дома > Идеи > VPN – што е тоа? — Опис и конфигурација на серверот. Што е VPN мрежа: зошто е потребна и како функционира?


VPN – што е тоа? — Опис и конфигурација на серверот. Што е VPN мрежа: зошто е потребна и како функционира?




Интернетот се повеќе се користи како средство за комуникација помеѓу компјутерите бидејќи нуди ефикасна и евтина комуникација. Сепак, Интернетот е мрежа заедничка употребаа за да се обезбеди сигурна комуникација преку него, потребен е одреден механизам кој ги задоволува најмалку следните задачи:

    доверливост на информациите;

    интегритет на податоците;

    достапност на информации;

Овие барања се исполнети со механизам наречен VPN (Виртуелна приватна мрежа) - генерализирано име за технологии кои дозволуваат една или повеќе мрежни врски (логичка мрежа) да се обезбедат преку друга мрежа (на пример, Интернет) користејќи криптографија (шифрирање, автентикација , инфраструктура) јавни клучеви, средства за заштита од повторувања и промени во пораките пренесени преку логичката мрежа).

Креирањето VPN не бара дополнителни инвестиции и ви овозможува да престанете да користите наменски линии. Во зависност од користените протоколи и целта, VPN може да обезбеди три типа на врски: домаќин-до-домаќин, домаќин-до-мрежа и мрежа-до-мрежа.

За јасност, да го замислиме следниот пример: едно претпријатие има неколку географски оддалечени гранки и „мобилни“ вработени кои работат дома или на пат. Неопходно е да се обединат сите вработени во претпријатието во единствена мрежа. Најлесен начин е да инсталирате модеми во секоја гранка и да ги организирате комуникациите по потреба. Ова решение, сепак, не е секогаш погодно и профитабилно - понекогаш е потребна постојана комуникација и голем пропусен опсег. За да го направите ова, или ќе треба да поставите посебна линија помеѓу гранките или да ги изнајмите. И двете се прилично скапи. И овде, како алтернатива, при градење на единствена безбедна мрежа, можете да користите VPN конекции на сите филијали на компанијата преку Интернет и да ги конфигурирате VPN алатките на мрежните хостови.

Ориз. 6.4.Врска VPN од локација до локација

Ориз. 6.5.Вид на VPN-врска домаќин мрежа

Во овој случај, многу проблеми се решени - филијалите може да се наоѓаат насекаде низ светот.

Опасноста овде е што, прво, отворена мрежа е отворена за напади од напаѓачи ширум светот. Второ, преку Интернет, сите податоци се пренесуваат на отворена форма, а напаѓачите, откако ја хакирале мрежата, ќе ги имаат сите информации пренесени преку мрежата. И трето, податоците не само што може да се пресретнат, туку и да се заменат при пренос преку мрежата. Напаѓачот може, на пример, да го наруши интегритетот на базите на податоци со дејствување во име на клиентите на една од доверливите гранки.

За да се спречи тоа да се случи, решенијата за VPN користат функции како што се шифрирање на податоци за да се обезбеди интегритет и доверливост, автентикација и овластување за да се потврдат корисничките права и да се дозволи пристап до виртуелната приватна мрежа.

VPN врската секогаш се состои од канал од точка до точка, познат и како тунел. Тунелот е создаден на незаштитена мрежа, која најчесто е Интернет.

Тунелирањето или инкапсулацијата е метод за пренос на корисни информации преку средна мрежа. Овие информации може да бидат рамки (или пакети) на друг протокол. Со инкапсулација, рамката не се пренесува како што е генерирана од домаќинот што испраќа, туку е обезбедена со дополнително заглавие што содржи информации за рутирање што им овозможува на инкапсулираните пакети да поминат низ посредната мрежа (Интернет). На крајот од тунелот, рамките се декапсулираат и се пренесуваат до примачот. Вообичаено, тунел се создава од два рабни уреди поставени на влезните точки во јавната мрежа. Една од јасните предности на тунелирањето е што оваа технологија ви овозможува да го шифрирате целиот изворен пакет, вклучувајќи го и заглавието, кое може да содржи податоци што содржат информации што напаѓачите ги користат за да ја хакираат мрежата (на пример, IP адреси, број на подмрежи итн. ) .

Иако VPN тунел е воспоставен помеѓу две точки, секој јазол може да воспостави дополнителни тунели со други јазли. На пример, кога три оддалечени станици треба да контактираат со истата канцеларија, ќе се создадат три посебни VPN тунели до таа канцеларија. За сите тунели, јазолот од канцелариската страна може да биде ист. Ова е можно затоа што еден јазол може да ги шифрира и дешифрира податоците во име на целата мрежа, како што е прикажано на сликата:

Ориз. 6.6.Создавање VPN тунели за повеќе оддалечени локации

Корисникот воспоставува врска со VPN портата, по што корисникот има пристап до внатрешната мрежа.

Внатре во приватна мрежа, самото шифрирање не се случува. Причината е што овој дел од мрежата се смета за безбеден и под директна контрола, наспроти интернетот. Ова исто така важи и кога се поврзуваат канцеларии користејќи VPN портали. Ова осигурува дека само информациите што се пренесуваат преку небезбеден канал помеѓу канцелариите се шифрирани.

Има многу различни решенијаза градење виртуелни приватни мрежи. Најпознатите и најшироко користени протоколи се:

    PPTP (Point-to-Point Tunneling Protocol) - овој протокол стана доста популарен поради неговото вклучување во оперативните системи на Microsoft.

    L2TP (Layer-2 Tunneling Protocol) – ги комбинира протоколот L2F (Layer 2 Forwarding) и протоколот PPTP. Обично се користи во врска со IPSec.

    IPSec (Internet Protocol Security) е официјален стандард за Интернет развиен од заедницата IETF (Internet Engineering Task Force).

Наведените протоколи се поддржани од уредите D-Link.

Протоколот PPTP е првенствено наменет за виртуелни приватни мрежи базирани на dial-up конекции. Протоколот овозможува далечински пристап, овозможувајќи им на корисниците да воспостават dial-up конекции со интернет провајдерите и да создадат безбеден тунел до нивните корпоративни мрежи. За разлика од IPSec, PPTP првично не беше наменет да создава тунели помеѓу локалните мрежи. PPTP ги проширува можностите на PPP, протокол за податочна врска кој првично беше дизајниран да ги енкапсулира податоците и да ги испорачува преку конекции од точка до точка.

