Для чего нужны vpn программы. VPN – что это такое? — Описание и настройка сервера

" мы осветили 5 наиболее известных методов для сохранения анонимности и приватности в сети.
Сегодня мы хотим более подробно остановиться, на наш взгляд, на наиболее удобном и надежном для рядового пользователя сети Интернет методе, использовании VPN .

VPN-туннель – это виртуальное зашифрованное стойким алгоритмом соединение. Наглядно, его можно представить в виде непрозрачной трубы, а еще лучше этакого тоннеля, один конец которого упирается в компьютер рядового пользователя, а второй в специализированный сервер, находящийся, как правило, в другой стране.

Начнем с того, что на сервисе whoer.net - Вы быстро сможете узнать свой ip и проверить Вашу анонимность в Интернете.

VPN услуги, как правило платные, погуглив по Интернету, всегда можно найти недорогие услуги VPN (стоимость варьируется от 5-50 долларов в месяц, в зависимости от качества услуг).
До того, как начать тестирование, давайте разберемся, какие же виды VPN услуг нам будут доступны на платных VPN сервисах на сегодняшний день:

Современные виды VPN подключения:
* PPTP (англ. Point-to-point tunneling protocol)
* OpenVPN
* L2TP (англ. Layer 2 Tunneling Protocol)

PPTP (Point-to-point tunneling protocol) - это такой туннельный протокол типа "точка-точка", который позволяет компьютеру пользователя устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Этот протокол (PPTP) стал известен, потому что, это первый VPN протокол, который поддержала корпорация Microsoft. Все версии Windows, начиная с Windows 95 OSR2, уже включают в свой состав PPTP-клиент. Это самый известный и простой в настройке вариант подключения к VPN-сервису. Но, как говорится, есть здесь и отрицательный момент: многие интернет провайдеры блокируют работу PPTP подключений.

OpenVPN - это свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов вида "точка-точка" или сервер-клиенты между компьютерами. Она может устанавливать соединения между компьютерами, которые находятся за NAT-firewall без необходимости изменения его настроек. Но использование, этой технологии - потребует от Вас установки дополнительного программного обеспечения для всех операционных систем.

L2TP (Layer 2 Tunneling Protocol) - это сетевой протокол туннелирования канального уровня, сочетающий в себе протокол L2F (layer 2 Forwarding), разработанный компанией , и протокол корпорацией Microsoft. Позволяет создавать VPN с заданными приоритетами доступа, однако не содержит в себе средств шифрования и механизмов аутентификации (для создания защищённой VPN его используют совместно с IPSec). По отзывам экспертов, является наиболее защищенным вариантом VPN подключения, несмотря на трудность его настройки.

VPN-сервис, как правило, предоставляет на сегодня 2 вида протоколов: OpenVPN или PPTP . Вид подключения, как и выбор сервера (в США, Нидерландах, Великобритании т.д.), станет Вам доступен, как только Вы активируете подписку на услуги VPN.

Итак, что же Вам выбрать и в чем существенное отличие между OpenVPN и PPTP соединениями?

Оказывается, что у OpenVPN есть целый ряд преимуществ перед технологией PPTP VPN, а именно:
Шифрование 2048 бит, реализовано через SSL с использованием сертификатов PKI;
Адаптивное сжатие данных в соединении, с применением алгоритма компрессии LZO, да и скорость передачи данных через OpenVPN выше чем у PPTP;
Возможность использования одного TCP/UDP-порта (без привязки к конкретному порту);
Ethernet-Интерфейс может работать в режиме моста и пропускать широковещательные пакеты;
Его настройка также проста (при наличии определенного опыта, разумеется).

К тому же, неотъемлемой частью PPTP VPN является протокол GRE. А на данный момент, известны такие инцинденты, что некоторые интернет-провайдеры (в том числе и провайдеры сотовой связи) полностью блокируют подобный трафик.
Если же Вы зададите прямой вопрос в службу тех. поддержки провайдера, то Вам последует хитрый ответ: "Мол, ничего мы не блокируем". Поэтому, если у Вас именно такой вот провайдер, то мы рекомендуем Вам воспользоваться OpenVPN.

Еще перед использованием сервиса VPN (а также и других ) надо уяснить себе такой вопрос: "А собственно для чего Вы собираетесь пользоваться данным сервисом?"

Если Вы собрались изначально совершать криминальные действия ( , взлом , и СПАМа), то Вам собственно "не по адресу". С клиентами, которые ведут такие противоправные действия любой VPN-сервис разрывает деловые отношения.

Важно понять, что анонимизирующий сервис нужен прежде всего:

Для защиты своей приватности и конфиденциальности (Вашего трафика) от слишком ,
- для обхода нелепых ограничений на скачивание торрентов, посещения социальных сетей, использования программ типа и т.д.
Все причины для использования VPN-сервисов мы назвали в нашей прошлой статье " "

Ну а теперь приступим непосредственно к тестированию одного из сервисов платного VPN:

1) Активировав свою подписку и определившись с типом подключения VPN (OpenVPN или PPTP) скачаем программу для установки VPN соединения.

Вы можете воспользоваться к примеру бесплатной программой OpenVPN GUI .

VPNService Agent загружен

При использовании VPNServiceAgent ничего настраивать практически не нужно, при установке данной программы Вам выдаст такое сообщение (установка драйвера).

На e-mail, который Вы ввели при регистрации в сервисе, Вам придет сообщение с логином и паролем для Вашего соединения. Если подписка активна, то в в программе VPNServiceAgent Вам следует только нажать кнопку "соединиться " и подождать, когда будет установлено VPN подключение с сервером.

Если же Вы решили использовать программу OpenVPN GUI:

Чтобы скачать конфигурационный файл пройдите в "Личный кабинет", в раздел "Мои подписки". Щелкните по подписке протокола OpenVPN и нажмите на иконку "Скачать конфигурационный файл и ключи (Одним файлом)". Скачав файл, сохраните его в подпапку \config\ (например, C:\Program Files\OpenVPN\config).

Затем, запустите OpenVPN GUI от имени администратора. Для этого щелкните по значку программы правой кнопкой мыши и выберите строку "Запустить от имени администратора". Правой кнопкой мыши щелкните по значку программы в трее, выберите сервер и нажмите "Connect".
Ну вот и все о настройках и установках. VPN соединение заработало!!!

