel olarak da bilinen noktadan noktaya bağlantıdan oluşur. Tünel, çoğunlukla İnternet olan güvensiz bir ağda oluşturulur.

Tünel açma veya kapsülleme, faydalı bilgileri bir ara ağ üzerinden aktarmanın bir yoludur. Bu tür bilgiler, başka bir protokolün çerçeveleri (veya paketleri) olabilir. Kapsülleme ile çerçeve, gönderen ana bilgisayar tarafından oluşturulduğu gibi iletilmez, ancak kapsüllenmiş paketlerin ara ağdan (İnternet) geçmesine izin veren yönlendirme bilgilerini içeren ek bir başlık ile sağlanır. Tünelin sonunda çerçeveler kapatılır ve alıcıya iletilir. Tipik olarak, bir tünel, genel ağa giriş noktalarında bulunan iki uç cihaz tarafından oluşturulur. Tünel oluşturmanın açık avantajlarından biri, bu teknolojinin, saldırganların ağı hacklemek için kullandığı bilgileri (örneğin, IP adresleri, alt ağların sayısı vb.) içeren verileri içerebilen başlık da dahil olmak üzere orijinal paketin tamamını şifrelemenize izin vermesidir. ) .

İki nokta arasında bir VPN tüneli kurulmasına rağmen, her ana bilgisayar diğer ana bilgisayarlarla ek tüneller kurabilir. Örneğin, üç uzak istasyonun aynı ofise başvurması gerektiğinde, bu ofise üç ayrı VPN tüneli oluşturulacaktır. Tüm tüneller için ofis tarafındaki düğüm aynı olabilir. Bu, şekilde gösterildiği gibi, düğümün tüm ağ adına verileri şifreleyebilmesi ve şifresini çözebilmesi nedeniyle mümkündür:

Pirinç. 6.6. Birden çok uzak konum için VPN tünelleri oluşturun

Kullanıcı, VPN ağ geçidine bir bağlantı kurar, ardından kullanıcının dahili ağa erişimi olur.

Özel bir ağ içinde şifrelemenin kendisi gerçekleşmez. Bunun nedeni, ağın bu bölümünün İnternet'in aksine güvenli ve doğrudan kontrol altında kabul edilmesidir. Bu, VPN ağ geçitlerini kullanarak ofislere bağlanırken de geçerlidir. Böylece, yalnızca ofisler arasında güvenli olmayan bir kanal üzerinden iletilen bilgiler için şifreleme garanti edilir.

Çok var çeşitli çözümler sanal özel ağlar oluşturmak için. En ünlü ve yaygın olarak kullanılan protokoller şunlardır:

    PPTP (Noktadan Noktaya Tünel Protokolü) - bu protokol, Microsoft işletim sistemlerine dahil edilmesi nedeniyle oldukça popüler hale geldi.

    L2TP (Katman-2 Tünel Protokolü) - L2F (Katman 2 Yönlendirme) protokolünü ve PPTP protokolü. Genellikle IPSec ile birlikte kullanılır.

    IPSec (İnternet Protokolü Güvenliği), IETF (İnternet Mühendisliği Görev Gücü) topluluğu tarafından geliştirilen resmi bir İnternet standardıdır.

Listelenen protokoller D-Link cihazları tarafından desteklenir.

PPTP protokolü öncelikle çevirmeli bağlantılara dayalı sanal özel ağlar için tasarlanmıştır. Protokol uzaktan erişime izin verir, böylece kullanıcılar İnternet sağlayıcılarıyla çevirmeli bağlantılar kurabilir ve kurumsal ağlarına güvenli bir tünel oluşturabilir. IPSec'in aksine, PPTP protokolü başlangıçta yerel ağlar arasında tüneller düzenlemeyi amaçlamamıştı. PPTP, orijinal olarak verileri kapsüllemek ve noktadan noktaya bağlantılar üzerinden teslim etmek için tasarlanmış bir veri bağlantısı protokolü olan PPP'nin yeteneklerini genişletir.

PPTP protokolü, IP, IPX, NetBEUI, vb. gibi çeşitli protokolleri kullanarak veri alışverişi için güvenli kanallar oluşturmanıza olanak tanır. Bu protokollerin verileri, PPTP protokolü kullanılarak IP protokol paketlerinde kapsüllenen PPP çerçevelerine paketlenir. Daha sonra herhangi bir TCP/IP ağı üzerinden şifrelenmiş biçimde IP kullanılarak taşınırlar. Alıcı düğüm, IP paketlerinden PPP çerçevelerini çıkarır ve ardından bunları standart şekilde işler, yani. bir PPP çerçevesinden bir IP, IPX veya NetBEUI paketi çıkarır ve yerel ağ üzerinden gönderir. Böylece PPTP protokolü ağda noktadan noktaya bağlantı oluşturur ve oluşturulan güvenli kanal üzerinden veri iletir. PPTP gibi kapsülleme protokollerinin ana avantajı, çok protokollü olmalarıdır. Şunlar. veri bağlantısı katmanındaki veri koruması, ağ ve uygulama katmanı protokollerine karşı şeffaftır. Bu nedenle, ağ içinde, hem IP protokolü (IPSec tabanlı VPN durumunda olduğu gibi) hem de başka herhangi bir protokol, aktarım olarak kullanılabilir.

Şu anda, uygulama kolaylığı nedeniyle, PPTP protokolü hem kurumsal bir ağa güvenilir güvenli erişim sağlamak hem de bir istemcinin İnternet'e erişmek için bir ISP ile bir PPTP bağlantısı kurması gerektiğinde ISP ağlarına erişmek için yaygın olarak kullanılmaktadır.

PPTP'de kullanılan şifreleme yöntemi, PPP katmanında belirtilir. Tipik olarak, PPP istemcisi, aşağıdaki özelliklere sahip bir masaüstü bilgisayardır: işletim sistemi Microsoft ve Microsoft Noktadan Noktaya Şifreleme (MPPE) protokolü, şifreleme protokolü olarak kullanılır. Bu protokol, RSA RC4 standardını temel alır ve 40 veya 128 bit şifrelemeyi destekler. IPSec tarafından sunulan diğer şifreleme algoritmalarından, özellikle 168-bit Üçlü Veri Şifreleme Standardından (3DES) daha az güvenli olduğu düşünülse de, bu şifreleme seviyesinin birçok uygulaması için bu algoritmayı kullanmak yeterlidir.

Bağlantı nasıl kurulurPPTP?

PPTP, bir IP ağı üzerinden iletim için IP paketlerini kapsüller. PPTP istemcileri, bağlantıyı canlı tutan bir tünel kontrol bağlantısı oluşturur. Bu işlem, OSI modelinin taşıma katmanında gerçekleştirilir. Tünel oluşturulduktan sonra, istemci bilgisayar ve sunucu hizmet paketlerini değiş tokuş etmeye başlar.

PPTP kontrol bağlantısına ek olarak tünel üzerinden veri göndermek için bir bağlantı oluşturulur. Verileri tünele göndermeden önce kapsüllemek iki adımı içerir. İlk olarak, PPP çerçevesinin bilgi kısmı oluşturulur. Veri, OSI uygulama katmanından bağlantı katmanına yukarıdan aşağıya doğru akar. Alınan veriler daha sonra OSI modeline gönderilir ve üst katman protokolleri tarafından kapsüllenir.

Bağlantı katmanından gelen veriler taşıma katmanına ulaşır. Ancak, OSI bağlantı katmanı bundan sorumlu olduğu için bilgi hedefine gönderilemez. Bu nedenle, PPTP paketin yük alanını şifreler ve genellikle PPP'ye ait olan ikinci seviye işlevleri devralır, yani PPTP paketine bir PPP başlığı (başlık) ve bir son (römork) ekler. Bu, bağlantı katmanı çerçevesinin oluşturulmasını tamamlar. Ardından, PPTP, PPP çerçevesini ağ katmanına ait bir Genel Yönlendirme Kapsülleme (GRE) paketinde kapsüller. GRE, IP ağları üzerinden taşınmalarını sağlamak için IP, IPX gibi ağ katmanı protokollerini kapsüller. Ancak, tek başına GRE protokolünün kullanılması, oturum kurulmasını ve veri güvenliğini sağlamayacaktır. Bu, PPTP'nin bir tünel kontrol bağlantısı oluşturma yeteneğini kullanır. GRE'nin bir kapsülleme yöntemi olarak kullanılması, PPTP'nin kapsamını yalnızca IP ağlarıyla sınırlar.

PPP çerçevesi, GRE başlığına sahip bir çerçeveye yerleştirildikten sonra, bir IP başlığına sahip bir çerçeveye alınır. IP başlığı, paketin gönderici ve alıcı adreslerini içerir. Son olarak, PPTP bir PPP başlığı ve bitişi ekler.

Üzerinde pilav. 6.7 bir PPTP tüneli üzerinden iletmek için veri yapısını gösterir:

Pirinç. 6.7. PPTP tüneli üzerinden iletmek için veri yapısı

PPTP tabanlı bir VPN kurmak, büyük masraflar ve karmaşık ayarlar gerektirmez: merkez ofise bir PPTP sunucusu kurmak (hem Windows hem de Linux platformları için PPTP çözümleri mevcuttur) ve istemci bilgisayarlarda çalıştırmak yeterlidir. gerekli ayarlar. Birkaç şubeyi birleştirmeniz gerekiyorsa, tüm istemci istasyonlarında PPTP kurmak yerine, bir İnternet yönlendiricisi veya PPTP destekli bir güvenlik duvarı kullanmak daha iyidir: ayarlar yalnızca İnternet'e bağlı bir sınır yönlendiricisinde (güvenlik duvarı) yapılır, her şey kullanıcılar için kesinlikle şeffaftır. Bu tür cihazlara örnek olarak DIR/DSR çok işlevli İnternet yönlendiricileri ve DFL serisi güvenlik duvarları verilebilir.

GRE- tüneller

Genel Yönlendirme Kapsülleme (GRE), ağlar arasında şifreleme olmadan trafik tüneli sağlayan bir ağ paketi kapsülleme protokolüdür. GRE kullanımına örnekler:

    belirli bir protokolü desteklemeyen ekipman aracılığıyla trafik iletimi (yayın dahil);

    IPv6 trafiğini bir IPv4 ağı üzerinden tünelleme;

    Güvenli bir VPN bağlantısı uygulamak için genel ağlar üzerinden veri aktarımı.