Протоколот PPTP ви овозможува да креирате безбедни канали за размена на податоци преку различни протоколи - IP, IPX, NetBEUI итн. Податоците од овие протоколи се спакувани во PPP рамки и инкапсулирани со помош на протоколот PPTP во пакети на IP протоколи. Тие потоа се пренесуваат користејќи IP во шифрирана форма преку која било TCP/IP мрежа. Приемниот јазол извлекува PPP рамки од IP пакети и потоа ги обработува на стандарден начин, т.е. извлекува IP, IPX или NetBEUI пакет од PPP рамка и го испраќа преку локалната мрежа. Така, протоколот PPTP создава врска од точка до точка во мрежата и пренесува податоци преку креираниот безбеден канал. Главната предност на инкапсулирањето на протоколи како што е PPTP е нивната повеќепротоколна природа. Оние. Заштитата на податоците на слојот за податочна врска е транспарентна за протоколите на мрежните и апликативните слоеви. Затоа, во рамките на мрежата, и IP протоколот (како во случајот со VPN базиран на IPSec) и кој било друг протокол може да се користи како транспорт.

Во моментов, поради леснотијата на имплементација, протоколот PPTP е широко користен и за добивање сигурен безбеден пристап до корпоративната мрежа и за пристап до мрежите на интернет провајдери, кога клиентот треба да воспостави PPTP конекција со интернет-провајдерот за да добие пристап на интернет.

Методот за шифрирање што се користи во PPTP е наведен на ниво на PPP. Вообичаено, клиентот PPP е десктоп компјутер кој работи на оперативен систем на Microsoft, а протоколот за шифрирање е Microsoft Point-to-Point Encryption (MPPE). Овој протокол се базира на стандардот RSA RC4 и поддржува шифрирање од 40 или 128 бити. За многу апликации од ова ниво на шифрирање, употребата на овој алгоритам е сосема доволна, иако се смета за помалку безбеден од некои други алгоритми за шифрирање понудени од IPSec, особено 168-битниот троен стандард за шифрирање податоци (3DES) .

Како се воспоставува врскатаPPTP?

PPTP инкапсулира IP пакети за пренос преку IP мрежа. PPTP клиентите создаваат конекција за контрола на тунелот што го одржува каналот да работи. Овој процес се изведува на транспортниот слој на моделот OSI. Откако ќе се креира тунелот, клиентскиот компјутер и серверот почнуваат да разменуваат пакети на услуги.

Покрај PPTP контролната врска, се создава врска за препраќање податоци низ тунелот. Капсулирањето на податоците пред да се испратат во тунелот вклучува два чекора. Прво, се креира информативниот дел од рамката PPP. Податоците течат од врвот до дното, од слојот на апликацијата OSI до слојот за податочна врска. Примените податоци потоа се испраќаат до моделот OSI и се инкапсулираат со протоколи на горниот слој.

Податоците од слојот за поврзување стигнуваат до транспортниот слој. Сепак, информацијата не може да се испрати до нејзината дестинација, бидејќи слојот за податочна врска на OSI е одговорен за ова. Затоа, PPTP го шифрира полето за носивост на пакетот и ги презема функциите на вториот слој што обично припаѓаат на PPP, т.е., додавајќи PPP заглавие и приколка на PPTP пакетот. Ова го комплетира создавањето на рамката на слојот за врска. Следно, PPTP ја инкапсулира рамката PPP во пакет Generic Routing Encapsulation (GRE), кој припаѓа на мрежниот слој. GRE ги инкапсулира протоколите на мрежниот слој како што се IP, IPX за да овозможи нивно пренесување преку IP мрежи. Сепак, користењето само на протоколот GRE нема да обезбеди воспоставување сесија и безбедност на податоците. Ова ја користи способноста на PPTP да создаде конекција за контрола на тунелот. Користењето на GRE како метод на инкапсулација го ограничува опсегот на PPTP само на IP мрежи.

Откако рамката PPP е инкапсулирана во рамка со заглавие GRE, инкапсулацијата се изведува во рамка со заглавие на IP. Заглавието на IP ги содржи адресите на изворот и дестинацијата на пакетот. Конечно, PPTP додава PPP заглавие и крај.

На оризот. 6.7Структурата на податоци за препраќање преку тунел PPTP е прикажана:

Ориз. 6.7.Структура на податоци за препраќање преку тунел PPTP

Воспоставувањето VPN базирано на PPTP не бара големи трошоци или сложени поставки: доволно е да инсталирате PPTP сервер во централната канцеларија (PPTP решенија постојат и за Windows и Linux платформи) и да ги извршите потребните поставки на компјутерите на клиентите. Ако треба да комбинирате неколку гранки, тогаш наместо да поставите PPTP на сите клиентски станици, подобро е да користите Интернет рутер или заштитен ѕид со поддршка за PPTP: поставките се прават само на рабниот рутер (заштитен ѕид) поврзан на Интернет. сè е апсолутно транспарентно за корисниците. Примери за такви уреди се мултифункционалните интернет рутери од серијата DIR/DSR и заштитните ѕидови од серијата DFL.

GRE-тунели

Generic Routing Encapsulation (GRE) е протокол за енкапсулација на мрежни пакети кој обезбедува тунелирање на сообраќајот низ мрежите без шифрирање. Примери за користење на GRE:

    пренос на сообраќај (вклучувајќи емитување) преку опрема што не поддржува специфичен протокол;

    тунелирање IPv6 сообраќај преку IPv4 мрежа;

    пренос на податоци преку јавни мрежи за да се имплементира безбедна VPN конекција.

Ориз. 6.8.Пример за тоа како функционира тунелот GRE

Помеѓу два рутери А и Б ( оризот. 6.8) има неколку рутери, тунелот GRE ви овозможува да обезбедите врска помеѓу локалните мрежи 192.168.1.0/24 и 192.168.3.0/24 како рутерите А и Б да се директно поврзани.

Л2 ТП

Протоколот L2TP се појави како резултат на комбинацијата на протоколите PPTP и L2F. Главната предност на протоколот L2TP е тоа што ви овозможува да креирате тунел не само во IP мрежите, туку и во мрежите ATM, X.25 и Frame relay. L2TP користи UDP како транспорт и го користи истиот формат на порака и за контрола на тунелот и за препраќање податоци.

Како и кај PPTP, L2TP започнува да собира пакет за пренос во тунелот со прво додавање на PPP заглавието во полето за информации за PPP, а потоа заглавието L2TP. Добиениот пакет е инкапсулиран со UDP. Во зависност од избраниот тип на безбедносна политика IPSec, L2TP може да ги шифрира UDP пораките и да додаде заглавие и завршеток на Encapsulating Security Payload (ESP), како и завршеток за IPSec Authentication (видете го делот „L2TP преку IPSec“). Потоа се инкапсулира во IP. Се додава заглавие на IP што ги содржи адресите на испраќачот и примачот. Конечно, L2TP врши втора енкапсулација на PPP за да ги подготви податоците за пренос. На оризот. 6.9ја прикажува структурата на податоци за препраќање преку L2TP тунел.

