Ha él, 2017-ben csatlakozott az internethez, és nem lakik egy elhagyatott szigeten, akkor valószínűleg többször is hallotta a „VPN” kifejezést. Ha még mindig nem tudja, mi az, miért van rá szükség, és hogyan javítja az életet (és különösen az internetes munka minőségét), akkor mi, a vpnMentor webhely csapata szívesen lebonyolítunk egy oktatási programot. . Essünk neki?

Mi az a VPN?

VPN (az angol. Virtual Private Network - virtuális magánhálózat) egy speciális technológia biztonságos hálózati kapcsolat létrehozására nyilvános (ugyanazon interneten) vagy magánhálózaton. A nagyvállalatoktól a kormányzati szervekig mindenki és minden használja ezt a technológiát biztonságos kapcsolat infrastruktúrájukhoz a távoli felhasználókhoz.

Szó szerint tucatnyi VPN-szolgáltatást találhat az interneten, amelyek lehetővé teszik a biztonságos hálózathoz való csatlakozást havi 5-10 dollárért. Ezzel biztonságosan titkosíthatja személyes adatait és mindent, amit online csinál. Ezenkívül a legtöbb operációs rendszer régóta támogatja a VPN-kapcsolatokat, és vannak (és/vagy ingyenes verziók fizetett VPN-ek).

Mire való a VPN szolgáltatás?

A nyilvános hálózatok túl veszélyesek lettek az átlagfelhasználók számára – hackerek, támadások és szimatolók mindenhol megpróbálják ellopni az Ön adatait. Miért egyen egy kaktuszt és sír (olvassa el: továbbra is használja a nyilvános hálózatokat, és remélje a legjobbakat), ha megteheti az okos dolgot és használhat VPN-szolgáltatást?

Kezdetben a VPN-technológiákat azért fejlesztették ki, hogy a vállalati alkalmazottak otthonukban is csatlakozhassanak a helyi vállalati hálózatokhoz. Manapság a VPN-kapcsolatokat főleg olyan esetekben használják, amikor az emberek el akarják rejteni internetes tevékenységüket a kívülállók kíváncsi tekintete elől, ezzel biztosítva online adatvédelmét és megkerülve a tartalomhoz való hozzáférés blokkolását (helyi és országos egyaránt). A VPN-ek használatának egyéb céljai közé tartozik a hackerek elleni védelem nyilvános WiFi-hálózatok használatakor, valamint a földrajzilag blokkolt webhelyek megkerülése (a csak bizonyos régiókban elérhető tartalom elérése érdekében).

Hogyan működik a VPN?

A tűzfal védi a számítógépen lévő adatokat, míg a VPN védi az online adatokat. Technikailag a VPN egy WAN (Wide Area Network), amely ugyanolyan szintű biztonságot és funkcionalitást kínál, mint a magánhálózat. Kétféle VPN-kapcsolat létezik: távelérés (a számítógép csatlakozik a hálózathoz) és hálózat-hálózat.

Amikor VPN nélkül van online, csatlakozik internetszolgáltatója szerveréhez, amely viszont a megfelelő webhelyhez csatlakozik. Ez azt jelenti, hogy az összes internetes forgalma a szolgáltató szerverein halad át, és ennek megfelelően a szolgáltató figyelemmel kísérheti az Ön forgalmát.

Amikor VPN-kiszolgálón keresztül csatlakozik, a forgalom egy titkosított "alagúton" halad át. Ez azt jelenti, hogy csak Ön és a VPN-kiszolgáló férhet hozzá a forgalmához. Érdemes azonban megjegyezni, hogy határozott különbség van a magánélet és az anonimitás között. A VPN használata nem tesz névtelenné, mivel a VPN tudja, hogy ki vagy, és megtekintheti online tevékenységeit. Másrészt a VPN-szolgáltatás megőrzi a magánszférát, miközben böngészik az interneten – más szóval az internetszolgáltató, a tanárok, az igazgató vagy akár a kormányzat már nem tudja követni Önt. Annak érdekében, hogy megbizonyosodjon arról, hogy a VPN szolgáltatás valóban megvédheti Önt, rendkívül fontos a választás. És ez logikus, mert ha VPN szolgáltatás naplót vezet a felhasználói műveletekről, akkor a hatóságok bármikor előírhatják ezen adatok továbbítását számukra, ebben az esetben az Ön adatai már nem csak az Öné lesznek.

Azonban még ha a választott szolgáltatás nem is vezet naplókat, akkor is (szükség esetén) valós időben figyelheti online tevékenységeit – például a technikai problémák megoldása érdekében. És bár a legtöbb „naplózás nélküli” VPN azt ígéri, hogy nem követi valós időben az Ön tevékenységét, a legtöbb országban a törvény lehetővé teszi az illetékes hatóságok számára, hogy VPN-szolgáltatást rendeljenek el egy adott felhasználó tevékenységeinek naplózásához anélkül, hogy értesítenék őket. Aggodalomra azonban nincs ok... nos, csak akkor, ha nem bújik el az Önt kereső rendfenntartó szervek elől.

A VPN-szolgáltatás kiválasztásakor ugyanilyen fontos, hogy olyan szolgáltatást válasszunk, amely lehetővé teszi felhasználóinak megosztott IP-címek használatát (vagyis amikor sok felhasználó használja egyszerre ugyanazt). Ebben az esetben bármely harmadik fél számára végtelenül nehezebb lesz megállapítani, hogy Ön hajtotta végre ezt vagy azt a műveletet a hálózaton, nem pedig valaki más.

Hogyan dolgozhatok VPN-sel mobileszközökön?

A VPN teljes mértékben támogatott iOS és Android rendszeren is. A VPN védelmet nyújthat torrentezés közben is. Jaj, mobil alkalmazások, amelyet a telefonjára telepít, nem csak az Ön IP-címéhez férhet hozzá, amelyen keresztül hozzáférnek minden online tevékenységének előzményeihez, hanem a GPS-koordinátáihoz, névjegyzékéhez, Alkalmazásbolt ID és egyebek. Ezek az alkalmazások az összegyűjtött adatokat cégeik szervereire küldik, ami nullára csökkenti a VPN-kapcsolat használatának előnyeit.

Tehát, hogy teljes mértékben kihasználhassa a mobileszközről a VPN-hez való csatlakozás előnyeit, csak nyílt forráskódú és támogatású böngészőkön keresztül kell elérnie a webhelyeket. privát módok(például Firefoxon keresztül), és nem speciális "natív" alkalmazásokon keresztül.

Ha többet szeretne megtudni a VPN használatáról mobileszközén, tekintse meg listáinkat és.

Előnyök és hátrányok

Hogy segítsek megérteni a VPN használatának előnyeit és hátrányait, készítettem egy táblázatot, amelyben leírtam a technológia használatának fő előnyeit és hátrányait (*spoilerek-spoilerek*: a szerző szerint az előnyök felülmúlják a hátrányokat, de a döntés rajtad áll).

PROSZ	MÍNUSZOK
A P2p torrent letöltési sebessége megnőhet(például BitTorrenten keresztül), mivel egyes internetszolgáltatók szándékosan lelassítják az ilyen típusú kapcsolatokat. Ilyen esetekben .	A te normál sebesség a hálózati kapcsolat legalább 10%-kal lelassulhatés még több - a VPN-kiszolgáló távolságától függően. Ha a VPN-kiszolgáló, amelyhez csatlakozik, és a meglátogatni kívánt webhely viszonylag közel találhatók egymáshoz, akkor a késés minimális, ha nem teljesen észrevehetetlen. De minél több kilométer választ el Önt, a VPN-kiszolgálót és a kívánt webhelyet kiszolgáló szervert, annál lassabban fog működni minden. Az adatok titkosítása és visszafejtése is hozzájárul a kapcsolati sebesség lelassításának piszkos munkájához (azonban minden esetben szinte észrevehetetlen lesz).
Használhatja a nyilvános WiFi hotspotokat anélkül, hogy aggódnia kellene a biztonsága miatt. Miért baj, ha az eszköz és a VPN-kiszolgáló közötti kapcsolat titkosított! Ez azt jelenti, hogy személyes adatai jól védettek, még akkor is, ha valamelyik csodahackernek sikerül ellopnia azokat.	Ön által választott VPN szolgáltatás fog kapni hozzáférést biztosít az összes online tevékenységének előzményéhez. Ez az elem aligha nevezhető egyértelmű mínusznak, mivel valaki továbbra is látni fogja az Ön adatait, és jobb lenne, ha ez egy megbízható VPN-szolgáltatás lenne (mivel az internetszolgáltatók egyáltalán nem érdekeltek személyes adatainak védelmében). Ezzel azonban tisztában kell lennie. A biztonságos VPN-ek mindent megtesznek annak érdekében, hogy a lehető legkevesebbet tudjanak meg ügyfeleikről és arról, hogy mit csinálnak online.
Internetszolgáltatója nem fér hozzá a böngészési előzményeihez, mivel az összes adatot a VPN-szolgáltatás titkosítja. Ennek megfelelően a szolgáltató nem fogja tudni, mely webhelyeket látogatta meg, és mit csinált ott. Csak azt fogja tudni, hogy csatlakozott a VPN-kiszolgálóhoz.	Még VPN-en keresztül sem érhető el minden webhely. Egyes webhelyek megtanulták észlelni és blokkolni a felhasználókat VPN segítségével a hozzáférésükhöz. Szerencsére az ilyen blokkolás meglehetősen könnyen megkerülhető, amelyet cikkünkben részletesebben ismertetünk.
Hozzáférhet otthonához ill működő hálózat még utazás közben is. Tulajdonképpen ennek érdekében indult el minden. A helyi forrásoknak nem kell az interneten keresztül elérhetőnek lenniük (így biztonságosabb). Mindig beállíthat távoli hozzáférést a számítógépéhez, használhat fájlokat helyi hálózatés még helyi játékokat is játszhat, mintha otthon maradna!	Az IP-hamisítás és a feketelista áldozatává válhat mert a VPN szolgáltatás elrejti az Ön valódi IP-címét, és a sajátját használja. A probléma az, hogy a VPN szolgáltatás IP-címét 1) ismeretlen számú szolgáltatási kliens használja; 2) jól ismert, és ez nagyban leegyszerűsíti az IP-hamisítást. Ezenkívül az Ön VPN-szolgáltatásának ugyanazt az IP-címet használó ügyfelei által végzett műveletek miatt az adott cím feketelistára kerülhet. Emiatt bizonyos oldalakat nem fog tudni elérni. Ezenkívül számos szolgáltatás (például bankja vagy postai szolgáltatása) gyanússá válhat neked ha észreveszik, hogy VPN-szolgáltatást használ. És ha a VPN-szolgáltatás hírneve is rontott, általában nem lehetséges.
Bármely webhelyet megtéveszthet, és úgy tehet, mintha egy teljesen más országból férne hozzá. Ennek megfelelően mind az országában letiltott, mind a csak egy adott régió lakosai számára elérhető webhelyeket elérheti. Csak csatlakozzon a megfelelő szerver! Bárki, aki megpróbál kémkedni az internetes tevékenységei után, csak az Ön által használt VPN-kiszolgálót fogja megtalálni, így a valódi IP-cím megtalálása szinte lehetetlen.