Pirinç. 6.8. Bir GRE tüneli örneği

İki yönlendirici A ve B arasında ( pilav. 6.8) birkaç yönlendirici varsa, GRE tüneli, 192.168.1.0/24 ve 192.168.3.0/24 yerel ağları arasında, A ve B yönlendiricileri doğrudan bağlanmış gibi bir bağlantı sağlamanıza olanak tanır.

L2 TP

L2TP protokolü, PPTP ve L2F protokollerinin birleşmesinin bir sonucu olarak ortaya çıktı. L2TP protokolünün ana avantajı, sadece IP ağlarında değil, ATM, X.25 ve Frame röle ağlarında da tünel oluşturmanıza izin vermesidir. L2TP, UDP'yi aktarım olarak kullanır ve hem tünel yönetimi hem de veri iletme için aynı mesaj biçimini kullanır.

PPTP durumunda olduğu gibi, L2TP, önce PPP başlığını, ardından L2TP başlığını PPP bilgi veri alanına ekleyerek tünele iletim için bir paket oluşturmaya başlar. Bu şekilde alınan paket UDP tarafından kapsüllenir. Seçilen IPSec güvenlik ilkesinin türüne bağlı olarak, L2TP, UDP mesajlarını şifreleyebilir ve bir Kapsüllenen Güvenlik Yükü (ESP) başlığı ve bitişinin yanı sıra bir IPSec Kimlik Doğrulaması bitişi ekleyebilir ("IPSec üzerinden L2TP" bölümüne bakın). Daha sonra IP içinde kapsüllenir. Gönderici ve alıcı adreslerini içeren bir IP başlığı eklenir. Son olarak, L2TP, verileri aktarıma hazırlamak için ikinci bir PPP kapsüllemesi gerçekleştirir. Üzerinde pilav. 6.9 L2TP tüneli üzerinden gönderilecek veri yapısını gösterir.

Pirinç. 6.9. L2TP tüneli üzerinden iletmek için veri yapısı

Alıcı bilgisayar verileri alır, PPP başlığını ve sonunu işler ve IP başlığını çıkarır. IPSec Kimlik Doğrulaması, IP bilgi alanının kimliğini doğrular ve IPSec ESP başlığı, paketin şifresinin çözülmesine yardımcı olur.

Bilgisayar daha sonra UDP başlığını işler ve tüneli tanımlamak için L2TP başlığını kullanır. PPP paketi artık yalnızca işlenmekte olan veya belirtilen alıcıya iletilen yükü içermektedir.

IPsec (IP Güvenliği'nin kısaltması), IP İnternet Protokolü üzerinden iletilen verilerin güvenliğini sağlamaya yönelik, IP paketlerinin kimlik doğrulamasına ve/veya şifrelenmesine izin veren bir dizi protokoldür. IPsec ayrıca internette güvenli anahtar değişimi için protokoller içerir.

IPSec güvenliği, kendi başlıklarını IP paket kapsüllemeye ekleyen ek protokoller aracılığıyla sağlanır. Çünkü IPSec bir İnternet standardıdır, bunun için RFC belgeleri vardır:

    RFC 2401 (İnternet Protokolü için Güvenlik Mimarisi), IP protokolü için güvenlik mimarisidir.

    RFC 2402 (IP Kimlik Doğrulama başlığı) - IP doğrulama başlığı.

    RFC 2404 (ESP ve AH içinde HMAC-SHA-1-96 Kullanımı) - Bir kimlik doğrulama başlığı oluşturmak için SHA-1 karma algoritmasının kullanımı.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm with Explicit IV) - DES şifreleme algoritmasının kullanımı.

    RFC 2406 (IP Kapsülleyen Güvenlik Yükü (ESP)) - Veri Şifreleme.

    RFC 2407 (ISAKMP için İnternet IP Güvenlik Yorumlama Alanı), anahtar yönetim protokolünün kapsamıdır.

    RFC 2408( internet güvenliğiİlişkilendirme ve Anahtar Yönetim Protokolü (ISAKMP) - güvenli bağlantıların anahtarlarının ve kimlik doğrulayıcılarının yönetimi.

    RFC 2409 (İnternet Anahtar Değişimi (IKE)) - Anahtar Değişimi.

    RFC 2410 (BOŞ Şifreleme Algoritması ve IPsec ile Kullanımı) - BOŞ Şifreleme Algoritması ve Kullanımı.

    RFC 2411 (IP Güvenlik Belgesi Yol Haritası), standardın daha da geliştirilmiş halidir.

    RFC 2412 (OAKLEY Anahtar Belirleme Protokolü) - Bir Anahtarın Doğruluğunu Kontrol Etme.

IPsec, IPv6 İnternet Protokolünün ayrılmaz bir parçası ve İnternet Protokolünün IPv4 sürümünün isteğe bağlı bir uzantısıdır.

IPSec mekanizması aşağıdaki görevleri gerçekleştirir:

    güvenli kanal başlatma sırasında kullanıcıların veya bilgisayarların kimlik doğrulaması;

    güvenli bir kanalın uç noktaları arasında iletilen verilerin şifrelenmesi ve doğrulanması;

    kimlik doğrulama ve veri şifreleme protokollerinin çalışması için gerekli olan gizli anahtarlarla kanal uç noktalarının otomatik olarak sağlanması.

IPSec Bileşenleri

AH (Authentication Header) protokolü, bir başlık tanımlama protokolüdür. İletim sırasında paketin korunan kısmındaki hiçbir bitin değiştirilmediğini doğrulayarak bütünlüğü sağlar. Ancak AH kullanmak, örneğin bir paket bir NAT aygıtından geçtiğinde sorunlara neden olabilir. NAT, özel bir yerel adresten İnternet erişimine izin vermek için paketin IP adresini değiştirir. Çünkü bu durumda paket değişir, ardından AH sağlama toplamı yanlış olur (bu sorunu ortadan kaldırmak için, UDP üzerinden ESP iletimi sağlayan ve çalışmasında UDP bağlantı noktası 4500'ü kullanan NAT-Geçiş (NAT-T) protokolü geliştirilmiştir). AH'nin yalnızca bütünlük için tasarlandığını da belirtmekte fayda var. Paket içeriğini şifreleyerek gizliliği garanti etmez.

ESP (Encapsulation Security Payload) protokolü, yalnızca iletilen verilerin bütünlüğünü ve kimlik doğrulamasını sağlamakla kalmaz, aynı zamanda veri şifrelemenin yanı sıra paket sahtekarlığına karşı koruma sağlar.

ESP protokolü, hem bütünlük hem de gizlilik sağlayan kapsülleyici bir güvenlik protokolüdür. Aktarım modunda, ESP başlığı, orijinal IP başlığı ile TCP veya UDP başlığı arasındadır. Tünel modunda, ESP başlığı yeni IP başlığı ile tamamen şifrelenmiş orijinal IP paketi arasına yerleştirilir.

Çünkü her iki protokol de - AH ve ESP - kendi IP başlıklarını ekler, her birinin IP başlığını neyin izleyeceğini belirleyebileceğiniz kendi protokol numarası (ID) vardır. IANA'ya (İnternet Atanmış Numaralar Kurumu - İnternet'in adres alanından sorumlu kuruluş) göre her protokolün kendi numarası (ID) vardır. Örneğin, TCP için bu sayı 6'dır ve UDP için 17'dir. Bu nedenle, bir güvenlik duvarı üzerinden çalışırken, filtreleri protokolün ID AH ve/veya ESP'sine sahip paketleri geçirecek şekilde yapılandırmak çok önemlidir.

Protokol Kimliği 51, IP başlığında AH'nin ve ESP için 50'nin bulunduğunu gösterecek şekilde ayarlanır.

DİKKAT: Protokol kimliği, bağlantı noktası numarasıyla aynı değil.

IKE (İnternet Anahtar Değişimi) protokolü, sanal özel ağlarda iletişimi güvence altına almak için kullanılan standart bir IPsec protokolüdür. IKE'nin amacı, tanımlanan materyalin bir güvenlik birliğine (SA) güvenli bir şekilde müzakere edilmesi ve teslim edilmesidir.

SA, bir bağlantı için IPSec terimidir. Yerleşik bir SA ("güvenli ilişkilendirme" veya "güvenlik ilişkisi" olarak adlandırılan güvenli bir kanal - Security Association, SA), paylaşılan bir gizli anahtar ve bir dizi şifreleme algoritması içerir.

IKE protokolü üç ana görevi yerine getirir:

    iki VPN uç noktası arasında bir kimlik doğrulama aracı sağlar;

    yeni IPSec bağlantıları kurar (bir çift SA oluşturur);

    mevcut ilişkileri yönetir.

IKE, 500 numaralı UDP bağlantı noktasını kullanır. Daha önce belirtildiği gibi NAT Geçişi özelliğini kullanırken, IKE protokolü 4500 numaralı UDP bağlantı noktasını kullanır.

IKE'de veri alışverişi 2 aşamada gerçekleşir. İlk aşamada SA IKE derneği kurulur. Aynı zamanda, kanalın uç noktalarının kimliği doğrulanır ve şifreleme algoritması, oturum anahtarı vb. gibi veri koruma parametreleri seçilir.

İkinci aşamada, protokol anlaşması (genellikle IPSec) için SA IKE kullanılır.

Yapılandırılmış bir VPN tüneli ile, kullanılan her protokol için bir SA çifti oluşturulur. SA'lar çiftler halinde oluşturulur. her SA tek yönlü bir bağlantıdır ve veriler iki yönde gönderilmelidir. Alınan SA çiftleri her düğümde saklanır.

Her düğüm, diğer düğümlerle birden çok tünel kurabildiğinden, her bir SA, benzersiz numara Hangi düğüme ait olduğunu belirlemenizi sağlayan A. Bu numaraya SPI (Güvenlik Parametre İndeksi) veya Güvenlik Parametre İndeksi denir.

Bir veritabanında (DB) depolanan SA ÜZGÜN(Güvenlik Derneği Veritabanı).

Her IPSec düğümünün ayrıca ikinci bir DB'si vardır - SPD(Güvenlik Politikası Veritabanı) - Güvenlik politikası veritabanı. Yapılandırılan ana bilgisayar politikasını içerir. Çoğu VPN çözümü, bağlanmak istediğiniz her ana bilgisayar için uygun algoritma kombinasyonlarıyla birden çok politika oluşturmanıza olanak tanır.