2) Проверим свой IP, через любой популярный сервис по проверке IP-адресов:
http://2ip.ru или http://ip-whois.net/ip.php
И видим, что IP наш совсем другой, не тот что был ранее выдан нам провайдером:)
108.XX.5.XXX вот примерно такой вот IP мы получили.

3) Затем сделаем "трассировку" маршрута, чтобы проверить, через какие промежуточные хосты проходит ваш трафик. Воспользуемся утилитой traceroute.

Для Windows это делается так:

Кнопка "Пуск" -> Выполнить -> cmd.exe
вводим команду "tracert google.com"

Результаты трассировки на скриншоте.

4) Ну серфинг то, понятно, уже у нас анонимный:) А вот как у нас дела обстоят с анонимизацией приложений?

Выполним пересылку электронной почты c помощью
Ну что ж, ящики на mail.ru, yahoo, а также корпоративные ящики, выданные нашим хостинг-провайдером - даже не ругнулись при смене IP!!!
А вот почта gmail - решила "перестраховаться", ну и правильно... "береженного бог бережет".
Вот что мы получили:

Так что пришлось заходить в gmail через браузер и делать подтверждение по мобильному телефону, таким образом мы разблокировали эккаунт.

Ну а вообще, почта наша отправляется из почтового клиента без указания нашего реального IP:

5) Что касается приложений, в которых в настройках безопасности стоит "блокировка доступа по IP", то мы для примера запустили Webmoney кошелек.
Нам сразу же пришло сообщение, см. рис.

Все дальнейшие транзакции пришлось подтверждать по мобильному телефону. Но работать с кошельком все-таки можно без проблем и через IP, выданный нам через VPN-сервис.

Тот же вариант будет, если Вы и на эккаунте в

Относительно с недавних пор технологии VPN стали весьма популярными среди пользователей компьютерной и мобильной техники. Большинство, правда, особо не задумывается над тем, зачем нужен VPN на телефоне, планшете, стационарном компьютере и ноутбуке, или как это все работает. Попробуем рассмотреть некоторые аспекты этих вопросов, особо не вдаваясь в технические термины и описания принципов функционирования.

Что такое VPN в общем смысле?

Сокращение VPN образовано от английского словосочетания что дословно означает «частная виртуальная сеть». К сожалению, данный термин далеко не в полной мере характеризует и саму организацию таких сетей, и принципы работы, и зачем нужен VPN вообще. Да, конечно, кое-какие выводы из определения сделать можно. В частности, совершенно четко можно понять, что под таким определением подразумевается сеть, к которой имеет доступ ограниченное число пользователей.

Однако сеть эта не простая, а защищенная, причем таким образом, что передаваемые и принимаемые данные проходят через своеобразный туннель в зашифрованном виде, а получить к ним доступ вне сети практически невозможно. Но это только общее понятие. Если копнуть глубже, можно найти немалое сходство VPN с анонимайзерами или аналогичными прокси-серверами, которые способны обеспечивать не только защиту информации, но еще и анонимность пребывания пользователя в Интернете, естественно, даже с сокрытием следов посещения тех или иных ресурсов.

Понимание технологии туннелирования

Говорить о том, зачем нужен VPN, без понимания того, как это все работает, хотя бы на самом примитивном уровне, не приходится. Поэтому кратко остановимся именно на принципах функционирования подключений такого типа. Для простоты объяснения воспользуемся следующим примером.

Передача данных от одного компьютера или мобильного устройства другому производится исключительно через специальный защищенный канал, называемый туннелем. На выходе трафик шифруется, а на входе дешифрование можно произвести только при наличии соответствующего ключа, который известен только передающей и принимающей стороне. Поскольку доступ к сети тоже ограничен, воспользоваться ею могут только зарегистрированные юзеры.

Но, говоря о том, зачем нужен VPN дома или в офисе и на разных устройствах при работе в Интернете, особо следует обратить внимание и на то, что при использовании таких технологий изменяется внешний IP-адрес девайса, с которого производится подключение к определенному ресурсу. Для чего это делается? Дело в том, что каждому устройству при подключении ко Всемирной паутине назначается уникальный внешний идентификатор (IP-адрес), пусть даже динамически изменяемый, который напрямую зависит от географического положения провайдера. Исходя из этого, нетрудно сообразить, что доступ к некоторым сервисам или сайтам в определенном регионе может быть попросту заблокирован. А VPN как раз и позволяет обойти такие ограничения.

Зачем нужен VPN?

Если же говорить о практической стороне необходимости использования VPN, можно привести несколько конкретных примеров. Предположим, вы приходите в кафе, где можно получить бесплатный доступ к Wi-Fi, и входите в какую-то социальную сеть с вводом логина и пароля. Поскольку сама публичная сеть Wi-Fi обладает очень низким уровнем защиты, или та отсутствует вовсе, получить доступ к вашим данным любому грамотному злоумышленнику путем взлома канала передачи труда не составит. Ладно, если дело касается только таких ресурсов. А что, если в данный момент вы пытаетесь выполнить какую-то банковскую операцию с использованием того же мобильного приложения? Где гарантия, что такая информация не будет украдена? Теперь-то, наверное, и становится понятно, зачем нужен VPN на iPhone или Android-устройстве. То же самое касается и всех стационарных или переносных компьютеров.

В качестве еще одного, правда, печального примера можно привести Украину, где относительно недавно на государственном уровне был принят один из самых нелепых законов о блокировании некоторых российских социальных сетей («Одноклассники», «ВКонтакте») и сервисов, включая поисковые и почтовые службы Yandex и Mail.Ru, не говоря уже о запрете некоторых информационных интернет-изданий. Поначалу среди пользовательской аудитории это вызвало настоящий шок, но потом многие быстро сообразили, что использование VPN позволяет обойти эти ограничения в два счета даже без особых знаний в области компьютерных технологий. Другое дело - Китай и Северная Корея. На территории этих стран даже VPN не помогает, поскольку там установлены такие мощные файрволы, что пробиться сквозь их защиту практически невозможно.

