Adından - sanal bir özel ağ - bir şekilde gerçek bir özel ağın özelliklerini yeniden ürettiğini takip eder.

Herhangi bir abartı olmadan, bir ağ, yalnızca kuruluşun tüm ağ altyapısına (kablolar, çapraz bağlantı ekipmanı, kanal oluşturma ekipmanı, anahtarlar, yönlendiriciler ve diğer iletişim ekipmanı) sahip olması ve bunları yönetmesi durumunda özel olarak adlandırılabilir.

Sanal özel ağ, bir tür "ağ içinde ağ", yani kullanıcılara özel ağlarının bir genel ağ içinde var olduğu yanılsamasını veren bir hizmettir.

VPN teknolojisinin temel amaçları, bir kamu ağındaki kullanıcı veri akışları için garantili bir hizmet kalitesi sağlamak ve aynı zamanda onları olası yetkisiz erişim veya tahribattan korumaktır.

Sanal Özel Ağ (Sanal Özel ağ- VPN), açık bir dış ortam (küresel ağ) aracılığıyla yerel ağların tek bir kurumsal ağda birleştirilmesidir. güvenli veri dolaşımı.

VPN teknolojisinin özü aşağıdaki gibidir (Şekil 6.1):

Şekil 6.1 - VPN ağının şeması

İnternet erişimi olan tüm bilgisayarlara (İnternet yerine başka bir ağ olabilir) Genel kullanım), bilgisayar ağları üzerinden iletilen IP paketlerini işleyen VPN aracıları kurulur.

VPN aracıları tüm giden bilgileri otomatik olarak şifreler (ve buna göre gelen tüm bilgilerin şifresini çözer). Ayrıca elektronik dijital imza (EDS) veya taklit ekler (bir şifreleme anahtarı kullanılarak hesaplanan bir kriptografik sağlama toplamı) kullanarak bütünlüğünü izlerler.

IP paketi göndermeden önce VPN aracısı aşağıdaki gibi çalışır.

Paket alıcısının IP adresi analiz edilir, bu adrese bağlı olarak bu paket için koruma algoritması seçilir. VPN aracısı ayarlarında böyle bir alıcı yoksa bilgi gönderilmez.

Gönderenin EDS'sini veya pakete bir taklit eki oluşturur ve ekler.

Paketi şifreler (tamamen, başlık dahil).

Kapsülleme gerçekleştirir, ör. alıcının değil, VPN aracısının adresini belirttiği yeni bir başlık oluşturur. Bu kullanışlı ek özellik, iki ağ arasındaki bir değişimi, VPN aracılarının kurulu olduğu iki bilgisayar arasındaki bir değişim olarak düşünmenizi sağlar. Bir saldırgan için dahili IP adresleri gibi herhangi bir yararlı bilgi artık onun tarafından kullanılamaz.

Bir IP paketi alındığında, ters işlem gerçekleştirilir.

Başlık, gönderenin VPN aracısı hakkında bilgi içerir. Ayarlarda izin verilenler listesine dahil edilmezse, bilgiler basitçe atılır.

Ayarlara göre, şifreleme algoritmaları ve EDS'nin yanı sıra gerekli anahtarlar seçilir, ardından paketin şifresi çözülür ve bütünlüğü kontrol edilir, bütünlüğü bozuk (EDS doğru değil) paketler de atılır.

Tüm ters dönüşümlerden sonra paket orijinal haliyle yerel ağ üzerinden gerçek hedefe gönderilir.

Yukarıdaki işlemlerin tümü otomatik olarak gerçekleştirilir, VPN aracılarının çalışması kullanıcılar tarafından görülmez. VPN aracısı doğrudan korunan bilgisayarda bulunabilir (özellikle mobil kullanıcılar için kullanışlıdır). Bu durumda kurulu olduğu sadece bir bilgisayarın iletişimini korur.

6.1 Ağlarda veri iletiminde "tünel" kavramı

Verileri aktarmak için VPN aracıları, korunanlar arasında sanal kanallar oluşturur. yerel ağlar veya bilgisayarlar (böyle bir kanala "tünel" denir ve oluşturulması için teknolojiye "tünelleme" denir). Tüm bilgiler tünel üzerinden şifreli olarak iletilir.

Şekil 6.2.

VPN aracılarının zorunlu özelliklerinden biri paket filtrelemedir. Paket filtreleme, kombinasyonu VPN güvenlik politikasını oluşturan VPN aracısının ayarlarına göre uygulanır. Tünellerin uçlarına sanal özel ağların güvenliğini artırmak için güvenlik duvarları (filtreler) yerleştirilmesi tavsiye edilir.

VPN aracıları, VPN ağ geçitleri görevi görür. VPN Güvenlik Ağ Geçidi, bir küresel ağ ve bir yerel ağ olmak üzere iki ağa bağlanan ve arkasındaki ağdaki ana bilgisayarlar için şifreleme ve kimlik doğrulama işlevleri gerçekleştiren bir ağ aygıtıdır. VPN ağ geçidi ayrı bir donanım aygıtı olarak uygulanabilir, ayrı yazılım çözümü, VPN işlevleriyle desteklenen bir güvenlik duvarı veya yönlendirici biçiminde.

Security Gateway'in VPN ağ bağlantısı, aslında açık paket anahtarlamalı bir ağ olsa da, arkasındaki ağ kullanıcılarına kiralık bir hat olarak görünür. Dış ağdaki Security Gateway VPN adresi, gelen tünelli paketin adresini tanımlar. İç adres, ağ geçidinin arkasındaki ana bilgisayarın adresidir. VPN Güvenlik Ağ Geçidi, yönlendirici, güvenlik duvarı ve benzerlerinin bir parçası olarak işlev görebilir.

Tünel oluşturmanın bir özelliği, bu teknolojinin yalnızca veri alanını değil, başlıkla birlikte tüm kaynak paketi şifrelemenize izin vermesidir. Orijinal paket, başlık ile birlikte tamamen şifrelenir ve bu şifreli paket, açık bir başlık ile başka bir dış pakete yerleştirilir. "Tehlikeli" bir ağ üzerinden veri taşımak için, açık alanlar dış paketin başlığı ve dış paket güvenli kanalın uç noktasına ulaştığında, iç paket ondan çıkarılır, şifresi çözülür ve başlığı, koruma gerektirmeyen bir ağ üzerinden zaten açık biçimde daha fazla iletim için kullanılır. .

Şekil 6.3 - Bir VPN tüneli oluşturma

Bu durumda, harici paketler için, bu iki noktada kurulu olan sınır yönlendiricilerinin (VPN ağ geçitleri) adresleri kullanılır ve uç düğümlerin dahili adresleri, korumalı bir biçimde dahili paketlerde bulunur (Şekil 6.4).

Şekil 6.4 - Paket tünelleme

6.2 Mimari VPN ağları

MimariÜç ana VPN türü vardır:

1) Uzaktan Erişim VPN'i

2) Şirket İçi VPN (İntranet VPN)

3) Şirketler Arası VPN (Extranet VPN)

Uzaktan Erişim VPN'i

Bu şemanın yardımıyla (Şekil 6.5), bireysel çalışanlar, genel bir ağ üzerinden organizasyonun kurumsal ağına uzaktan erişime sahiptir. Uzak istemciler, World Wide Web'e erişimin olduğu dünyanın herhangi bir yerinden, evden veya taşınabilir bir bilgisayar kullanarak çalışabilir.

Şekil 6.5 - VPN ile uzaktan erişim

6.2.2 Şirket içi VPN'ler(Şekil 6.6)

Şekil 6.6 - Intranet VPN

Burada iletişim, şirketin coğrafi olarak dağıtılmış şubelerinin ortak bir ağında gerçekleştirilir. Bu yöntem denir intranet VPN'i . Bu method hem normal şubeler hem de "ana" şirketin kaynaklarına erişebilecek ve birbirleriyle kolayca veri alışverişi yapabilecek mobil ofisler için kullanılması tavsiye edilir.

6.2.3 Şirketlerarası VPN'ler(Şekil 6.7)

Şekil 6.7 - Extranet VPN

Bu sözde Extranet VPN'i için güvenli erişim kanalları aracılığıyla erişim verildiğinde kuruluşun müşterileri veya ortakları. E-ticaretin popülaritesi nedeniyle geniş dağıtım kazanıyor.

Bu durumda, uzak müşteriler (ortaklar) şirket ağını kullanmak için çok sınırlı fırsatlara sahip olacaklar, aslında müşterileriyle çalışırken gerekli olan şirket kaynaklarına erişimle sınırlı olacaklar, örneğin ticari teklifler içeren bir site , ve bu durumda VPN, hassas verilerin güvenli aktarımı için kullanılır.

Şekil 6.7, VPN ağ geçitlerine ek olarak güvenlik duvarlarını da göstermektedir. BEN. Güvenlik duvarları (filtreler) iletilen içerik (virüsler ve diğer harici saldırılar) üzerinde kontrol sağlar. DOE, saldırganların ağdan içeri girmesini engelleyen ağ çevresinde bir "çit" iken VPN, çitin dışına çıkarıldığında değerli eşyalarınızı koruyan bir "zırhlı araç"tır. Bu nedenle, gerekli güvenlik düzeyini sağlamak için her iki çözüm de kullanılmalıdır. bilgi kaynakları. Çoğu zaman, ME ve VPN işlevleri aynı cihazda birleştirilir.

Her yıl elektronik iletişim gelişiyor ve veri işlemenin hızı, güvenliği ve kalitesi için bilgi alışverişine her zamankinden daha yüksek talepler getiriliyor.

Ve burada daha yakından bakıyoruz vpn bağlantısı: nedir, vpn tüneli ne içindir ve vpn bağlantısı nasıl kullanılır.

Bu materyal, çeşitli işletim sistemlerinde nasıl vpn oluşturulacağını anlatacağımız bir dizi makaleye bir tür giriş kelimesidir.

vpn bağlantısı nedir?

Bu nedenle, bir sanal özel ağ vpn, yüksek hızlı İnternet varlığında mantıksal bir ağın özel veya genel bir ağ üzerinden güvenli (harici erişime kapalı) bağlantısını sağlayan bir teknolojidir.

Çok ağ bağlantısı bilgisayarlar (birbirlerinden önemli ölçüde coğrafi olarak uzak) bir noktadan noktaya bağlantı kullanır (başka bir deyişle, "bilgisayardan bilgisayara").

Bilimsel olarak bu bağlantı yöntemine vpn tüneli (veya tünel protokolü) denir. TCP / IP protokolünü kullanarak sanal bağlantı noktalarını başka bir ağa “yönlendirebilen” entegre bir VPN istemcisine sahip herhangi bir işletim sistemine sahip bir bilgisayarınız varsa, böyle bir tünele bağlanabilirsiniz.

vpn ne için?