Jogi szempontok

A VPN-szolgáltatás használata önmagában ritkán illegális (de a tartalom, amellyel megpróbál elérni VPN illegális lehet). Ez még azokra az országokra is igaz, amelyek blokkolják a VPN-szolgáltatásokhoz való hozzáférést (Kína, Szíria, Irán). Ez azonban nem akadályozza meg, hogy egyes webhelyek blokkolják a VPN-szolgáltatásokat.

2016 júliusában azonban a VPN-szolgáltatás használata az Egyesült Arab Emírségekben (EAE) ítélték illegális. A megsértők börtönbüntetést és 500 000-2 000 000 dirham (136 130 – 544 521 dollár) pénzbírságot kaptak. Más szóval, ha az Egyesült Arab Emírségekbe megy, akkor érdemes a józan eszét gyakorolni, és csak az engedélyezőlistán szereplő webhelyeket látogatni.

Ami az iskolában vagy a munkahelyén lévő VPN-blokkolókat illeti, a következőket kell figyelembe venni: ha elkapnak (privátban) WiFi hálózatokés a LAN típusú csatlakoztatásnál mindig van egy kis esély), akkor ennek megfelelően büntethetők. Hogy pontosan? Például fegyelmi eljárás alá vonható (bírság, felfüggesztés, elbocsátás). Az ügy akár a rendőrség elé is kerülhet! Általában érdemes előre átgondolni, hogy a játék megéri-e a gyertyát.

A munka kezdete

A jó hír az, hogy csak egy csomó VPN-szolgáltatás van, amelyek szívesen fogadnák Önt ügyfelükként.

A rossz hír az, hogy könnyen és egyszerűen összezavarodhat a különféle lehetőségek között.

Bármilyen döntés meghozatalakor alaposan tanulmányoznia kell a kérdést.

Tekintse meg cikkünket, olvassa el az online véleményeket, olvassa el az ajánlásokat, fedezze fel lehetőségeit, és csak ezután hozzon döntést.

Ezután tedd fel magadnak ezt a 10 kérdést:

1. Mennyit fogok fizetni ezért? A különböző szolgáltatások ára eltérő, de általában minden belefér a havi 5 és 10 dollár közötti tartományba. Vannak ingyenes lehetőségek is, amelyeket részletesebben a cikkben ismertetünk.
2. Mi ez a szolgáltatásAdatvédelmi irányelvek? Korábban már érintettük ezt a pontot: meg kell győződnie arról, hogy a VPN szolgáltatás megvédi Önt és adatait.
3. Mennyire jók a szolgáltatás technikai és biztonsági intézkedései? Hatékony lesz a hackerekkel és harmadik felekkel szemben, akik úgy döntenek, hogy hozzáférnek az adataimhoz?
4. Van-e nagy távolság a VPN-kiszolgálók között? és melyik szerverre szeretnék menni? Ez egy fontos pont, mert itt a hálózaton végzett munka sebessége dől el. A kapcsolat sebességét befolyásoló egyéb tényezők magukban foglalják magának a szervernek a kapacitását, a sávszélességet és a szerverhez egyidejűleg hozzáférő emberek számát.
5. Hány szervere van a szolgáltatásnak, hol találhatók? Ha különböző országok szerverein található különböző webhelyeket kell meglátogatnia, akkor olyan VPN-szolgáltatást kell találnia, amely nagyszámú elérhető szerverhellyel és szerverrel rendelkezik - ez nagyban növeli a sikeres kapcsolat esélyét.
6. Hány eszközt használhatok egyszerre? A VPN-szolgáltatások szinte minden típusú számítógépet támogatnak, beleértve az asztali számítógépeket, laptopokat, laptopokat, okostelefonokat és táblagépeket. Egyes szolgáltatások lehetővé teszik, hogy egyszerre csak egy eszközt csatlakoztasson a szervereikhez, míg mások több eszközt egyszerre.
7. Mennyire működik a felhasználói támogatás ehhez a szolgáltatáshoz? Olvasás után

Évről évre javul az elektronikus kommunikáció, és egyre magasabb követelményeket támasztanak az információcserével szemben az adatfeldolgozás gyorsasága, biztonsága és minősége tekintetében.

És itt közelebbről megvizsgáljuk a vpn-kapcsolatot: mi az, mire való a vpn-alagút, és hogyan kell használni a vpn-kapcsolatot.

Ez az anyag egyfajta bevezető szó egy cikksorozathoz, ahol elmondjuk, hogyan hozhat létre vpn-t különböző operációs rendszereken.

vpn kapcsolat mi ez?

Tehát a virtuális magánhálózat vpn egy olyan technológia, amely biztonságos (külső hozzáféréstől zárt) kapcsolatot biztosít egy logikai hálózathoz magán vagy nyilvános hálózaton keresztül, nagy sebességű internet jelenlétében.

Ilyen internetkapcsolat számítógépek (földrajzilag egymástól jelentős távolságra) pont-pont kapcsolatot (más szóval "számítógép-számítógép") használnak.

Tudományosan ezt a csatlakozási módot vpn-alagútnak (vagy alagútprotokollnak) nevezik. Akkor csatlakozhat egy ilyen alagúthoz, ha olyan operációs rendszerrel rendelkező számítógépe van, amely integrált VPN-klienssel rendelkezik, amely képes a virtuális portokat a TCP / IP protokoll használatával egy másik hálózatra „továbbítani”.

Mire való a vpn?

A vpn fő előnye, hogy a tárgyalópartnereknek olyan csatlakozási platformra van szükségük, amely nem csak gyorsan skálázódik, hanem (elsősorban) adattitkosságot, adatintegritást és hitelesítést is biztosít.

A diagram jól mutatja a vpn hálózatok használatát.

Előzetesen meg kell írni a biztonságos csatornán keresztüli kapcsolatok szabályait a szerveren és az útválasztón.

hogyan működik a vpn

VPN-kapcsolat létrejöttekor a VPN-kiszolgáló IP-címével és a távoli útvonallal kapcsolatos információk az üzenet fejlécében kerülnek továbbításra.

A nyilvános vagy nyilvános hálózaton áthaladó beágyazott adatokat nem lehet lehallgatni, mert minden információ titkosított.

A VPN titkosítási szakaszt a küldő oldalon valósítják meg, és a címzett adatait az üzenet fejléce dekódolja (ha van közös titkosítási kulcs).

Az üzenet helyes visszafejtése után vpn-kapcsolat jön létre a két hálózat között, amely lehetővé teszi a nyilvános hálózatban való munkát is (például adatcserét 93.88.190.5 ügyféllel).

Vonatkozó információ biztonság, akkor az internet egy rendkívül nem biztonságos hálózat, az OpenVPN, L2TP / IPSec, PPTP, PPPoE protokollokkal rendelkező VPN hálózat pedig teljesen biztonságos és biztonságos módon adatátvitel.

Mire jó a vpn csatorna?

vpn tunneling használatos:

A vállalati hálózaton belül;

A távoli irodák, valamint a kis fiókok egyesítése;

A digitális telefonálást széles körű távközlési szolgáltatásokkal szolgálni;

Külső informatikai erőforrásokhoz való hozzáférés;

Videokonferencia létrehozása és megvalósítása.

Miért kell vpn?

vpn kapcsolat szükséges a következőkhöz:

Névtelen munka az interneten;

Alkalmazásletöltések abban az esetben, ha az IP-cím az ország másik regionális zónájában található;

Biztonságos munkavégzés vállalati környezetben kommunikáció segítségével;

A csatlakozás beállításának egyszerűsége és kényelme;

Nagy sebességű kapcsolat biztosítása megszakítások nélkül;

Biztonságos csatorna létrehozása hacker támadások nélkül.

Hogyan kell használni a vpn-t?

A vpn működésére példák végtelenek. Tehát a vállalati hálózat bármely számítógépén biztonságos telepítésekor vpn kapcsolatok e-mailek segítségével ellenőrizheti az üzeneteket, publikálhat anyagokat az ország bármely pontjáról, vagy letölthet fájlokat torrent hálózatokról.

Vpn: mi van a telefonban?

A telefonján (iPhone vagy bármely más Android-eszközön) található vpn-n keresztüli hozzáférés lehetővé teszi, hogy névtelen maradjon, amikor nyilvános helyen internetezik, valamint megakadályozza a forgalom elfogását és az eszközök feltörését.

A bármely operációs rendszerre telepített VPN-kliens lehetővé teszi a szolgáltató számos beállításának és szabályának megkerülését (ha korlátozásokat állított be).

Melyik vpn-t válasszam a telefonhoz?

Az Android mobiltelefonok és okostelefonok használhatják a Google Play piacról származó alkalmazásokat:

• - vpnRoot, droidVPN,
• - tor böngésző szörfözéshez hálózatokon, más néven orbot
• - InBrowser, orfox (firefox+tor),
• - SuperVPN ingyenes VPN-kliens
• - Nyissa meg a VPN-kapcsolatot
• - Tunnel Bear VPN
• - Hideman VPN

A legtöbb ilyen program a "forró" rendszerkonfiguráció kényelmét, az indítási parancsikonok elhelyezését szolgálja, névtelen szörfözés Internet, válassza ki a kapcsolat titkosításának típusát.

De a fő feladata a VPN használatának a telefonon az ellenőrzés vállalati posta, videokonferenciák létrehozása több résztvevővel, valamint megbeszélések megtartása a szervezeten kívül (például amikor egy alkalmazott üzleti úton van).

Mi az a vpn az iphone-on?

Fontolja meg részletesebben, melyik VPN-t válassza, és hogyan csatlakoztassa iPhone-hoz.

A támogatott hálózat típusától függően, amikor először elindítja a VPN-konfigurációt az iphone-on, a következő protokollokat választhatja: L2TP, PPTP és Cisco IPSec (továbbá, vpn-kapcsolatot is létrehozhat harmadik féltől származó alkalmazások segítségével).

Mindezek a protokollok támogatják a titkosítási kulcsokat, a felhasználó jelszóval történő azonosítását és a tanúsítást.