IPSec'in esnekliği, her görev için onu çözmenin birkaç yolunun olması ve bir görev için seçilen yöntemlerin genellikle diğer görevleri uygulama yöntemlerinden bağımsız olması gerçeğinde yatmaktadır. Ancak, IETF Çalışma Grubu, tüm IPSec özellikli ürünlerde aynı şekilde uygulanması gereken, desteklenen bir dizi temel özellik ve algoritma tanımlamıştır. AH ve ESP mekanizmaları, bazıları zorunlu olan çeşitli kimlik doğrulama ve şifreleme şemalarıyla kullanılabilir. Örneğin, IPSec, paketlerin kimliğinin MD5 tek yönlü işlevi veya SHA-1 tek yönlü işlevi kullanılarak doğrulandığını ve şifrelemenin DES algoritması kullanılarak yapıldığını belirtir. IPSec çalıştıran ürünlerin üreticileri, başka kimlik doğrulama ve şifreleme algoritmaları ekleyebilir. Örneğin bazı ürünler 3DES, Blowfish, Cast, RC5 gibi şifreleme algoritmalarını destekler.

Gizli anahtarları kullanan herhangi bir simetrik şifreleme algoritması, IPSec'te verileri şifrelemek için kullanılabilir.

Akış koruma protokolleri (AH ve ESP) iki modda çalışabilir - taşıma modu ve tünel modu. Aktarım modunda çalışırken, IPsec yalnızca aktarım katmanı bilgileriyle ilgilenir; sadece TCP/UDP protokollerini içeren paketin veri alanı şifrelenir (IP paketinin başlığı değiştirilmez (şifrelenmez)). Taşıma modu genellikle ana bilgisayarlar arasında bağlantı kurmak için kullanılır.

Tünel açma modu, ağ katmanı başlığı dahil tüm IP paketini şifreler. Ağ üzerinden iletilebilmesi için başka bir IP paketine yerleştirilir. Esasen, bu güvenli bir IP tünelidir. Tünel modu, uzak bilgisayarları bir sanal özel ağa ("ana bilgisayar-ağ" bağlantı şeması) bağlamak veya ağ geçitleri arasında açık iletişim kanalları (örneğin, İnternet) aracılığıyla güvenli veri aktarımını organize etmek ve sanal özel sistemin farklı bölümlerini birleştirmek için kullanılabilir. ağ ("ağ bağlantı şeması"). -net").

IPsec modları birbirini dışlamaz. Aynı ana bilgisayarda, bazı SA'lar taşıma modunu kullanırken diğerleri tünel modunu kullanabilir.

Kimlik doğrulama aşamasında, paketin ICV sağlama toplamı (Bütünlük Kontrol Değeri) hesaplanır. Her iki düğümün de bildiği varsayılır. gizli anahtar, alıcının ICV'yi hesaplamasına ve gönderen tarafından gönderilen sonuçla karşılaştırmasına olanak tanır. ICV karşılaştırması başarılı olursa, paketi gönderenin kimliği doğrulanmış olarak kabul edilir.

modunda UlaşımAH

    IP başlığındaki geçiş sırasında değiştirilebilen bazı alanlar dışında tüm IP paketi. ICV hesaplaması için değerleri 0 olan bu alanlar, hizmetin bir parçası (Hizmet Türü, TOS), bayraklar, parça ofseti, yaşama süresi (TTL) ve ayrıca bir sağlama toplamı başlığı olabilir;

    AH'deki tüm alanlar;

    IP paketlerinin yükü.

Aktarım modunda AH, IP başlığını (değişmesine izin verilen alanlar hariç) ve orijinal IP paketindeki yükü korur (Şekil 3.39).

Tünel modunda, orijinal paket yeni bir IP paketine yerleştirilir ve yeni IP paketinin başlığına göre veri aktarımı gerçekleştirilir.

İçin tünel moduAH bir hesaplama yaparken, aşağıdaki bileşenler ICV sağlama toplamına dahil edilir:

    IP başlığındaki iletim sırasında değiştirilebilen bazı alanlar dışında, dış IP başlığındaki tüm alanlar. ICV hesaplaması için değerleri 0 olan bu alanlar, hizmetin bir parçası (Hizmet Türü, TOS), bayraklar, parça ofseti, yaşama süresi (TTL) ve ayrıca bir sağlama toplamı başlığı olabilir;

    tüm alanlar AH;

    orijinal IP paketi.

Aşağıdaki çizimde görebileceğiniz gibi, AH tünel modu, AH aktarım modunun kullanmadığı ek bir dış başlık ile tüm kaynak IP paketini korur:

Pirinç. 6.10. AN protokolünün tünel ve taşıma modları

modunda UlaşımESP paketin tamamını doğrulamaz, yalnızca IP yükünü korur. ESP taşıma modundaki ESP başlığı, IP başlığından hemen sonra IP paketine eklenir ve buna göre veriden sonra ESP bitişi (ESP Trailer) eklenir.

ESP aktarım modu, paketin aşağıdaki kısımlarını şifreler:

    IP yükü;

Cipher Block Chaining (CBC) şifreleme modunu kullanan bir şifreleme algoritması, ESP başlığı ile yük arasında şifrelenmemiş bir alana sahiptir. Bu alan, alıcı üzerinde gerçekleştirilen CBC hesaplaması için IV (Başlatma Vektörü) olarak adlandırılır. Bu alan şifre çözme işlemini başlatmak için kullanıldığından şifrelenemez. Saldırganın IV'ü görme yeteneği olmasına rağmen, şifreleme anahtarı olmadan paketin şifrelenmiş kısmının şifresini çözmesinin hiçbir yolu yoktur. Saldırganların başlatma vektörünü değiştirmesini önlemek için ICV sağlama toplamı tarafından korunur. Bu durumda, ICV aşağıdaki hesaplamaları yapar:

    ESP başlığındaki tüm alanlar;

    düz metin IV dahil olmak üzere yük;

    kimlik doğrulama verileri alanı dışında ESP Trailer'daki tüm alanlar.

ESP tünel modu, orijinal IP paketinin tamamını yeni bir IP başlığında, bir ESP başlığında ve bir ESP Trailer'da kapsüller. ESP'nin IP başlığında bulunduğunu belirtmek için, IP protokolü tanımlayıcısı 50'ye ayarlanır ve orijinal IP başlığı ve yükü değişmeden bırakılır. AH tünel modunda olduğu gibi, dış IP başlığı IPSec tünel yapılandırmasını temel alır. ESP tünel modunun kullanılması durumunda, IP paketinin kimlik doğrulama alanı, imzanın nerede yapıldığını, bütünlüğünü ve orijinalliğini onaylayarak, şifreli kısım ise bilgilerin korunduğunu ve gizli olduğunu gösterir. Orijinal başlık, ESP başlığından sonra yerleştirilir. Şifrelenmiş kısım şifrelenmemiş yeni bir tünel başlığına yerleştirildikten sonra IP paketi iletilir. Genel bir ağ üzerinden gönderildiğinde, böyle bir paket, alıcı ağın ağ geçidinin IP adresine yönlendirilir ve ağ geçidi, paketin şifresini çözer ve orijinal IP başlığını kullanarak ESP başlığını atar ve ardından paketi, üzerinde bulunan bir bilgisayara yönlendirmek için orijinal IP başlığını kullanır. iç ağ. ESP tünelleme modu, paketin aşağıdaki kısımlarını şifreler:

    orijinal IP paketi;

  • ESP tünel modu için ICV şu şekilde hesaplanır:

    ESP başlığındaki tüm alanlar;

    düz metin IV dahil orijinal IP paketi;

    kimlik doğrulama verileri alanı dışındaki tüm ESP başlık alanları.

Pirinç. 6.11. ESP protokolünün tünel ve taşıma modu

Pirinç. 6.12. ESP ve AH protokollerinin karşılaştırılması

Uygulama Modlarının ÖzetiIPSec:

    Protokol - ESP (AH).

    Mod - tünel (taşıma).

    Anahtar değişim yöntemi - IKE (manuel).

    IKE modu - ana (agresif).

    DH tuşu – grup 5 (grup 2, grup 1) – dinamik olarak oluşturulmuş oturum anahtarlarını seçmek için grup numarası, grup uzunluğu.

    Kimlik Doğrulama - SHA1 (SHA, MD5).

    Şifreleme - DES (3DES, Blowfish, AES).

Bir politika oluştururken, genellikle sıralı bir algoritma listesi ve Diffie-Hellman grupları oluşturmak mümkündür. Diffie-Hellman (DH), IKE, IPSec ve PFS (Mükemmel İletim Gizliliği) için paylaşılan gizli anahtarlar oluşturmak için kullanılan bir şifreleme protokolüdür. Bu durumda, her iki düğümde de eşleşen ilk konum kullanılacaktır. Güvenlik politikasındaki her şeyin bu tesadüfü gerçekleştirmenize izin vermesi çok önemlidir. Politikanın bir kısmı dışında her şey eşleşirse, ana bilgisayarlar yine bir VPN bağlantısı kuramaz. Arasında bir VPN tüneli kurarken çeşitli sistemler Mümkün olan en güvenli politikayı seçebilmeniz için her iki taraf tarafından hangi algoritmaların desteklendiğini bulmanız gerekir.

Güvenlik ilkesinin içerdiği ana ayarlar:

    Veri şifreleme/şifre çözme için simetrik algoritmalar.

    Veri bütünlüğünü kontrol etmek için kriptografik sağlama toplamları.

    Düğüm tanımlama yöntemi. En yaygın yöntemler, önceden paylaşılan gizli diziler veya CA sertifikalarıdır.

    Tünel modunun mu yoksa taşıma modunun mu kullanılacağı.

    Hangi Diffie-Hellman grubu kullanılacak (DH grubu 1 (768 bit); DH grubu 2 (1024 bit); DH grubu 5 (1536 bit)).

    AH, ESP veya her ikisinin kullanılıp kullanılmayacağını.

    PFS kullanılıp kullanılmayacağı.

IPSec'in bir sınırlaması, yalnızca IP protokol katmanında veri aktarımını desteklemesidir.

IPSec'i kullanmak için, güvenli kanalı oluşturan düğümlerin rolünde farklılık gösteren iki ana şema vardır.