Vpn'nin ana avantajı, müzakerecilerin yalnızca hızla ölçeklenen değil, aynı zamanda (öncelikle) veri gizliliği, veri bütünlüğü ve kimlik doğrulaması sağlayan bir bağlantı platformuna ihtiyaç duymasıdır.

Diyagram, vpn ağlarının kullanımını açıkça göstermektedir.

Önceden, güvenli bir kanal üzerinden yapılan bağlantıların kuralları sunucu ve yönlendirici üzerinde yazılmalıdır.

vpn nasıl çalışır

Bir vpn bağlantısı oluştuğunda, mesaj başlığında VPN sunucusunun IP adresi ve uzak rota hakkındaki bilgiler iletilir.

Genel veya genel bir ağ üzerinden geçen kapsüllenmiş veriler, tüm bilgiler şifrelendiğinden engellenemez.

VPN şifreleme aşaması, gönderici tarafında uygulanır ve alıcının verilerinin şifresi, mesaj başlığı tarafından çözülür (ortak bir şifreleme anahtarı varsa).

Mesajın şifresi doğru bir şekilde çözüldükten sonra, iki ağ arasında ortak bir ağda çalışmanıza izin veren bir vpn bağlantısı kurulur (örneğin, bir istemci 93.88.190.5 ile veri alışverişi).

İlişkin bilgi Güvenliği, o zaman İnternet son derece güvenli olmayan bir ağdır ve OpenVPN, L2TP / IPSec, PPTP, PPPoE protokollerine sahip bir VPN ağı tamamen güvenlidir ve güvenli bir şekilde veri transferi.

Bir vpn kanalı ne içindir?

vpn tünelleme kullanılır:

Kurumsal ağ içerisinde;

Uzak ofisleri ve küçük şubeleri birleştirmek için;

Dijital telefon hizmeti için büyük set telekomünikasyon hizmetleri;

Harici BT kaynaklarına erişmek için;

Video konferans oluşturmak ve uygulamak için.

Neden bir vpn'ye ihtiyacınız var?

vpn bağlantısı şunlar için gereklidir:

İnternette anonim çalışma;

IP adresinin ülkenin başka bir bölgesel bölgesinde olması durumunda uygulama indirmeleri;

İletişimi kullanarak kurumsal bir ortamda güvenli çalışma;

Bağlantı kurulumunun basitliği ve rahatlığı;

teminat yüksek hız kesintisiz bağlantılar;

Hacker saldırıları olmadan güvenli bir kanal oluşturulması.

vpn nasıl kullanılır?

VPN'nin nasıl çalıştığına dair örnekler sonsuzdur. Böylece, şirket ağındaki herhangi bir bilgisayarda, güvenli bir vpn bağlantısı kurarken, mesajları kontrol etmek, ülkenin herhangi bir yerinden materyal yayınlamak veya torrent ağlarından dosya indirmek için posta kullanabilirsiniz.

VPN: telefonda ne var?

Telefonunuzda (iPhone veya başka bir Android cihaz) vpn aracılığıyla erişim, İnternet'i halka açık yerlerde kullanırken anonim kalmanıza ve ayrıca trafiğin kesilmesini ve cihaz korsanlığını önlemenize olanak tanır.

Herhangi bir işletim sistemine kurulu bir VPN istemcisi, sağlayıcının birçok ayarını ve kuralını atlamanıza izin verir (herhangi bir kısıtlama koymuşsa).

Telefon için hangi vpn seçilir?

Android cep telefonları ve akıllı telefonlar, Google Play pazarındaki uygulamaları kullanabilir:

  • - vpnRoot, droidVPN,
  • - Tor tarayıcısı sörf ağları için, aka orbot
  • - InBrowser, orfox (firefox+tor),
  • - SuperVPN Ücretsiz VPN İstemcisi
  • - VPN Connect'i açın
  • - Tünel Ayı VPN
  • - Hideman VPN

Bu programların çoğu, "sıcak" sistem yapılandırması, başlatma kısayollarının yerleştirilmesi, anonim İnternet'te gezinme ve bağlantı şifreleme türünün seçimi için kolaylık sağlar.

Ancak telefonunuzda bir VPN kullanmanın asıl görevi kontrol etmektir. kurumsal posta, birden fazla katılımcıyla video konferanslar oluşturmanın yanı sıra kuruluş dışında toplantılar düzenleme (örneğin, bir çalışan bir iş gezisindeyken).

iphone'da vpn nedir?

Hangi vpn'nin seçileceğini ve bir iPhone'a nasıl bağlanacağını daha ayrıntılı olarak düşünün.

Desteklenen ağ türüne bağlı olarak, iphone'da VPN yapılandırmasını ilk başlattığınızda, aşağıdaki protokolleri seçebilirsiniz: L2TP, PPTP ve Cisco IPSec (ayrıca, üçüncü taraf uygulamaları kullanarak bir vpn bağlantısı "yapabilirsiniz") .

Bu protokollerin tümü, şifreleme anahtarlarını, bir parola ile kullanıcı tanımlamasını ve sertifikalandırmayı destekler.

Arasında Ek özellikler iPhone'da bir VPN profili ayarlarken şunları not edebilirsiniz: RSA güvenliği, şifreleme düzeyi ve sunucuya bağlanmak için yetkilendirme kuralları.

İçin iphone telefon uygulama mağazasından şunları seçmelisiniz:

  • - ücretsiz uygulama Herhangi bir ülkedeki VPN sunucularına bağlanabileceğiniz Tunnelbear.
  • - OpenVPN connect, en iyi VPN istemcilerinden biridir. Burada uygulamayı çalıştırmak için önce rsa anahtarlarını itunes üzerinden telefonunuza aktarmalısınız.
  • - Cloak bir shareware uygulamasıdır, çünkü bir süre ürün ücretsiz olarak "kullanılabilir", ancak programı demo süresi sona erdikten sonra kullanmak için satın almanız gerekir.

VPN oluşturma: ekipman seçme ve yapılandırma

Büyük organizasyonlarda veya derneklerde kurumsal iletişim için uzak arkadaş ofisler, kesintisiz, güvenli ağ oluşturmayı destekleyebilecek donanımları kullanır.

vpn teknolojilerini uygulamak için aşağıdakiler bir ağ geçidi görevi görebilir: Unix sunucuları, Windows Server, ağ yönlendiricisi ve VPN'nin yükseltildiği ağ geçidi.

Bir kuruluşun vpn ağını veya uzak ofisler arasında bir vpn kanalını oluşturmak için kullanılan sunucu veya cihaz, karmaşık teknik görevleri yerine getirmeli ve hem iş istasyonlarında hem de mobil cihazlarda kullanıcılara eksiksiz bir hizmet yelpazesi sunmalıdır.

Herhangi bir yönlendirici veya vpn yönlendirici, "donmalar" olmadan güvenilir ağ çalışması sağlamalıdır. Ve yerleşik vpn işlevi, evde, bir kuruluşta veya uzak bir ofiste çalışmak için ağ yapılandırmasını değiştirmenize olanak tanır.

yönlendiricide vpn kurulumu

Genel durumda, yönlendiricideki VPN yapılandırması, yönlendiricinin web arayüzü kullanılarak gerçekleştirilir. Vpn'yi düzenlemek için "klasik" cihazlarda, VPN bölümünü seçtiğiniz, protokol türünü belirttiğiniz, alt ağ adresi ayarlarınızı, maskelerinizi girdiğiniz ve ip aralığını belirttiğiniz "ayarlar" veya "ağ ayarları" bölümüne gitmeniz gerekir. kullanıcılar için adresler.

Ayrıca, bağlantıyı güvenceye almak için kodlama algoritmalarını, kimlik doğrulama yöntemlerini belirlemeniz, anlaşma anahtarları oluşturmanız ve DNS WINS sunucularını belirtmeniz gerekir. "Gateway" parametrelerinde, ağ geçidinin (ip'iniz) ip adresini belirtmeniz ve tüm ağ bağdaştırıcılarındaki verileri doldurmanız gerekir.

Ağda birden fazla yönlendirici varsa VPN tünelindeki tüm cihazlar için vpn yönlendirme tablosunun doldurulması gerekir.

İşte bir liste donanım ekipmanı VPN ağları oluştururken kullanılır:

Dlink yönlendiriciler: DIR-320, DIR-620, DSR-1000 yeni bellenimli veya D-Link yönlendirici DI808HV.

Yönlendiriciler Cisco PIX 501, Cisco 871-SEC-K9

Yaklaşık 50 VPN Tünelini Destekleyen Linksys Rv082 Yönlendirici

Netgear yönlendirici DG834G ve yönlendirici modelleri FVS318G, FVS318N, FVS336G, SRX5308

OpenVPN işlevli Mikrotik yönlendirici. Örnek RouterBoard RB/2011L-IN Mikrotik

VPN ekipmanı RVPN S-Terra veya VPN Kapısı

ASUS RT-N66U, RT-N16 ve RT N-10 Yönlendiriciler

ZyXel yönlendiriciler ZyWALL 5, ZyWALL P1, ZyWALL USG

İnternet, verimli ve ucuz iletişim sunduğu için bilgisayarlar arasında giderek artan bir şekilde bir iletişim aracı olarak kullanılmaktadır. Bununla birlikte, İnternet genel bir ağdır ve internet üzerinden güvenli iletişimi sağlamak için en azından aşağıdaki görevleri yerine getiren bazı mekanizmalara ihtiyaç vardır:

    bilgilerin gizliliği;

    veri bütünlüğü;

    bilginin mevcudiyeti;

Bu gereksinimler, VPN (Sanal Özel Ağ - sanal özel ağ) adı verilen bir mekanizma tarafından karşılanır - kriptografi kullanarak bir veya daha fazla ağ bağlantısının (mantıksal ağ) başka bir ağ (örneğin İnternet) üzerinden sağlanmasına izin veren teknolojiler için genelleştirilmiş bir ad araçlar (şifreleme, kimlik doğrulama, altyapı ortak anahtarları, mantıksal ağ üzerinden iletilen mesajların tekrarına ve değiştirilmesine karşı koruma araçları).

Bir VPN oluşturmak ek yatırım gerektirmez ve kiralık hatları kullanmayı bırakmanıza izin verir. Kullanılan protokollere ve amaca bağlı olarak, bir VPN üç tür bağlantı sağlayabilir: ana bilgisayar, ana bilgisayar ağı ve ağ ağı.