Között további jellemzők amikor VPN-profilt állít be iPhone-on, megjegyezheti: RSA-biztonság, titkosítási szint és engedélyezési szabályok a szerverhez való csatlakozáshoz.

Mert iphone telefon az alkalmazásboltból a következőket kell választania:

• - ingyenes alkalmazás Tunnelbear, amellyel bármely ország VPN-kiszolgálóihoz csatlakozhat.
• - Az OpenVPN connect az egyik legjobb VPN-kliens. Itt az alkalmazás futtatásához először rsa-kulcsokat kell importálnia az itunes segítségével a telefonjára.
• - A Cloak egy shareware alkalmazás, mert egy ideig ingyenesen "használható" a termék, de a program használatához a demo időszak lejárta után meg kell vásárolni.

VPN létrehozása: berendezések kiválasztása és konfigurálása

A nagy szervezetek vállalati kommunikációjához vagy az egymástól távol lévő irodák összevonásához olyan hardvereszközöket használnak, amelyek támogatják a megszakítás nélküli, biztonságos hálózatépítést.

A vpn technológiák megvalósításához a következők működhetnek hálózati átjáróként: Unix szerverek, Windows szerver, hálózati útválasztó és hálózati átjáró, amelyen a VPN fel van emelve.

A vállalat vpn-hálózatának vagy távoli irodák közötti vpn-csatornának a létrehozásához használt szervernek vagy eszköznek összetett technikai feladatokat kell ellátnia, és teljes körű szolgáltatást kell nyújtania a felhasználóknak munkaállomásokon és mobileszközökön egyaránt.

Minden útválasztónak vagy VPN-útválasztónak megbízható hálózati működést kell biztosítania „lefagyás” nélkül. A beépített vpn funkció pedig lehetővé teszi a hálózati konfiguráció megváltoztatását az otthoni, szervezeti vagy távoli irodai munkához.

vpn beállítás az útválasztón

Általános esetben a VPN konfigurálása az útválasztón az útválasztó webes felületén keresztül történik. A „klasszikus” eszközökön a vpn szervezéséhez el kell lépnie a „beállítások” vagy a „hálózati beállítások” szakaszba, ahol kiválasztja a VPN szakaszt, megadja a protokoll típusát, adja meg az alhálózati cím beállításait, a maszkokat és adja meg az IP tartományát. címek a felhasználók számára.

Ezenkívül a kapcsolat biztonságossá tételéhez meg kell adnia a kódolási algoritmusokat, a hitelesítési módszereket, létre kell hoznia tárgyalási kulcsokat, és meg kell adnia a DNS WINS-kiszolgálókat. Az "Átjáró" paraméterekben meg kell adnia az átjáró ip-címét (az Ön IP-címét), és ki kell töltenie az adatokat az összes hálózati adapteren.

Ha több útválasztó is van a hálózatban, akkor a VPN-alagútban lévő összes eszközre ki kell tölteni a vpn útválasztási táblázatot.

Itt található a VPN-hálózatok kiépítéséhez használt hardvereszközök listája:

Dlink routerek: DIR-320, DIR-620, DSR-1000 új firmware-rel ill. D-Link router DI808HV.

Útválasztók Cisco PIX 501, Cisco 871-SEC-K9

A Linksys Rv082 router körülbelül 50 VPN alagutat támogat

Netgear DG834G router és FVS318G, FVS318N, FVS336G, SRX5308 router modellek

Mikrotik router OpenVPN funkcióval. Példa RouterBoard RB/2011L-IN Mikrotik

VPN-berendezés RVPN S-Terra vagy VPN Gate

ASUS RT-N66U, RT-N16 és RT N-10 routerek

ZyXel routerek ZyWALL 5, ZyWALL P1, ZyWALL USG

Az utóbbi időben a távközlés világában megnövekedett érdeklődés mutatkozik a virtuális magánhálózatok (Virtual Private Network – VPN) iránt. Ez annak köszönhető, hogy csökkenteni kell a vállalati hálózatok fenntartási költségeit a távoli irodák és a távoli felhasználók olcsóbb internetkapcsolata miatt. Valójában, ha összehasonlítjuk a több hálózat interneten keresztüli összekapcsolásának szolgáltatásainak költségeit, például a Frame Relay hálózatokkal, jelentős költségkülönbség észlelhető. Megjegyzendő azonban, hogy a hálózatok interneten keresztül történő összekapcsolásakor azonnal felmerül az adatátvitel biztonságának kérdése, ezért szükségessé vált a továbbított információk titkosságát és integritását biztosító mechanizmusok kialakítása. Az ilyen mechanizmusok alapján felépített hálózatokat VPN-eknek nevezzük.

Emellett nagyon gyakran egy modern embernek, aki vállalkozását fejleszti, sokat kell utaznia. Ez lehet kirándulás hazánk távoli zugaiba vagy külföldre. Nem ritka, hogy az embereknek hozzá kell férniük az otthoni vagy céges számítógépükön tárolt információikhoz. Ez a probléma megoldható, ha modem és vonal segítségével távoli hozzáférést biztosít hozzá. A telefonvonal használatának megvannak a maga sajátosságai. Ennek a megoldásnak az a hátránya, hogy egy másik országból érkező hívás sok pénzbe kerül. Van egy másik megoldás, a VPN. A VPN technológia előnye, hogy egy szervezet távoli hozzáférés nem végezték el Telefon vonal, hanem az Interneten keresztül, ami sokkal olcsóbb és jobb. Véleményem szerint a technológia. A VPN-t az egész világon széles körben elterjedhetik.

1. A VPN hálózatok fogalma, osztályozása, felépítésük

1.1 Mi az a VPN?

VPN(Eng. Virtual Private Network – virtuális magánhálózat) – egy másik hálózat, például az internet tetején létrehozott logikai hálózat. Annak ellenére, hogy a kommunikáció nyilvános hálózatokon, nem biztonságos protokollok használatával történik, a titkosítás kívülállók elől elzárt információcsere-csatornákat hoz létre. A VPN lehetővé teszi, hogy például egy szervezet több irodáját egyetlen hálózatba vonja össze, ellenőrizetlen csatornák segítségével a köztük lévő kommunikációhoz.

A VPN lényegében a bérelt vonal számos tulajdonságával rendelkezik, de nyilvános hálózaton belül van telepítve, például . A tunneling technikával az adatcsomagokat továbbítják nyilvános hálózat mint egy normál pont-pont kapcsolat. Az egyes "adatküldő-vevő" párok között egyfajta alagút jön létre - egy biztonságos logikai kapcsolat, amely lehetővé teszi az egyik protokoll adatainak egy másik csomagjaiba való beágyazását. Az alagút fő elemei a következők:

• kezdeményező;
• irányított hálózat;
• alagútkapcsoló;
• egy vagy több alagútlezáró.

Önmagában a VPN működési elve nem mond ellent a fő elvnek hálózati technológiákés protokollok. Például telefonos kapcsolat létesítésekor az ügyfél szabványos PPP-csomagok folyamát küldi a szervernek. A helyi hálózatok közötti virtuális bérelt vonalak szervezése esetén routereik PPP-csomagokat is cserélnek. Alapvetően új szempont azonban a csomagok továbbítása a nyilvános hálózaton belül szervezett biztonságos alagúton keresztül.

Az alagút lehetővé teszi egy csomag átvitelének megszervezését protokollt egy másik protokollt használó logikai környezetben. Ennek eredményeként lehetővé válik a több heterogén hálózat közötti interakció problémáinak megoldása, kezdve az átvitt adatok integritásának és bizalmasságának biztosításával és a külső protokollok vagy címzési sémák következetlenségeinek leküzdésével.

A vállalat meglévő hálózati infrastruktúrája szoftveren vagy hardveren keresztül VPN-használatra biztosítható. A virtuális magánhálózat megszervezése a kábel globális hálózaton keresztül történő lefektetéséhez hasonlítható. Általában a PPP protokoll használatával közvetlen kapcsolat jön létre egy távoli felhasználó és egy alagútvégi eszköz között.

A VPN-alagutak létrehozásának legáltalánosabb módszere a hálózati protokollok (IP, IPX, AppleTalk stb.) PPP-be ágyazása, majd a generált csomagok alagútkezelési protokollba való beágyazása. Általában az utóbbi IP vagy (sokkal ritkábban) ATM és Frame Relay. Ezt a megközelítést 2. rétegbeli alagútnak nevezik, mert az „utas” itt a 2. réteg protokollja.

Alternatív megközelítés – Csomagkapszulázás hálózati protokoll közvetlenül egy alagútkezelési protokollba (például VTP-be) 3. rétegbeli alagútnak nevezzük.

Nem számít, milyen protokollokat használnak, vagy milyen célokat szolgálnak az alagút szervezésében üldözve marad az alaptechnikagyakorlatilag változatlan. Általában az egyik protokollt a távoli gazdagéppel való kapcsolat létrehozására használják, a másikat pedig az adatok és szolgáltatási információk beágyazására használják az alagúton keresztül történő továbbításhoz.

1.2 VPN hálózatok osztályozása

A VPN-megoldások több fő paraméter szerint osztályozhatók:

1. A használt médium típusa szerint:

• Biztonságos VPN hálózatok. A privát magánhálózatok leggyakoribb változata. Segítségével megbízható és biztonságos alhálózatot lehet létrehozni egy megbízhatatlan hálózaton, általában az interneten. Példák a biztonságos VPN-ekre: IPSec, OpenVPN és PPTP.
• Megbízható VPN hálózatok. Olyan esetekben használják őket, amikor az átviteli közeg megbízhatónak tekinthető, és csak egy nagyobb hálózaton belüli virtuális alhálózat létrehozásának problémáját kell megoldani. A biztonsági kérdések lényegtelenné válnak. Példák az ilyen VPN-megoldásokra: MPLS és L2TP. Helyesebb azt mondani, hogy ezek a protokollok áthelyezik a biztonság nyújtásának feladatát másokra, például az L2TP-t általában az IPSec-cel párhuzamosan használják.

2. A megvalósítás módja szerint:

• VPN hálózatok speciális szoftver és hardver formájában. A VPN-hálózat megvalósítása speciális szoftver- és hardverkészlettel történik. Ez a megvalósítás nagy teljesítményt és általában magas fokú biztonságot nyújt.
• VPN-hálózatok szoftvermegoldásként. használat Személyi számítógép VPN funkciót biztosító speciális szoftverrel.
• VPN hálózatok integrált megoldással. A VPN funkcionalitást egy olyan komplexum biztosítja, amely a hálózati forgalom szűrésének, a tűzfal megszervezésének és a szolgáltatás minőségének biztosításának problémáit is megoldja.