Еще один аспект можно связать с наличием в Интернете сервисов, которые доступны только для отдельно взятых регионов. Так, например, просто так послушать интернет-радио, предназначенное для вещания исключительно на территории США, не получится, поскольку для Восточной Европы этот сервис является закрытым. То есть после определения вашего региона на основе внешнего IP устройства, с которого производится попытка подключения, доступ вы к сервису попросту не получите. Смена адреса за счет использования VPN-клиента решает эту проблему запросто!

в браузерах?

Зачем нужен VPN, немного разобрались. Теперь давайте посмотрим на практическое использование таких технологий применительно к самым обычным интернет-браузерам. Для всех обозревателей сегодня можно найти массу плагинов в виде дополнительно устанавливаемых расширений, среди которых присутствуют и специализированные VPN-клиенты вроде friGate, Browsec и им подобные. Выгодно отличается от всех остальных обозревателей браузер Opera, в котором такой клиент является встроенным.

Для его первой активации необходимо использовать раздел безопасности основного меню, а для повторного включения или отключения - специальный переключатель, внесенный на панель слева от адресной строки. При этом можно довериться автоматическим настройкам или же выбрать предпочитаемый регион самостоятельно.

На изображении выше показан пример доступа к стартовой странице «Яндекса» в Украине с выключенным и включенным клиентом. Как видите, обход блокировки осуществляется элементарно.

Программы общего назначения

Однако только браузерами дело может и не ограничиваться, поскольку доступ к Интернету в любой момент может быть затребован и некоторыми программами, установленными на компьютере или мобильном девайсе. Официальные сайты таких приложений тоже могут быть заблокированы. В частности, речь идет об обновлениях антивирусов «Лаборатории Касперского» и пакетов Dr. Web. Зачем нужен VPN в этом случае, наверное, понятно и так. Без обновления антивирусных баз или компонентов защитных программ полноценное обеспечение защиты станет попросту невозможным. Но ведь установка апдейтов производится не через браузер, а напрямую при обращении к ресурсу самой программой. В такой ситуации помогают специальные приложения, изменяющие внешний IP компьютера для всех установленных апплетов.

Одним из самых интересных приложений можно назвать программу SafeIP, которая может настраивать адреса и автоматически, и с предоставлением выбора региона самому пользователю. В равной степени этот относится и ко всевозможным почтовым клиентам вроде Mail.Ru Agent, для которых обход блокировки осуществляется аналогичным методом.

Зачем нужен VPN-сервер?

Что же касается серверов этого типа, их предназначение состоит больше в обеспечении безопасности сети с ограничением пользовательского доступа и шифрованием информации. Это позволяет в более высокой степени защитить собственное беспроводное соединение. Опять же, после подключения к такому серверу производить обход блокировок разного уровня на отдельно взятых устройствах будет не нужно. Кроме того, это позволяет организовать сеть на основе подключения через Интернет из разных точек мира.

Создание и средствами Windows

В принципе, создать сервер в домашних условиях можно даже с использованием средств Windows. Правда, используемые принципы несколько отличаются от того, что предлагают сторонние программы.

В Windows сначала нужно войти в сетевые настройки (ncpa.cpl), создать новое входящее подключение, выбрать пользователя с максимальным набором административных прав, активировать разрешение подключения пользователей через Интернет (VPN), задействовать нужный протокол TCP/IP и указать пользователей, которым будет разрешено подключение.

Для подключения нужно будет изначально знать интернет-адрес созданного сервера и логин с паролем.

Примечание: эта методика работает только для устройств со статическими адресами, а в некоторых случаях (если соединение VPN осуществляется через роутер) на маршрутизаторе нужно выполнить открытие (проброс) порта 1723, что напрямую зависит от модели используемого маршрутизатора.

Мобильные настройки и приложения

Наконец, посмотрим, зачем нужен VPN на Android. В принципе, назначение таких технологий практически ничем не отличается от обычных компьютеров. Разница может быть только в настройке. Например, создать сервер (точку доступа) можно средствами самой системы или использовать сторонние приложения. Для комфортного доступа к сайтам можно воспользоваться мобильной версией браузера Opera. Но зачем нужен VPN Master - одна из самых популярных программ для мобильных девайсов?

В некотором смысле она представляет собой аналог упомянутого выше приложения SafeIP и позволяет обойти возможные ограничения для всех без исключения сервисов, включая новости, обновления антивирусов, прослушивание интернет-радио или музыки в специальных приложениях вроде Spotify, не рассчитанных на использование в определенном регионе.

Чтобы понять, что такое VPN, достаточно расшифровать и перевести эту аббревиатуру. Под нею понимают «виртуальную частную сеть», объединяющую отдельные компьютеры или локальные сети с целью обеспечения секретности и защищенности передаваемой информации. Эта технология предполагает установку соединения с особым сервером на базе сети общего доступа при помощи специальных программ. В результате этого в существующем соединении появляется канал, надежно защищенный современными алгоритмами шифрования. Иными словами, VPN - это соединение по схеме «точка-точка» внутри незащищенной сети или над нею, которое представляет собой защищенный туннель для обмена информацией между пользователями и сервером.

Фундаментальные свойства VPN

Понимание того, что такое VPN, будет неполным без уяснения его ключевых свойств: шифрования, аутентификации и контроля доступа. Именно эти три критерия отличают VPN от обыкновенной корпоративной сети, функционирующей на базе общедоступных соединений. Воплощение в жизнь приведенных свойств дает возможность защищать компьютеры пользователей и серверы организаций. Информация, которая проходит по материально незащищенным каналам, становится неуязвимой к воздействию внешних факторов, исключается вероятность ее утечки и незаконного использования.

Типология VPN

Поняв, что такое VPN, можно переходить к рассмотрению его подвидов, которые выделяются на основе используемых протоколов:

1. PPTP - туннельный протокол формата «точка-точка», который создает защищенный канал поверх обыкновенной сети. Соединение устанавливается с использованием двух сетевых сессий: данные передаются через PPP по протоколу GRE, соединение инициализируется и управляется через TCP (порт 1723). Его бывает тяжело наладить в мобильных и некоторых других сетях. Сегодня VPN-сеть этого типа является наименее надежной. Ее не следует использовать при работе с данными, которые не должны попасть в руки третьих лиц.
2. L2TP - туннелирование 2-го уровня. Этот усовершенствованный протокол был разработан на основе PPTP и L2F. Благодаря шифрованию IPSec, а также объединению основного и управляющего каналов в единую сессию UDP, он является намного более безопасным.
3. SSTP - безопасное туннелирование сокетов на базе SSL. С помощью этого протокола создаются надежные связи через HTTPS. Для функционирования протокола требуется открытый 443 порт, позволяющий налаживать связь из любой точки, даже выходящей за пределы прокси.