Netlik sağlamak için, şu örneği hayal edelim: bir işletmenin, bölgesel olarak uzak birkaç şubesi ve evde veya yolda çalışan "mobil" çalışanları vardır. İşletmenin tüm çalışanlarını tek bir ağda birleştirmek gerekir. En kolay yol, her şubeye modem koymak ve iletişimi gerektiği gibi organize etmektir. Ancak böyle bir çözüm her zaman uygun ve karlı değildir - bazen sürekli bir bağlantıya ve geniş bir bant genişliğine ihtiyacınız vardır. Bunun için ya şubeler arasına özel bir hat çekmeniz ya da kiralamanız gerekecek. İkisi de oldukça pahalı. Ve burada, alternatif olarak, tek bir güvenli ağ oluştururken, tüm şirket şubelerinin İnternet üzerinden VPN bağlantılarını kullanabilir ve ağ ana bilgisayarlarında VPN araçlarını yapılandırabilirsiniz.

Pirinç. 6.4. siteden siteye VPN bağlantısı

Pirinç. 6.5. VPN ana bilgisayardan ağa bağlantı

Bu durumda, birçok sorun çözülür - şubeler dünyanın herhangi bir yerinde bulunabilir.

Buradaki tehlike, ilk olarak, açık ağın dünyanın dört bir yanındaki davetsiz misafirlerden gelen saldırılara açık olmasıdır. İkincisi, tüm veriler net bir şekilde İnternet üzerinden iletilir ve ağı hackleyen saldırganlar, ağ üzerinden iletilen tüm bilgilere sahip olacaktır. Üçüncüsü, veriler yalnızca ele geçirilemez, aynı zamanda ağ üzerinden iletim sırasında da değiştirilebilir. Örneğin bir saldırgan, güvenilir şubelerden birinin istemcileri adına hareket ederek veritabanlarının bütünlüğünü tehlikeye atabilir.

Bunun olmasını önlemek için VPN çözümleri, bütünlüğü ve gizliliği sağlamak için veri şifreleme, kullanıcı haklarını doğrulamak ve sanal bir özel ağa erişime izin vermek için kimlik doğrulama ve yetkilendirme gibi araçlar kullanır.

Bir VPN bağlantısı her zaman tünel olarak da bilinen noktadan noktaya bağlantıdan oluşur. Tünel, çoğunlukla İnternet olan güvensiz bir ağda oluşturulur.

Tünel açma veya kapsülleme, faydalı bilgileri bir ara ağ üzerinden aktarmanın bir yoludur. Bu tür bilgiler, başka bir protokolün çerçeveleri (veya paketleri) olabilir. Kapsülleme ile çerçeve, gönderen ana bilgisayar tarafından oluşturulduğu gibi iletilmez, ancak kapsüllenmiş paketlerin ara ağdan (İnternet) geçmesine izin veren yönlendirme bilgilerini içeren ek bir başlık ile sağlanır. Tünelin sonunda çerçeveler kapatılır ve alıcıya iletilir. Tipik olarak, bir tünel, genel ağa giriş noktalarında bulunan iki uç cihaz tarafından oluşturulur. Tünel oluşturmanın açık avantajlarından biri, bu teknolojinin, saldırganların ağı hacklemek için kullandığı bilgileri (örneğin, IP adresleri, alt ağların sayısı vb.) içeren verileri içerebilen başlık da dahil olmak üzere orijinal paketin tamamını şifrelemenize izin vermesidir. ) .

İki nokta arasında bir VPN tüneli kurulmasına rağmen, her ana bilgisayar diğer ana bilgisayarlarla ek tüneller kurabilir. Örneğin, üç uzak istasyonun aynı ofise başvurması gerektiğinde, bu ofise üç ayrı VPN tüneli oluşturulacaktır. Tüm tüneller için ofis tarafındaki düğüm aynı olabilir. Bu, şekilde gösterildiği gibi, düğümün tüm ağ adına verileri şifreleyebilmesi ve şifresini çözebilmesi nedeniyle mümkündür:

Pirinç. 6.6. Birden çok uzak konum için VPN tünelleri oluşturun

Kullanıcı, VPN ağ geçidine bir bağlantı kurar, ardından kullanıcının dahili ağa erişimi olur.

Özel bir ağ içinde şifrelemenin kendisi gerçekleşmez. Bunun nedeni, ağın bu bölümünün İnternet'in aksine güvenli ve doğrudan kontrol altında kabul edilmesidir. Bu, VPN ağ geçitlerini kullanarak ofislere bağlanırken de geçerlidir. Böylece, yalnızca ofisler arasında güvenli olmayan bir kanal üzerinden iletilen bilgiler için şifreleme garanti edilir.

Çok var çeşitli çözümler sanal özel ağlar oluşturmak için. En ünlü ve yaygın olarak kullanılan protokoller şunlardır:

    PPTP (Noktadan Noktaya Tünel Protokolü) - bu protokol, Microsoft işletim sistemlerine dahil edilmesi nedeniyle oldukça popüler hale geldi.

    L2TP (Katman-2 Tünel Protokolü) - L2F (Katman 2 Yönlendirme) protokolünü ve PPTP protokolü. Genellikle IPSec ile birlikte kullanılır.

    IPSec (İnternet Protokol Güvenliği), IETF (İnternet Mühendisliği Görev Gücü) topluluğu tarafından geliştirilen resmi bir İnternet standardıdır.

Listelenen protokoller D-Link cihazları tarafından desteklenir.

PPTP protokolü öncelikle çevirmeli bağlantılara dayalı sanal özel ağlar için tasarlanmıştır. Protokol uzaktan erişime izin verir, böylece kullanıcılar İnternet sağlayıcılarıyla çevirmeli bağlantı kurabilir ve kurumsal ağlarına güvenli bir tünel oluşturabilir. IPSec'in aksine, PPTP protokolü başlangıçta yerel ağlar arasında tüneller düzenlemeyi amaçlamamıştı. PPTP, başlangıçta verileri kapsüllemek ve noktadan noktaya bağlantılar üzerinden teslim etmek için tasarlanmış bir veri bağlantısı protokolü olan PPP'nin yeteneklerini genişletir.

PPTP protokolü, IP, IPX, NetBEUI, vb. gibi çeşitli protokolleri kullanarak veri alışverişi için güvenli kanallar oluşturmanıza olanak tanır. Bu protokollerin verileri, PPTP protokolü kullanılarak IP protokol paketlerinde kapsüllenen PPP çerçevelerine paketlenir. Daha sonra herhangi bir TCP/IP ağı üzerinden şifrelenmiş biçimde IP kullanılarak taşınırlar. Alıcı düğüm, IP paketlerinden PPP çerçevelerini çıkarır ve ardından bunları standart şekilde işler, yani. bir PPP çerçevesinden bir IP, IPX veya NetBEUI paketi çıkarır ve yerel ağ üzerinden gönderir. Böylece PPTP protokolü ağda noktadan noktaya bağlantı oluşturur ve oluşturulan güvenli kanal üzerinden veri iletir. PPTP gibi kapsülleme protokollerinin ana avantajı, çok protokollü olmalarıdır. Şunlar. veri bağlantısı katmanındaki veri koruması, ağ ve uygulama katmanı protokollerine karşı şeffaftır. Bu nedenle, ağ içinde, hem IP protokolü (IPSec tabanlı VPN durumunda olduğu gibi) hem de başka herhangi bir protokol, aktarım olarak kullanılabilir.

Şu anda, uygulama kolaylığı nedeniyle, PPTP protokolü hem kurumsal bir ağa güvenilir güvenli erişim sağlamak hem de bir istemcinin İnternet'e erişmek için bir ISP ile bir PPTP bağlantısı kurması gerektiğinde ISP ağlarına erişmek için yaygın olarak kullanılmaktadır.

PPTP'de kullanılan şifreleme yöntemi, PPP katmanında belirtilir. Genellikle PPP istemcisi masaüstü bilgisayar Microsoft işletim sistemi ile ve şifreleme protokolü olarak Microsoft Noktadan Noktaya Şifreleme (MPPE) protokolü kullanılır. Bu protokol, RSA RC4 standardını temel alır ve 40 veya 128 bit şifrelemeyi destekler. IPSec tarafından sunulan diğer şifreleme algoritmalarından, özellikle 168-bit Üçlü Veri Şifreleme Standardından (3DES) daha az güvenli olduğu düşünülse de, bu şifreleme seviyesinin birçok uygulaması için bu algoritmayı kullanmak yeterlidir.

Bağlantı nasıl kurulurPPTP?

PPTP, bir IP ağı üzerinden iletim için IP paketlerini kapsüller. PPTP istemcileri, bağlantıyı canlı tutan bir tünel kontrol bağlantısı oluşturur. Bu işlem, OSI modelinin taşıma katmanında gerçekleştirilir. Tünel oluşturulduktan sonra, istemci bilgisayar ve sunucu hizmet paketlerini değiş tokuş etmeye başlar.

PPTP kontrol bağlantısına ek olarak tünel üzerinden veri göndermek için bir bağlantı oluşturulur. Verileri tünele göndermeden önce kapsüllemek iki adımı içerir. İlk olarak, PPP çerçevesinin bilgi kısmı oluşturulur. Veri, OSI uygulama katmanından bağlantı katmanına yukarıdan aşağıya doğru akar. Alınan veriler daha sonra OSI modeline gönderilir ve üst katman protokolleri tarafından kapsüllenir.

Bağlantı katmanından gelen veriler taşıma katmanına ulaşır. Ancak, bundan OSI bağlantı katmanı sorumlu olduğu için bilgiler hedefine gönderilemez. Bu nedenle, PPTP paketin yük alanını şifreler ve genellikle PPP'ye ait olan ikinci seviye işlevleri devralır, yani PPTP paketine bir PPP başlığı (başlık) ve bir son (römork) ekler. Bu, bağlantı katmanı çerçevesinin oluşturulmasını tamamlar. Ardından, PPTP, PPP çerçevesini ağ katmanına ait bir Genel Yönlendirme Kapsülleme (GRE) paketinde kapsüller. GRE, IP ağları üzerinden taşınmalarını sağlamak için IP, IPX gibi ağ katmanı protokollerini kapsüller. Ancak, tek başına GRE protokolünün kullanılması, oturum kurulmasını ve veri güvenliğini sağlamayacaktır. Bu, PPTP'nin bir tünel kontrol bağlantısı oluşturma yeteneğini kullanır. GRE'nin bir kapsülleme yöntemi olarak kullanılması, PPTP'nin kapsamını yalnızca IP ağlarıyla sınırlar.

PPP çerçevesi, GRE başlığına sahip bir çerçeveye yerleştirildikten sonra, bir IP başlığına sahip bir çerçeveye alınır. IP başlığı, paketin gönderici ve alıcı adreslerini içerir. Son olarak, PPTP bir PPP başlığı ve bitişi ekler.