İlk şemada, ağın uç ana bilgisayarları arasında güvenli bir kanal oluşturulur. Bu şemada, IPSec protokolü çalışan ana bilgisayarı korur:

Pirinç. 6.13.İki uç nokta arasında güvenli bir kanal oluşturun

İkinci şemada, iki Güvenlik Ağ Geçidi arasında güvenli bir kanal kurulur. Bu ağ geçitleri, ağ geçitlerinin arkasındaki ağlara bağlı uç ana bilgisayarlardan veri alır. Bu durumda uç ana bilgisayarlar IPSec protokolünü desteklemez, genel ağa yönlendirilen trafik, kendi adına koruma gerçekleştiren güvenlik ağ geçidinden geçer.

Pirinç. 6.14.İki ağ geçidi arasında güvenli bir kanal oluşturma

IPSec'i destekleyen ana bilgisayarlar için hem taşıma modu hem de tünel modu kullanılabilir. Ağ geçitleri için yalnızca tünel moduna izin verilir.

Kurulum ve destekVPN

Yukarıda belirtildiği gibi, bir VPN tüneli kurmak ve sürdürmek iki adımlı bir işlemdir. İlk aşamada (faz), iki düğüm bir tanımlama yöntemi, bir şifreleme algoritması, bir karma algoritma ve bir Diffie-Hellman grubu üzerinde anlaşırlar. Ayrıca birbirlerini tanımlarlar. Bütün bunlar, üç şifrelenmemiş mesajın (agresif mod olarak adlandırılan, agresif mod) veya şifreli kimlik bilgisi alışverişi ile altı mesaj (standart mod, Ana mod).

Ana Modda, gönderici ve alıcı cihazların tüm yapılandırma parametreleri üzerinde anlaşmak mümkündür, ancak Agresif Modda bu mümkün değildir ve bazı parametreler (Diffie-Hellman grubu, şifreleme ve kimlik doğrulama algoritmaları, PFS) önceden ayarlanmalıdır. -her cihazda aynı şekilde yapılandırılır. Ancak bu modda, hem değiş tokuş sayısı hem de gönderilen paket sayısı daha azdır, bu da bir IPSec oturumu kurmak için daha az zaman sağlar.

Pirinç. 6.15. Standart (a) ve agresif (b) modlarında mesajlaşma

İşlemin başarıyla tamamlandığını varsayarsak, ilk aşama SA oluşturulur - Evre 1 SA(olarak da adlandırılır IKESA) ve süreç ikinci aşamaya geçer.

İkinci adımda, anahtar veriler oluşturulur, düğümler kullanılacak politika üzerinde anlaşmaya varır. Hızlı mod olarak da adlandırılan bu mod, Faz 1'den farklıdır, çünkü Faz 1'den sonra, tüm Faz 2 paketleri şifrelendiğinde kurulabilir. İkinci aşamanın doğru tamamlanması, görünüme yol açar. Evre 2 SA veya IPSecSA ve bunun üzerine tünelin kurulumu tamamlanmış sayılır.

İlk olarak, başka bir ağdaki bir hedef adresle düğüme bir paket gelir ve düğüm, diğer ağdan sorumlu düğümle ilk aşamayı başlatır. Diyelim ki düğümler arasındaki tünel başarıyla kuruldu ve paketleri bekliyor. Ancak, düğümlerin belirli bir süre sonra birbirlerini yeniden tanımlamaları ve politikaları karşılaştırmaları gerekir. Bu dönem, Birinci Aşama ömrü veya IKE SA ömrü olarak adlandırılır.

Düğümler ayrıca, İkinci Aşama veya IPSec SA ömrü olarak adlandırılan bir süreden sonra verileri şifrelemek için anahtarı değiştirmelidir.

İkinci Aşama ömrü, ilk aşamadan daha kısadır, çünkü anahtarın daha sık değiştirilmesi gerekiyor. Her iki düğüm için de aynı yaşam süresi parametrelerini ayarlamanız gerekir. Bu yapılmazsa, başlangıçta tünelin başarıyla kurulması mümkündür, ancak ilk tutarsız yaşam süresinden sonra bağlantı kesilir. İlk aşamanın ömrü ikinci aşamanın ömründen daha kısa olduğunda da sorunlar ortaya çıkabilir. Önceden yapılandırılmış tünel çalışmayı durdurursa, kontrol edilecek ilk şey, her iki düğümün de kullanım ömrüdür.

Ayrıca, düğümlerden birindeki politikayı değiştirirseniz, değişikliklerin yalnızca ilk aşamanın bir sonraki başlangıcında geçerli olacağına dikkat edilmelidir. Değişikliklerin hemen etkili olması için, bu tünelin SA'sını SAD veritabanından kaldırmalısınız. Bu, yeni güvenlik ilkesi ayarlarıyla düğümler arasındaki anlaşmanın gözden geçirilmesini zorlayacaktır.

Bazen ekipman arasında bir IPSec tüneli kurarken farklı üreticiler ilk aşamayı oluştururken parametrelerin koordinasyonu ile ilgili zorluklar vardır. Yerel Kimlik gibi bir parametreye dikkat etmelisiniz - bu, tünel uç noktası (gönderen ve alıcı) için benzersiz bir tanımlayıcıdır. Bu, özellikle birden çok tünel oluştururken ve NAT Geçiş protokolünü kullanırken önemlidir.

Ölüakrantespit etme

VPN işlemi sırasında, tünelin uç noktaları arasında trafik yoksa veya uzak düğümün ilk verileri değişirse (örneğin, dinamik olarak atanan IP adresinin değiştirilmesi), tünelin artık böyle olmadığı bir durum ortaya çıkabilir. , adeta bir hayalet tüneli haline geliyor. Oluşturulan IPSec tünelinde veri alışverişi için sürekli hazır olmayı sürdürmek için, IKE mekanizması (RFC 3706'da açıklanmıştır) tünelin uzak düğümünden gelen trafiğin varlığını kontrol etmenize ve belirli bir süre boyunca yoksa, merhaba mesajı gönderilir (güvenlik duvarlarında D-Link "DPD-R-U-THERE" mesajı gönderir). Belirli bir süre içerisinde bu mesaja yanıt gelmezse, "DPD Expire Time" ayarları ile belirlenen D-Link güvenlik duvarlarında tünel sökülür. Bundan sonra D-Link güvenlik duvarları, "DPD Zamanı Tut" ayarlarını kullanarak ( pilav. 6.18) otomatik olarak tüneli yeniden kurmaya çalışır.

ProtokolNATgeçiş

IPsec trafiği, diğer IP protokolleriyle aynı kurallara göre yönlendirilebilir, ancak yönlendirici her zaman aktarım katmanı protokollerine özgü bilgileri çıkaramadığından, IPsec'in NAT ağ geçitlerinden geçmesi imkansızdır. Daha önce de belirtildiği gibi, bu sorunu çözmek için IETF, ESP'yi UDP'de kapsüllemek için NAT-T (NAT Geçişi) adı verilen bir yol tanımladı.

NAT Geçiş protokolü, IPSec trafiğini kapsüller ve aynı anda NAT'ın doğru şekilde ilettiği UDP paketleri oluşturur. Bunu yapmak için NAT-T, IPSec paketinin önüne ek bir UDP başlığı yerleştirir, böylece ağ genelinde normal bir UDP paketi olarak değerlendirilir ve alıcı ana bilgisayar herhangi bir bütünlük denetimi yapmaz. Paket hedefine ulaştıktan sonra UDP başlığı kaldırılır ve veri paketi kapsüllenmiş bir IPSec paketi olarak yoluna devam eder. Böylece, NAT-T mekanizmasını kullanarak, güvenlik duvarları aracılığıyla güvenli ağlardaki IPSec istemcileri ile genel IPSec ana bilgisayarları arasında iletişim kurmak mümkündür.

Alıcı cihazda D-Link güvenlik duvarlarını yapılandırırken dikkat edilmesi gereken iki nokta vardır:

    Uzak Ağ ve Uzak Uç Nokta alanlarında, uzak gönderen cihazın ağ ve IP adresini belirtin. Başlatıcının (gönderenin) IP adresinin NAT teknolojisi kullanılarak çevrilmesine izin verilmesi gerekir (Şekil 3.48).

    aynı uzaktan kumandaya bağlı birden çok tünel ile paylaşılan anahtarlar kullanırken güvenlik duvarı aynı adrese NAT'lanmışsa, Yerel Kimliğin her tünel için benzersiz olduğundan emin olmak önemlidir.

Yerel İDşunlardan biri olabilir:

    Oto– giden trafik arabiriminin IP adresi yerel tanımlayıcı olarak kullanılır.

    IP– Uzaktan kumandanın WAN portunun IP adresi güvenlik duvarı

    DNS– DNS adresi

    Şifrelenmiş dosyaların yedeklenmesi

    Herhangi bir dosya şifreleme mekanizmasının önemli bir tasarım yönü, uygulamaların şifreleme mekanizmaları dışında şifresi çözülmüş verilere erişememesidir. Bu sınırlama özellikle kamu hizmetleri için önemlidir. Yedek kopya, hangi dosyalar arşiv ortamında saklanır. EFS, yedekleme yardımcı programlarının oluşturması için bir mekanizma sağlayarak bu sorunu çözer. yedekler dosyaları ve şifreli biçimde geri yükleyin. Bu nedenle, yedekleme yardımcı programlarının yedekleme işlemi sırasında dosya verilerini şifrelemesi veya şifresini çözmesi gerekmez.

    EFS, bekleyen dosyaların içeriğini şifrelemek gerektiğinde kullanılır. Dosyaların ve diğer verilerin bir ağ üzerinden güvenli aktarımını sağlamak için başka mekanizmalar kullanılır. Bunlardan biri ¾ sanal özel ağlardır.

    VPN (İngilizce) Sanal Özel Ağ - sanal özel ağ) - İnternet gibi başka bir ağın üzerinde oluşturulan mantıksal bir ağ. İletişimin güvenli olmayan protokoller kullanılarak halka açık ağlar üzerinden yapılmasına rağmen, şifreleme, dışarıdan kapalı bilgi alışverişi kanalları oluşturur. VPN, örneğin bir kuruluşun birkaç ofisini, aralarında iletişim için kontrolsüz kanallar kullanarak tek bir ağda birleştirmenize olanak tanır.