Возможности VPN

В предыдущих разделах говорилось о том, что такое VPN с технической точки зрения. Теперь следует взглянуть на эту технологию глазами пользователей и разобраться, какие конкретные преимущества она в себе несет:

1. Безопасность. Ни одному пользователю интернета не понравится, если взломают его страницу в социальной сети или, что еще хуже, украдут пароли от банковских карточек и виртуальных кошельков. VPN эффективно защищает персональные данные. Как исходящие, так и входящие потоки информации передаются через туннель в зашифрованной форме. Даже провайдер не может получить к ним доступ. Этот пункт особенно важен для тех, кто часто подключается к сети в интернет-кафе и других точках с незащищенным Wi-Fi. Если не пользоваться VPN в подобных местах, то риску подвергнется не только передаваемая информация, но и подключенное устройство.
2. Анонимность. VPN снимает вопросы скрытия и смены IP-адресов, потому что никогда не показывает реальный IP пользователя ресурсам, которые тот посещает. Весь поток информации проходит через защищенный сервер. Подключение через анонимные прокси не предполагает шифрования, активность пользователя не является секретом для провайдера, а IP может стать достоянием используемого ресурса. VPN в таком случае будет выдавать собственный IP за пользовательский.
3. Неограниченный доступ. Многие сайты блокируются на уровне государств или локальных сетей: например, в офисах серьезных фирм недоступны социальные сети. Но хуже, когда на любимый сайт нельзя попасть даже из дома. VPN, подменяя IP пользователя на собственный, автоматически меняет его локацию и открывает путь ко всем заблокированным сайтам.

Области применения VPN

Виртуальные частные сети чаще всего применяются:

1. Провайдерами и сисадминами компаний для обеспечения безопасного доступа в глобальную сеть. При этом для работы в пределах локальной сети и для выхода на общий уровень используются разные настройки безопасности.
2. Администраторами для ограничения доступа к частной сети. Этот случай является классическим. При помощи VPN объединяются подразделения предприятий, а также обеспечивается возможность удаленного подключения сотрудников.
3. Администраторами для объединения сетей различных уровней. Как правило, корпоративные сети являются многоуровневыми, и каждый следующий уровень обеспечивается повышенной защитой. VPN в данном случае обеспечивает большую надежность, чем простое объединение.

Основные нюансы при настройке VPN

Пользователи, которые уже знают, что такое VPN-соединение, часто задаются целью самостоятельно его настроить. Пошаговые инструкции по настройке защищенных сетей под различные операционные системы можно найти повсеместно, однако в них не всегда упоминается один важный момент. При стандартном VPN-соединении главный шлюз указывается для VPN-сети, вследствие чего интернет у пользователя пропадает или подключается через удаленную сеть. Это создает неудобства, а иногда приводит к лишним расходам на оплату двойного трафика. Чтобы избежать неприятностей, необходимо сделать следующее: в настройках сети найти свойства TCP/IPv4 и в окне дополнительных настроек убрать отметку, позволяющую применение главного шлюза в удаленной сети.

В последнее время в мире телекоммуникаций наблюдается повышенный интерес к виртуальным частным сетям (Virtual Private Network - VPN). Это обусловлено необходимостью снижения расходов на содержание корпоративных сетей за счет более дешевого подключения удаленных офисов и удаленных пользователей через сеть Internet. Действительно, при сравнении стоимости услуг по соединению нескольких сетей через Internet, например, с сетями Frame Relay можно заметить существенную разницу в стоимости. Однако необходимо отметить, что при объединении сетей через Internet, сразу же возникает вопрос о безопасности передачи данных, поэтому возникла необходимость создания механизмов позволяющих обеспечить конфиденциальность и целостность передаваемой информации. Сети, построенные на базе таких механизмов, и получили название VPN.

Кроме того, очень часто современному человеку, развивая свой бизнес, приходится много путешествовать. Это могут быть поездки в отдаленные уголки нашей страны или в страны зарубежья. Нередко людям нужен доступ к своей информации, хранящейся на их домашнем компьютере, или на компьютере фирмы. Эту проблему можно решить, организовав удалённый доступ к нему с помощью модема и линии. Использование телефонной линии имеет свои особенности. Недостатки этого решения в том, что звонок с другой страны стоит немалых денег. Есть и другое решение под названием VPN. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Internet, что намного дешевле и лучше. По моему мнению, технология. VPN имеет перспективу на широкое распространение по всему миру.

1. Понятие и классификация VPN сетей, их построение

1.1 Что такое VPN

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Internet. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например . С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Основными компонентами туннеля являются:

• инициатор;
• маршрутизируемая сеть;
• туннельный коммутатор;
• один или несколько туннельных терминаторов.

Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.

Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.

Наиболее распространенный метод создания туннелей VPN - инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.

Альтернативный подход - инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой - для инкапсуляции данных и служебной информации с целью передачи через туннель.

1.2 Классификация VPN сетей

Классифицировать VPN решения можно по нескольким основным параметрам:

1. По типу используемой среды:

• Защищённые VPN сети. Наиболее распространённый вариант приватных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.
• Доверительные VPN сети. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: MPLS и L2TP. Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec.

2. По способу реализации:

• VPN сети в виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.
• VPN сети в виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
• VPN сети с интегрированным решением. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

3. По назначению:

• Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.
• Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.
• Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

4. По типу протокола:

• Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

5. По уровню сетевого протокола:

• По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

1.3. Построение VPN

Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего , то добавление туннелей VPN и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN. Опыт показывает, что для построения VPN лучше всего использовать специализированное оборудование, однако если имеется ограничение в средствах, то можно обратить внимание на чисто программное решение. Рассмотрим некоторые варианты построения VPN.