Ориз. 6.9.Структура на податоци за препраќање преку L2TP тунел

Компјутерот што прима ги прима податоците, го обработува заглавјето на PPP и завршувањето и го отстранува заглавието на IP. IPSec Authentication го автентицира полето со информации за IP, а заглавието IPSec ESP помага во дешифрирањето на пакетот.

Компјутерот потоа го обработува заглавието на UDP и го користи заглавието L2TP за да го идентификува тунелот. Пакетот PPP сега содржи само податоци за носивоста што се обработуваат или препраќаат до наведениот примач.

IPsec (кратенка од IP Security) е збир на протоколи за обезбедување заштита на податоците пренесени преку Интернет протоколот (IP), овозможувајќи автентикација и/или шифрирање на IP пакети. IPsec вклучува и протоколи за безбедна размена на клучеви преку Интернет.

Безбедноста на IPSec се постигнува преку дополнителни протоколи кои додаваат свои заглавија во IP пакетот - енкапсулација. Бидејќи IPSec е Интернет стандард и има RFC за него:

    RFC 2401 (Безбедносна архитектура за Интернет протокол) – безбедносна архитектура за IP протоколот.

    RFC 2402 (Заглавие за автентикација на IP) – Заглавие за автентикација на IP.

    RFC 2404 (Употреба на HMAC-SHA-1-96 во ESP и AH) – употреба на алгоритам за хеширање SHA-1 за креирање на заглавието за автентикација.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – употреба на алгоритам за шифрирање DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – шифрирање на податоци.

    RFC 2407 (Интернет IP безбедносен домен на толкување за ISAKMP) е опсегот на протоколот за управување со клучеви.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – управување со клучеви и автентикатори за безбедни врски.

    RFC 2409 (The Internet Key Exchange (IKE)) – размена на клучеви.

    RFC 2410 (Алгоритам за шифрирање NULL и неговата употреба со IPsec) – алгоритам за нула шифрирање и неговата употреба.

    RFC 2411 (IP Security Document Roadmap) е понатамошен развој на стандардот.

    RFC 2412 (Протокол за одредување на клучот OAKLEY) – проверка на автентичноста на клучот.

IPsec е составен дел на Интернет протоколот IPv6 и опционална екстензија на верзијата IPv4 на Интернет протоколот.

Механизмот IPSec ги решава следниве проблеми:

    автентикација на корисници или компјутери при иницијализирање на безбеден канал;

    шифрирање и автентикација на податоците што се пренесуваат помеѓу безбедните крајни точки на каналот;

    автоматско обезбедување на крајните точки на каналот со тајни клучеви неопходни за функционирање на протоколите за автентикација и шифрирање податоци.

IPSec компоненти

Протокол AH (Authentication Header) – протокол за идентификација на заглавието. Обезбедува интегритет со потврдување дека ниту еден бит во заштитениот дел од пакетот не е сменет за време на преносот. Но, користењето на AH може да предизвика проблеми, на пример, кога пакетот поминува низ NAT уред. NAT ја менува IP адресата на пакетот за да дозволи пристап до Интернет од приватна локална адреса. Бидејќи Во овој случај, пакетот ќе се промени, тогаш контролната сума на AH ќе стане неточна (за да се елиминира овој проблем, развиен е протоколот NAT-Traversal (NAT-T), кој обезбедува пренос на ESP преку UDP и користи UDP порта 4500 во своето работење) . Исто така, вреди да се напомене дека AH е дизајниран само за интегритет. Не гарантира доверливост со шифрирање на содржината на пакетот.

Протоколот ESP (Encapsulation Security Payload) обезбедува не само интегритет и автентикација на пренесените податоци, туку и шифрирање на податоците, како и заштита од лажно повторување на пакетите.

ESP протоколот е инкапсулирачки безбедносен протокол кој обезбедува и интегритет и доверливост. Во транспортниот режим, заглавието на ESP се наоѓа помеѓу оригиналното заглавие на IP и заглавието TCP или UDP. Во режимот на тунел, ESP заглавието се поставува помеѓу новото IP заглавие и целосно шифрираниот оригинален IP пакет.

Бидејќи Двата протоколи - AH и ESP - додаваат свои IP заглавија, секој од нив има свој број на протокол (ID), кој може да се користи за да се одреди што следи по IP заглавието. Секој протокол, според IANA (Internet Assigned Numbers Authority - организацијата одговорна за просторот за интернет адреси), има свој број (ID). На пример, за TCP овој број е 6, а за UDP е 17. Затоа, кога работите преку заштитен ѕид, многу е важно филтрите да ги конфигурирате на таков начин што ќе им овозможи на пакетите со ID AH и/или ESP протокол да поминуваат преку.

За да се покаже дека AH е присутен во заглавието на IP, ID на протоколот е поставен на 51, а за ESP бројот е 50.

ВНИМАНИЕ: ID на протоколот не е ист како бројот на портата.

Протоколот IKE (Internet Key Exchange) е стандарден IPsec протокол што се користи за да се обезбеди безбедна комуникација во виртуелни приватни мрежи. Целта на IKE е безбедно да преговара и да го достави идентификуваниот материјал до здружението за безбедност (SA).

SA е терминот IPSec за поврзување. Воспоставен SA (безбеден канал наречен Безбедносно здружение или SA) вклучува споделен таен клуч и збир на криптографски алгоритми.

Протоколот IKE извршува три главни задачи:

    обезбедува средство за автентикација помеѓу две крајни точки на VPN;

    воспоставува нови IPSec врски (создава пар SA);

    управува со постоечките врски.

IKE користи UDP порта број 500. Кога се користи одликата NAT Traversal, како што беше споменато претходно, протоколот IKE користи UDP порта број 4500.

Размената на податоци во IKE се случува во 2 фази. Во првата фаза се формира IKE SA. Во овој случај, крајните точки на каналот се автентични и се избираат параметрите за заштита на податоците, како што се алгоритам за шифрирање, клуч за сесија итн.

Во втората фаза, IKE SA се користи за преговарање на протокол (обично IPSec).

Кога е конфигуриран VPN тунел, се создава еден SA пар за секој користен протокол. СА се создаваат во парови, бидејќи Секоја SA е еднонасочна врска и податоците мора да се пренесат во две насоки. Добиените парови SA се зачувуваат на секој јазол.

Бидејќи секој јазол е способен да воспостави повеќе тунели со други јазли, секој SA има единствен број за да идентификува на кој јазол му припаѓа. Овој број се нарекува SPI (Индекс на безбедносни параметри).

SA е зачувана во база на податоци (DB) С.А.Д.(База на податоци за асоцијација за безбедност).