3. Megbeszélés szerint:

• Intranet VPN. Egy szervezet több elosztott ágának egyetlen biztonságos hálózatba való egyesítésére szolgálnak, nyílt kommunikációs csatornákon keresztül cserélve az adatokat.
• Távoli hozzáférés VPN. Biztonságos csatorna létrehozására szolgál egy vállalati hálózati szegmens (központi iroda vagy fiókiroda) és egyetlen felhasználó között, aki otthoni munkavégzése közben csatlakozik a vállalati erőforrásokhoz. otthoni számítógép vagy üzleti út során laptop segítségével csatlakozik a vállalati erőforrásokhoz.
• Extranet VPN. Olyan hálózatokhoz használják, amelyekhez "külső" felhasználók (például ügyfelek vagy ügyfelek) csatlakoznak. A beléjük vetett bizalom szintje jóval alacsonyabb, mint a vállalati alkalmazottaké, ezért olyan speciális védelmi „határokat” kell biztosítani, amelyek megakadályozzák vagy korlátozzák a különösen értékes, bizalmas információkhoz való hozzáférést.

4. A protokoll típusa szerint:

• Vannak virtuális magánhálózatok megvalósítása TCP/IP, IPX és AppleTalk alatt. De manapság van egy tendencia a TCP / IP protokollra való általános átállás felé, és a VPN-megoldások túlnyomó többsége támogatja ezt.

5. Hálózati protokollszint szerint:

• Hálózati protokollszint szerint a referenciaszintekkel való összehasonlítás alapján hálózati modell ISO/OSI.

1.3. VPN építése

Létezik különféle lehetőségeket VPN építése. A megoldás kiválasztásakor figyelembe kell vennie a VPN-készítők teljesítménytényezőit. Például, ha egy útválasztó már a kapacitáskorlátozásán működik, akkor VPN-alagutak hozzáadása és az információk titkosítása / visszafejtése leállíthatja a teljes hálózat működését, mivel ez az útválasztó nem lesz képes megbirkózni az egyszerű forgalommal, nem hogy a VPN-t említsem. A tapasztalatok azt mutatják, hogy a VPN felépítéséhez a legjobb speciális hardvert használni, de ha korlátozottak a források, akkor érdemes tisztán szoftveres megoldásra is figyelni. Tekintsen néhány lehetőséget a VPN felépítésére.

• Tűzfal alapú VPN. A legtöbb tűzfalgyártó támogatja az alagútkezelést és az adattitkosítást. Minden Hasonló termékek azon a tényen alapulnak, hogy a tűzfalon áthaladó forgalom titkosított. Magához a tűzfalszoftverhez egy titkosító modul is hozzáadódik. Ennek a módszernek a hátránya, hogy a teljesítmény attól a hardvertől függ, amelyen a tűzfal fut. A PC-alapú tűzfalak használatakor ne feledje, hogy egy ilyen megoldás csak kis hálózatok esetén használható kis mennyiségű továbbított információval.
• Router alapú VPN. A VPN felépítésének másik módja az útválasztók használata biztonságos csatornák létrehozására. Mivel a helyi hálózatról érkező összes információ áthalad a routeren, ezért célszerű ehhez a routerhez is titkosítási feladatokat rendelni.A VPN útválasztókon való felépítésére szolgáló berendezések példája a Cisco Systems berendezése. Az IOS 11.3-as kiadásától kezdve a Cisco útválasztók támogatják az L2TP és az IPSec protokollokat is. Az átvitel közbeni forgalom egyszerű titkosítása mellett a Cisco más VPN-szolgáltatásokat is támogat, mint például a hitelesítés az alagút létrehozásánál és a kulcscsere.Egy opcionális ESA titkosítási modul használható a router teljesítményének javítására. Ezenkívül a Cisco System kiadott egy dedikált VPN-eszközt, a Cisco 1720 VPN Access Routert, amely kis- és középvállalkozásokba és nagy fiókirodákba telepíthető.
• Szoftver alapú VPN. A VPN felépítésének következő megközelítése tisztán szoftveres megoldások. Egy ilyen megoldás megvalósítása során egy speciális szoftver, amely dedikált számítógépen fut, és a legtöbb esetben proxyszerverként működik. A szoftvert futtató számítógép esetleg tűzfal mögött található.
• VPN alapú hálózati operációs rendszer.Megvizsgáljuk a hálózati operációs rendszeren alapuló megoldásokat a Microsoft Windows operációs rendszerének példáján. A VPN létrehozásához a Microsoft a PPTP protokollt használja, amely integrálva van a Windows rendszerbe. Ez a megoldás nagyon vonzó a Windowst vállalati operációs rendszerként használó szervezetek számára. Meg kell jegyezni, hogy egy ilyen megoldás költsége sokkal alacsonyabb, mint más megoldások költsége. A Windows-alapú VPN az elsődleges tartományvezérlőn (PDC) tárolt felhasználói bázist használja. Amikor PPTP-kiszolgálóhoz csatlakozik, a felhasználó hitelesítése a PAP, CHAP vagy MS-CHAP protokollok használatával történik. A továbbított csomagok GRE/PPTP csomagokba vannak tokozva. A csomagok titkosításához a Microsoft Point-to-Point Encryption nem szabványos protokollját használják a kapcsolat létrehozásakor kapott 40 vagy 128 bites kulccsal. Ennek a rendszernek a hátránya az adatintegritás-ellenőrzés hiánya és az, hogy a kapcsolat során nem lehet kulcsot cserélni. A pozitív oldal a Windows-szal való egyszerű integráció és az alacsony költség.
• Hardver alapú VPN. VPN építésének lehetősége speciális eszközök nagy teljesítményt igénylő hálózatokban használható. Ilyen megoldás például a Radguard IPro-VPN terméke. Ez a termék a továbbított információk hardver alapú titkosítását használja, amely 100 Mbps adatfolyamot képes átadni. Az IPro-VPN támogatja az IPSec protokollt és az ISAKMP/Oakley kulcskezelési mechanizmust. Többek között, ez az eszköz támogatja a hálózati cím fordítását, és kiegészíthető egy speciális kártyával, amely tűzfal funkciókat ad hozzá

2. VPN hálózatok protokolljai

A VPN-hálózatok a nyilvános internetes kommunikációs hálózaton keresztüli adatcsatorna-protokollok felhasználásával épülnek fel, az alagútkezelési protokollok titkosítják az adatokat, és végpontok között továbbítják azokat a felhasználók között. Általános szabály, hogy ma az épület VPN-ek a következő szintű protokollok használatosak:

• Link réteg
• hálózati réteg
• szállítóréteg.

2.1 Hivatkozási réteg

Az adatkapcsolati rétegben az L2TP és PPTP adatalagút protokollok használhatók, amelyek engedélyezést és hitelesítést használnak.

PPTP.

Jelenleg a leggyakoribb VPN-protokoll a Point-to-Point Tunneling Protocol – PPTP. A 3Com és a Microsoft fejlesztette ki, hogy biztonságos távoli hozzáférést biztosítson a vállalati hálózatokhoz az interneten keresztül. A PPTP a meglévő nyílt TCP/IP szabványokat használja, és nagymértékben támaszkodik az örökölt pont-pont PPP protokollra. A gyakorlatban a PPP a PPP kapcsolati munkamenet kommunikációs protokollja marad. A PPTP a hálózaton keresztül alagutat hoz létre a címzett NT-kiszolgálójához, és azon keresztül küldi el a távoli felhasználó PPP-csomagjait. A szerver és a munkaállomás virtuális magánhálózatot használ, és nem számít, mennyire biztonságos vagy hozzáférhető globális hálózat közöttük. A kiszolgáló által kezdeményezett kapcsolati munkamenet megszakítása – a speciális távelérési kiszolgálókkal ellentétben – lehetővé teszi a helyi hálózati rendszergazdák számára, hogy ne hagyják a távoli felhasználókat elhagyni a rendszert. Windows biztonság szerver.

Bár a PPTP protokoll hatálya csak a alatt működő eszközökre terjed ki Windows vezérlés, lehetővé teszi a vállalatok számára, hogy saját biztonságuk veszélyeztetése nélkül együttműködjenek a meglévő hálózati infrastruktúrákkal. Így egy távoli felhasználó csatlakozhat az internethez a helyi internetszolgáltató segítségével egy analóg telefonvonalon vagy ISDN-csatornán keresztül, és kapcsolatot létesíthet az NT-kiszolgálóval. A cégnek ugyanakkor nem kell nagy összegeket költenie a távelérési szolgáltatásokat nyújtó modem pool megszervezésére és karbantartására.

A következőkben az RRTR munkáját tárgyaljuk. A PPTP beágyazza az IP-csomagokat az IP-hálózaton keresztüli továbbításhoz. A PPTP-kliensek a célportot használják alagútvezérlő kapcsolat létrehozására. Ez a folyamat a szállítóréteg OSI modellek. Az alagút létrehozása után az ügyfélszámítógép és a kiszolgáló megkezdi a szolgáltatáscsomagok cseréjét. A kapcsolatot életben tartó PPTP vezérlőkapcsolaton kívül létrejön egy kapcsolat az adatalagút továbbítására. Az alagúton való átküldés előtt az adatokat a normál átvitelhez képest kissé eltérő módon kapszulázzák. Az adatok beágyazása az alagútba küldés előtt két lépésből áll:

1. Először a PPP információs rész jön létre. Az adatok fentről lefelé haladnak, az OSI-alkalmazási rétegtől a kapcsolati rétegig.
2. A kapott adatokat ezután felküldik az OSI-modellbe, és felső rétegbeli protokollokba zárják be.

Így a második lépés során az adatok eljutnak a szállítási réteghez. Az információ azonban nem küldhető el a rendeltetési helyére, mivel ezért az OSI kapcsolati réteg a felelős. Ezért a PPTP titkosítja a csomag hasznos mezőjét, és átveszi a PPP-hez általában társított második rétegbeli funkciókat, azaz. PPP-fejlécet és végződést ad hozzá a PPTP-csomaghoz. Ezzel befejeződik a hivatkozási réteg keretének létrehozása.

Ezután a PPTP a PPP-keretet egy általános útválasztási beágyazási (GRE) csomagba foglalja, amely a hálózati réteghez tartozik. A GRE olyan hálózati rétegbeli protokollokat foglal magában, mint az IPX, AppleTalk, DECnet, hogy lehetővé tegye azok IP-hálózatokon történő átvitelét. A GRE azonban nem képes munkameneteket létrehozni és adatvédelmet biztosítani a behatolókkal szemben. Ez a PPTP azon képességét használja fel, hogy alagútvezérlő kapcsolatot hozzon létre. A GRE beágyazási módszerként való használata csak az IP-hálózatokra korlátozza a PPTP hatókörét.