    AT Microsoft Windows"VPN" terimi, uygulamalardan birini ifade eder sanal ağ- PPTP ve genellikle özel ağlar oluşturmak için kullanılmaz. Çoğu zaman, sanal bir ağ oluşturmak için, PPP protokolünün başka bir protokole kapsüllenmesi - IP veya Ethernet (PPPoE) kullanılır. VPN teknolojisi son zamanlarda yalnızca kendi özel ağlarını oluşturmak için değil, aynı zamanda bazı "son mil" sağlayıcıları tarafından İnternet erişimi sağlamak için de kullanılmıştır.

    Bir VPN iki bölümden oluşur: birkaç tane olabilen bir "dahili" (kontrollü) ağ ve kapsüllenmiş bağlantının içinden geçtiği bir "harici" ağ (genellikle İnternet kullanılır). Sanal bir ağa bağlanmak da mümkündür ayrı bilgisayar. Uzak bir kullanıcı, hem dahili hem de harici (genel) ağlara bağlı bir erişim sunucusu aracılığıyla VPN'ye bağlanır. Uzak bir kullanıcıyı bağlarken (veya başka bir güvenli ağa bağlantı kurarken), erişim sunucusu, kimlik doğrulama sürecinin geçmesini ve ardından kimlik doğrulama sürecini gerektirir. Her iki işlemin de başarıyla tamamlanmasından sonra, uzak kullanıcı ( uzak ağ) ağ üzerinde çalışacak şekilde yetkilendirilir, yani yetkilendirme işlemi gerçekleşir.



    VPN sınıflandırması

    VPN çözümleri birkaç ana parametreye göre sınıflandırılabilir:

    1. Kullanılan ortam türüne göre

    Korumalı

    Sanal özel ağların en yaygın sürümü. Onun yardımıyla, genellikle İnternet olmak üzere güvenilmez bir ağa dayalı güvenilir ve güvenli bir alt ağ oluşturmak mümkündür. Güvenli VPN örnekleri şunlardır: IPSec, OpenVPN ve PPTP.

    güvenilir

    İletim ortamının güvenilir olarak kabul edilebileceği ve yalnızca daha büyük bir ağ içinde sanal bir alt ağ oluşturma sorununu çözmek için gerekli olduğu durumlarda kullanılırlar. Güvenlik sorunları önemsiz hale gelir. Bu tür VPN çözümlerinin örnekleri şunlardır: Çok protokollü etiket değiştirme (MPLS) ve L2TP (Katman 2 Tünel Protokolü). (Bu protokollerin güvenlik sağlama görevini başkalarına kaydırdığını söylemek daha doğru olur, örneğin L2TP genellikle IPSec ile birlikte kullanılır).

    2. Uygulama yoluyla

    Özel yazılım ve donanım şeklinde

    VPN ağının uygulanması, özel bir yazılım ve donanım seti kullanılarak gerçekleştirilir. Bu uygulama yüksek performans sağlar ve kural olarak, yüksek derece güvenlik.

    · Olarak yazılım çözümü

    kullanmak Kişisel bilgisayar VPN işlevselliği sağlayan özel bir yazılımla.

    · Entegre çözüm

    VPN işlevselliği, ağ trafiğini filtreleme, güvenlik duvarı düzenleme ve hizmet kalitesini sağlama sorunlarını da çözen bir kompleks tarafından sağlanır.

    3. Randevu ile

    üzerinden veri alışverişi yapan bir organizasyonun birkaç dağıtılmış şubesini tek bir güvenli ağda birleştirmek için kullanılır. kanalları aç bağlantılar.

    Uzaktan Erişim VPN'i

    Kurumsal ağ segmenti (merkez ofis veya şube) ile evde çalışırken kurumsal kaynaklara bağlanan tek bir kullanıcı arasında güvenli bir kanal oluşturmak için kullanılır. ev bilgisayarı veya bir iş gezisindeyken, bir dizüstü bilgisayar kullanarak kurumsal kaynaklara bağlanır.

    "Harici" kullanıcıların bağlandığı ağlar için kullanılır. Onlara duyulan güven, şirketin çalışanlarından çok daha düşüktür, bu nedenle, özellikle değerli, gizli bilgilere erişimini sınırlayan özel koruma "sınırları" sağlamak gerekir.

    4. Protokol türüne göre

    TCP/IP, IPX ve AppleTalk altında sanal özel ağların uygulamaları vardır. Ancak bugün TCP / IP protokolüne genel bir geçiş eğilimi var ve VPN çözümlerinin büyük çoğunluğu bunu destekliyor.

    5. Ağ protokolü düzeyine göre

    ISO/OSI Ağ Referans Modelinin katmanlarına bir eşlemeye dayalı ağ protokolü katmanına göre.

    sınav soruları

    1. Bir EFS dosyasını ilk kez şifrelediğinizde ne olur?

    2. EFS, şifrelenmiş dosyaların yedeklenmesi sorununu nasıl çözer?

    3. EFS'de hangi şifreleme algoritmaları kullanılıyor?

    4. VPN ne için kullanılır?

    5. VPN'ler amaca göre nasıl sınıflandırılır?


    ders 8

    BÜTÜNLÜK KONTROL MEKANİZMALARI
    WINDOWS AİLE OS'DE

    Bütünlük kontrol mekanizmaları ortaya çıktı En son sürüm MS Windows ¾ Vista.

    VPN olarak kısaltılan özel sanal ağlar kavramı (İngilizce'den bilgisayar Teknolojisi Geçenlerde. Bu tür bir bağlantının oluşturulması, belirli bir terminalin konumundan bağımsız olarak bilgisayar terminallerini ve mobil cihazları normal kablolar olmadan sanal ağlarda birleştirmeyi mümkün kıldı. Şimdi bir VPN bağlantısının nasıl çalıştığına bakalım ve aynı zamanda bu tür ağları ve ilgili istemci programlarını kurmak için bazı önerilerde bulunalım.

    VPN nedir?

    Daha önce anlaşıldığı gibi, VPN, kendisine bağlı birkaç cihazın bulunduğu sanal bir özel ağdır. Kendinizi gururlandırmamalısınız - genellikle iki veya üç düzine aynı anda çalışan bilgisayar terminalini bağlamak işe yaramaz (bu "yerel" olarak yapılabilir). Bunun bir ağ kurma konusunda sınırlamaları vardır, hatta sadece Bant genişliği IP adreslerini atamaktan sorumlu yönlendirici ve

    Ancak, başlangıçta bağlantı teknolojisine dahil edilen fikir yeni değil. Uzun süre kanıtlamaya çalıştılar. Ve birçok modern kullanıcı bilgisayar ağları tüm yaşamları boyunca bunu bildiklerinin farkında bile değiller, ancak konunun özüne inmeye çalışmadılar.

    Bir VPN bağlantısı nasıl çalışır: temel ilkeler ve teknolojiler

    Daha iyi bir anlayış için, herhangi bir modern insanın bildiği en basit örneği vereceğiz. En azından radyoyu al. Sonuçta, aslında, bir verici cihaz (çevirmen), sinyalin iletilmesinden ve dağıtılmasından sorumlu bir aracı birim (röle) ve bir alıcı cihazdır (alıcı).

    Başka bir şey, sinyalin kesinlikle tüm tüketicilere yayınlanması ve sanal ağın yalnızca belirli cihazları tek bir ağda birleştirerek seçici olarak çalışmasıdır. Ne birinci ne de ikinci durumda, birbirleriyle veri alışverişi yapan verici ve alıcı cihazları bağlamak için kabloların gerekli olmadığına dikkat edin.

    Ama burada bile incelikler var. Gerçek şu ki, başlangıçta radyo sinyali korumasızdı, yani uygun frekansta çalışan bir cihazla herhangi bir radyo amatörü tarafından alınabilir. VPN Nasıl Çalışır? Evet, tamamen aynı. Sadece bu durumda, tekrarlayıcının rolü yönlendirici (yönlendirici veya ADSL modem) tarafından oynanır ve alıcının rolü sabit bir bilgisayar terminali, dizüstü bilgisayar veya mobil cihaz ekipmanında özel bir modül bulunan kablosuz bağlantı(kablosuz internet).

    Tüm bunlarla birlikte, kaynaktan gelen veriler başlangıçta şifrelenir ve ancak o zaman özel bir kod çözücü kullanılarak yeniden oynatılır. belirli cihaz. VPN aracılığıyla bu iletişim ilkesine tünelleme denir. Ve bu ilke ile en tutarlı olan mobil bağlantı yönlendirme belirli bir aboneye gerçekleştiğinde.

    Yerel sanal ağları tünelleme

    Bir VPN'nin tünel modunda nasıl çalıştığını anlayalım. Özünde, merkezi bir kaynaktan (sunucu bağlantısı olan bir yönlendirici) veri aktarırken, "A" noktasından "B" noktasına belirli bir düz çizginin oluşturulmasını içerir. ağ cihazlarıönceden belirlenmiş bir konfigürasyona göre otomatik olarak gerçekleştirilir.

    Başka bir deyişle, veri gönderirken kodlama ve alırken kod çözme ile bir tünel oluşturulur. İletim sırasında bu tür verileri engellemeye çalışan başka hiçbir kullanıcının şifresini çözemeyeceği ortaya çıktı.

    Uygulama araçları

    Bu tür bir bağlantı ve aynı zamanda güvenlik için en güçlü araçlardan biri de Cisco sistemleridir. Doğru, bazı deneyimsiz yöneticilerin VPN-Cisco ekipmanının neden çalışmadığı hakkında bir sorusu var.

    Bunun başlıca nedeni, D-Link veya ZyXEL gibi yönlendiriciler için yanlış yapılandırma ve yüklü sürücülerdir. ince ayar yalnızca yerleşik güvenlik duvarlarına sahip oldukları için.

    Ayrıca bağlantı şemalarına da dikkat etmelisiniz. Bunlardan ikisi olabilir: rotadan rotaya veya uzaktan erişim. İlk durumda, birkaç dağıtım cihazının birleştirilmesinden bahsediyoruz ve ikincisinde, uzaktan erişim kullanarak bağlantı veya veri aktarımını yönetmekle ilgili.

    Erişim protokolleri

    Protokoller açısından, VPN'ler için dahili protokoller değişebilse de, günümüzde çoğunlukla PCP/IP düzeyinde yapılandırma araçları kullanılmaktadır.