Секој IPSec јазол има и втор DB − СПД(Security Policy Database) – база на податоци за безбедносни политики. Ја содржи конфигурираната политика на страницата. Повеќето VPN решенија овозможуваат креирање на повеќе политики со комбинации на соодветни алгоритми за секој хост со кој мора да се воспостави врска.

Флексибилноста на IPSec лежи во тоа што за секоја задача има неколку начини за нејзино решавање, а методите кои се избираат за една задача обично се независни од методите за спроведување на други задачи. Сепак, работната група на IETF утврди основен сетподдржани функции и алгоритми, кои мора да се имплементираат на ист начин во сите производи што поддржуваат IPSec. Механизмите AH и ESP може да се користат со различни шеми за автентикација и шифрирање, од кои некои се задолжителни. На пример, IPSec одредува дека пакетите се автентицирани со користење на еднонасочна функција MD5 или еднонасочна функција SHA-1, а шифрирањето се врши со помош на алгоритмот DES. Производителите на производи што користат IPSec може да додадат други алгоритми за автентикација и шифрирање. На пример, некои производи поддржуваат алгоритми за шифрирање како што се 3DES, Blowfish, Cast, RC5 итн.

За шифрирање на податоците во IPSec, може да се користи кој било алгоритам за симетрично шифрирање што користи тајни клучеви.

Протоколите за заштита на пренесениот поток (AH и ESP) можат да работат во два режима: транспортен начини во режим на тунелирање. Кога работи во транспортен режим, IPsec работи само со информации за транспортниот слој, т.е. Само податочното поле на пакетот што содржи протоколи TCP/UDP е шифрирано (заглавието на IP пакетот не е променето (не е шифрирано)). Транспортниот режим обично се користи за воспоставување врски помеѓу домаќините.

Во режимот на тунелирање, целиот IP пакет е шифриран, вклучувајќи го и заглавието на мрежниот слој. За да може да се пренесе преку мрежата, се става во друг IP пакет. Во суштина, тоа е безбеден IP тунел. Режимот на тунел може да се користи за поврзување оддалечени компјутери со виртуелна приватна мрежа (шема за поврзување домаќин-мрежа) или за организирање безбеден пренос на податоци преку отворени комуникациски канали (на пример, Интернет) помеѓу портите за поврзување на различни делови од виртуелниот приватен мрежа (шема за мрежно поврзување -net").

Режимите на IPsec не се исклучуваат меѓусебно. На истиот јазол, некои SA може да користат транспортен режим додека други користат режим на тунел.

За време на фазата на автентикација, се пресметува ICV (Вредност за проверка на интегритетот) на пакетот. Ова претпоставува дека двата јазли го знаат тајниот клуч, кој му овозможува на примачот да го пресмета ICV и да го спореди со резултатот испратен од испраќачот. Ако споредбата на ICV е успешна, се смета дека испраќачот на пакетот е автентициран.

Во режим транспортА.Х.

    целиот IP пакет, освен некои полиња во заглавието на IP што може да се изменат при преносот. Овие полиња, кои се поставени на 0 за пресметка на ICV, може да бидат Тип на услуга (TOS), знаменца, поместување на фрагменти, време за живеење (TTL) и заглавие на контролната сума;

    сите полиња во АХ;

    Оптоварување на IP пакети.

AH во транспортниот режим го штити заглавието на IP (со исклучок на полињата за кои се дозволени промени) и товарот во оригиналниот IP пакет (Слика 3.39).

Во режимот на тунел, оригиналниот пакет се става во нов IP пакет, а преносот на податоци се врши врз основа на заглавието на новиот IP пакет.

За тунелен режимА.Х.Кога вршите пресметка, контролната сума на ICV ги вклучува следните компоненти:

    сите полиња од надворешното заглавие на IP, освен некои полиња во заглавието на IP што може да се изменат при преносот. Овие полиња, кои се поставени на 0 за пресметка на ICV, може да бидат Тип на услуга (TOS), знаменца, поместување на фрагменти, време за живеење (TTL) и заглавие на контролната сума;

    сите полиња AH;

    оригинален IP пакет.

Како што можете да видите на следната илустрација, режимот на тунелирање AH го штити целиот оригинален IP пакет со користење на дополнителен надворешен заглавие, кој режимот за транспорт AH не го користи:

Ориз. 6.10.Тунел и транспортни начини на работа на протоколот AN

Во режим транспортESPне го автентицира целиот пакет, туку само го штити товарот на IP. Заглавието ESP во режимот за транспорт на ESP се додава во IP пакетот веднаш по заглавјето на IP, а приколката ESP (ESP Trailer) соодветно се додава по податоците.

Режимот за транспорт на ESP ги шифрира следните делови од пакетот:

    ИП носивост;

Алгоритам за шифрирање што користи режим на синџир на блокови на шифри (CBC) има нешифрирано поле помеѓу заглавието на ESP и товарот. Ова поле се нарекува IV (Вектор за иницијализација) за пресметката на CBC што се врши на приемникот. Бидејќи ова поле се користи за започнување на процесот на дешифрирање, не може да се шифрира. Иако напаѓачот има можност да го прегледа IV, нема начин да го дешифрира шифрираниот дел од пакетот без клучот за шифрирање. За да се спречат напаѓачите да го променат векторот за иницијализација, тој е заштитен со ICV контролна сума. Во овој случај, ICV ги врши следните пресметки:

    сите полиња во заглавието ESP;

    носивост вклучувајќи обичен текст IV;

    сите полиња во ESP Trailer освен полето за податоци за автентикација.

Режимот на тунел ESP го опфаќа целиот оригинален IP пакет во новото IP заглавие, ESP заглавието и ESP трејлерот. За да покаже дека ESP е присутен во заглавието на IP, идентификаторот на IP протоколот е поставен на 50, оставајќи го оригиналниот IP заглавие и товарот непроменети. Како и со режимот на тунел AH, надворешното заглавие на IP се заснова на конфигурацијата на тунелот IPSec. Во случај на режим на тунел ESP, областа за автентикација на IP пакетот покажува каде е ставен потписот за да се потврди неговиот интегритет и автентичност, а шифрираниот дел покажува дека информациите се безбедни и доверливи. Изворното заглавие се става по заглавието ESP. Откако шифрираниот дел е инкапсулиран во ново заглавие на тунелот, кое не е шифрирано, IP пакетот се пренесува. Кога се испраќа преку јавна мрежа, пакетот се пренасочува до IP адресата на портата на примачката мрежа, а портата го дешифрира пакетот и го отфрла заглавието на ESP користејќи го оригиналниот IP заглавие за потоа да го насочи пакетот до компјутер на внатрешната мрежа. Режимот на тунелирање ESP ги шифрира следните делови од пакетот:

    оригинален IP пакет;

  • За режимот на тунел ESP, ICV се пресметува на следниов начин:

    сите полиња во заглавието ESP;

    оригинален IP пакет вклучувајќи обичен текст IV;

    сите полиња за заглавие на ESP освен полето за податоци за автентикација.