Miután a PPP-keret egy GRE-fejléccel rendelkező keretbe került, egy IP-fejléccel rendelkező keretbe kerül. Az IP-fejléc tartalmazza a csomag küldőjének és címzettjének címét. Végül a PPTP hozzáad egy PPP fejlécet és végződést.

A küldő rendszer az alagúton keresztül küld adatokat. A fogadó rendszer eltávolítja az összes szolgáltatásfejlécet, és csak a PPP-adatokat hagyja meg.

L2TP

A közeljövőben az új Layer 2 Tunneling Protocol - L2TP -n alapuló VPN-ek számának növekedése várható.

Az L2TP a PPTP és az L2F (Layer 2 Forwarding) protokollok egyesítésének eredményeként jelent meg. A PPTP lehetővé teszi a PPP csomagok továbbítását az alagúton, valamint a SLIP és PPP L2F csomagokat. A telekommunikációs piacon tapasztalható zavarok és együttműködési problémák elkerülése érdekében az Internet Engineering Task Force (IETF) bizottság azt javasolta, hogy a Cisco Systems egyesítse a PPTP-t és az L2F-et. Minden tekintetben az L2TP protokoll magában foglalja a PPTP és az L2F legjobb tulajdonságait. Az L2TP fő előnye, hogy ez a protokoll lehetővé teszi alagút létrehozását nemcsak IP-hálózatokban, hanem olyan hálózatokban is, mint az ATM, X.25 és Frame Relay. Sajnos az L2TP Windows 2000 implementációja csak az IP-t támogatja.

Az L2TP UDP-t használ átvitelként, és ugyanazt az üzenetformátumot használja mind az alagútkezeléshez, mind az adattovábbításhoz. A Microsoft L2TP megvalósítása titkosított PPP-csomagokat tartalmazó UDP-csomagokat használ vezérlőüzenetként. A kézbesítés megbízhatóságát a csomagok sorrendjének ellenőrzése garantálja.

A PPTP és az L2TP funkcionalitása eltérő. Az L2TP nem csak IP hálózatokban használható, az alagút létrehozásához és az azon keresztül történő adatküldéshez ugyanazt a formátumot és protokollt használják szolgáltatási üzenetek. A PPTP csak IP-hálózatokon keresztül használható, és külön TCP-kapcsolatra van szüksége az alagút létrehozásához és használatához. Az L2TP over IPSec több biztonsági réteget kínál, mint a PPTP, és közel 100%-os biztonságot garantálhat az üzleti szempontból kritikus adatok számára. Az L2TP szolgáltatásai nagyon ígéretessé teszik az elkészíthető protokollt virtuális hálózatok.

Az L2TP és PPTP protokollok számos szempontból különböznek a 3. rétegbeli alagútkezelési protokolloktól:

1. Lehetővé teszi a vállalatok számára, hogy megválasszák, hogyan hitelesítsék és ellenőrizzék hitelesítési adataikat – saját „területükön” vagy egy internetszolgáltatónál. Alagutazott PPP-csomagok feldolgozásával a vállalati hálózati szerverek minden olyan információt megkapnak, amelyre szükségük van a felhasználók azonosításához.
2. Alagútváltás támogatása - egy alagút lezárása és egy másik elindítása a sok lehetséges lezáró egyikéhez. Az alagutak kapcsolása lehetővé teszi a PPP-kapcsolat kiterjesztését a kívánt végpontig.
3. Lehetővé teszi a vállalati hálózati rendszergazdák számára, hogy stratégiákat valósítsanak meg hozzáférési jogok hozzárendelésére a felhasználókhoz közvetlenül a tűzfalon és a belső szervereken. Mivel az alagútlezárók felhasználói információkat tartalmazó PPP-csomagokat kapnak, képesek a rendszergazda által meghatározott biztonsági házirendeket alkalmazni az egyes felhasználói forgalomra. (A 3. rétegbeli alagút nem teszi lehetővé a szolgáltatótól érkező csomagok megkülönböztetését, ezért biztonsági házirend-szűrőket kell alkalmazni a végmunkaállomásokon és a hálózati eszközökön.) Ezen túlmenően, ha alagútkapcsolót használunk, lehetővé válik egy „ az alagút folytatása a második szint az egyén forgalmának közvetlen fordításárafelhasználókat a megfelelő belső szerverekre. Az ilyen szervereket további csomagszűréssel lehet ellátni.

MPLS

A kapcsolati rétegben is az MPLS technológia használható alagutak szervezésére ( Az angol nyelvből Multiprotocol Label Switching - többprotokollos címkeváltás - adatátviteli mechanizmus, amely az áramkörkapcsolt hálózatok különféle tulajdonságait emulálja csomagkapcsolt hálózatokon keresztül). Az MPLS olyan rétegben működik, amely az adatkapcsolati réteg és az OSI modell harmadik hálózati rétege közé helyezhető, ezért általában hálózati kapcsolati réteg protokollnak nevezik. Úgy tervezték, hogy sokoldalú adatszolgáltatást nyújtson mind az áramkörkapcsolt, mind a csomagkapcsolt hálózati ügyfelek számára. Az MPLS segítségével a forgalom széles skáláját szállíthatja, például IP-csomagokat, ATM-et, SONET-et és Ethernet-kereteket.

A link szintű VPN megoldások hatóköre meglehetősen korlátozott, általában a szolgáltató tartományán belül.

2.2 Hálózati réteg

Hálózati réteg (IP réteg). Az IPSec protokollt használják, amely megvalósítja az adatok titkosítását és bizalmas kezelését, valamint az előfizetői hitelesítést. Az IPSec protokoll használata lehetővé teszi a vállalati hálózathoz való fizikai csatlakozással egyenértékű teljes értékű hozzáférés megvalósítását. A VPN létrehozásához minden résztvevőnek be kell állítania bizonyos IPSec paramétereket, pl. minden ügyfélnek rendelkeznie kell az IPSec-et megvalósító szoftverrel.

IPSec

Természetesen egyetlen cég sem akarna nyíltan átruházni Internetes pénzügyi vagy egyéb bizalmas információ. A VPN-csatornákat az IPsec biztonsági protokoll szabványokba ágyazott hatékony titkosítási algoritmusok védik. Az IPSec vagy Internet Protocol Security – a nemzetközi közösség, az IETF – Internet Engineering Task Force által választott szabvány, megteremti az Internet Protokoll biztonsági alapjait (az IP / IPSec protokoll hálózati szintű védelmet nyújt, és csak az IPSec szabvány támogatását igényli A két eszközön egymással kommunikáló eszközök egyszerűen IP-csomagforgalmat biztosítanak.

Az IPSec technológiát használó személyek közötti interakció módszerét általában a "biztonságos társulás" - Security Association (SA) kifejezés határozza meg. A biztonságos társulás az egymásnak továbbított információk védelmére IPSec-et használó felek által kötött megállapodás alapján működik. Ez a megállapodás számos paramétert szabályoz: a küldő és a címzett IP-címe, kriptográfiai algoritmus, kulcscsere sorrend, kulcsméretek, kulcs élettartama, hitelesítési algoritmus.

Az IPSec nyílt szabványok konszenzusos halmaza, amelynek magja könnyen bővíthető új funkciókkal és protokollokkal. Az IPSec magja három protokollból áll:

· AN vagy Authentication Header - hitelesítési fejléc - garantálja az adatok sértetlenségét és hitelességét. Az AH protokoll fő célja, hogy lehetővé tegye a fogadó oldal számára, hogy megbizonyosodjon arról, hogy:

• a csomagot olyan fél küldte, amellyel biztonságos kapcsolat jött létre;
• a csomag tartalma nem torzult el a hálózaton keresztüli átvitel során;
• a csomag nem egy már átvett csomag másolata.

Az első két funkció kötelező az AH protokollhoz, az utolsó pedig nem kötelező az asszociáció létrehozásakor. Ezen funkciók végrehajtásához az AH protokoll egy speciális fejlécet használ. Felépítését a következőképpen tekintjük:

1. A következő fejléc a magasabb szintű protokoll kódját jelöli, vagyis azt a protokollt, amelynek üzenete az IP-csomag adatmezőjébe kerül.
2. A hasznos teher hossza mező tartalmazza az AH fejléc hosszát.
3. A Security Parameters Index (SPI) a csomagok rendeltetésszerű biztonságos társítására szolgál.
4. A Sorozatszám (SN) mező a csomag sorszámát jelzi, és a hamisítás elleni védelemre szolgál (amikor egy harmadik fél megpróbálja újra felhasználni a valóban hitelesített feladó által küldött elfogott biztonságos csomagokat).
5. A hitelesítési adatmező, amely az úgynevezett Integrity Check Value (ICV) értéket tartalmazza, a csomag hitelesítésére és integritásának ellenőrzésére szolgál. Ezt az értéket, amelyet kivonatnak is neveznek, az AH protokoll által megkövetelt két számításilag visszafordíthatatlan MD5 vagy SAH-1 függvény egyikével számítják ki, de bármely más függvény is használható.

· ESP vagy Encapsulating Security Payload- titkosított adatok tokozása - titkosítja a továbbított adatokat, biztosítva a titkosságot, meg tudja őrizni a hitelesítést és az adatintegritást is;

Az ESP protokoll két problémacsoportot old meg.

1. Az első az AH protokollhoz hasonló feladatokat tartalmaz - ez a hitelesítés és az adatintegritás biztosítása a kivonat alapján,
2. A másodikhoz - az adatok továbbítása a jogosulatlan megtekintéstől való titkosítással.

A fejléc két részre van osztva, amelyeket adatmező választ el.

1. Az első, magát az ESP-fejlécet magába foglaló részt két mező alkotja (SPI és SN), amelyek célja hasonló az AH protokoll azonos nevű mezőihez, és az adatmező elé kerül.
2. Az ESP protokoll többi szolgáltatásmezője, az úgynevezett ESP trailer, a csomag végén található.

Az előzetes két mezője - a következő fejléc és a hitelesítési adatok - hasonló az AH fejléc mezőihez. A Hitelesítési adatok mező kimarad, ha úgy döntöttek, hogy nem használják az ESP protokoll integritási képességeit biztonságos társítás létrehozásakor. Ezeken a mezőken kívül a pótkocsi két további mezőt is tartalmaz - a töltőanyagot és a töltőanyag hosszát.

Az AH és ESP protokollok két módban védhetik az adatokat:

1. szállításban - az átvitel az eredeti IP-fejlécekkel történik;
2. alagútban - az eredeti csomag egy új IP-csomagba kerül, és az átvitel új fejlécekkel történik.