    VPN çalışmayı durdurdu mu? Bazı gizli seçeneklere bakmalısınız. Bu nedenle, örneğin, TCP teknolojisi PPP ve PPTP'ye dayanan ek protokoller hala TCP / IP protokol yığınlarına aittir, ancak bir bağlantı için, örneğin PPTP kullanılması durumunda, gerekli olan yerine iki IP adresi kullanmanız gerekir. . Bununla birlikte, her durumda, tünel oluşturma, IPX veya NetBEUI gibi dahili protokollere sarılmış verilerin transferini içerir ve hepsine, verileri sorunsuz bir şekilde uygun ağ sürücüsüne aktarmak için özel PPP tabanlı başlıklar sağlanır.

    Donanım cihazları

    Şimdi VPN'nin neden çalışmadığı sorusunun ortaya çıktığı bir duruma bakalım. Sorunun yanlış donanım yapılandırmasıyla ilgili olabileceği gerçeği anlaşılabilir. Ama başka bir durum olabilir.

    Bağlantıyı kontrol eden yönlendiricilerin kendilerine dikkat etmeye değer. Yukarıda belirtildiği gibi sadece bağlantı parametrelerine uygun cihazlar kullanmalısınız.

    Örneğin, DI-808HV veya DI-804HV gibi yönlendiriciler aynı anda kırk cihaza kadar bağlanabilir. ZyXEL ekipmanına gelince, çoğu durumda yerleşik ZyNOS ağ işletim sistemi aracılığıyla bile çalışabilir, ancak yalnızca ZyXEL modunu kullanır. Komut satırı Telnet protokolü aracılığıyla. Bu yaklaşım, IP trafiğine sahip ortak bir Ethernet ortamındaki üç ağa veri aktarımı olan herhangi bir cihazı yapılandırmanıza ve aynı zamanda, sistemler için bir ağ geçidi olarak iletilen trafiğe sahip standart bir yönlendirici tablosu kullanmak üzere tasarlanmış benzersiz Any-IP teknolojisini kullanmanıza olanak tanır. orijinal olarak diğer alt ağlarda çalışacak şekilde yapılandırılmıştır.

    VPN çalışmıyorsa ne yapmalı (Windows 10 ve altı)?

    İlk ve en önemli koşul, çıkış ve giriş tuşlarının (Önceden Paylaşılan Anahtarlar) karşılığıdır. Tünelin her iki ucunda da aynı olmalılar. Algoritmalara da dikkat etmeye değer kriptografik şifreleme(IKE veya Manuel) kimlik doğrulama işlevi olsun veya olmasın.

    Örneğin, aynı AH protokolü (İngilizce sürümde - Kimlik Doğrulama Başlığı), şifreleme kullanma olasılığı olmadan yalnızca yetkilendirme sağlayabilir.

    VPN istemcileri ve yapılandırmaları

    VPN istemcilerine gelince, o kadar da basit değil. Bu tür teknolojilere dayalı çoğu program, standart yapılandırma yöntemlerini kullanır. Ancak burada bazı tuzaklar var.

    Sorun şu ki, istemciyi nasıl kurarsanız kurun, hizmet "OS" da kapatıldığında, bundan iyi bir şey çıkmayacak. Bu nedenle, önce bu ayarları Windows'ta etkinleştirmeniz, ardından yönlendiricide (yönlendirici) etkinleştirmeniz ve ancak bundan sonra istemcinin kendisini yapılandırmaya devam etmeniz gerekir.

    Sistemin kendisinde, yeni bir bağlantı oluşturmanız ve mevcut olanı kullanmamanız gerekir. Prosedür standart olduğu için bunun üzerinde durmayacağız, ancak yönlendiricinin kendisinde ek ayarlara girmeniz (çoğunlukla WLAN Bağlantı Türü menüsünde bulunurlar) ve VPN sunucusuyla ilgili her şeyi etkinleştirmeniz gerekecektir.

    Ayrıca sisteme eşlik eden bir program olarak yüklenmesi gerekeceğini de belirtmekte fayda var. Ama sonra olmadan bile kullanılabilir manuel ayar sadece en yakın konumu seçerek.

    SecurityKISS adlı en popüler ve kullanımı en kolay VPN istemci-sunucularından biri. Program kurulur, ancak daha sonra distribütöre bağlı tüm cihazlar için normal iletişimi sağlamak için ayarlara girmenize bile gerek yoktur.

    Oldukça iyi bilinen ve popüler bir Kerio paketi olur VPN İstemcisiçalışmıyor. Burada sadece “işletim sisteminin” kendisine değil, aynı zamanda parametrelere de dikkat etmeniz gerekecek. müşteri programı. Kural olarak, doğru parametrelerin girilmesi problemden kurtulmanızı sağlar. Son çare olarak, ana bağlantının ayarlarını ve kullanılan TCP/IP protokollerini (v4/v6) kontrol etmeniz gerekecektir.

    Sonuç nedir?

    Bir VPN'nin nasıl çalıştığını ele aldık. Prensip olarak, bağlantının kendisinde veya bu tür ağların oluşturulmasında karmaşık bir şey yoktur. Ana zorluklar, tüm sürecin otomatizme indirgeneceği gerçeğine dayanarak, maalesef birçok kullanıcının gözden kaçırdığı belirli ekipmanın kurulmasında ve parametrelerinin ayarlanmasında yatmaktadır.

    Öte yandan, artık VPN sanal ağlarının teknolojisiyle ilgili sorunları daha fazla ele aldık, bu nedenle ayrı talimatlar ve öneriler kullanarak ekipmanı yapılandırmanız, aygıt sürücülerini yüklemeniz vb. zorunda kalacaksınız.

    Ana amacına ek olarak - ağdaki bağlantıların verimini artırmak - anahtar, bilgi akışlarını yerelleştirmenize ve mekanizmayı kullanarak bu akışları kontrol etmenize ve yönetmenize olanak tanır. özel filtreler. Ancak kullanıcı filtresi, yayın trafiğini tüm ağ kesimlerine iletirken çerçevelerin yalnızca belirli adreslere iletilmesini önleyebilir. Anahtarda uygulanan köprü algoritmasının çalışma prensibi budur, bu nedenle köprüler ve anahtarlar temelinde oluşturulan ağlara bazen düz denir - yayın trafiğine engel olmaması nedeniyle.

    Birkaç yıl önce tanıtılan sanal yerel alan ağları (Sanal LAN, VLAN) teknolojisi bu sınırlamanın üstesinden gelmektedir. Bir sanal ağ, yayın trafiği de dahil olmak üzere trafiği, veri bağlantısı katmanındaki diğer düğümlerden tamamen yalıtılmış olan bir ağ düğümleri grubudur (bkz. Şekil 1). Bu, benzersiz, çok noktaya yayın veya yayın gibi adres türünden bağımsız olarak farklı sanal ağlar arasında doğrudan çerçeve aktarımının mümkün olmadığı anlamına gelir. Aynı zamanda sanal ağ içinde çerçeveler, anahtarlama teknolojisine uygun olarak, yani sadece çerçevenin hedef adresinin atandığı bağlantı noktasına iletilir.

    Bir veya daha fazla bilgisayar birden fazla sanal ağa dahil edilirse sanal ağlar çakışabilir. Şekil 1'de sunucu E-posta sanal ağlar 3 ve 4'ün bir parçasıdır ve bu nedenle çerçeveleri anahtarlar tarafından bu ağlarda bulunan tüm bilgisayarlara iletilir. Bir bilgisayar yalnızca sanal ağ 3'e atanırsa, çerçeveleri ağ 4'e ulaşmaz, ancak ortak bir posta sunucusu aracılığıyla ağ 4 bilgisayarlarıyla etkileşime girebilir. Bu şema, sanal ağları birbirinden tamamen izole etmez - bu nedenle, e-posta sunucusu tarafından başlatılan bir yayın fırtınası hem ağ 3'ü hem de ağ 4'ü bunaltacaktır.

    Sanal ağın, Ethernet ağlarının tekrarlayıcıları tarafından oluşturulan çarpışma alanına benzetilerek bir yayın trafik alanı (yayın alanı) oluşturduğu söylenir.

    VLAN ATAMA

    VLAN teknolojisi, IP gibi bir ağ katmanı protokolünü destekleyen yönlendiriciler aracılığıyla iletişim kuran izole ağlar oluşturmayı kolaylaştırır. Bu çözüm, bir ağdan diğerine hatalı trafik için çok daha güçlü engeller oluşturur. Bugün, herhangi bir büyük ağın yönlendiriciler içermesi gerektiğine inanılıyor, aksi takdirde hatalı çerçevelerin, özellikle de yayınların, kendilerine şeffaf anahtarlar aracılığıyla akışları, periyodik olarak tamamen "sel" ve çalışmaz bir duruma neden olur.

    Sanal ağ teknolojisi, yönlendiriciler tarafından bağlanan büyük bir ağ oluşturmak için esnek bir temel sağlar, çünkü anahtarlar, fiziksel anahtarlamaya başvurmadan programlı olarak tamamen yalıtılmış segmentler oluşturmanıza olanak tanır.

    Dağıtım için VLAN teknolojisinin ortaya çıkmasından önce ayrı ağ ya fiziksel olarak izole edilmiş koaksiyel kablo parçaları ya da tekrarlayıcılara ve köprülere dayalı bağlantısız bölümler kullanıldı. Ardından ağlar, yönlendiriciler aracılığıyla tek bir bileşik ağda birleştirildi (bkz. Şekil 2).

    Bu yaklaşımla bölümlerin bileşiminin değiştirilmesi (kullanıcının başka bir ağa geçişi, büyük bölümlerin bölünmesi), büyük ağlarda çok uygun olmayan tekrarlayıcıların ön panellerinde veya çapraz panellerde konektörlerin fiziksel olarak yeniden bağlanması anlamına gelir - bu çok zahmetli bir iştir. ve hata olasılığı çok yüksektir. Bu nedenle, düğümlerin fiziksel olarak yeniden anahtarlanması ihtiyacını ortadan kaldırmak için, paylaşılan bir segmentin bileşiminin fiziksel yeniden anahtarlama olmadan yeniden programlanabilmesi için çok segmentli hub'lar kullanılmaya başlandı.