Ориз. 6.11.Тунел и транспортен режим на протоколот ESP

Ориз. 6.12.Споредба на ESP и AH протоколи

Резиме на режими на апликацијаIPSec:

    Протокол – ESP (AH).

    Режим – тунел (транспорт).

    Методот за размена на клучеви е IKE (прирачник).

    IKE режим - главен (агресивен).

    Копче DH – група 5 (група 2, група 1) – број на група за избор на динамички креирани копчиња за сесија, должина на групата.

    Автентикација – SHA1 (SHA, MD5).

    Енкрипција - DES (3DES, Blowfish, AES).

Кога креирате политика, обично е можно да се создаде подредена листа на алгоритми и групи Дифи-Хелман. Diffie-Hellman (DH) е протокол за шифрирање што се користи за воспоставување споделени тајни клучеви за IKE, IPSec и PFS (Совршена тајност на напред). Во овој случај, ќе се користи првата позиција што одговара на двата јазли. Многу е важно сè во безбедносната политика да го дозволи ова усогласување. Ако сè друго се совпаѓа освен еден дел од политиката, јазлите сè уште нема да можат да воспостават VPN врска. Кога поставувате VPN тунел помеѓу различни системитреба да откриете кои алгоритми се поддржани од секоја страна за да можете да ја изберете најбезбедната можна политика.

Основни поставки што ги вклучува безбедносната политика:

    Симетрични алгоритми за шифрирање/декрипција на податоци.

    Криптографски контролни суми за да се потврди интегритетот на податоците.

    Метод за идентификација на јазли. Најчестите методи се претходно споделени тајни или сертификати CA.

    Дали да се користи режим на тунел или режим на транспорт.

    Која Diffie-Hellman група да се користи (DH група 1 (768-битна); DH група 2 (1024-bit); DH група 5 (1536-bit)).

    Дали да користите AH, ESP или и двете.

    Дали да се користи PFS.

Ограничувањето на IPSec е тоа што поддржува само комуникации со нивоа на IP протокол.

Постојат две главни шеми за користење на IPSec, кои се разликуваат во улогата на јазлите што го формираат безбедниот канал.

Во првата шема, се формира безбеден канал помеѓу крајните домаќини на мрежата. Во оваа шема, протоколот IPSec го штити јазолот на кој работи:

Ориз. 6.13.Направете безбеден канал помеѓу две крајни точки

Во втората шема, безбеден канал е воспоставен помеѓу два безбедносни порти. Овие порти примаат податоци од крајните домаќини поврзани со мрежи лоцирани зад портите. Крајните хостови во овој случај не го поддржуваат протоколот IPSec, сообраќајот испратен до јавната мрежа поминува низ безбедносната порта, која врши заштита во нејзино име.

Ориз. 6.14.Создавање безбеден канал помеѓу два порти

За домаќините кои поддржуваат IPSec, може да се користат и транспортните и тунелските режими. На порталите им е дозволено да користат само режим на тунел.

Инсталација и поддршкаVPN

Како што споменавме погоре, инсталирањето и одржувањето на VPN тунел е процес во два чекора. Во првата фаза (фаза), два јазли се согласуваат за методот на идентификација, алгоритам за шифрирање, хаш алгоритам и Diffie-Hellman група. Тие, исто така, се идентификуваат едни со други. Сето ова може да се случи како резултат на размена на три нешифрирани пораки (т.н. агресивен режим, Агресивен Мод) или шест пораки, со размена на шифрирани информации за идентификација (стандарден режим, Главна Мод).

Во главниот режим, можно е да се координираат сите конфигурациски параметри на уредите испраќач и примач, додека во агресивен режим не постои таква можност, а некои параметри (група Diffie-Hellman, алгоритми за шифрирање и автентикација, PFS) мора да се конфигурираат идентично во напред на секој уред. Меѓутоа, во овој режим, и бројот на размени и бројот на испратени пакети се помали, што резултира со помалку време потребно за воспоставување на сесија IPSec.

Ориз. 6.15.Испраќање пораки во стандардни (а) и агресивни (б) режими

Под претпоставка дека операцијата е успешно завршена, се креира првата фаза SA − Фаза 1 С.А.(исто така наречен IKEС.А.) и процесот преминува во втората фаза.

Во втората фаза, клучните податоци се генерираат и јазлите се согласуваат за политиката што треба да се користи. Овој режим, исто така наречен Брз режим, се разликува од првата фаза по тоа што може да се воспостави само по првата фаза, кога сите пакети од втората фаза се шифрирани. Правилното завршување на втората фаза доведува до појава Фаза 2 С.А.или IPSecС.А.и во овој момент инсталацијата на тунелот се смета за завршена.

Прво, пакет со дестинација адреса во друга мрежа пристигнува до јазолот, а јазолот ја иницира првата фаза со јазолот одговорен за другата мрежа. Да речеме дека тунелот помеѓу јазлите е успешно воспоставен и чека пакети. Сепак, јазлите треба повторно да се идентификуваат едни со други и да ги споредат политиките по одреден временски период. Овој период се нарекува Phase One lifetime или IKE SA lifetime.

Јазлите, исто така, мора да го променат клучот за шифрирање на податоците по одреден временски период наречен Фаза втора или IPSec SA животен век.

Животот на втората фаза е пократок од оној на првата фаза, бидејќи ... клучот треба почесто да се менува. Треба да ги поставите истите животни параметри за двата јазли. Ако не го направите ова, тогаш можно е тунелот првично да биде успешно воспоставен, но по првиот неконзистентен животен век врската ќе биде прекината. Проблеми може да се појават и кога животниот век на првата фаза е помал од оној на втората фаза. Ако претходно конфигуриран тунел престане да работи, тогаш првото нешто што треба да се провери е животниот век на двата јазли.

Исто така, треба да се забележи дека ако политиката се смени на еден од јазлите, промените ќе стапат на сила само следниот пат кога ќе се појави првата фаза. За промените да стапат на сила веднаш, SA за овој тунел мора да се отстрани од базата на податоци на ЕЦД. Ова ќе предизвика договорот помеѓу јазлите повторно да се преговара со нови поставки за безбедносна политика.

Понекогаш кога се поставува IPSec тунел помеѓу опрема од различни производители, се јавуваат потешкотии поради координацијата на параметрите при воспоставување на првата фаза. Треба да обрнете внимание на таков параметар како Локален ID - ова е единствен идентификатор на крајната точка на тунелот (испраќач и примач). Ова е особено важно кога се создаваат повеќе тунели и се користи протоколот NAT Traversal.