Az egyik vagy másik mód használata függ az adatvédelmi követelményektől, valamint attól, hogy a biztonságos csatornát lezáró csomópont milyen szerepet játszik a hálózatban. Így egy csomópont lehet gazdagép (végcsomópont) vagy átjáró (köztes csomópont).

Ennek megfelelően három séma létezik az IPSec protokoll használatára:

1. host host;
2. átjáró-átjáró;
3. gazdagép átjáró.

Az AH és az ESP protokollok képességei részben átfedik egymást: az AH protokoll csak az adatok integritásának és hitelesítésének biztosításáért felel, az ESP protokoll képes titkosítani az adatokat, és ezen felül ellátja az AH protokoll funkcióit (csonka formában) . Az ESP bármilyen kombinációban támogatja a titkosítási és hitelesítési/integritási funkciókat, azaz akár a funkciók teljes csoportját, akár csak a hitelesítést/integritást, vagy csak a titkosítást.

· IKE vagy Internet Key Exchange - Internet kulcscsere - megoldja azt a segédfeladatot, hogy a biztonságos csatorna végpontjait automatikusan ellátja a hitelesítési és adattitkosítási protokollok működéséhez szükséges titkos kulcsokkal.

2.3 Szállítási réteg

A szállítási réteg az SSL/TLS vagy Secure Socket Layer/Transport Layer Security protokollt használja, amely titkosítást és hitelesítést valósít meg a vevő és az adó szállítási rétegei között. Az SSL/TLS a TCP forgalom biztosítására használható, az UDP forgalom nem. Az SSL/TLS VPN működéséhez nincs szükség speciális szoftver bevezetésére, mivel minden böngésző ill levelező kliens fel van szerelve ezekkel a protokollokkal. Annak a ténynek köszönhetően, hogy az SSL/TLS a szállítási rétegen van megvalósítva, biztonságos kapcsolat jön létre végpontok között.

A TLS protokoll a Netscape SSL protokoll 3.0-s verzióján alapul, és két részből áll: TLS Record Protocol és TLS Handshake Protocol. Az SSL 3.0 és a TLS 1.0 közötti különbség csekély.

Az SSL/TLS három fő fázisból áll:

1. Párbeszéd a felek között, melynek célja a titkosítási algoritmus kiválasztása;
2. Kulcscsere nyilvános kulcsú kriptorendszereken vagy tanúsítvány alapú hitelesítésen;
3. Szimmetrikus titkosítási algoritmusokkal titkosított adatok átvitele.

2.4 VPN megvalósítás: IPSec vagy SSL/TLS?

Az informatikai osztályok vezetői gyakran szembesülnek azzal a kérdéssel: melyik protokollt válasszák a vállalati VPN-hálózat kiépítéséhez? A válasz nem egyértelmű, mivel minden megközelítésnek vannak előnyei és hátrányai is. Megpróbáljuk lefolytatni és azonosítani, mikor szükséges az IPSec, és mikor az SSL / TLS használata. Amint az ezen protokollok jellemzőinek elemzéséből látható, nem felcserélhetők, külön-külön és párhuzamosan is működhetnek, meghatározva funkcionális jellemzői az egyes megvalósított VPN-ek.

A vállalati VPN-hálózat felépítéséhez szükséges protokoll kiválasztása a következő kritériumok szerint történhet:

· A VPN-felhasználók számára szükséges hozzáférés típusa.

1. Teljesen működőképes állandó csatlakozás a vállalati hálózathoz. Az ajánlott választás az IPSec.
2. Ideiglenes kapcsolat pl. mobil felhasználó vagy nyilvános számítógépet használó felhasználó bizonyos szolgáltatások elérése érdekében, mint pl email vagy adatbázis. Az ajánlott választás az SSL/TLS protokoll, amely lehetővé teszi, hogy minden egyes szolgáltatáshoz VPN-t szervezzen.

· A felhasználó a vállalat alkalmazottja-e.

1. Ha a felhasználó vállalati alkalmazott, akkor a vállalati hálózathoz IPSec VPN-en keresztüli hozzáféréshez használt eszköz valamilyen meghatározott módon konfigurálható.
2. Ha a felhasználó nem annak a vállalatnak az alkalmazottja, amelynek vállalati hálózatát elérik, akkor javasolt az SSL/TLS használata. Ez csak bizonyos szolgáltatásokhoz korlátozza a vendégek hozzáférését.

· Milyen biztonsági szinttel rendelkezik a vállalati hálózat.

1. Magas. Az ajánlott választás az IPSec. Valójában az IPSec által kínált biztonsági szint sokkal magasabb, mint az SSL / TLS protokoll által kínált biztonsági szint a felhasználói oldalon konfigurálható szoftver és a vállalati hálózat oldalán található biztonsági átjáró használatának köszönhetően.
2. Átlagos. Az ajánlott választás az SSL/TLS protokoll, amely lehetővé teszi a hozzáférést bármely terminálról.

· A felhasználó által továbbított adatok biztonsági szintje.

1. Magas, például a cégvezetés. Az ajánlott választás az IPSec.
2. Közepes például partner. Az ajánlott választás az SSL/TLS protokoll.

A szolgáltatástól függően - közepestől a magasig. Az ajánlott választás az IPSec protokollok kombinációja (azokhoz a szolgáltatásokhoz, amelyekhez magas szint biztonság) és SSL/TLS (olyan szolgáltatásokhoz, amelyekhez szükséges átlagos szint Biztonság).

· Mi a fontosabb, a VPN gyors telepítése vagy a megoldás jövőbeni méretezhetősége.

1. Gyorsan telepíthet VPN-hálózatot minimális költséggel. Az ajánlott választás az SSL/TLS protokoll. Ebben az esetben nincs szükség speciális szoftver implementálására a felhasználói oldalon, mint az IPSec esetében.
2. VPN hálózat skálázhatósága – hozzáférést biztosít a különböző szolgáltatásokhoz. Az ajánlott választás az IPSec protokoll, amely hozzáférést biztosít a vállalati hálózat összes szolgáltatásához és erőforrásához.
3. Gyors telepítés és skálázhatóság. Az ajánlott választás az IPSec és az SSL/TLS kombinációja: az SSL/TLS használata az első fázisban a szükséges szolgáltatások eléréséhez, majd az IPSec megvalósítása.

3. VPN hálózatok megvalósításának módszerei

A virtuális magánhálózat három megvalósítási módszeren alapul:

· Alagútépítés;

· Titkosítás;

· Hitelesítés.

3.1 Alagútépítés

Az alagút két pont – az alagút vége – közötti adatátvitelt biztosítja oly módon, hogy a közöttük lévő teljes hálózati infrastruktúra el van rejtve az adatok forrása és rendeltetési helye számára.

Az alagút szállító közege, mint egy komp, felveszi az alagút bejáratánál használt hálózati protokoll csomagjait, és változatlan formában eljuttatja azokat a kijárathoz. Alagút építése elegendő két hálózati csomópont összekapcsolására, hogy a rajtuk futó szoftverek szempontjából ugyanazon (helyi) hálózathoz kapcsolódjanak. Nem szabad azonban megfeledkezni arról, hogy az adatokat tartalmazó „komp” egy nyílt nyilvános hálózat sok köztes csomópontján (routerén) halad át.

Ennek az állapotnak két problémája van. Az első az, hogy az alagúton keresztül továbbított információkat a behatolók elfoghatják. Ha bizalmas (bankkártyaszámok, pénzügyi kimutatások, személyes adatok), akkor a kompromittálás veszélye meglehetősen valós, ami önmagában kellemetlen. Ami még rosszabb, a támadók módosíthatják az alagúton továbbított adatokat, hogy a címzett ne tudja ellenőrizni azok hitelességét. A következmények a legszánalmasabbak lehetnek. A fentiek alapján arra a következtetésre jutunk, hogy az alagút tiszta formájában csak bizonyos típusú hálózatokhoz alkalmas számítógépes játékokés nem jogosult komolyabb pályázatra. Mindkét problémát modern eszközökkel oldják meg. kriptográfiai védelem információ. A behatolás megakadályozására jogosulatlan változtatások egy adatcsomagba az alagúton keresztül, az elektronikus módszer digitális aláírás(). Az eljárás lényege, hogy minden továbbított csomaghoz egy további információblokk kerül, amely egy aszimmetrikus kriptográfiai algoritmus szerint jön létre, és egyedi a csomag tartalmára és a küldő EDS titkos kulcsára vonatkozóan. Ez az információs blokk a csomag EDS-e, és lehetővé teszi az adathitelesítést a címzett által, aki ismeri a küldő EDS nyilvános kulcsát. Az alagúton keresztül továbbított adatok védelme az illetéktelen megtekintés ellen erős titkosítási algoritmusok használatával érhető el.

3.2 Hitelesítés

A biztonság a VPN fő funkciója. Az ügyfélszámítógépekről származó összes adat az interneten keresztül jut el a VPN-kiszolgálóhoz. Egy ilyen szerver nagy távolságra is elhelyezhető az ügyfélszámítógéptől, és a szervezet hálózatához vezető úton sok szolgáltató berendezésén haladnak át az adatok. Hogyan lehet megbizonyosodni arról, hogy az adatok nem kerültek beolvasásra vagy módosításra? Ehhez jelentkezzen különféle módszerek hitelesítés és titkosítás.

A PPTP a PPP-hez használt protokollok bármelyikét használhatja a felhasználók hitelesítésére.

• EAP vagy Extensible Authentication Protocol;
• MSCHAP vagy Microsoft Challenge Handshake Authentication Protocol (1. és 2. verzió);
• CHAP vagy Challenge Handshake Authentication Protocol;
• SPAP vagy Shiva jelszó-hitelesítési protokoll;
• PAP vagy Password Authentication Protocol.

Az MSCHAP 2-es verzióját és a Transport Layer Security-t (EAP-TLS) tartják a legjobbnak, mert kölcsönös hitelesítést biztosítanak, pl. A VPN-kiszolgáló és a kliens azonosítja egymást. Minden más protokollban csak a szerver hitelesíti az ügyfeleket.

Bár a PPTP megfelelő fokú biztonságot nyújt, az IPSec feletti L2TP még mindig megbízhatóbb. Az L2TP over IPSec felhasználói és számítógépes szintű hitelesítést, valamint hitelesítést és adattitkosítást biztosít.