Üzerinde pilav. 6.7 bir PPTP tüneli üzerinden iletmek için veri yapısını gösterir:

Pirinç. 6.7. PPTP tüneli üzerinden iletmek için veri yapısı

PPTP tabanlı bir VPN kurmak, büyük harcamalar ve karmaşık ayarlar gerektirmez: merkez ofise bir PPTP sunucusu kurmak (hem Windows hem de Linux platformları için PPTP çözümleri mevcuttur) ve istemci bilgisayarlarda çalıştırmak yeterlidir. gerekli ayarlar. Birkaç şubeyi birleştirmeniz gerekiyorsa, tüm istemci istasyonlarında PPTP kurmak yerine, bir İnternet yönlendiricisi veya PPTP destekli bir güvenlik duvarı kullanmak daha iyidir: ayarlar yalnızca İnternet'e bağlı bir sınır yönlendiricisinde (güvenlik duvarı) yapılır, her şey kullanıcılar için kesinlikle şeffaftır. Bu tür cihazlara örnek olarak DIR/DSR çok işlevli İnternet yönlendiricileri ve DFL serisi güvenlik duvarları verilebilir.

GRE- tüneller

Genel Yönlendirme Kapsülleme (GRE), ağlar arasında şifreleme olmadan trafik tüneli sağlayan bir ağ paketi kapsülleme protokolüdür. GRE kullanımına örnekler:

    belirli bir protokolü desteklemeyen ekipman aracılığıyla trafik iletimi (yayın dahil);

    IPv6 trafiğini bir IPv4 ağı üzerinden tünelleme;

    Güvenli bir VPN bağlantısı uygulamak için genel ağlar üzerinden veri aktarımı.

Pirinç. 6.8. Bir GRE tüneli örneği

İki yönlendirici A ve B arasında ( pilav. 6.8) birkaç yönlendirici varsa, GRE tüneli, 192.168.1.0/24 ve 192.168.3.0/24 yerel ağları arasında A ve B yönlendiricileri doğrudan bağlanmış gibi bir bağlantı sağlamanıza olanak tanır.

L2 TP

L2TP protokolü, PPTP ve L2F protokollerinin birleşmesinin bir sonucu olarak ortaya çıktı. L2TP protokolünün ana avantajı, sadece IP ağlarında değil, ATM, X.25 ve Frame röle ağlarında da tünel oluşturmanıza izin vermesidir. L2TP, aktarım olarak UDP'yi kullanır ve hem tünel yönetimi hem de veri iletme için aynı mesaj biçimini kullanır.

PPTP durumunda olduğu gibi, L2TP, önce PPP başlığını, ardından L2TP başlığını PPP bilgi veri alanına ekleyerek tünele iletim için bir paket oluşturmaya başlar. Bu şekilde alınan paket UDP tarafından kapsüllenir. Seçilen IPSec güvenlik ilkesinin türüne bağlı olarak, L2TP, UDP mesajlarını şifreleyebilir ve bir Kapsüllenen Güvenlik Yükü (ESP) başlığı ve bitişinin yanı sıra bir IPSec Kimlik Doğrulaması bitişi ekleyebilir ("IPSec üzerinden L2TP" bölümüne bakın). Daha sonra IP içinde kapsüllenir. Gönderici ve alıcı adreslerini içeren bir IP başlığı eklenir. Son olarak, L2TP, verileri aktarıma hazırlamak için ikinci bir PPP kapsüllemesi gerçekleştirir. Üzerinde pilav. 6.9 L2TP tüneli üzerinden gönderilecek veri yapısını gösterir.

Pirinç. 6.9. L2TP tüneli üzerinden iletmek için veri yapısı

Alıcı bilgisayar verileri alır, PPP başlığını ve sonunu işler ve IP başlığını çıkarır. IPSec Kimlik Doğrulaması, IP bilgi alanının kimliğini doğrular ve IPSec ESP başlığı, paketin şifresinin çözülmesine yardımcı olur.

Bilgisayar daha sonra UDP başlığını işler ve tüneli tanımlamak için L2TP başlığını kullanır. PPP paketi artık yalnızca işlenmekte olan veya belirtilen alıcıya iletilen yükü içermektedir.

IPsec (IP Güvenliği'nin kısaltması), IP İnternet Protokolü üzerinden iletilen verilerin güvenliğini sağlamaya yönelik, IP paketlerinin kimlik doğrulamasına ve/veya şifrelenmesine izin veren bir protokol setidir. IPsec ayrıca internette güvenli anahtar değişimi için protokoller içerir.

IPSec güvenliği, kendi başlıklarını IP paket kapsüllemeye ekleyen ek protokoller aracılığıyla sağlanır. Çünkü IPSec bir İnternet standardıdır, bunun için RFC belgeleri vardır:

    RFC 2401 (İnternet Protokolü için Güvenlik Mimarisi), IP protokolü için güvenlik mimarisidir.

    RFC 2402 (IP Kimlik Doğrulama başlığı) - IP doğrulama başlığı.

    RFC 2404 (ESP ve AH içinde HMAC-SHA-1-96 Kullanımı) - Bir kimlik doğrulama başlığı oluşturmak için SHA-1 karma algoritmasının kullanımı.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm with Explicit IV) - DES şifreleme algoritmasının kullanımı.

    RFC 2406 (IP Kapsülleyen Güvenlik Yükü (ESP)) - Veri Şifreleme.

    RFC 2407 (ISAKMP için İnternet IP Güvenlik Yorumlama Alanı), anahtar yönetim protokolünün kapsamıdır.

    RFC 2408( internet güvenliğiİlişkilendirme ve Anahtar Yönetim Protokolü (ISAKMP) - güvenli bağlantıların anahtarlarının ve kimlik doğrulayıcılarının yönetimi.

    RFC 2409 (İnternet Anahtar Değişimi (IKE)) - Anahtar Değişimi.

    RFC 2410 (BOŞ Şifreleme Algoritması ve IPsec ile Kullanımı) - BOŞ Şifreleme Algoritması ve Kullanımı.

    RFC 2411 (IP Güvenlik Belgesi Yol Haritası), standardın daha da geliştirilmiş halidir.

    RFC 2412 (OAKLEY Anahtar Belirleme Protokolü) - Bir Anahtarın Doğruluğunu Kontrol Etme.

IPsec, IPv6 İnternet Protokolünün ayrılmaz bir parçası ve İnternet Protokolünün IPv4 sürümünün isteğe bağlı bir uzantısıdır.

IPSec mekanizması aşağıdaki görevleri gerçekleştirir:

    güvenli kanal başlatma sırasında kullanıcıların veya bilgisayarların kimlik doğrulaması;

    arasında aktarılan verilerin şifrelenmesi ve doğrulanması uç noktalar güvenli kanal;

    kimlik doğrulama ve veri şifreleme protokollerinin çalışması için gerekli olan gizli anahtarlarla kanal uç noktalarının otomatik olarak sağlanması.

IPSec Bileşenleri

AH (Authentication Header) protokolü, bir başlık tanımlama protokolüdür. İletim sırasında paketin korunan kısmındaki hiçbir bitin değiştirilmediğini doğrulayarak bütünlüğü sağlar. Ancak AH kullanmak, örneğin bir paket bir NAT aygıtından geçtiğinde sorunlara neden olabilir. NAT, özel bir yerel adresten İnternet erişimine izin vermek için paketin IP adresini değiştirir. Çünkü bu durumda paket değişir, ardından AH sağlama toplamı yanlış olur (bu sorunu ortadan kaldırmak için, UDP üzerinden ESP iletimi sağlayan ve çalışmasında UDP bağlantı noktası 4500'ü kullanan NAT-Geçiş (NAT-T) protokolü geliştirilmiştir). AH'nin yalnızca bütünlük için tasarlandığını da belirtmekte fayda var. Paket içeriğini şifreleyerek gizliliği garanti etmez.

ESP (Encapsulation Security Payload) protokolü, yalnızca iletilen verilerin bütünlüğünü ve kimlik doğrulamasını sağlamakla kalmaz, aynı zamanda veri şifrelemenin yanı sıra paket sahtekarlığına karşı koruma sağlar.

ESP protokolü, hem bütünlük hem de gizlilik sağlayan kapsülleyici bir güvenlik protokolüdür. Aktarım modunda, ESP başlığı, orijinal IP başlığı ile TCP veya UDP başlığı arasındadır. Tünel modunda, ESP başlığı yeni IP başlığı ile tamamen şifrelenmiş orijinal IP paketi arasına yerleştirilir.

Çünkü her iki protokol de - AH ve ESP - kendi IP başlıklarını ekler, her birinin kendi protokol numarası (ID) vardır ve bununla IP başlığını neyin izleyeceğini belirleyebilirsiniz. IANA'ya (İnternet Atanmış Numaralar Kurumu - İnternet'in adres alanından sorumlu kuruluş) göre her protokolün kendi numarası (ID) vardır. Örneğin, TCP için bu sayı 6'dır ve UDP için 17'dir. Bu nedenle, bir güvenlik duvarı üzerinden çalışırken, filtreleri protokolün ID AH ve/veya ESP'sine sahip paketleri geçirecek şekilde yapılandırmak çok önemlidir.

Protokol Kimliği 51, IP başlığında AH'nin ve ESP için 50'nin bulunduğunu gösterecek şekilde ayarlanır.

DİKKAT: Protokol kimliği, bağlantı noktası numarasıyla aynı değil.

IKE (İnternet Anahtar Değişimi) protokolü, sanal özel ağlarda iletişimi güvence altına almak için kullanılan standart bir IPsec protokolüdür. IKE'nin amacı, tanımlanan materyalin bir güvenlik birliğine (SA) güvenli bir şekilde müzakere edilmesi ve teslim edilmesidir.

SA, bir bağlantı için IPSec terimidir. Yerleşik bir SA ("güvenli ilişkilendirme" veya "güvenlik ilişkisi" olarak adlandırılan güvenli bir kanal - Security Association, SA), paylaşılan bir gizli anahtar ve bir dizi şifreleme algoritması içerir.

IKE protokolü üç ana görevi yerine getirir:

    iki VPN uç noktası arasında bir kimlik doğrulama aracı sağlar;

    yeni IPSec bağlantıları kurar (bir çift SA oluşturur);

    mevcut ilişkileri yönetir.

IKE, 500 numaralı UDP bağlantı noktasını kullanır. Daha önce belirtildiği gibi NAT Geçişi özelliğini kullanırken, IKE protokolü 4500 numaralı UDP bağlantı noktasını kullanır.

IKE'de veri alışverişi 2 aşamada gerçekleşir. İlk aşamada SA IKE derneği kurulur. Aynı zamanda, kanalın uç noktalarının kimliği doğrulanır ve şifreleme algoritması, oturum anahtarı vb. gibi veri koruma parametreleri seçilir.