МртвиВрснициОткривање

За време на операцијата VPN, во отсуство на сообраќај помеѓу крајните точки на тунелот, или кога се менуваат првичните податоци на оддалечениот јазол (на пример, менување на динамички доделена IP адреса), може да се појави ситуација кога тунелот во суштина веќе не е таков, станувајќи, како да беше, тунел на духови. Со цел да се одржи постојана подготвеност за размена на податоци во креираниот тунел IPSec, механизмот IKE (опишан во RFC 3706) ви овозможува да го следите присуството на сообраќај од оддалечениот јазол на тунелот и ако тој е отсутен одредено време, е испратена порака за здраво (во заштитните ѕидови Пораката „DPD-R-U-THERE“ се испраќа до D-Link. Ако нема одговор на оваа порака во одредено време, во заштитните ѕидови на D-Link наведени со поставките „DPD Expire Time“, тунелот се расклопува. Огнените ѕидови на D-Link после ова користејќи ги поставките „DPD Keep Time“ ( оризот. 6.18), автоматски обидете се да го вратите тунелот.

ПротоколNATПреминување

Сообраќајот IPsec може да се насочува според истите правила како и другите IP протоколи, но бидејќи рутерот не може секогаш да извлече информации специфични за протоколите на транспортниот слој, IPsec не може да помине низ NAT портите. Како што беше споменато претходно, за да се реши овој проблем, IETF дефинираше начин да се инкапсулира ESP во UDP, наречен NAT-T (NAT Traversal).

Протоколот NAT Traversal го инкапсулира IPSec сообраќајот и истовремено создава UDP пакети кои NAT ги препраќа правилно. За да го направите ова, NAT-T поставува дополнително UDP заглавие пред IPSec пакетот, така што тој се третира како обичен UDP пакет низ мрежата и домаќинот на примачот не врши никакви проверки на интегритетот. Откако пакетот ќе пристигне на својата дестинација, заглавието на UDP се отстранува и пакетот со податоци продолжува по својот пат како инкапсулиран пакет IPSec. Така, со користење на механизмот NAT-T, можно е да се воспостави комуникација помеѓу клиентите на IPSec на безбедни мрежи и јавните IPSec хостови преку заштитни ѕидови.

Кога ги конфигурирате заштитните ѕидови на D-Link на уредот на примачот, треба да се забележат две точки:

    Во полињата Remote Network и Remote Endpoint, наведете ја мрежата и IP адресата на далечинскиот уред што испраќа. Неопходно е да се дозволи IP адресата на иницијаторот (испраќачот) да се конвертира со помош на технологијата NAT (Слика 3.48).

    Кога користите споделени клучеви со повеќе тунели поврзани со истиот далечински заштитен ѕид што се NAT на истата адреса, важно е да се осигурате дека Локалната идентификација е единствена за секој тунел.

Локално ИДможе да биде еден од:

    Автоматски– IP адресата на интерфејсот за појдовен сообраќај се користи како локален идентификатор.

    IP– IP адреса на WAN портата на далечинскиот заштитен ѕид

    DNS– DNS адреса

    Тие станаа секојдневие. Точно, никој навистина не размислува за тоа што се крие зад концептот како „VPN, поставување, употреба, итн“. Повеќето корисници претпочитаат да не навлегуваат во џунглата на компјутерската терминологија и да користат стандардни шаблони. Но залудно. Од знаењето за таквите врски, можете да извлечете многу придобивки, на пример, да го зголемите сообраќајот или брзината на поврзување, итн. Ајде да погледнеме што е всушност врската со виртуелна мрежа, користејќи го примерот за интеракција помеѓу оперативните Windows системина терминал за десктоп компјутер и Android на мобилен уред.

    Што е VPN

    Да почнеме со фактот дека поставувањето VPN е невозможно без општиот принцип на разбирање на суштината на врската што се создава или користи.

    Ако објасниш со едноставни зборови, во таква мрежа нужно постои таканаречен рутер (ист рутер), кој обезбедува компјутери или мобилни уреди кои се обидуваат да се поврзат со постоечка мрежа, стандардни дополнителни IP адреси за пристап до LAN или интернет.

    Во овој случај, виртуелна мрежа во која има активирана Поставување VPN-врски, прифаќа кој било уред поврзан со него, доделувајќи единствена внатрешна IP адреса. Опсегот на такви адреси во вообичаениот стандард е од нула до вредноста 255.

    Она што е најинтересно е дека дури и при пристап на Интернет, надворешната IP адреса на уредот од кој се бара барањето не е толку лесно да се одреди. Постојат неколку причини за ова, за кои ќе се дискутира подолу.

    Наједноставното поставување VPN за Android

    Речиси сите виртуелни мрежи кои користат безжична врска како Wi-Fi работат на истиот принцип - доделување бесплатни IP адреси од достапниот опсег. Не е изненадување што некој мобилен уредможе лесно да се поврзе со нив (но само под услов да ги поддржува соодветните протоколи за поврзување).

    Сепак, денес сите паметни телефони или таблети базирани на Android OS имаат во својата функционалност опција за поврзување на истиот Wi-Fi. Мрежата се открива автоматски ако уредот е во неговата област на покриеност. Единственото нешто што можеби ќе ви треба е да внесете лозинка. Таканаречените „споделени“ воопшто не бараат лозинка.

    ВО во овој случајТреба да отидете на главните поставки на вашиот паметен телефон или таблет и да ја активирате врската Wi-Fi. Самиот систем ќе го одреди присуството на радио модули на растојание од 100-300 метри од уредот (сето тоа зависи од моделот на дистрибутивниот рутер). Откако ќе се идентификува мрежата, ќе се прикаже мени со сите достапни конекции и нивното блокирање. Ако мрежата има икона катанец, тој е заштитен со лозинка (сепак, ова првично ќе биде означено во пораката). Ако ја знаете лозинката, внесете ја.

    Во јавните мрежи, каде што најавувањето со лозинка не е обезбедено, тоа е уште поедноставно. Дали е одредена мрежата? Сите. Кликнете на врската и користете ја. Како што е веќе јасно, конфигурацијата на VPN во овој случај воопшто не е потребна. Друга работа е кога да се користи Поставки за Windowsили друг оперативен систем (дури и мобилен) за создавање врска или доделување статус на сервер за дистрибуција VPN на компјутерски терминал или лаптоп.

    Создавање на Windows

    Со оперативните системи од семејството Виндоус, не е сè толку едноставно како што мислат повеќето корисници. Се разбира, тие автоматски препознаваат мрежа или врска преку Wi-Fi, ADSL, па дури и директна врска преку мрежна картичка Ethernet (предмет на достапноста инсталирана опрема). Прашањето е различно: ако дистрибутерот не е рутер, туку лаптоп или десктоп компјутер, како да се излезе од оваа ситуација?