A hitelesítés nyílt teszttel (tiszta szöveges jelszó) vagy kérés/válasz séma (kihívás/válasz) segítségével történik. A közvetlen szöveggel minden világos. A kliens elküldi a jelszót a szervernek. A szerver ezt a benchmarkhoz hasonlítja, és vagy megtagadja a hozzáférést, vagy azt mondja, hogy "üdvözöljük". Nyílt hitelesítés gyakorlatilag nem létezik.

A kérés/válasz séma sokkal fejlettebb. Általában így néz ki:

• a kliens hitelesítési kérelmet küld a szervernek;
• a szerver véletlenszerű választ ad vissza (kihívás);
• a kliens eltávolít egy hash-t a jelszavából (a hash egy olyan hash függvény eredménye, amely egy tetszőleges hosszúságú bemeneti adattömböt fix hosszúságú kimeneti bitsorozattá alakít), titkosítja vele a választ és elküldi a szervernek;
• a szerver ugyanezt teszi, összehasonlítva az eredményt a kliens válaszával;
• ha a titkosított válasz egyezik, a hitelesítés sikeresnek minősül;

A VPN-kliensek és -kiszolgálók hitelesítésének első lépésében az L2TP over IPSec a tanúsító hatóságtól kapott helyi tanúsítványokat használja. Az ügyfél és a kiszolgáló tanúsítványokat cserél, és biztonságos ESP SA (biztonsági társulás) kapcsolatot hoz létre. Miután az L2TP (IPSec felett) befejezte a számítógép-hitelesítési folyamatot, a rendszer felhasználói szintű hitelesítést hajt végre. A hitelesítéshez bármilyen protokoll használható, még a PAP is, amely átadja a felhasználónevet és a jelszót nyitott forma. Ez meglehetősen biztonságos, mivel az L2TP over IPSec titkosítja a teljes munkamenetet. A felhasználó hitelesítése azonban az MSCHAP segítségével, amely különböző titkosítási kulcsokat használ a számítógép és a felhasználó hitelesítésére, növelheti a biztonságot.

3.3. Titkosítás

A PPTP titkosítás biztosítja, hogy senki ne férhessen hozzá az adatokhoz, miközben azokat az interneten keresztül küldik. Jelenleg két titkosítási módszer támogatott:

• Az MPPE vagy a Microsoft Point-to-Point Encryption csak az MSCHAP-pal (1. és 2. verzió) kompatibilis;
• Az EAP-TLS, és képes automatikusan megválasztani a titkosítási kulcs hosszát, amikor a paraméterekről egyeztet a kliens és a szerver között.

Az MPPE 40, 56 vagy 128 bites kulcsokat támogat. Régi műtők Windows rendszerek csak 40 bites kulcshosszúságú titkosítást támogat, ezért vegyes Windows környezetben válassza ki a minimális kulcshosszt.

A PPTP minden egyes fogadott csomag után megváltoztatja a titkosítási kulcs értékét. Az MMPE protokollt pont-pont összeköttetésekre tervezték, ahol a csomagok egymás után kerülnek továbbításra, és nagyon kevés adatvesztés történik. Ebben a helyzetben a következő csomag kulcsértéke az előző csomag visszafejtésének eredményétől függ. Hálózatokon átívelő virtuális hálózatok építésekor nyilvános hozzáférés ezek a feltételek nem teljesíthetők, mivel az adatcsomagok gyakran rossz sorrendben érkeznek a címzetthez, ahogyan azokat elküldték. Ezért a PPTP csomagsorszámokat használ a titkosítási kulcs megváltoztatásához. Ez lehetővé teszi, hogy a visszafejtést az előzőleg fogadott csomagoktól függetlenül hajtsák végre.

Mindkét protokoll implementálva van Microsoft Windows, és azon kívül (például BSD-ben) a VPN működési algoritmusai jelentősen eltérhetnek egymástól.

Így az „alagút + hitelesítés + titkosítás” csomag lehetővé teszi két pont közötti adatátvitelt nyilvános hálózaton keresztül, szimulálva egy privát (helyi) hálózat működését. Más szóval, a figyelembe vett eszközök lehetővé teszik egy virtuális magánhálózat felépítését.

A VPN-kapcsolat további szép hatása a helyi hálózatban elfogadott címzési rendszer használatának képessége (sőt annak szükségessége).

A virtuális magánhálózat megvalósítása a gyakorlatban a következő. Helyben számítógép hálózat A VPN szerver a cég irodájában van telepítve. A VPN kliens szoftvert használó távoli felhasználó (vagy router, ha két iroda csatlakozik) kezdeményezi a csatlakozási eljárást a szerverrel. Megtörténik a felhasználói hitelesítés - a VPN-kapcsolat létrehozásának első fázisa. A jogosultság megerősítése esetén megkezdődik a második fázis - a kliens és a szerver között megbeszélik a kapcsolat biztonságának biztosításának részleteit. Ezt követően VPN-kapcsolatot szerveznek, amely biztosítja az információcserét az ügyfél és a szerver között abban a formában, amikor minden adatcsomag átmegy a titkosítási / visszafejtési és integritás-ellenőrzési eljárásokon - adathitelesítés.

A VPN-hálózatok fő problémája a hitelesítésre és a titkosított információk cseréjére vonatkozó megalapozott szabványok hiánya. Ezek a szabványok még fejlesztés alatt állnak, ezért a különböző gyártók termékei nem tudnak VPN-kapcsolatot létrehozni és automatikusan kulcsokat cserélni. Ez a probléma a VPN-ek elterjedésének lassulásával jár, mivel nehéz a különböző cégeket rákényszeríteni egy gyártó termékeinek használatára, így a partnercégek hálózatainak úgynevezett extranet hálózatokká való egyesítése is nehézkes.

A VPN technológia előnye, hogy a távoli hozzáférés megszervezése nem telefonvonalon, hanem az Interneten keresztül történik, ami sokkal olcsóbb és jobb. A VPN technológia hátránya, hogy a VPN-ek létrehozásának eszközei nem teljes értékű eszközök a támadások észlelésére és blokkolására. Megakadályozhatnak számos jogosulatlan tevékenységet, de nem minden lehetőséget, amellyel a vállalati hálózatba behatolhat. De mindezek ellenére a VPN-technológiának további fejlődési kilátásai vannak.

Mire számíthatunk a jövőben a VPN-technológiák fejlesztése terén? Kétségtelenül egységes szabványt dolgoznak ki és hagynak jóvá az ilyen hálózatok kiépítésére. Valószínűleg ennek a szabványnak az alapja a már bevált IPSec protokoll lesz. Ezután a gyártók termékeik teljesítményének javítására és kényelmes VPN-vezérlők létrehozására összpontosítanak. Valószínűleg a VPN-építő eszközök fejlesztése a routereken alapuló VPN irányába fog haladni, hiszen ezt a döntéstötvözi a meglehetősen nagy teljesítményt, a VPN-integrációt és az útválasztást egy eszközben. A kisebb szervezetek számára azonban olcsó megoldásokat is kidolgoznak. Összegzésként azt kell mondani, hogy annak ellenére, hogy a VPN technológia még nagyon fiatal, nagy jövő áll előtte.

Hagyja meg észrevételét!

A magán virtuális hálózatok fogalma, rövidítve VPN (angolul, viszonylag nemrég jelent meg a számítástechnikában. Egy ilyen típusú kapcsolat létrehozása lehetővé tette a számítógépes terminálok és a mobil eszközök virtuális hálózatokká való kombinálását a szokásos vezetékek nélkül, függetlenül a Most fontolja meg a VPN-kapcsolat működésének kérdését, és egyúttal adunk néhány ajánlást az ilyen hálózatok és a kapcsolódó kliensprogramok beállításához.

Mi az a VPN?

Amint már megértettük, a VPN egy virtuális magánhálózat, amelyhez több eszköz csatlakozik. Nem szabad hízelegnie magának - általában nem működik két vagy három tucat egyidejűleg működő számítógépes terminál csatlakoztatása (mivel ez megtehető a "helyi nyelven"). Ennek megvannak a korlátai a hálózat felállításában, vagy akár egyszerűen az IP-címek kiosztásáért felelős útválasztó sávszélességében és

A csatlakozási technológiába eredetileg beépített ötlet azonban nem új. Sokáig próbálták alátámasztani. És sok modern felhasználók a számítógépes hálózatok nem is képzelik, hogy egész életükben tudtak róla, de egyszerűen nem próbáltak a kérdés végére járni.

Hogyan működik a VPN-kapcsolat: alapelvek és technológiák

A jobb megértés érdekében adjuk a legegyszerűbb példát, amelyet minden modern ember ismer. Vegyük legalább a rádiót. Hiszen valójában egy adó eszköz (fordító), egy közvetítő egység (repeater), amely a jel továbbításáért és elosztásáért felelős, és egy vevő eszköz (vevő).

A másik dolog az, hogy a jelet abszolút minden fogyasztóhoz sugározzák, és a virtuális hálózat szelektíven működik, és csak bizonyos eszközöket egyesít egy hálózatba. Vegye figyelembe, hogy sem az első, sem a második esetben nincs szükség vezetékekre az egymással adatcserét végző adó- és vevőkészülékek csatlakoztatásához.

De még itt is vannak finomságok. A helyzet az, hogy kezdetben a rádiójel védelem nélküli volt, azaz bármely rádióamatőr képes fogadni működő készülékkel a megfelelő frekvencián. Hogyan működik a VPN? Igen, pontosan ugyanaz. Csak ebben az esetben az átjátszó szerepét az útválasztó (router vagy ADSL modem), a vevő szerepét pedig egy helyhez kötött számítógépes terminál, laptop vagy mobil eszköz, melynek felszerelésében egy speciális modul található vezetéknélküli kapcsolat(wi-fi).

Mindezzel a forrásból érkező adatok kezdetben titkosításra kerülnek, és csak ezután, egy speciális dekóder segítségével játsszák le konkrét eszköz. A VPN-en keresztüli kommunikáció ezen elvét alagútnak nevezik. Ez az elv pedig leginkább összhangban van vele mobil kapcsolat amikor az átirányítás egy adott előfizetőhöz érkezik.

Helyi virtuális hálózatok alagútkezelése

Nézzük meg, hogyan működik a VPN alagút módban. Lényegében egy bizonyos egyenes létrehozásáról van szó, mondjuk az "A" ponttól a "B" pontig, amikor egy központi forrásból (szerverkapcsolattal rendelkező útválasztó) történő adatátvitelkor minden hálózati eszköz automatikusan felismerésre kerül. előre meghatározott konfigurációra.

Más szóval, egy alagút jön létre a kódolással az adatok küldésekor és a dekódolással a fogadáskor. Kiderült, hogy egyetlen más felhasználó sem fogja tudni visszafejteni az ilyen típusú adatokat az átvitel során.