İkinci aşamada, protokol anlaşması (genellikle IPSec) için SA IKE kullanılır.

Yapılandırılmış bir VPN tüneli ile, kullanılan her protokol için bir SA çifti oluşturulur. SA'lar çiftler halinde oluşturulur. her SA tek yönlü bir bağlantıdır ve veriler iki yönde gönderilmelidir. Alınan SA çiftleri her düğümde saklanır.

Her düğüm, diğer düğümlerle birden çok tünel kurabildiğinden, her bir SA, benzersiz numara Hangi düğüme ait olduğunu belirlemenizi sağlayan A. Bu numaraya SPI (Güvenlik Parametre İndeksi) veya Güvenlik Parametre İndeksi denir.

Bir veritabanında (DB) depolanan SA ÜZGÜN(Güvenlik Derneği Veritabanı).

Her IPSec düğümünün ayrıca ikinci bir DB'si vardır - SPD(Güvenlik Politikası Veritabanı) - Güvenlik politikası veritabanı. Yapılandırılmış ana bilgisayar politikasını içerir. Çoğu VPN çözümü, bağlanmak istediğiniz her ana bilgisayar için uygun algoritma kombinasyonlarıyla birden çok politika oluşturmanıza olanak tanır.

IPSec'in esnekliği, her görev için onu çözmenin birkaç yolunun olması ve bir görev için seçilen yöntemlerin genellikle diğer görevleri uygulama yöntemlerinden bağımsız olması gerçeğinde yatmaktadır. Ancak, IETF Çalışma Grubu, tüm IPSec özellikli ürünlerde aynı şekilde uygulanması gereken, desteklenen bir dizi temel özellik ve algoritma tanımlamıştır. AH ve ESP mekanizmaları, bazıları zorunlu olan çeşitli kimlik doğrulama ve şifreleme şemalarıyla kullanılabilir. Örneğin, IPSec, paketlerin kimliğinin MD5 tek yönlü işlevi veya SHA-1 tek yönlü işlevi kullanılarak doğrulandığını ve şifrelemenin DES algoritması kullanılarak yapıldığını belirtir. IPSec çalıştıran ürünlerin üreticileri, başka kimlik doğrulama ve şifreleme algoritmaları ekleyebilir. Örneğin bazı ürünler 3DES, Blowfish, Cast, RC5 gibi şifreleme algoritmalarını destekler.

Gizli anahtarları kullanan herhangi bir simetrik şifreleme algoritması, IPSec'te verileri şifrelemek için kullanılabilir.

Akış koruma protokolleri (AH ve ESP) iki modda çalışabilir - taşıma modu ve tünel modu. Aktarım modunda çalışırken, IPsec yalnızca aktarım katmanı bilgileriyle ilgilenir; sadece TCP/UDP protokollerini içeren paketin veri alanı şifrelenir (IP paketinin başlığı değiştirilmez (şifrelenmez)). Taşıma modu genellikle ana bilgisayarlar arasında bağlantı kurmak için kullanılır.

Tünel açma modu, ağ katmanı başlığı dahil tüm IP paketini şifreler. Ağ üzerinden iletilebilmesi için başka bir IP paketine yerleştirilir. Esasen, bu güvenli bir IP tünelidir. Tünel modu, uzak bilgisayarları sanal bir özel ağa ("ana-ağ" bağlantı şeması) bağlamak veya aracılığıyla güvenli veri aktarımı düzenlemek için kullanılabilir. kanalları aç sanal bir özel ağın (ağdan ağa bağlantı şeması) farklı bölümlerini bağlamak için ağ geçitleri arasındaki bağlantılar (örneğin, İnternet).

IPsec modları birbirini dışlamaz. Aynı ana bilgisayarda, bazı SA'lar taşıma modunu kullanırken diğerleri tünel modunu kullanabilir.

Kimlik doğrulama aşamasında, paketin ICV sağlama toplamı (Bütünlük Kontrol Değeri) hesaplanır. Her iki düğümün de bildiği varsayılır. gizli anahtar, alıcının ICV'yi hesaplamasına ve gönderen tarafından gönderilen sonuçla karşılaştırmasına olanak tanır. ICV karşılaştırması başarılı olursa, paketi gönderenin kimliği doğrulanmış olarak kabul edilir.

modunda UlaşımAH

    IP başlığındaki geçiş sırasında değiştirilebilen bazı alanlar dışında tüm IP paketi. ICV hesaplaması için değerleri 0 olan bu alanlar, hizmetin bir parçası (Hizmet Türü, TOS), bayraklar, parça ofseti, yaşama süresi (TTL) ve ayrıca bir sağlama toplamı başlığı olabilir;

    AH'deki tüm alanlar;

    IP paketlerinin yükü.

Aktarım modunda AH, IP başlığını (değişmesine izin verilen alanlar hariç) ve orijinal IP paketindeki yükü korur (Şekil 3.39).

Tünel modunda, orijinal paket yeni bir IP paketine yerleştirilir ve yeni IP paketinin başlığına göre veri aktarımı gerçekleştirilir.

İçin tünel moduAH bir hesaplama yaparken, aşağıdaki bileşenler ICV sağlama toplamına dahil edilir:

    tüm alanlar harici başlık IP başlığındaki, aktarım sırasında değiştirilebilen bazı alanlar hariç. ICV hesaplaması için değerleri 0 olan bu alanlar, hizmetin bir parçası (Hizmet Türü, TOS), bayraklar, parça ofseti, yaşama süresi (TTL) ve ayrıca bir sağlama toplamı başlığı olabilir;

    tüm alanlar AH;

    orijinal IP paketi.

Aşağıdaki çizimde görebileceğiniz gibi, AH tünel modu, AH aktarım modunun kullanmadığı ek bir dış başlık ile tüm kaynak IP paketini korur:

Pirinç. 6.10. AN protokolünün tünel ve taşıma modları

modunda UlaşımESP paketin tamamını doğrulamaz, yalnızca IP yükünü korur. ESP taşıma modundaki ESP başlığı, IP başlığından hemen sonra IP paketine eklenir ve buna göre veriden sonra ESP bitişi (ESP Trailer) eklenir.

ESP aktarım modu, paketin aşağıdaki kısımlarını şifreler:

    IP yükü;

Cipher Block Chaining (CBC) şifreleme modunu kullanan bir şifreleme algoritması, ESP başlığı ile yük arasında şifrelenmemiş bir alana sahiptir. Bu alan, alıcı üzerinde gerçekleştirilen CBC hesaplaması için IV (Başlatma Vektörü) olarak adlandırılır. Bu alan şifre çözme işlemini başlatmak için kullanıldığından şifrelenemez. Saldırganın IV'ü görme yeteneği olmasına rağmen, şifreleme anahtarı olmadan paketin şifrelenmiş kısmının şifresini çözmesinin hiçbir yolu yoktur. Saldırganların başlatma vektörünü değiştirmesini önlemek için ICV sağlama toplamı tarafından korunur. Bu durumda, ICV aşağıdaki hesaplamaları yapar:

    ESP başlığındaki tüm alanlar;

    düz metin IV dahil olmak üzere yük;

    kimlik doğrulama verileri alanı dışında ESP Trailer'daki tüm alanlar.

ESP tünel modu, orijinal IP paketinin tamamını yeni bir IP başlığında, bir ESP başlığında ve bir ESP Trailer'da kapsüller. ESP'nin IP başlığında bulunduğunu belirtmek için, IP protokolü tanımlayıcısı 50'ye ayarlanır ve orijinal IP başlığı ve yükü değişmeden bırakılır. AH tünel modunda olduğu gibi, dış IP başlığı IPSec tünel yapılandırmasını temel alır. ESP tünel modunun kullanılması durumunda, IP paketinin kimlik doğrulama alanı, imzanın nerede yapıldığını, bütünlüğünü ve orijinalliğini onaylayarak, şifreli kısım ise bilgilerin korunduğunu ve gizli olduğunu gösterir. Orijinal başlık, ESP başlığından sonra yerleştirilir. Şifrelenmiş kısım şifrelenmemiş yeni bir tünel başlığına yerleştirildikten sonra IP paketi iletilir. Genel bir ağ üzerinden gönderildiğinde, böyle bir paket alıcı ağın ağ geçidi IP adresine yönlendirilir ve ağ geçidi paketin şifresini çözer ve orijinal IP başlığını kullanarak ESP başlığını atar ve ardından paketi dahili ağda bulunan bir bilgisayara yönlendirir. ESP tünelleme modu, paketin aşağıdaki kısımlarını şifreler:

    orijinal IP paketi;

  • ESP tünel modu için ICV şu şekilde hesaplanır:

    ESP başlığındaki tüm alanlar;

    düz metin IV dahil orijinal IP paketi;

    kimlik doğrulama verileri alanı dışındaki tüm ESP başlık alanları.

Pirinç. 6.11. ESP protokolünün tünel ve taşıma modu

Pirinç. 6.12. ESP ve AH protokollerinin karşılaştırılması

Uygulama Modlarının ÖzetiIPSec:

    Protokol - ESP (AH).

    Mod - tünel (taşıma).

    Anahtar değişim yöntemi - IKE (manuel).

    IKE modu - ana (agresif).

    DH tuşu – grup 5 (grup 2, grup 1) – dinamik olarak oluşturulmuş oturum anahtarlarını seçmek için grup numarası, grup uzunluğu.

    Kimlik Doğrulama - SHA1 (SHA, MD5).

    Şifreleme - DES (3DES, Blowfish, AES).

Bir politika oluştururken, genellikle sıralı bir algoritma listesi ve Diffie-Hellman grupları oluşturmak mümkündür. Diffie-Hellman (DH), IKE, IPSec ve PFS (Mükemmel İletim Gizliliği) için paylaşılan sırlar oluşturmak için kullanılan bir şifreleme protokolüdür. Bu durumda, her iki düğümde de eşleşen ilk konum kullanılacaktır. Güvenlik politikasındaki her şeyin bu tesadüfü gerçekleştirmenize izin vermesi çok önemlidir. Politikanın bir kısmı dışında her şey eşleşirse, ana bilgisayarlar yine bir VPN bağlantısı kuramaz. Arasında bir VPN tüneli kurarken çeşitli sistemler Mümkün olan en güvenli politikayı seçebilmeniz için her iki taraf tarafından hangi algoritmaların desteklendiğini bulmanız gerekir.

Güvenlik ilkesinin içerdiği ana ayarlar:

    Veri şifreleme/şifre çözme için simetrik algoritmalar.

    Veri bütünlüğünü kontrol etmek için kriptografik sağlama toplamları.