• VPN на базе брандмауэров. Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что трафик, проходящий через брандмауэр шифруется. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком этого метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.
• VPN на базе маршрутизаторов. Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования. Примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3, маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами. Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA. Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (маршрутизатор доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в отделениях крупных организаций.
• VPN на базе программного обеспечения. Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере, и в большинстве случаев выполняет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.
• VPN на базе сетевой ОС. Решения на базе сетевой ОС мы рассмотрим на примере ОС Windows компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows используется база пользователей, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.
• VPN на базе аппаратных средств. Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт c IPro-VPN компании Radguard. Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. IPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра

2. Протоколы VPN сетей

Сети VPN строятся с использованием протоколов туннелирования данных через сеть связи общего пользования Интернет, причем протоколы туннелирования обеспечивают шифрование данных и осуществляют их сквозную передачу между пользователями. Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:

• Канальный уровень
• Сетевой уровень
• Транспортный уровень.

2.1 Канальный уровень

На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию.

PPTP.

В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи или Point-to-Point Tunnelling Protocol - PPTP. Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР. РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера, в отличие от специализированных серверов удаленного доступа, позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows Server.

Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.

Далее рассматривается работа РРТР. PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP используют порт назначения для создания управляющего туннелем соединения. Этот процесс происходит на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами. В дополнение к управляющему соединению PPTP, обеспечивающему работоспособность канала, создается соединение для пересылки по туннелю данных. Инкапсуляция данных перед пересылкой через туннель происходит несколько иначе, чем при обычной передаче. Инкапсуляция данных перед отправкой в туннель включает два этапа:

1. Сначала создается информационная часть PPP. Данные проходят сверху вниз, от прикладного уровня OSI до канального.
2. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Таким образом, во время второго прохода данные достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т.е. добавляет к PPTP-пакету PPP-заголовок и окончание. На этом создание кадра канального уровня заканчивается.

Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям. Однако GRE не имеет возможности устанавливать сессии и обеспечивать защиту данных от злоумышленников. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.

Система-отправитель посылает данные через туннель. Система-получатель удаляет все служебные заголовки, оставляя только данные PPP.

L2TP

В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня Layer 2 Tunneling Protocol - L2TP.

L2TP появился в результате объединения протоколов PPTP и L2F (Layer 2 Forwarding). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. Во избежание путаницы и проблем взаимодействия систем на рынке телекоммуникаций, комитет Internet Engineering Task Force (IETF) рекомендовал компании Cisco Systems объединить PPTP и L2F. По общему мнению, протокол L2TP вобрал в себя лучшие черты PPTP и L2F. Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay. К сожалению, реализация L2TP в Windows 2000 поддерживает только IP.

L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов.

Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях, служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней безопасности, чем PPTP, и может гарантировать почти 100-процентную безопасность важных для организации данных. Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей.

Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:

1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий - на собственной «территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.
2. Поддержка коммутации туннелей - завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов. Коммутация туннелей позволяет, как бы продлить PPP - соединение до необходимой конечной точки.
3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля второго уровня для непосредственной трансляции трафика отдельных пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.

· MPLS

Также на канальном уровне для организации туннелей может использоваться технология MPLS (От английского Multiprotocol Label Switching - мультипротокольная коммутация по меткам - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов). MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

Решения по организации VPN на канальном уровне имеют достаточно ограниченную область действия, как правило, в рамках домена провайдера.

2.2 Сетевой уровень

Сетевой уровень (уровень IP). Используется протокол IPSec реализующий шифрование и конфедициальность данных, а также аутентификацию абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь программное обеспечение реализующее IPSec.

IPSec

Естественно, никакая компания не хотела бы открыто передавать в Интернет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec или Internet Protocol Security - стандарт, выбранный международным сообществом, группой IETF - Internet Engineering Task Force, создает основы безопасности для Интернет-протокола (IP/ Протокол IPSec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPSec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.

Способ взаимодействия лиц, использующих технологию IPSec, принято определять термином «защищенная ассоциация» - Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами IPSec для защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.

IPSec - это согласованный набор открытых стандартов, имеющий ядро, которое может быть достаточно просто дополнено новыми функциями и протоколами. Ядро IPSec составляют три протокола:

· АН или Authentication Header - заголовок аутентификации - гарантирует целостность и аутентичность данных. Основное назначение протокола АН - он позволяет приемной стороне убедиться, что:

• пакет был отправлен стороной, с которой установлена безопасная ассоциация;
• содержимое пакета не было искажено в процессе его передачи по сети;
• пакет не является дубликатом уже полученного пакета.

Две первые функции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию. Для выполнения этих функций протокол АН использует специальный заголовок. Его структура рассматривается по следующей схеме:

1. В поле следующего заголовка (next header) указывается код протокола более высокого уровня, то есть протокола, сообщение которого размещено в поле данных IP-пакета.
2. В поле длины полезной нагрузки (payload length) содержится длина заголовка АН.
3. Индекс параметров безопасности (Security Parameters Index, SPI) используется для связи пакета с предусмотренной для него безопасной ассоциацией.
4. Поле порядкового номера (Sequence Number, SN) указывает на порядковый номер пакета и применяется для защиты от его ложного воспроизведения (когда третья сторона пытается повторно использовать перехваченные защищенные пакеты, отправленные реально аутентифицированным отправителем).
5. Поле данных аутентификации (authentication data), которое содержит так называемое значение проверки целостности (Integrity Check Value, ICV), используется для аутентификации и проверки целостности пакета. Это значение, называемое также дайджестом, вычисляется с помощью одной из двух обязательно поддерживаемых протоколом АН вычислительно необратимых функций MD5 или SAH-1, но может использоваться и любая другая функция.

· ESP или Encapsulating Security Payload - инкапсуляция зашифрованных данных - шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных;

Протокол ESP решает две группы задач.

1. К первой относятся задачи, аналогичные задачам протокола АН, - это обеспечение аутентификации и целостности данных на основе дайджеста,
2. Ко второй - передаваемых данных путем их шифрования от несанкционированного просмотра.

Заголовок делится на две части, разделяемые полем данных.

1. Первая часть, называемая собственно заголовком ESP, образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных.
2. Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.

Два поля концевика - следующего заголовка и данных аутентификации - аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности. Помимо этих полей концевик содержит два дополнительных поля - заполнителя и длины заполнителя.