    Bununla birlikte, hub'ları kullanarak bölümlerin bileşimini değiştirmek, ağ yapısı üzerinde büyük kısıtlamalar getirir - böyle bir tekrarlayıcının bölümlerinin sayısı genellikle azdır ve bir anahtar kullanılarak yapılabileceği gibi, her bir düğümü kendi başına tahsis etmek gerçekçi değildir. Ayrıca, bu yaklaşımla, segmentler arasında veri aktarımının tüm işi yönlendiricilere düşer ve yüksek performanslı anahtarlar "işsiz" kalır. Bu nedenle, yapılandırma anahtarlamalı tekrarlayıcı tabanlı ağlar, medyayı hala çok sayıda düğümle paylaşır ve bu nedenle anahtar tabanlı ağlara kıyasla çok daha düşük performansa sahiptir.

    Anahtarlarda sanal ağ teknolojisini kullanırken, aynı anda iki görev çözülür:

    • anahtar yalnızca hedef ana bilgisayara çerçeve gönderdiğinden, sanal ağların her birinde performans artışı;
    • Kullanıcı erişim haklarını yönetmek ve oluşturmak için ağları birbirinden izole edin. koruyucu bariyerler yayın fırtınaları yolunda.

    Sanal ağların ortak bir ağda birleştirilmesi şurada gerçekleştirilir: ağ katmanı ayrı bir yönlendirici kullanılarak erişilebilen veya yazılım değiştirmek. Bu durumda ikincisi, üçüncü seviye anahtar olarak adlandırılan birleşik bir cihaz haline gelir.

    Anahtarları kullanarak sanal ağların oluşumu ve çalışması için teknoloji uzun zamandır farklı üreticilerin çok çeşitli anahtar modellerinde uygulanmasına rağmen standartlaştırılmamıştır. Bu durum, anahtar tarafından hangi bağlantı katmanı protokolünün desteklendiğinden bağımsız olarak sanal yerel ağlar oluşturmak için temel kuralları tanımlayan IEEE 802.1Q standardının 1998'de kabul edilmesinden sonra değişti.

    Bir VLAN standardının uzun süredir bulunmaması nedeniyle, her büyük anahtar şirketi kendi sanal ağ teknolojisini geliştirmiştir ve kural olarak diğer üreticilerin teknolojileriyle uyumlu değildir. Bu nedenle, standardın görünümüne rağmen, bir satıcıdan gelen anahtarlar temelinde oluşturulan sanal ağların tanınmadığı ve buna bağlı olarak diğerinden gelen anahtarlar tarafından desteklenmediği bir durum nadir değildir.

    TEK ANAHTAR ÜZERİNDEN VLAN OLUŞTURMA

    Tek bir anahtara dayalı sanal ağlar oluştururken, genellikle anahtar bağlantı noktası gruplandırma mekanizması kullanılır (bkz. Şekil 3). Ayrıca, her biri bir veya başka bir sanal ağa atanır. Örneğin sanal ağ 1'e ait bir bağlantı noktasından alınan bir çerçeve, bunun parçası olmayan bir bağlantı noktasına asla iletilmez. Bir port birkaç sanal ağa atanabilir, ancak bu pratikte nadiren yapılır - ağların tam izolasyonunun etkisi ortadan kalkar.

    Bir anahtarın bağlantı noktalarını gruplamak, bir VLAN oluşturmanın en mantıklı yoludur, çünkü bu durumda bağlantı noktalarından daha fazla sanal ağ olamaz. Bir tekrarlayıcı bir bağlantı noktasına bağlıysa, karşılık gelen segmentin düğümlerini farklı sanal ağlara dahil etmenin bir anlamı yoktur - hepsi aynı, trafikleri ortak olacaktır.

    Bu yaklaşım, yöneticinin büyük miktarda manuel çalışmasını gerektirmez - her bir bağlantı noktasını önceden adlandırılmış birkaç sanal ağdan birine atamak yeterlidir. Bu işlem genellikle özel program anahtarı ile birlikte verilir. Yönetici, bağlantı noktası simgelerini ağ simgelerine sürükleyerek sanal ağlar oluşturur.

    Sanal ağlar oluşturmanın başka bir yolu da MAC adres gruplamasına dayalıdır. Anahtar tarafından bilinen her MAC adresi, bir veya başka bir sanal ağa atanır. Ağda çok sayıda düğüm varsa, yöneticinin çok sayıda manuel işlem yapması gerekecektir. Ancak, birkaç anahtara dayalı sanal ağlar oluştururken, bu yöntem, bağlantı noktası gruplamasına göre daha esnektir.

    ÇOKLU ANAHTARLARA DAYALI VLAN OLUŞTURMA

    Şekil 4, bağlantı noktası birleştirme yoluyla birkaç anahtara dayalı sanal ağlar oluştururken ortaya çıkan durumu göstermektedir. Herhangi bir sanal ağın düğümleri farklı anahtarlara bağlıysa, bu tür her bir ağın anahtarlarını bağlamak için ayrı bir çift bağlantı noktası tahsis edilmelidir. Aksi takdirde, anahtardan anahtara aktarım sırasında belirli bir sanal ağın çerçeve sahipliği hakkındaki bilgiler kaybolacaktır. Bu nedenle, bağlantı noktası birleştirme yöntemi, anahtarları bağlamak için VLAN'ları destekledikleri kadar çok bağlantı noktası gerektirir ve bu da bağlantı noktalarının ve kabloların çok israf edilmesine neden olur. Ek olarak, sanal ağların yönlendirici aracılığıyla etkileşimini düzenlemek için her ağ ayrı bir kablo ve ayrı bir yönlendirici bağlantı noktası gerektirir ve bu da yüksek ek maliyetlere yol açar.

    MAC adreslerinin her bir anahtarda sanal bir ağda gruplanması, bu durumda sanal ağın etiketi MAC adresi olduğundan, bunları birden çok bağlantı noktası üzerinden bağlama ihtiyacını ortadan kaldırır. Ancak bu yöntem, ağdaki her anahtarda çok sayıda manuel MAC adresi etiketlemesi gerektirir.

    Açıklanan iki yaklaşım, yalnızca köprünün adres tablolarına bilgi eklemeye dayanır ve iletilen çerçevede sanal bir ağa ait çerçeve hakkında bilgi içermez. Diğer yaklaşımlar, ağ anahtarları arasında hareket ederken çerçevenin sahipliği hakkındaki bilgileri kaydetmek için çerçevenin mevcut veya ek alanlarını kullanır. Ayrıca ağlar arası MAC adreslerinin hangi sanal ağlara ait olduğunu her anahtarda hatırlamaya gerek yoktur.

    Fazladan alan olarak işaretlenmiş sanal ağ numarası, yalnızca çerçeve anahtardan anahtara gönderilirken kullanılır ve genellikle çerçeve son düğüme gönderildiğinde kaldırılır. Aynı zamanda, "anahtar-anahtar" etkileşim protokolü değiştirilirken, yazılım ve Donanım uç düğümler değişmeden kalır. Bu tür tescilli protokollerin birçok örneği vardır, ancak ortak bir dezavantajları vardır - diğer üreticiler tarafından desteklenmezler. Cisco, 802.10 protokol başlığını, amacı güvenlik özelliklerini desteklemek olan herhangi bir LAN protokolünün çerçevelerine standart bir ek olarak önermiştir. bilgisayar ağları. Şirketin kendisi, anahtarların FDDI protokolü kullanılarak birbirine bağlandığı durumlarda bu yönteme başvurur. Ancak bu girişim diğer önde gelen anahtar üreticileri tarafından desteklenmedi.

    Sanal ağ numarasını depolamak için IEEE 802.1Q standardı, 802.1p protokolüyle birlikte kullanılan iki baytlık ek bir başlık sağlar. 802.1p standardında açıklandığı gibi çerçevenin öncelik değerini depolamak için üç bit'e ek olarak, bu başlıktaki 12 bit, çerçevenin ait olduğu sanal ağ numarasını depolamak için kullanılır. Bu Ek Bilgiler sanal ağ etiketi (VLAN TAG) olarak adlandırılır ve farklı üreticilerin anahtarlarının 4096'ya kadar paylaşılan sanal ağ oluşturmasına olanak tanır. Böyle bir çerçeveye "etiketli" denir. Etiketin kendisinin iki baytına ek olarak iki bayt daha eklendiğinden, işaretli Ethernet çerçevesinin uzunluğu 4 bayt artar. İşaretli Ethernet çerçevesinin yapısı Şekil 5'te gösterilmiştir. 802.1p/Q başlığı eklendiğinde, veri alanı iki bayt küçülür.

    Şekil 5. İşaretli Ethernet çerçevesinin yapısı.

    802.1Q standardının ortaya çıkışı, tescilli VLAN uygulamalarında farklılıkların üstesinden gelmeyi ve sanal yerel alan ağları oluştururken uyumluluğu elde etmeyi mümkün kıldı. VLAN tekniği hem anahtar hem de NIC üreticileri tarafından desteklenir. İkinci durumda, NIC, bir VLAN TAG alanı içeren etiketli Ethernet çerçeveleri oluşturabilir ve alabilir. Ağ bağdaştırıcısı etiketli çerçeveler üretiyorsa, bunu yaparak bunların belirli bir sanal yerel alan ağına ait olup olmadığını belirler, bu nedenle anahtarın bunları uygun şekilde işlemesi, yani bağlantı noktası sahipliğine bağlı olarak çıkış bağlantı noktasına iletmesi veya iletmemesi gerekir. Ağ bağdaştırıcısı sürücüsü (veya onun) sanal yerel ağ numarasını ağ yöneticisinden (el ile yapılandırma yoluyla) veya bu düğümde çalışan bazı uygulamalardan alır. Böyle bir uygulama, ağ sunucularından birinde merkezi olarak çalışabilir ve tüm ağın yapısını yönetebilir.

    Ağ bağdaştırıcıları için VLAN desteğiyle, belirli bir sanal ağa bir bağlantı noktası atayarak statik yapılandırmayı atlayabilirsiniz. Bununla birlikte, statik VLAN yapılandırma yöntemi, uç düğüm yazılımını dahil etmeden yapılandırılmış bir ağ oluşturmanıza izin verdiği için popülerliğini korumaktadır.

    Natalya Olifer, Journal of Network Solutions/LAN'da köşe yazarıdır. Onunla iletişime geçilebilir:

    Her yıl elektronik iletişim gelişiyor ve veri işlemenin hızı, güvenliği ve kalitesi için bilgi alışverişine her zamankinden daha yüksek talepler getiriliyor.