    Düğüm tanımlama yöntemi. En yaygın yöntemler, önceden paylaşılan gizli diziler veya CA sertifikalarıdır.

    Tünel modunun mu yoksa taşıma modunun mu kullanılacağı.

    Hangi Diffie-Hellman grubu kullanılacak (DH grubu 1 (768 bit); DH grubu 2 (1024 bit); DH grubu 5 (1536 bit)).

    AH, ESP veya her ikisinin kullanılıp kullanılmayacağını.

    PFS kullanılıp kullanılmayacağı.

IPSec'in bir sınırlaması, yalnızca IP protokol katmanında veri aktarımını desteklemesidir.

IPSec'i kullanmak için, güvenli kanalı oluşturan düğümlerin rolünde farklılık gösteren iki ana şema vardır.

İlk şemada, ağın uç ana bilgisayarları arasında güvenli bir kanal oluşturulur. Bu şemada, IPSec protokolü çalışan ana bilgisayarı korur:

Pirinç. 6.13.İki uç nokta arasında güvenli bir kanal oluşturun

İkinci şemada, iki Güvenlik Ağ Geçidi arasında güvenli bir kanal kurulur. Bu ağ geçitleri, ağ geçitlerinin arkasındaki ağlara bağlı uç ana bilgisayarlardan veri alır. Bu durumda uç ana bilgisayarlar IPSec protokolünü desteklemez, genel ağa yönlendirilen trafik, kendi adına koruma gerçekleştiren güvenlik ağ geçidinden geçer.

Pirinç. 6.14.İki ağ geçidi arasında güvenli bir kanal oluşturma

IPSec'i destekleyen ana bilgisayarlar için hem taşıma modu hem de tünel modu kullanılabilir. Ağ geçitleri için yalnızca tünel moduna izin verilir.

Kurulum ve destekVPN

Yukarıda belirtildiği gibi, bir VPN tüneli kurmak ve sürdürmek iki adımlı bir işlemdir. İlk aşamada (faz), iki düğüm bir tanımlama yöntemi, bir şifreleme algoritması, bir karma algoritma ve bir Diffie-Hellman grubu üzerinde anlaşırlar. Ayrıca birbirlerini tanımlarlar. Bütün bunlar, üç şifrelenmemiş mesajın (agresif mod olarak adlandırılan, agresif mod) veya şifreli kimlik bilgisi alışverişi ile altı mesaj (standart mod, Ana mod).

Ana Modda, gönderici ve alıcı cihazların tüm yapılandırma parametreleri üzerinde anlaşmak mümkündür, ancak Agresif Modda bu mümkün değildir ve bazı parametreler (Diffie-Hellman grubu, şifreleme ve kimlik doğrulama algoritmaları, PFS) önceden ayarlanmalıdır. -her cihazda aynı şekilde yapılandırılır. Ancak bu modda, hem değiş tokuş sayısı hem de gönderilen paket sayısı daha azdır, bu da bir IPSec oturumu kurmak için daha az zaman sağlar.

Pirinç. 6.15. Standart (a) ve agresif (b) modlarında mesajlaşma

İşlemin başarıyla tamamlandığını varsayarsak, ilk aşama SA oluşturulur - Evre 1 SA(olarak da adlandırılır IKESA) ve süreç ikinci aşamaya geçer.

İkinci adımda, anahtar veriler oluşturulur, düğümler kullanılacak politika üzerinde anlaşmaya varır. Hızlı mod olarak da adlandırılan bu mod, Faz 1'den farklıdır, çünkü Faz 1'den sonra, tüm Faz 2 paketleri şifrelendiğinde kurulabilir. İkinci aşamanın doğru tamamlanması, görünüme yol açar. Evre 2 SA veya IPSecSA ve bunun üzerine tünelin kurulumu tamamlanmış sayılır.

İlk olarak, başka bir ağdaki bir hedef adresle düğüme bir paket gelir ve düğüm, diğer ağdan sorumlu düğümle ilk aşamayı başlatır. Diyelim ki düğümler arasındaki tünel başarıyla kuruldu ve paketleri bekliyor. Ancak, düğümlerin belirli bir süre sonra birbirlerini yeniden tanımlamaları ve politikaları karşılaştırmaları gerekir. Bu dönem, Birinci Aşama ömrü veya IKE SA ömrü olarak adlandırılır.

Düğümler ayrıca, İkinci Aşama veya IPSec SA ömrü olarak adlandırılan bir süreden sonra verileri şifrelemek için anahtarı değiştirmelidir.

İkinci Aşama ömrü, ilk aşamadan daha kısadır, çünkü anahtarın daha sık değiştirilmesi gerekiyor. Her iki düğüm için de aynı yaşam süresi parametrelerini ayarlamanız gerekir. Bunu yapmazsanız, başlangıçta tünelin başarıyla kurulması mümkündür, ancak ilk tutarsız yaşam süresinden sonra bağlantı kesilir. İlk aşamanın ömrü ikinci aşamanın ömründen daha kısa olduğunda da sorunlar ortaya çıkabilir. Önceden yapılandırılmış tünel çalışmayı durdurursa, kontrol edilecek ilk şey, her iki düğümün de kullanım ömrüdür.

Ayrıca, düğümlerden birindeki politikayı değiştirirseniz, değişikliklerin yalnızca ilk aşamanın bir sonraki başlangıcında geçerli olacağına dikkat edilmelidir. Değişikliklerin hemen etkili olması için, bu tünelin SA'sını SAD veritabanından kaldırmalısınız. Bu, yeni güvenlik ilkesi ayarlarıyla düğümler arasındaki anlaşmanın gözden geçirilmesini zorlayacaktır.

Bazen, farklı üreticilerin ekipmanları arasında bir IPSec tüneli kurarken, ilk aşamanın oluşturulması sırasında parametrelerin koordinasyonuyla ilgili zorluklar olabilir. Yerel Kimlik gibi bir parametreye dikkat etmelisiniz - bu, tünel uç noktası (gönderen ve alıcı) için benzersiz bir tanımlayıcıdır. Bu, özellikle birden çok tünel oluştururken ve NAT Geçiş protokolünü kullanırken önemlidir.

Ölüakrantespit etme

VPN işlemi sırasında, tünelin uç noktaları arasında trafik yoksa veya uzak düğümün ilk verileri değişirse (örneğin, dinamik olarak atanan IP adresinin değiştirilmesi), tünelin artık böyle olmadığı bir durum ortaya çıkabilir. , adeta bir hayalet tüneli haline geliyor. Oluşturulan IPSec tünelinde veri alışverişi için sürekli hazır olmayı sürdürmek için, IKE mekanizması (RFC 3706'da açıklanmıştır) tünelin uzak düğümünden gelen trafiğin varlığını kontrol etmenize ve belirli bir süre boyunca yoksa, merhaba mesajı gönderilir (güvenlik duvarlarında D-Link "DPD-R-U-THERE" mesajı gönderir). Belirli bir süre içerisinde bu mesaja yanıt gelmezse, "DPD Expire Time" ayarları ile belirlenen D-Link güvenlik duvarlarında tünel sökülür. Bundan sonra D-Link güvenlik duvarları, "DPD Zamanı Tut" ayarlarını kullanarak ( pilav. 6.18) otomatik olarak tüneli yeniden kurmaya çalışır.

ProtokolNATgeçiş

IPsec trafiği, diğer IP protokolleriyle aynı kurallara göre yönlendirilebilir, ancak yönlendirici her zaman aktarım katmanı protokollerine özgü bilgileri çıkaramadığından, IPsec'in NAT ağ geçitlerinden geçmesi imkansızdır. Daha önce de belirtildiği gibi, bu sorunu çözmek için IETF, ESP'yi UDP'de kapsüllemek için NAT-T (NAT Geçişi) adı verilen bir yol tanımladı.

NAT Geçiş protokolü, IPSec trafiğini kapsüller ve aynı anda NAT'ın doğru şekilde ilettiği UDP paketleri oluşturur. Bunu yapmak için NAT-T, IPSec paketinin önüne ek bir UDP başlığı yerleştirir, böylece ağ genelinde normal bir UDP paketi gibi muamele görür ve alıcı ana bilgisayar herhangi bir bütünlük denetimi yapmaz. Paket hedefine ulaştıktan sonra UDP başlığı kaldırılır ve veri paketi kapsüllenmiş bir IPSec paketi olarak yoluna devam eder. Böylece, NAT-T mekanizmasını kullanarak, güvenlik duvarları aracılığıyla güvenli ağlardaki IPSec istemcileri ile genel IPSec ana bilgisayarları arasında iletişim kurmak mümkündür.

Alıcı cihazda D-Link güvenlik duvarlarını yapılandırırken dikkat edilmesi gereken iki nokta vardır:

    Uzak Ağ ve Uzak Uç Nokta alanlarında, uzak gönderen cihazın ağ ve IP adresini belirtin. Başlatıcının (gönderenin) IP adresinin NAT teknolojisi kullanılarak çevrilmesine izin verilmesi gerekir (Şekil 3.48).

    aynı uzaktan kumandaya bağlı birden çok tünel ile paylaşılan anahtarlar kullanırken güvenlik duvarı aynı adrese NAT'lanmışsa, Yerel Kimliğin her tünel için benzersiz olduğundan emin olmak önemlidir.

Yerel İDşunlardan biri olabilir:

    Oto– giden trafik arabiriminin IP adresi yerel tanımlayıcı olarak kullanılır.

    IP– Uzak güvenlik duvarının WAN bağlantı noktasının IP adresi

    DNS– DNS adresi

    Özel ağlar, kuruluşlar tarafından uzak sitelere ve diğer kuruluşlara bağlanmak için kullanılır. Özel ağlar, çeşitli telefon şirketlerinden ve İnternet servis sağlayıcılarından kiralanan iletişim hatlarından oluşur. Bu bağlantıların özelliği, kiralanan bağlantılar iki site arasında iki yönlü iletişim sağladığından, diğer trafikten ayrılırken yalnızca iki siteyi birbirine bağlamalarıdır. Özel ağların birçok avantajı vardır.

    • Bilgi gizli tutulur.
    • Uzak siteler anında bilgi alışverişi yapabilir.
    • Uzak kullanıcılar, eriştikleri sistemden izole edilmiş hissetmezler.

    Ne yazık ki, bu tür bir ağın büyük bir dezavantajı var - yüksek maliyet. Özel ağları kullanmak çok pahalıdır. Daha yavaş bağlantılar kullanarak paradan tasarruf edebilirsiniz, ancak daha sonra uzaktaki kullanıcılar hız eksikliğini fark etmeye başlayacak ve yukarıda bahsedilen faydaların bazıları daha az belirgin hale gelecektir.