Протоколы AH и ESP могут защищать данные в двух режимах:

1. в транспортном - передача ведется с оригинальными IP-заголовками;
2. в туннельном - исходный пакет помещается в новый IP-пакет и передача ведется с новыми заголовками.

Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом).

Соответственно, имеются три схемы применения протокола IPSec:

1. хост-хост;
2. шлюз-шлюз;
3. хост-шлюз.

Возможности протоколов АН и ESP частично перекрываются: протокол АН отвечает только за обеспечение целостности и аутентификации данных, протокол ESP может шифровать данные и, кроме того, выполнять функции протокола АН (в урезанном виде). ESP может поддерживать функции шифрования и аутентификации / целостности в любых комбинациях, то есть либо всю группу функций, либо только аутентификацию / целостность, либо только шифрование.

· IKE или Internet Key Exchange - обмен ключами Интернета - решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.

2.3 Транспортный уровень

На транспортном уровне используется протокол SSL/TLS или Secure Socket Layer/Transport Layer Security, реализующий шифрование и аутентификацию между транспортными уровнями приемника и передатчика. SSL/TLS может применяться для защиты трафика TCP, не может применяться для защиты трафика UDP. Для функционирования VPN на основе SSL/TLS нет необходимости в реализации специального программного обеспечения так как каждый браузер и почтовый клиент оснащены этими протоколами. В силу того, что SSL/TLS реализуется на транспортном уровне, защищенное соединение устанавливается «из-конца-в-конец».

TLS-протокол основан на Netscape SSL-протоколе версии 3.0 и состоит из двух частей - TLS Record Protocol и TLS Handshake Protocol. Различие между SSL 3.0 и TLS 1.0 незначительные.

SSL/TLS включает в себя три основных фазы:

1. Диалог между сторонами, целью которого является выбор алгоритма шифрования;
2. Обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификатов;
3. Передача данных, шифруемых при помощи симметричных алгоритмов шифрования.

2.4 Реализация VPN: IPSec или SSL/TLS?

Зачастую перед руководителями IT подразделений стоит вопрос: какой из протоколов выбрать для построения корпоративной сети VPN? Ответ не очевиден так как каждый из подходов имеет как плюсы, так и минусы. Постараемся провести и выявить когда необходимо применять IPSec, а когда SSL/TLS. Как видно из анализа характеристик этих протоколов они не являются взаимозаменяемыми и могут функционировать как отдельно, так и параллельно, определяя функциональные особенности каждой из реализованных VPN.

Выбор протокола для построения корпоративной сети VPN можно осуществлять по следующим критериям:

· Тип доступа необходимый для пользователей сети VPN.

1. Полнофункциональное постоянное подключение к корпоративной сети. Рекомендуемый выбор - протокол IPSec.
2. Временное подключение, например, мобильного пользователя или пользователя использующего публичный компьютер, с целью получения доступа к определенным услугам, например, электронной почте или базе данных. Рекомендуемый выбор - протокол SSL/TLS, который позволяет организовать VPN для каждой отдельной услуги.

· Является ли пользователь сотрудником компании.

1. Если пользователь является сотрудником компании, устройство которым он пользуется для доступа к корпоративной сети через IPSec VPN может быть сконфигурировано некоторым определенным способом.
2. Если пользователь не является сотрудником компании к корпоративной сети которой осуществляется доступ, рекомендуется использовать SSL/TLS. Это позволит ограничить гостевой доступ только определенными услугами.

· Каков уровень безопасности корпоративной сети.

1. Высокий. Рекомендуемый выбор - протокол IPSec. Действительно, уровень безопасности предлагаемый IPSec гораздо выше уровня безопасности предлагаемого протоколом SSL/TLS в силу использования конфигурируемого ПО на стороне пользователя и шлюза безопасности на стороне корпоративной сети.
2. Средний. Рекомендуемый выбор - протокол SSL/TLS позволяющий осуществлять доступ с любых терминалов.

· Уровень безопасности данных передаваемых пользователем.

1. Высокий, например, менеджмент компании. Рекомендуемый выбор - протокол IPSec.
2. Средний, например, партнер. Рекомендуемый выбор - протокол SSL/TLS.

В зависимости от услуги - от среднего до высокого. Рекомендуемый выбор - комбинация протоколов IPSec (для услуг требующих высокий уровень безопасности) и SSL/TLS (для услуг требующих средний уровень безопасности).

· Что важнее, быстрое развертывание VPN или масштабируемость решения в будущем.

1. Быстрое развертывание сети VPN с минимальными затратами. Рекомендуемый выбор - протокол SSL/TLS. В этом случае нет необходимости реализации специального ПО на стороне пользователя как в случае IPSec.
2. Масштабируемость сети VPN - добавление доступа к различным услугам. Рекомендуемый выбор - протокол IPSec позволяющий осуществление доступа ко всем услугам и ресурсам корпоративной сети.
3. Быстрое развертывание и масштабируемость. Рекомендуемый выбор - комбинация IPSec и SSL/TLS: использование SSL/TLS на первом этапе для осуществления доступа к необходимым услугам с последующим внедрением IPSec.

3. Методы реализации VPN сетей

Виртуальная частная сеть базируется на трех методах реализации:

· Туннелирование;

· Шифрование;

· Аутентификация.

3.1 Туннелирование

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.

Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Построения туннеля достаточно для того, чтобы соединить два сетевых узла так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов (маршрутизаторов) открытой публичной сети.

Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации, что уже само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить их достоверность. Последствия могут быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель в чистом виде пригоден разве что для некоторых типов сетевых компьютерных игр и не может претендовать на более серьезное применение. Обе проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи (). Суть метода состоит в том, что каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования.

3.2 Аутентификация

Обеспечение безопасности является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Такой сервер может находиться на большом расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование множества провайдеров. Как убедиться, что данные не были прочитаны или изменены? Для этого применяются различные методы аутентификации и шифрования.

Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP

• EAP или Extensible Authentication Protocol;
• MSCHAP или Microsoft Challenge Handshake Authentication Protocol (версии 1 и 2);
• CHAP или Challenge Handshake Authentication Protocol;
• SPAP или Shiva Password Authentication Protocol;
• PAP или Password Authentication Protocol.

Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т.е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов.

Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и "компьютер", а также выполняет аутентификацию и шифрование данных.

Аутентификация осуществляется либо отрытым тестом (clear text password), либо по схеме запрос / отклик (challenge/response). С прямым текстом все ясно. Клиент посылает серверу пароль. Сервер сравнивает это с эталоном и либо запрещает доступ, либо говорит «добро пожаловать». Открытая аутентификация практически не встречается.

Схема запрос / отклик намного более продвинута. В общем виде она выглядит так:

• клиент посылает серверу запрос (request) на аутентификацию;
• сервер возвращает случайный отклик (challenge);
• клиент снимает со своего пароля хеш (хешем называется результат хеш-функции, которая преобразовывает входной массив данных произвольной длины в выходную битовую строку фиксированной длины), шифрует им отклик и передает его серверу;
• то же самое проделывает и сервер, сравнивая полученный результат с ответом клиента;
• если зашифрованный отклик совпадает, аутентификация считается успешной;

На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (security association). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту.

3.3. Шифрование

Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. В настоящее время поддерживаются два метода шифрования:

• Протокол шифрования MPPE или Microsoft Point-to-Point Encryption совместим только с MSCHAP (версии 1 и 2);
• EAP-TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером.

MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа.

PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов.

Оба протокола реализованы как в Microsoft Windows, так и вне ее (например, в BSD), на алгоритмы работы VPN могут существенно отличаться.

Таким образом, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные между двумя точками через сеть общего пользования, моделируя работу частной (локальной) сети. Иными словами, рассмотренные средства позволяют построить виртуальную частную сеть.

Дополнительным приятным эффектом VPN-соединения является возможность (и даже необходимость) использования системы адресации, принятой в локальной сети.

Реализация виртуальной частной сети на практике выглядит следующим образом. В локальной вычислительной сети офиса фирмы устанавливается сервер VPN. Удаленный пользователь (или маршрутизатор, если осуществляется соединение двух офисов) с использованием клиентского программного обеспечения VPN инициирует процедуру соединения с сервером. Происходит аутентификация пользователя - первая фаза установления VPN-соединения. В случае подтверждения полномочий наступает вторая фаза - между клиентом и сервером выполняется согласование деталей обеспечения безопасности соединения. После этого организуется VPN-соединение, обеспечивающее обмен информацией между клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования / дешифрования и проверки целостности - аутентификации данных.

Основной проблемой сетей VPN является отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все еще находятся в процессе разработки и потому продукты различных производителей не могут устанавливать VPN-соединения и автоматически обмениваться ключами. Данная проблема влечет за собой замедление распространения VPN, так как трудно заставить различные компании пользоваться продукцией одного производителя, а потому затруднен процесс объединения сетей компаний-партнеров в, так называемые, extranet-сети.

Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Интернет, что намного дешевле и лучше. Недостаток технологии VPN в том, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использоваться для проникновения в корпоративную сеть. Но, несмотря на все это технология VPN имеет перспективы на дальнейшее развитие.

Чего же можно ожидать в плане развития технологий VPN в будущем? Без всякого сомнения, будет выработан и утвержден единый стандарт построения подобных сетей. Скорее всего, основой этого стандарта будет, уже зарекомендовавший себя протокол IPSec. Далее, производители сконцентрируются на повышении производительности своих продуктов и на создании удобных средств управления VPN. Скорее всего, развитие средств построения VPN будет идти в направлении VPN на базе маршрутизаторов, так как данное решение сочетает в себе достаточно высокую производительность, интеграцию VPN и маршрутизации в одном устройстве. Однако будут развиваться и недорогие решения для небольших организаций. В заключение, надо сказать, что, несмотря на то, что технология VPN еще очень молода, ее ожидает большое будущее.

Оставьте свой комментарий!

VPN и прокси-серверы имеют одно сходство: они предназначены для защиты конфиденциальной информации и скрывают ваш IP-адрес. На этом сходства заканчиваются.

Прокси или VPN	Прокси	VPN
Доступ к любому контенту
Скрывает ваше местоположение (IP-адрес)
Скрывает вашу личность от мошенников
Работает с браузерами (Chrome, Firefox)
Работает с различными устройствами (смартфоны, планшеты, консоли)
Работает с играми и приложениями
Шифрует вашу деятельность, защищает от хакеров
Защищает вас от вредоносных программ и фишинговых тактик
Постоянно меняет виртуальное местоположение (IP-адрес)
Высокоскоростной сёрфинг и просмотр потокового контента
Вывод Как видите, VPN превосходит прокси-сервер по возможностям. Оба сервиса позволяют вам скрыть IP-адерс, но дополнительные функции VPN – надёжное шифрование, комплексная системная защита и т.п. – делают даную технологию более безопасной и конфиденциальной, чем прокси-сервер.

Как выбрать лучший VPN

Теперь вы понимаете, зачем в современных цифровых джунглях нужен VPN. Как выбрать сервис, идеально подходящий именно вам? Вот несколько полезных советов, которые помогут вам сделать правильный выбор.

Цена

Цена всегда имеет значение, но намного важнее получить именно то, за что вы заплатили . С бесплатными VPN-сервисами, как правило, полно проблем – в них почти всегда имеются какие-нибудь жёсткие ограничения. Да и как можно быть уверенным, что они не попробуют заработать на продаже ваших данных? Ведь обслуживать сеть VPN-серверов – занятие не из дешёвых, так что если вы не платите за продукт, то, скорее всего, вы и есть продукт.

Скорость

На скорость работы VPN влияет множество факторов. Сеть серверов должна быть хорошо оптимизирована, чтобы вы получали на выходе , так что убедитесь, что выбранный вами сервис оптимизирует свою сеть. Кроме того, действительно хороший сервис не станет ограничивать объём трафика и пропускную способность канала передачи данных, чтобы вы могли наслаждаться высокой скоростью сколько угодно.

Конфиденциальность

Некоторые VPN-сервисы сохраняют ваши личные данные, что сводит на нет всю суть использования VPN для защиты конфиденциальности! Если конфиденциальность важна для вас, то вам подойдёт только сервис, который строго придерживается принципа «Никаких записей». Также для сохранения конфиденциальности хорошо, если VPN-сервис принимает оплату в биткойнах.