    Главни поставки

    Овде ќе треба да истражувате во поставките за VPN. Windows како операционен системсе смета прво.

    Прво, треба да обрнете внимание дури ни на поставките на самиот систем, туку на неговите поврзани компоненти. Точно, кога креирате врска или ја користите до максимум, ќе мора да конфигурирате некои протоколи како што се TCP/IP (IPv4, IPv6).

    Ако давателот не ги обезбедува таквите услуги автоматски, ќе мора да направите поставки што укажуваат на претходно примени параметри. На пример, при автоматско поврзување, полињата во својствата на интернет-прелистувачот за пополнување ќе бидат неактивни (ќе има точка на ставката „Автоматски добијте IP адреса“). Затоа не мора рачно да ги внесувате вредностите на маската на подмрежата, портата, DNS или WINS серверите (особено за прокси-серверите).

    Поставки на рутерот

    Без оглед на тоа дали VPN е конфигуриран на лаптоп или терминал ASUS (или кој било друг уред), пристапот до мрежата е сè уште вообичаен.

    За да го направите правилно, треба да отидете во сопственото мени. Ова може да се направи со користење на кој било интернет прелистувач, под услов рутерот да е директно поврзан со компјутер или лаптоп.

    Во полето за адреса, внесете ја вредноста 192.168.1.1 (ова одговара на повеќето модели), по што треба да ја активирате функцијата за овозможување (со користење на параметрите на рутерот во напреден режим). Обично оваа линија изгледа како тип на врска со WLAN.

    Користење на VPN клиенти

    VPN клиентите се доста специфични програми кои работат како анонимни прокси-сервери кои ја кријат вистинската IP адреса на компјутерот на корисникот при пристап до локална мрежа или на Интернет.

    Всушност, употребата на програми од овој тип е сведена на речиси целосна автоматизација. Поставката VPN во овој случај, генерално, не е важна, бидејќи самата апликација ги пренасочува барањата од еден сервер (огледало) на друг.

    Навистина, ќе мора малку да се потрудите со поставување таков клиент, особено ако сакате да го искористите максимумот од вашата домашна виртуелна мрежа достапни врски. Овде ќе треба да изберете помеѓу софтверски производи. И треба да се забележи дека некои апликации, дури и најмалите по големина, понекогаш ги надминуваат комерцијалните производи на многумина познати брендови, за што исто така треба да платите (патем, многу пари).

    Што е со TCP/IP?

    Се подразбира дека скоро сите горенаведени поставки влијаат на протоколот TCP/IP до еден или друг степен. Денес ништо подобро не е измислено за удобност. Дури и оддалечените анонимни прокси-сервери или локални продавници за податоци сè уште ги користат овие поставки. Но, треба да бидете внимателни со него.

    Најдобро е да контактирате со вашиот провајдер или системски администратор пред да ги промените поставките. Но, една работа мора јасно да се запомни: дури и при рачно поставување на вредностите, по правило, маската на подмрежата ја има низата 255.255.255.0 (може да се промени), а сите IP адреси започнуваат со вредностите 192.168.0. X (последната буква може да има од еден до три знаци ).

    Заклучок

    Сепак, сето тоа се суптилностите на компјутерската технологија. Истиот VPN клиент за Android може да обезбеди комуникација помеѓу повеќе паметни уреди. Но, најголемата пречка е дали вреди да се користи таква врска на мобилен gadget.

    Ако забележавте, не навлегувавме во премногу технички детали. Ова е прилично описно упатство за општи концепти. Но, и тој едноставен пример, мислам, ќе помогне, така да се каже, да се разбере самата суштина на прашањето. Покрај тоа, со јасно разбирање за тоа, целиот проблем ќе се сведе само на системските поставки, што нема да влијае на одреден корисник на кој било начин.

    Но, тука треба да бидете многу внимателни. Всушност, за оние кои не знаат што е VPN конекција, ова нема да им помогне многу. За понапредните корисници, вреди да се каже дека не се препорачува создавање виртуелна мрежа со помош на сопствените алатки на Windows OS. Се разбира, можете да ги користите почетните поставки, но, како што покажува практиката, подобро е да имате дополнителен клиент на залиха, кој секогаш ќе биде како кец на десетка во дупката.

    Во 21 век, информатичките технологии заземаат интегрално место во животот на речиси секоја личност. Со нив индиректно е поврзана и 80-годишна баба од село која не знае да вклучи компјутер. Бази на податоци, банкарски сметки, Сметкиво гласници - сето тоа бара високо нивобезбедност. Интернетот, кој порасна на глобално ниво, како и секој друг механизам, станува поранлив бидејќи неговиот дизајн станува покомплексен. За да се заштитат доверливите информации, беше измислена VPN технологијата.

    VPN конекција(од англиската виртуелна приватна мрежа - виртуелна приватна мрежа) е технологија која ви овозможува вештачки да формирате локална мрежа на учесници на Интернет кои не се физички поврзани со директна врска. Ова е додаток на глобалната мрежа што обезбедува комуникација помеѓу јазлите што се појавуваат директно од страната на клиентот.


    Како работи VPN конекцијата

    Виртуелната VPN мрежа работи на принципот на воспоставување фиксна врска. Комуникацијата може да се воспостави директно, помеѓу два јазли на исто ниво (на основа од мрежа до мрежа или клиент-клиент), или (почесто) помеѓу мрежа и клиент. Еден од елементите (серверот што иницира врска) мора да има статична (постојана) IP адреса на која ќе ја најдат другите мрежни јазли. На серверот се креира пристапна точка во форма на порта со пристап до Интернет. Други учесници во мрежата се придружуваат, врската е направена во форма на изолиран тунел.

    За сите преклопни јазли низ кои минуваат пакетите со податоци, информациите се шифрираат. Се пренесува во форма на неразбирлив поток, чие пресретнување нема да им даде ништо на хакерите. Копчињата за кодирање-декодирање за многу протоколи (на пример, OpenVPN) се зачувуваат само на крајните уреди. И без нив, напаѓачите не можат да направат ништо со пресретнати податоци. За максимална безбедност, архивата со сертификати и клучеви (без кои нема да може да се инсталира безбедна VPN) може да се испрати во шифрирана форма или рачно да се пренесе на флеш-уред. Во овој случај, веројатноста за неовластен пристап до мрежните компјутери е сведена на нула.

    Зошто ви треба VPN?