    İnternet kullanıcılarının sayısının artmasıyla birlikte birçok kuruluş sanal özel ağların (VPN'ler) kullanımına geçmiştir. Sanal Özel Ağlarözel ağların birçok avantajını daha düşük bir maliyetle sağlar. Bununla birlikte, bir VPN'nin kullanıma sunulmasıyla birlikte, kuruluş için bir takım sorular ve tehlikeler vardır. İyi oluşturulmuş bir sanal özel ağ, bir kuruluşa büyük faydalar sağlayabilir. VPN yanlış uygulanırsa, VPN üzerinden iletilen tüm bilgilere İnternet'ten erişilebilir.

    Sanal özel ağların tanımı

    Bu nedenle, kuruluşa ait gizli verileri, kiralık iletişim kanalları kullanmadan internet üzerinden aktarmayı amaçlıyoruz ve bunu sağlamak için tüm önlemleri almaya devam ediyoruz. trafik gizliliği. Trafiğimizi küresel ağın diğer kullanıcılarının trafiğinden nasıl ayırabileceğiz? Bu sorunun cevabı şifrelemedir.

    İnternette, her türden trafiği bulabilirsiniz. Bu trafiğin çoğu açık bir şekilde iletilir ve bu trafiği gözlemleyen herhangi bir kullanıcı onu tanıyabilir. Bu, çoğu e-posta ve web trafiğinin yanı sıra telnet ve FTP oturumları için de geçerlidir. Güvenli Kabuk (SSH) ve Köprü Metni Aktarım Protokolü Güvenli (HTTPS) trafiği şifreli trafiktir ve paket koklayan kullanıcı tarafından görüntülenemez. Ancak SSH ve HTTPS gibi trafik bir VPN oluşturmaz.

    Sanal Özel Ağlar birkaç özelliği vardır.

    • Trafik, gizli dinlemelere karşı koruma sağlamak için şifrelenir.
    • Uzak sitenin kimliği doğrulandı.
    • VPN'ler birçok protokol için destek sağlar.
    • Bir bağlantı, yalnızca iki belirli abone arasında iletişim sağlar.

    SSH ve HTTPS birden fazla protokolü destekleyemediğinden, aynısı gerçek VPN'ler için de geçerlidir. VPN paketleri, normal İnternet trafik akışıyla karıştırılır ve bu trafik yalnızca bağlantı uç noktaları tarafından okunabildiğinden ayrı olarak bulunur.

    Not

    Tünelleri kullanarak bir SSH oturumundan geçen trafiği uygulamak mümkündür. Ancak bu dersin amaçları doğrultusunda SSH'yi bir VPN olarak kabul etmeyeceğiz.

    VPN özelliklerinin her birine daha yakından bakalım. Yukarıda belirtildiği gibi, VPN trafiği gizlice dinlemeye karşı korumak için şifrelenir. Şifreleme, garanti edecek kadar güçlü olmalıdır gizlilik ilgili olduğu sürece iletilen bilgiler. Parolaların 30 günlük bir geçerlilik süresi vardır (her 30 günde bir parola değiştirme politikası olduğu varsayılırsa); ancak, sınıflandırılmış bilgiler yıllar içinde değerini kaybetmeyebilir. Bu nedenle, şifreleme algoritması ve VPN kullanımı, birkaç yıl boyunca trafiğin yasadışı şifresinin çözülmesini önlemelidir.

    İkinci özellik, uzak sitenin kimliğinin doğrulanmasıdır. Bu özellik, bazı kullanıcıların kimliğinin merkezi bir sunucuda doğrulanmasını veya VPN'nin bağlandığı her iki düğümün karşılıklı olarak doğrulanmasını gerektirebilir. Kullanılan kimlik doğrulama mekanizması politika tarafından kontrol edilir. Politika, iki parametreyle veya dinamik parolaların kullanımıyla kullanıcı kimlik doğrulaması sağlayabilir. saat Karşılıklı kimlik doğrulama her iki sitenin de belirli bir paylaşılan sırrın bilgisini göstermesi gerekebilir (giz, her iki sitenin de önceden bildiği bazı bilgilerdir) veya

    Sanal özel ağlar (VPN'ler), kurumsal kullanıcıların yanı sıra hem ağ servis sağlayıcılarından hem de İnternet servis sağlayıcılarından yakın ilgi görüyor. Infonetics Research, VPN pazarının 2003 yılına kadar her yıl %100'den fazla büyüyeceğini ve 12 milyar dolara ulaşacağını tahmin ediyor.

    VPN'lerin popülaritesinden bahsetmeden önce, kural olarak, yalnızca özel (kurumsal) veri iletim ağlarının, halka açık anahtarlamalı telefon ağlarının kiralık (özel) iletişim kanalları kullanılarak oluşturulduğunu hatırlatmama izin verin. Uzun yıllar boyunca, bu özel ağlar, özel kurumsal gereksinimler göz önünde bulundurularak tasarlandı ve bunun sonucunda, özel uygulamaları destekleyen özel protokoller ortaya çıktı (ancak, Frame Relay ve ATM protokolleri son zamanlarda popülerlik kazandı). Özel kanallar, gizli bilgilerin güvenilir bir şekilde korunmasını sağlar, ancak madalyonun diğer yüzü, yüksek işletim maliyeti ve ağın genişletilmesindeki zorluklar, bir mobil kullanıcıyı istenmeyen bir noktada ona bağlama olasılığından bahsetmez. için aynı zamanda modern iş işgücünün önemli ölçüde dağılması ve hareketliliği ile karakterize edilir. Her geçen gün daha fazla kullanıcının kurumsal bilgilere çevirmeli kanallardan erişmesi gerekiyor ve evden çalışan çalışan sayısı da artıyor.

    Ayrıca, özel ağlar, ürün tanıtımı, müşteri desteği veya tedarikçilerle devam eden iletişim gibi İnternet ve IP tabanlı uygulamaların sağladığı aynı iş fırsatlarını sağlayamaz. Bu çevrimiçi etkileşim, tipik olarak farklı protokoller ve uygulamalar kullanan özel ağların birbirine bağlanmasını gerektirir. farklı sistemler ağ yönetimi ve farklı iletişim hizmeti sağlayıcıları.

    Bu nedenle, özel ağları birleştirmek gerektiğinde ortaya çıkan yüksek maliyet, statik doğa ve zorluklar ortaya çıkmaktadır. farklı teknolojiler, dinamik olarak gelişen iş dünyası, ademi merkeziyetçilik arzusu ve son zamanlardaki birleşme eğilimi ile çelişiyor.

    Aynı zamanda, paralel olarak, bu eksikliklerden yoksun kamuya açık veri iletim ağları ve kelimenin tam anlamıyla tüm dünyayı “ağ” ile saran İnternet var. Doğru, aynı zamanda özel ağların en önemli avantajından da mahrumlar - kurumsal bilgilerin güvenilir şekilde korunması. Sanal Özel Ağ teknolojisi, tam anlamıyla her zaman her yerde İnternet ve genel ağların esnekliğini, ölçeklenebilirliğini, düşük maliyetini ve kullanılabilirliğini özel ağların güvenliği ile birleştirir. Özünde VPN'ler, trafiği iletmek için küresel ağları kullanan özel ağlardır. Kamu erişim(İnternet, Çerçeve Aktarımı, ATM). Sanallık, kurumsal bir kullanıcı için özel ağlar olarak göründüğü gerçeğinde kendini gösterir.

    UYUMLULUK

    VPN'ler, çok protokollü bir ortamda çalışmaya oldukça iyi adapte olduklarından ve hem IP hem de IP olmayan uygulamalar için uygun olduklarından, doğrudan Frame Relay ve ATM hizmetlerini kullanıyorsa uyumluluk sorunları ortaya çıkmaz. Bu durumda gerekli olan tek şey, gerekli coğrafi alanı kapsayan uygun bir ağ altyapısının mevcudiyetidir. En yaygın olarak kullanılan erişim cihazları, Frame Relay Erişim Cihazları veya Frame Relay ve ATM arayüzlerine sahip yönlendiricilerdir. Çok sayıda kalıcı veya anahtarlanmış sanal devre, herhangi bir protokol ve topoloji karışımıyla (neredeyse) çalışabilir. VPN İnternet'e dayanıyorsa, mesele daha karmaşık hale gelir. Bu durumda uygulamaların IP protokolü ile uyumlu olması gerekmektedir. Bu gereksinimin karşılanması koşuluyla, daha önce gerekli güvenlik düzeyini sağlamış olan bir VPN oluşturmak için İnternet'i "olduğu gibi" kullanabilirsiniz. Ancak çoğu özel ağ çok protokollü olduğundan veya resmi olmayan dahili IP adresleri kullandığından, uygun uyarlama olmadan doğrudan İnternet'e bağlanamazlar. Birçok uyumluluk çözümü var. En popüler olanları şunlardır:
    - mevcut protokollerin (IPX, NetBEUI, AppleTalk veya diğerleri) resmi adresi olan bir IP protokolüne dönüştürülmesi;
    - dahili IP adreslerinin resmi IP adreslerine dönüştürülmesi;
    — sunuculara özel IP ağ geçitlerinin kurulması;
    — sanal IP yönlendirme kullanımı;
    — evrensel tünel açma tekniğinin kullanılması.
    İlk yol açık, o yüzden kısaca diğerlerine bakalım.
    Özel ağ IP protokolüne dayandığında, dahili IP adreslerinin resmi adreslere dönüştürülmesi gereklidir. Tüm kurumsal ağ için adres çevirisi gerekli değildir, çünkü resmi IP adresleri kurumsal ağdaki anahtarlarda ve yönlendiricilerde dahili olanlarla bir arada bulunabilir. Başka bir deyişle, resmi IP adresine sahip sunucu, yerel altyapı aracılığıyla özel ağ istemcisi için hala kullanılabilir durumdadır. En yaygın kullanılan teknik, küçük bir resmi adres bloğunun birçok kullanıcı tarafından bölünmesidir. Bir modem havuzunu bölmeye benzer, çünkü tüm kullanıcıların aynı anda İnternet'e erişmesi gerekmediği varsayımına dayanır. Burada, biraz farklı yaklaşımlara sahip olan Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) ve Ağ Adresi Çevirisi (NAT) olmak üzere iki endüstri standardı vardır. DHCP, ağ yöneticisi tarafından belirlenen bir süre boyunca bir ana bilgisayara bir adres kiralarken, NAT çevirir dahili IP adresi ile iletişim oturumu süresince dinamik olarak yetkiliye
    İnternet.