Безопасность

Чтобы убедиться в том, что сервис предоставляет хорошую защиту от различных угроз, посмотрите, какие протоколы шифрования он использует. Кроме того, в клиенте сервиса должна быть функция «Стоп-кран», чтобы блокировать любой обмен данными устройства с Сетью, если VPN-соединение было нарушено или разорвано.

Количество серверов/стран

– это абсолютно необходимое условие для обеспечения быстрого и стабильного VPN-соединения. Чем больше у VPN-сервиса серверов и чем больше список стран, в которых они расположены – тем лучше. Но это ещё не всё. Проверьте, позволяет ли сервис без ограничений переключаться между различными VPN-серверами. У вас обязательно должна быть возможность в любое время сменить точку выхода в Интернет.

Количество одновременных соединений

Одни сервисы позволяют одновременно подключаться к своей VPN-сети только одному устройству. Другие же позволяют одновременно подключить ПК, ноутбук, смартфон, Xbox и планшет. Мы в SaferVPN считаем, что больше – значит лучше. Поэтому разрешаем вам одновременно подключать до пяти устройств на каждый аккаунт.

Служба поддержки

Многим пользователям VPN по началу нужна помощь, чтобы освоиться с новой технологией, поэтому важным фактором при выборе сервиса может стать наличие у него хорошей службы технической поддержки, которая, во-первых, оперативно отвечает на вопросы пользователей и, во-вторых, даёт действительно толковые советы. Команда SaferVPN и всегда готова ответить на ваши вопросы по эл. почте или через онлайн-чат.

Бесплатная пробная версия, гарантия возврата денег

Опробовать продукт перед покупкой – действительно . Не каждый VPN-сервис готов её предоставить. Но ведь нет лучше способа узнать, подходит ли вам сервис, чем попробовать самому. Также хорошо, если имеется гарантия возврата денег, особенно если возврат производится оперативно.

Программное обеспечение

Не так-то просто найти VPN-сервис, который удобно использовать, легко устанавливать и при этом он обеспечивает достойную защиту и обладает богатым функционалом. Наша функция подключения одним нажатием кнопки невероятно удобна, а функция автоматической гарантируют вашу безопасность.

Кроссплатформенная совместимость

Для каждой платформы требуется разрабатывать отдельный VPN-клиент. Это непростая задача, но хороший VPN-сервис должен иметь в арсенале клиент для любого устройства, предложить пользователям клиентов для различных платформ, а также оперативно оказывать техническую поддержку и помогать пользователям исправлять проблемы.

Словарь VPN

Терминология в сфере Интернет-безопасности – довольно сложная и запутанная штука. Но не спешите отчаиваться! Команда SaferVPN поможет вам разобраться во всех тонкостях.

Адблокер

Англ. Advanced Encryption Standard – продвинутый стандарт шифрования. 256-битный AES на данный момент считается «золотым стандартом» шифрования, используется правительством США для защиты секретных данных. AES – лучший стандарт шифрования, доступный пользователям VPN.

Бэкдор

Математическая лазейка, секретный криптографический код, который встраивается в шифровальную последовательность для того, чтобы шифр потом можно было взломать.

Биткойн

Децентрализованная пиринговая (передаваемая от одного пользователя другому напрямую) открытая виртуальная валюта (криптовалюта). Как и традиционные деньги, биткойны можно обменивать на продукты и услуги, а также на другие валюты. SaferVPN принимает платежи в биткойнах.

Журнал соединений (метаданных)

Реестр, в котором хранятся записи о датах ваших подключений, их длительности, частоте, адресах и т.п. Необходимость ведения таких записей, как правило, объясняется тем, что они помогают решать различные технические проблемы и бороться со всевозможными нарушениями. SaferVPN принципиально не ведёт таких записей.

Скорость соединения

Количество данных, передаваемое за определённый период времени. Обычно измеряется в килобитах или мегабитах в секунду.

Куки

Англ. cookies – печенье. Это небольшие фрагменты данных, которые браузер хранит в виде текстовых файлов. С их помощью можно делать много полезного (например, запоминать данные для входа пользователя в систему или персональные настройки на сайте), но куки зачастую используют для слежки за пользователями.

DD-WRT открытая прошивка для роутеров, предоставляющая вам широкие возможности по управлению роутером. Отличная альтернатива фирменным прошивкам для тех, кто хочет самостоятельно настраивать роутер под свои нужды.

Англ. Domain Name System – система доменных имён. Это база данных, способная трансформировать адреса веб-страниц (URL) из привычного и понятного нам вида в «настоящий», цифровой формат, понятный компьютерам. DNS-перевод, как правило, осуществляет ваш Интернет-провайдер, попутно проверяя и цензурируя весь ваш трафик.

Сохранность данных

Правила или законы, в соответствии с которыми компания собирает данные о своих пользователях. В большинстве стран Интернет-провайдеры обязаны хранить некоторые данные пользователей (например, историю сёрфинга) в течение нескольких месяцев.

Шифрование

Кодирование данных с помощью математического алгоритма для предотвращения несанкционированного доступа к ним. Шифрование – единственное, что может защитить цифровые данные от посторонних лиц. Оно является краеугольным камнем безопасности в Интернете.

Гео-блокировки

Ограничение доступа к онлайн-сервисам на основании географического расположения. Данные ограничения, как правило, вводятся для того, чтобы правообладатели могли заключать выгодные сделки по выдаче лицензий с дистрибьюторами по всему миру. Разумеется, посредники делают продукт дороже для конечного потребителя.

HTTPS – протокол на базе SSL/TLS для защиты сайтов, которым пользуются банки и онлайн-продавцы.

IP-адрес

Англ. Internet Protocol Address – адрес по Интернет-протоколу. Каждое устройство в Сети получает уникальный цифровой адрес – IP-адрес. SaferVPN скрывает ваш IP-адрес от внешних наблюдателей, тем самым обеспечивая конфиденциальность и доступ к любым Интернет-сервисам.

Интернет-провайдер

Компания, которая поставляет услуги доступа к сети Интернет. Право предоставлять такие услуги строго регулируется: Интернет-провайдеры по закону обязаны отслеживать и цензурировать трафик своих клиентов.