    Ve burada vpn bağlantısına daha yakından bakacağız: nedir, vpn tüneli ne içindir ve vpn bağlantısı nasıl kullanılır.

    Bu materyal, çeşitli işletim sistemlerinde nasıl vpn oluşturulacağını anlatacağımız bir dizi makaleye bir tür giriş kelimesidir.

    vpn bağlantısı nedir?

    Bu nedenle, bir sanal özel ağ vpn, yüksek hızlı İnternet varlığında mantıksal bir ağın özel veya genel bir ağ üzerinden güvenli (harici erişime kapalı) bağlantısını sağlayan bir teknolojidir.

    Çok ağ bağlantısı bilgisayarlar (birbirlerinden önemli ölçüde coğrafi olarak uzak) bir noktadan noktaya bağlantı kullanır (başka bir deyişle, "bilgisayardan bilgisayara").

    Bilimsel olarak bu bağlantı yöntemine vpn tüneli (veya tünel protokolü) denir. TCP / IP protokolünü kullanarak sanal bağlantı noktalarını başka bir ağa “yönlendirebilen” entegre bir VPN istemcisine sahip herhangi bir işletim sistemine sahip bir bilgisayarınız varsa, böyle bir tünele bağlanabilirsiniz.

    vpn ne için?

    Vpn'nin ana avantajı, müzakerecilerin yalnızca hızla ölçeklenen değil, aynı zamanda (öncelikle) veri gizliliği, veri bütünlüğü ve kimlik doğrulaması sağlayan bir bağlantı platformuna ihtiyaç duymasıdır.

    Diyagram, vpn ağlarının kullanımını açıkça göstermektedir.

    Önceden, güvenli bir kanal üzerinden yapılan bağlantıların kuralları, sunucu ve yönlendirici üzerinde yazılmalıdır.

    vpn nasıl çalışır

    Bir vpn bağlantısı oluştuğunda, mesaj başlığında VPN sunucusunun IP adresi ve uzak rota hakkındaki bilgiler iletilir.

    Genel veya genel bir ağ üzerinden geçen kapsüllenmiş veriler, tüm bilgiler şifrelendiğinden engellenemez.

    VPN şifreleme aşaması, gönderici tarafında uygulanır ve alıcının verilerinin şifresi, mesaj başlığı tarafından çözülür (ortak bir şifreleme anahtarı varsa).

    Mesajın şifresi doğru bir şekilde çözüldükten sonra, iki ağ arasında ortak bir ağda çalışmanıza izin veren bir vpn bağlantısı kurulur (örneğin, bir istemci 93.88.190.5 ile veri alışverişi).

    İlişkin bilgi Güvenliği, o zaman İnternet son derece güvenli olmayan bir ağdır ve OpenVPN, L2TP / IPSec, PPTP, PPPoE protokollerine sahip bir VPN ağı tamamen güvenlidir ve güvenli bir şekilde veri transferi.

    Bir vpn kanalı ne içindir?

    vpn tünelleme kullanılır:

    Kurumsal ağ içerisinde;

    Uzak ofisleri ve küçük şubeleri birleştirmek için;

    Dijital telefon hizmeti için büyük set telekomünikasyon hizmetleri;

    Harici BT kaynaklarına erişmek için;

    Video konferans oluşturmak ve uygulamak için.

    Neden bir vpn'ye ihtiyacınız var?

    vpn bağlantısı şunlar için gereklidir:

    İnternette anonim çalışma;

    IP adresinin ülkenin başka bir bölgesel bölgesinde olması durumunda uygulama indirmeleri;

    İletişimi kullanarak kurumsal bir ortamda güvenli çalışma;

    Bağlantı kurulumunun basitliği ve rahatlığı;

    teminat yüksek hız kesintisiz bağlantılar;

    Hacker saldırıları olmadan güvenli bir kanal oluşturulması.

    vpn nasıl kullanılır?

    VPN'nin nasıl çalıştığına dair örnekler sonsuzdur. Bu nedenle, şirket ağındaki herhangi bir bilgisayarda, güvenli bir kurulum yaparken vpn bağlantıları mesajları kontrol etmek, ülkenin herhangi bir yerinden materyal yayınlamak veya torrent ağlarından dosya indirmek için postayı kullanabilirsiniz.

    VPN: telefonda ne var?

    Telefonunuzda (iPhone veya başka bir Android cihaz) vpn aracılığıyla erişim, İnternet'i halka açık yerlerde kullanırken anonim kalmanıza ve ayrıca trafiğin kesilmesini ve cihaz korsanlığını önlemenize olanak tanır.

    Herhangi bir işletim sistemine kurulu bir VPN istemcisi, sağlayıcının birçok ayarını ve kuralını atlamanıza izin verir (herhangi bir kısıtlama koymuşsa).

    Telefon için hangi vpn seçilir?

    Android cep telefonları ve akıllı telefonlar, Google Play pazarındaki uygulamaları kullanabilir:

    • - vpnRoot, droidVPN,
    • - Tor tarayıcısı sörf ağları için, aka orbot
    • - InBrowser, orfox (firefox+tor),
    • - SuperVPN Ücretsiz VPN İstemcisi
    • - VPN Connect'i açın
    • - Tünel Ayı VPN
    • - Hideman VPN

    Bu programların çoğu, "sıcak" sistem yapılandırması, başlatma kısayollarının yerleştirilmesi, anonim İnternet'te gezinme ve bağlantı şifreleme türünün seçimi için kolaylık sağlar.

    Ancak telefonunuzda bir VPN kullanmanın asıl görevi kontrol etmektir. kurumsal posta, birden fazla katılımcıyla video konferanslar oluşturmanın yanı sıra kuruluş dışında toplantılar düzenleme (örneğin, bir çalışan bir iş gezisindeyken).

    iphone'da vpn nedir?

    Hangi vpn'nin seçileceğini ve bir iPhone'a nasıl bağlanacağını daha ayrıntılı olarak düşünün.

    Desteklenen ağ türüne bağlı olarak, iphone'da VPN yapılandırmasını ilk başlattığınızda, aşağıdaki protokolleri seçebilirsiniz: L2TP, PPTP ve Cisco IPSec (ayrıca, üçüncü taraf uygulamaları kullanarak bir vpn bağlantısı "yapabilirsiniz").

    Bu protokollerin tümü, şifreleme anahtarlarını, bir parola ile kullanıcı tanımlamasını ve sertifikalandırmayı destekler.

    Arasında Ek özellikler iPhone'da bir VPN profili ayarlarken şunları not edebilirsiniz: RSA güvenliği, şifreleme düzeyi ve sunucuya bağlanmak için yetkilendirme kuralları.

    İçin iphone telefon uygulama mağazasından şunları seçmelisiniz:

    • - ücretsiz uygulama Herhangi bir ülkedeki VPN sunucularına bağlanabileceğiniz Tunnelbear.
    • - OpenVPN connect, en iyi VPN istemcilerinden biridir. Burada uygulamayı çalıştırmak için önce rsa anahtarlarını itunes üzerinden telefonunuza aktarmalısınız.
    • - Cloak bir shareware uygulamasıdır, çünkü bir süre ürün ücretsiz olarak "kullanılabilir", ancak programı demo süresi sona erdikten sonra kullanmak için satın almanız gerekir.

    VPN oluşturma: ekipman seçme ve yapılandırma

    İçin Kurumsal İletişim büyük kuruluşlarda veya uzak ofis kümelerinde kesintisiz, güvenli ağ oluşturmayı destekleyebilen donanımlar kullanılır.

    vpn teknolojilerini uygulamak için aşağıdakiler bir ağ geçidi görevi görebilir: Unix sunucuları, Windows Server, ağ yönlendiricisi ve VPN'nin yükseltildiği ağ geçidi.

    Bir işletmenin vpn ağını veya uzak ofisler arasında bir vpn kanalını oluşturmak için kullanılan sunucu veya cihaz, karmaşık teknik görevleri yerine getirmeli ve hem iş istasyonlarında hem de mobil cihazlarda kullanıcılara eksiksiz bir hizmet yelpazesi sunmalıdır.

    Herhangi bir yönlendirici veya vpn yönlendirici, "donmalar" olmadan güvenilir ağ çalışması sağlamalıdır. Ve yerleşik vpn işlevi, evde, bir kuruluşta veya uzak bir ofiste çalışmak için ağ yapılandırmasını değiştirmenize olanak tanır.

    yönlendiricide vpn kurulumu

    Genel durumda, yönlendiricideki VPN yapılandırması, yönlendiricinin web arayüzü kullanılarak gerçekleştirilir. Vpn'yi düzenlemek için "klasik" cihazlarda, VPN bölümünü seçtiğiniz, protokol türünü belirttiğiniz, alt ağ adresi ayarlarınızı, maskelerinizi girdiğiniz ve ip aralığını belirttiğiniz "ayarlar" veya "ağ ayarları" bölümüne gitmeniz gerekir. kullanıcılar için adresler.

    Ayrıca, bağlantıyı güvenceye almak için kodlama algoritmaları, kimlik doğrulama yöntemleri belirlemeniz, anlaşma anahtarları oluşturmanız ve DNS WINS sunucularını belirtmeniz gerekir. "Gateway" parametrelerinde, ağ geçidinin (ip'iniz) ip adresini belirtmeniz ve tüm ağ bağdaştırıcılarındaki verileri doldurmanız gerekir.

    Ağda birden fazla yönlendirici varsa VPN tünelindeki tüm cihazlar için vpn yönlendirme tablosunun doldurulması gerekir.

    VPN ağları oluşturmak için kullanılan donanım ekipmanlarının bir listesi:

    Dlink yönlendiriciler: DIR-320, DIR-620, DSR-1000 yeni bellenimli veya D-Link yönlendirici DI808HV.

    Yönlendiriciler Cisco PIX 501, Cisco 871-SEC-K9

    Yaklaşık 50 VPN Tünelini Destekleyen Linksys Rv082 Yönlendirici

    Netgear yönlendirici DG834G ve yönlendirici modelleri FVS318G, FVS318N, FVS336G, SRX5308

    OpenVPN işlevli Mikrotik yönlendirici. Örnek RouterBoard RB/2011L-IN Mikrotik

    VPN ekipmanı RVPN S-Terra veya VPN Kapısı

    ASUS RT-N66U, RT-N16 ve RT N-10 Yönlendiriciler

    ZyXel yönlendiriciler ZyWALL 5, ZyWALL P1, ZyWALL USG