    Özel bir ağı İnternet ile uyumlu hale getirmenin başka bir yolu da bir IP ağ geçidi kurmaktır. Ağ geçidi, IP olmayan protokolleri IP protokollerine çevirir ve bunun tersi de geçerlidir. Çoğu ağ işletim sistemleri yerel protokolleri kullanan yazılım IP ağ geçidi için.

    Sanal IP yönlendirmenin özü, özel yönlendirme tablolarını ve adres alanını ISP'nin altyapısına (yönlendiriciler ve anahtarlar) genişletmektir. Sanal IP yönlendirici, bir hizmet sağlayıcı tarafından sahip olunan ve işletilen bir fiziksel IP yönlendiricinin mantıksal bir parçasıdır. Her sanal yönlendirici belirli bir kullanıcı grubuna hizmet eder.
    Ancak, belki de en en iyi yol birlikte çalışabilirlik tünelleme teknikleri kullanılarak elde edilebilir. Bu teknikler, çok protokollü bir paket akışını ortak bir omurga üzerinden iletmek için uzun süredir kullanılmaktadır. Bu kanıtlanmış teknoloji şu anda İnternet tabanlı VPN'ler için optimize edilmiştir.
    Tünelin ana bileşenleri şunlardır:
    — tünel başlatıcı;
    - yönlendirilmiş ağ;
    - tünel anahtarı (isteğe bağlı);
    — bir veya daha fazla tünel sonlandırıcı.
    Tünel açma, uçtan uca bağlantının her iki ucunda yapılmalıdır. Tünel, bir tünel başlatıcı ile başlamalı ve bir tünel sonlandırıcı ile bitmelidir. Tünel operasyonlarının başlatılması ve sonlandırılması çeşitli yöntemlerle gerçekleştirilebilir. ağ cihazları ve yazılım. Örneğin, bir modem ve VPN yazılımının yüklü olduğu uzak bir kullanıcının bilgisayarı, bir şirket şubesinde bir ön uç yönlendirici veya bir hizmet sağlayıcıdaki bir ağ erişim yoğunlaştırıcısı tarafından bir tünel başlatılabilir.

    İnternet üzerinden iletim için, IP ağ protokolleri dışındaki paketler, kaynak tarafında IP paketlerine kapsüllenir. VPN tünelleri oluşturmak için en yaygın olarak kullanılan yöntem, IP olmayan bir paketi bir PPP (Noktadan Noktaya Protokol) paketinde kapsüllemek ve ardından onu bir IP paketinde kapsüllemektir. PPP protokolünün noktadan noktaya bağlantı için, örneğin istemci-sunucu iletişimi için kullanıldığını hatırlatmama izin verin. IP kapsülleme işlemi, orijinal pakete standart bir IP başlığı eklemeyi içerir ve bu daha sonra faydalı bilgi olarak değerlendirilir. Tünelin diğer ucundaki ilgili işlem, orijinal paketi değiştirmeden bırakarak IP başlığını kaldırır. Tünel açma teknolojisi oldukça basit olduğu için maliyet açısından da en hesaplı olanıdır.

    EMNİYET

    Bir şirket İnternet tabanlı VPN'leri kullanmayı düşündüğünde, gerekli güvenlik düzeyini sağlamak genellikle birincil düşüncedir. Birçok BT yöneticisi, özel ağların doğasında bulunan gizliliğine alışkındır ve İnternet'i özel bir ağ olarak kullanılamayacak kadar "genel" olarak görür. İngilizce terminolojiyi kullanırsanız, uygulanması birlikte bilgilerin tam olarak korunmasını sağlayan üç "P" vardır. BT:
    Koruma - güvenlik duvarları (güvenlik duvarı) kullanarak kaynakların korunması;
    Kanıt - paketin kimliğinin (bütünlüğünün) doğrulanması ve gönderenin doğrulanması (erişim hakkının teyidi);
    Gizlilik - şifreleme kullanarak gizli bilgilerin korunması.
    Üç P'nin tümü, VPN'ler dahil tüm kurumsal ağlar için eşit derecede önemlidir. Kesinlikle özel ağlarda, kaynakları ve bilgilerin gizliliğini korumak için oldukça kullanmak yeterlidir. basit şifreler. Ancak özel bir ağ genel bir ağa bağlandığında, üç P'den hiçbiri gerekli korumayı sağlayamaz. Bu nedenle, herhangi bir VPN güvenlik duvarları, genel ağ ile etkileşiminin tüm noktalarına kurulmalı ve paketler şifrelenmeli ve kimliği doğrulanmalıdır.

    Güvenlik duvarları, herhangi bir VPN'de önemli bir bileşendir. Yalnızca güvenilir kullanıcılar için yetkili trafiğe izin verir ve diğer her şeyi engeller. Başka bir deyişle, bilinmeyen veya güvenilmeyen kullanıcılar tarafından yapılan tüm erişim girişimleri aşılır. Bu koruma biçimi her site ve kullanıcı için sağlanmalıdır, çünkü hiçbir yerde olmaması her yerde olmaması anlamına gelir. Sanal özel ağların güvenliğini sağlamak için özel protokoller kullanılır. Bu protokoller, ana bilgisayarların kullanılacak şifreleme ve dijital imza tekniğini "uzlaşmalarına" izin verir, böylece verilerin gizliliğini ve bütünlüğünü korur ve kullanıcının kimliğini doğrular.

    Microsoft Noktadan Noktaya Şifreleme Protokolü (MPPE), PPP paketlerini tünele gönderilmeden önce istemci makinede şifreler. Protokol kullanılarak tünel sonlandırıcı ile iletişim kurulurken şifreleme oturumu başlatılır.
    PPP.

    Güvenli IP protokolleri (IPSec), İnternet Mühendisliği Görev Gücü (IETF) tarafından geliştirilen bir dizi ön standarttır. Grup iki protokol önerdi: Kimlik Doğrulama Başlığı (AH) ve Kapsüllenen Güvenlik Yükü (ESP). AH protokolü, başlığa, kullanıcının kimliğini doğrulayan ve aktarım sırasında herhangi bir değişikliği takip ederek veri bütünlüğünü sağlayan bir dijital imza ekler. Bu protokol, IP paketinin adres kısmını değiştirmeden bırakarak yalnızca verileri korur. ESP protokolü ise paketin tamamını (Tünel Modu) veya yalnızca verileri (Taşıma Modu) şifreleyebilir. Bu protokoller hem ayrı ayrı hem de kombinasyon halinde kullanılır.

    Güvenliği yönetmek için, parolaları (kimlik doğrulama) ve erişim haklarını (yetkilendirme) içeren bir kullanıcı profilleri veritabanı olan endüstri standardı RADIUS (Uzaktan Kimlik Doğrulama Çevirmeli Kullanıcı Hizmeti) kullanılır.

    Güvenlik özellikleri verilen örneklerle sınırlı olmaktan uzaktır. Birçok yönlendirici ve güvenlik duvarı üreticisi kendi çözümlerini sunar. Bunlar arasında Ascend, CheckPoint ve Cisco bulunmaktadır.

    KULLANILABİLİRLİK

    Kullanılabilirlik eşit derecede önemli üç bileşeni içerir: hizmetin sağlanma zamanı, verim ve gecikme süresi. Hizmetin sunulma süresi, hizmet sağlayıcı ile yapılan sözleşmenin konusu olup, diğer iki bileşen hizmet kalitesinin unsurları ile ilgilidir (Hizmet Kalitesi - QoS). Modern teknolojiler transport, neredeyse tüm mevcut uygulamaların gereksinimlerini karşılayan bir VPN oluşturmanıza olanak tanır.

    KONTROL EDİLEBİLİRLİK

    Ağ yöneticileri her zaman uçtan uca, uçtan uca yönetebilmek ister Şirket ağı telekomünikasyon şirketi ile ilgili kısım da dahil olmak üzere. VPN'lerin bu konuda normal özel ağlardan daha fazla seçenek sunduğu ortaya çıktı. Tipik özel ağlar "sınırdan sınıra" yönetilir, yani. servis sağlayıcı, ağı şirket ağının ön yönlendiricilerine kadar yönetirken, abone şirket ağının kendisini WAN erişim cihazlarına kadar yönetir. VPN teknolojisi, hem sağlayıcıya hem de aboneye, hem kurumsal kısmı hem de genel ağın ağ altyapısı olmak üzere bir bütün olarak tek bir ağ yönetim sistemi sağlayarak bu tür "etki alanları" bölünmesini önler. Kurumsal ağ yöneticisi, ağı izleme ve yeniden yapılandırma, ön erişim cihazlarını yönetme ve ağ durumunu gerçek zamanlı olarak belirleme yeteneğine sahiptir.

    VPN MİMARİSİ

    Üç sanal özel ağ mimarisi modeli vardır: bağımlı, bağımsız ve ilk iki alternatifin birleşimi olarak hibrit. Belirli bir modele ait olmak, VPN için dört ana gereksinimin uygulandığı yere göre belirlenir. Küresel bir ağ servis sağlayıcısı eksiksiz bir VPN çözümü sağlıyorsa, ör. tünelleme, güvenlik, performans ve yönetim sağlar, mimariyi ona bağımlı hale getirir. Bu durumda, tüm VPN işlemleri kullanıcı için şeffaftır ve kullanıcı yalnızca kendi yerel trafiğini (IP, IPX veya NetBEUI paketleri) görür. Abone için bağımlı mimarinin avantajı, mevcut ağ altyapısını "olduğu gibi" kullanabilmesi ve VPN ile özel ağ arasına yalnızca bir güvenlik duvarı ekleyebilmesidir.
    WAN/LAN.

    Bir kuruluş, ekipmanındaki tüm teknolojik gereksinimleri sağladığında ve hizmet sağlayıcıya yalnızca taşıma işlevlerini devrettiğinde bağımsız bir mimari uygulanır. Bu mimari daha pahalıdır, ancak kullanıcıya tüm işlemler üzerinde tam kontrol sağlar.

    Hibrit mimari, kuruluştan (sırasıyla hizmet sağlayıcıdan) bağımlı ve bağımsız siteleri içerir.

    Kurumsal kullanıcılar için VPN vaatleri nelerdir? Her şeyden önce, endüstriyel analistlere göre, bu, her tür telekomünikasyon için maliyetlerde %30'dan %80'e bir azalmadır. Ayrıca, bir şirketin veya diğer kuruluşların ağlarına neredeyse her yerde erişimdir; tedarikçiler ve müşterilerle güvenli iletişimin uygulanmasıdır; PSTN ağlarında bulunmayan geliştirilmiş ve geliştirilmiş bir hizmettir ve çok daha fazlası. Uzmanlar, VPN'leri yeni nesil ağ iletişimi olarak görüyor ve birçok analist, VPN'lerin yakında kiralık hatlara dayalı çoğu özel ağın yerini alacağına inanıyor.