A megvalósítás eszközei

Az egyik leghatékonyabb eszköz az ilyen típusú kapcsolatokhoz és egyben biztonsághoz a Cisco rendszerek. Igaz, néhány tapasztalatlan adminisztrátornak van kérdése, hogy a VPN-Cisco berendezések miért nem működnek.

Ennek oka elsősorban a helytelen konfiguráció és az olyan útválasztókhoz telepített illesztőprogramok, mint a D-Link vagy a ZyXEL, amelyek csak azért igényelnek finomhangolást, mert beépített tűzfallal vannak felszerelve.

Ezenkívül figyelni kell a kapcsolási rajzokra. Ezek közül kettő lehet: útvonal-útvonal vagy távoli hozzáférés. Az első esetben beszélgetünk több elosztó eszköz kombinálásáról, a másodikban pedig a kapcsolat vagy adatátvitel távoli eléréssel történő kezeléséről.

Hozzáférési protokollok

A protokollokat tekintve manapság leginkább a PCP/IP szintű konfigurációs eszközöket használják, bár a VPN-ek belső protokolljai eltérőek lehetnek.

A VPN leállt? Meg kell néznie néhány rejtett lehetőséget. Így például a TCP technológián alapuló kiegészítő protokollok a PPP és a PPTP továbbra is a TCP / IP protokollveremhez tartoznak, de egy kapcsolathoz, mondjuk PPTP használata esetén, egy helyett két IP-címet kell használni. Az alagútkészítés azonban minden esetben magában foglalja a belső protokollokban, például az IPX-ben vagy a NetBEUI-ban található adatok átvitelét, és mindegyik speciális PPP-alapú fejléccel van ellátva, hogy zökkenőmentesen továbbítsák az adatokat a megfelelő hálózati meghajtóhoz.

Hardver eszközök

Most nézzünk meg egy olyan helyzetet, ahol felmerül a kérdés, hogy miért nem működik a VPN. Érthető, hogy a probléma a nem megfelelő hardverkonfigurációhoz köthető. De lehet más helyzet is.

Érdemes figyelni magukra az útválasztókra, amelyek a kapcsolatot vezérlik. Mint fentebb említettük, csak olyan eszközöket használjon, amelyek alkalmasak a csatlakozási paraméterekre.

Például az olyan útválasztók, mint a DI-808HV vagy DI-804HV, akár negyven eszközt is csatlakoztathatnak egyszerre. Ami a ZyXEL berendezéseket illeti, sok esetben akár a beépített hálózaton keresztül is működhet operációs rendszer ZyNOS, de csak a módot használja parancs sor Telnet protokollon keresztül. Ez a megközelítés lehetővé teszi bármely eszköz adatkonfigurálását három hálózathoz egy közös Ethernet-környezetben, IP-forgalommal, valamint az egyedi Any-IP technológia használatát, amelyet arra terveztek, hogy a továbbított forgalommal rendelkező útválasztók szabványos táblázatát használja átjáróként olyan rendszerek számára, amelyek eredetileg más alhálózatokon való működésre konfigurálva.

Mi a teendő, ha a VPN nem működik (Windows 10 és régebbi)?

A legelső és legfontosabb feltétel a kimeneti és beviteli kulcsok (Pre-shared Keys) megfeleltetése. Az alagút mindkét végén azonosnak kell lenniük. Érdemes odafigyelni az algoritmusokra is kriptográfiai titkosítás(IKE vagy Manual) hitelesítési funkcióval vagy anélkül.

Például ugyanaz az AH protokoll (az angol változatban - Authentication Header) csak engedélyezést tud biztosítani a titkosítás használatának lehetősége nélkül.

VPN kliensek és konfigurációjuk

Ami a VPN-klienseket illeti, ez sem olyan egyszerű. A legtöbb ilyen technológiákon alapuló program szabványos konfigurációs módszereket használ. Itt azonban vannak buktatók.

A probléma az, hogy hiába telepíted a klienst, ha magában az „OS-ben” kikapcsolják a szolgáltatást, abból semmi jó nem lesz. Ezért először engedélyeznie kell ezeket a beállításokat a Windows rendszerben, majd engedélyeznie kell őket az útválasztón (routeren), és csak ezután kell folytatnia magának az ügyfélnek a konfigurálását.

Magában a rendszerben új kapcsolatot kell létrehoznia, és nem egy meglévőt kell használnia. Nem fogunk foglalkozni ezzel, mivel az eljárás szabványos, de magán az útválasztón további beállításokba kell lépnie (leggyakrabban a WLAN-kapcsolat típusa menüben találhatók), és aktiválnia kell mindent, ami a VPN-kiszolgálóval kapcsolatos.

Érdemes megjegyezni azt a tényt is, hogy kísérőprogramként kell telepíteni a rendszerbe. De akkor anélkül is használható kézi beállítás egyszerűen válassza ki a legközelebbi helyet.

Az egyik legnépszerűbb és legkönnyebben használható VPN-kliens-szerver, a SecurityKISS. A program telepítve van, de akkor még a beállításokba sem kell belemenni, hogy az elosztóhoz csatlakoztatott összes eszköz normális kommunikációját biztosítsa.

Előfordul, hogy egy meglehetősen jól ismert és népszerű Kerio VPN Client csomag nem működik. Itt nem csak magára az „OS”-re, hanem az ügyfélprogram paramétereire is figyelnie kell. Általános szabály, hogy a megfelelő paraméterek bevezetése lehetővé teszi, hogy megszabaduljon a problémától. Végső megoldásként ellenőriznie kell a fő kapcsolat beállításait és a használt TCP / IP protokollokat (v4 / v6).

Mi az eredmény?

Bemutattuk a VPN működését. Elvileg nincs semmi bonyolult magában a csatlakozásban vagy az ilyen típusú hálózatok létrehozásában. A fő nehézség a konkrét berendezések beállításában és paramétereinek beállításában rejlik, amit sajnos sok felhasználó figyelmen kívül hagy, arra támaszkodva, hogy az egész folyamat automatizmussá válik.

Másrészt most már többet foglalkoztunk maguknak a VPN virtuális hálózatoknak a technológiájával kapcsolatos kérdésekkel, így külön utasítások és ajánlások alapján kell majd konfigurálnia a berendezést, telepíteni az eszközillesztőket stb.

A beállítás után kattintson a Tovább gombra. A létrehozott VPN-kapcsolat az ablakban található Hálózati kapcsolatok . Parancsikont is létrehozhat a következőhöz ezt a kapcsolatot. Úgy értem, sokak számára az internethez való csatlakozás parancsikonja az asztalon található. Itt ugyanaz a téma. A VPN-kapcsolat ugyanúgy kapcsolódik, mint az összes többi kapcsolat.

A beállítás során a felhasználó nem fér hozzá a legtöbb VPN-kapcsolat beállításához. Ezért a kapcsolat létrehozása után beléphet VPN-kapcsolat tulajdonságaiés módosítsa a kívánt beállításokat. De általában ezeket a paramétereket nem szabad megváltoztatni.

Mi az a VPN Reconnect?

A VPN Reconnect új windows funkció 7. És ahogy sejtheti, ez a funkció a VPN technológiához tartozik. Mi az a VPN, már megismerkedtünk.

Mi az a VPN Reconnect? A VPN-újracsatlakozás egy olyan szolgáltatás, amely megszakadás esetén újracsatlakozást kezdeményezhet a VPN-kiszolgálóval. A hagyományos VPN-kapcsolatokat manuálisan kellett újra létrehozni, amikor a kapcsolat megszakadt. Ebben az esetben minden folyamatot, amely abban a pillanatban lezajlott, újra kell indítani.

De az idők változnak. Az új VPN Reconnect funkció lehetővé teszi a megszakadt kapcsolat automatikus újraindítását újbóli engedélyezés nélkül. Mindez az új IKEv2 tunneling protokollnak köszönhetően a MOBIKE kiterjesztéssel lehetséges. És mivel protokollokról beszélünk, érdemes megjegyezni, hogy a Windows 7-ben is támogatott egyéb protokollok (PPTP, L2TP / IPsec, SSTP) nem kompatibilisek a VPN Reconnect funkcióval. És tekintettel arra, hogy az IKEv2 protokoll a legbiztonságosabb a fent felsorolt ​​protokollok közül, ebből az következik, hogy az új IKEv2 protokoll használata nem csak biztonságos, hanem kényelmes is.

Az IKEv2 protokoll a MOBIKE bővítménnyel lehetővé teszi a kapcsolat automatikus újraindítását akár 8 óra lekapcsolás után is. Pontosabban a maximális szünetidő 8 óra. Néhány órára elhagyhatja számítógépét, ha kikapcsolja az internetet, majd visszatérhet, csatlakozhat az internethez, és folytathatja a munkát távoli számítógép. Ezenkívül ez a protokoll lehetővé teszi a VPN-kliensek számára, hogy módosítsák címüket az interneten. Így biztonságosan mozoghat egyik helyről a másikra, miközben megszakítja a korábbi kapcsolatot és csatlakozik egy új internetkapcsolathoz, de továbbra is csatlakozik a VPN-hez. Bár valójában először megszakítja a kapcsolatot a VPN-kapcsolattal, de a VPN Reconnect azonnal visszaadja azt. Így nem fogsz észrevenni semmit.

Nemrég bemutattam az olvasóknak új technológia Közvetlen hozzáférés, amely több szempontból is megkerüli a VPN technológiát. Így a DirectAccess egyik előnye - az állandó kapcsolat - könnyen kompenzálható új funkció VPN. Itt a legfontosabb, hogy lépést tartsunk a divattal és használjunk új szoftvereket: a Windows 7-ről már említettem (egyébként a Miért jobb a Windows 7 a Windows XP-nél című cikkben további példákat is találhatunk arra, hogy az XP valóban lemarad a fejlettnél operációs rendszerek), de a Windows Server 2008 R2-ről elfelejtettem. Ez azt jelenti, hogy az IKEv2 protokoll csak a Windows Server 2008 R2 vagy újabb verziót futtató VPN-kiszolgálókat támogatja.

Nos, a végén megjelölöm azt a helyet, ahol beállíthatja a maximális kapcsolatbontási időt. Ehhez lépjen a Hálózati kapcsolatok elemre, ott keresse meg a létrehozott VPN-kapcsolatot, és lépjen rá tulajdonságait A. Ezután a lapon Biztonság keressen meg egy gombot, és kattintson rá Extra lehetőségek . A megnyílt ablakban További tulajdonságok lépjen a lapra IKEv2, ketyegés Mobilitásés adja meg a maximális szünetidőt. Így van konfigurálva a VPN Reconnect funkció.