    Директна комуникација

    На Интернет, физичкото растојание помеѓу учесниците и сложеноста на рутата по која разменуваат податоци не се важни. Благодарение на IP адресирањето и DNS јазлите, можете да пристапите до друг компјутер внатре светска мрежаможеш од кој било агол глобус. Нивото на безбедност на врската е многу поважно, особено при размена доверлива информација. Колку повеќе префрлувачки точки (рутери, портали, мостови, јазли) минуваат податоци, толку е поголема веројатноста тие да бидат пресретнати од напаѓачите. Имајќи ги физичките параметри на компјутер или сервер (на пример, неговата IP адреса) - преку ранливи методи за поврзување, хакерите можат да навлезат во него со кршење на заштитата со лозинка. Токму од ваквите напади е дизајниран VPN протоколот да заштити.

    Деблокирање на пристапот до ресурси

    Втората функција на VPN мрежите е да отвори пристап до блокирани ресурси. Ако постои цензура на Интернет во една или друга форма на територијата на една земја (како во Кина), нејзините граѓани може да бидат ограничени во пристапот до одредени ресурси. Пристапот до мрежата преку странски VPN сервери ви овозможува да избегнете закана од репресалии кон претставниците на опозициските сили во тоталитарните земји. држава Властите кои се мешаат во слободата на говорот (како во Кина или КДРК) нема да можат да поднесат обвиненија за гледање „идеолошки штетни“ ресурси, дури и ако провајдерите им дадат резервна копија од сите пресретнати податоци.

    Некои онлајн услуги може да го блокираат пристапот до клиенти од земји и региони каде што тие не се официјално присутни. Ова понекогаш го прават онлајн игрите, меѓународните системи за плаќање, платформите за тргување, онлајн продавниците, онлајн системите за дистрибуција на дигитални содржини (музика, филмови, игри). VPN сервер со седиште во земја каде што пристапот е отворен ги отстранува таквите ограничувања и ви овозможува да купувате.

    Заштита од хакирање на приватни ресурси

    Друга причина зошто на приватните клиенти им е потребна VPN конекција е далечинско управување. Ако сакате да го заштитите вашиот сервер што е можно повеќе од надворешни пречки, можете да креирате „бел список“ на IP адреси кои имаат пристап до него. Кога една од нив (адреси) припаѓа на приватен VPN сервер, можете безбедно да се поврзете со администрираниот сервер од каде било во светот користејќи шифрирана комуникација. Административниот објект ќе смета дека е поврзан со овластен терминал и администраторот не мора да се грижи за ризикот од хакирање.

    Заштита на деловни тајни

    VPN протоколите се барани во комерцијалните структури кои работат со пари и економски тајни. Виртуелната безбедна мрежа ги спречува хакерите да хакираат сметки или да дознаат индустриски тајни и технологии. Вработените кои, поради нивните должности, треба да добијат пристап до мрежните ресурси на компанијата од дома или на службено патување, можат да организираат врска преку VPN без да ја изложат корпоративната мрежа на закана од хакирање.

    Претходно, државата имаше прилично просечно разбирање за интернетот, па легално не се мешаше со корисниците. Денес, додека шетате на World Wide Web, сè почесто може да наидете на фразата: „Оваа страница е вклучена во регистарот на забранети страници“ или „Вашиот интернет провајдер го блокираше пристапот“.

    Значи, ако сакате да се вратите целосна слободаактивности на Интернет и стекнување на друго ниво на заштита, тогаш дефинитивно треба да се запознаете со технологијата на виртуелни приватни мрежи - VPN.

    VPN: термин и принцип на работа

    Виртуелна приватна мрежа (VPN) е име на технологија која овозможува создавање и преклопување на една или повеќе мрежи на врвот на која било друга корисничка мрежа.

    Сега, како точно работи VPN? Вашиот компјутер има одредена IP адреса која го блокира пристапот до одредени локации. Ја овозможувате VPN технологијата преку некоја програма или екстензија. VPN ја менува вашата адреса во адреса од сервер во друга земја (на пример, Холандија или Германија).

    Следно, се креира безбедносна врска, која не може да биде блокирана од давателот. Како резултат на тоа, добивате безбеден протокол преку кој можете слободно да ја посетите секоја интернет страница, и тоа целосно анонимно.

    Структура и видови на технологија

    Целата технологија работи во два слоја. Првиот е внатрешна мрежа, вториот е надворешен. Кога ќе се поврзете со технологијата, системот ја идентификува вашата мрежа и потоа испраќа барање за автентикација. Оваа технологијамногу слично на овластувањето во некои социјална мрежа, само овде сè се спроведува преку безбедни протоколи и без учество на давателот.

    Самите виртуелни мрежи исто така се поделени во неколку категории. дома класификација во текспоред степенот на заштита, односно корисникот може да користи и платени и бесплатни VPN.

    Разликата меѓу нив е сигурната врска. На пример, системите за претплата ќе ви дадат безбедни протоколи како што се PPTP, IPSec и други. Додека бесплатните VPN често обезбедуваат само „доверливи“ канали. Односно, вашата мрежа мора да биде високо заштитена, а VPN само ќе го подобри нивото на заштита.

    Да бидам искрен, најголемиот недостаток на бесплатните VPN услуги не е дури ни безбедноста, туку стабилноста и брзината на поврзување. Преку бесплатен VPN, Интернетот најверојатно ќе работи многу бавно, а не секогаш стабилен.

    Претплатата на платени VPN не надминува 10 долари месечно, но не му треба на секој корисник. За обични задачи, нема смисла да се купуваат сметки на Premium, стандардните способности се доволни.

    Причини за користење VPN

    Секој корисник треба да користи VPN технологија, а еве зошто:

    • Заштита на податоци.Особено погоден за оние корисници кои сакаат да се поврзат на „бесплатната“ Wi-Fi конекција на соседот, а потоа да откријат дека податоците од нивната картичка се украдени. Таквите ситуации вклучуваат собири во кафулиња и генерално на сите места со бесплатен Wi-Fi.
    • Целосна анонимност.Кога ќе отворите нова картичка со веб-локација, ова дејство ќе се прикаже на серверот на давателот, така што вашето патување на Интернет може да го следи секој вработен во компанијата. Со вклучување на VPN, ќе ја скриете историјата на прелистување бидејќи користите друга IP адреса.
    • Способност да сурфате на Интернет без пречки.Букмејкери, онлајн казина, торенти, форуми, страници за возрасни - целото „андерграунд“ на Интернет е повторно достапно за вас, сè е како во старите денови.
    • Користење на странски ресурси.Се разбира, малку е веројатно дека ќе користите услуги на англиски јазик како што е hulu.com, но сепак, ви е овозможен целосен пристап до сите популарни страници низ светот.

    Како да користите VPN на компјутер?

    Да разгледаме ситуација кога користиме обичен прелистувач и сакаме да посетуваме блокирани страници. Во оваа ситуација, можете да одите на два начина:

    1. инсталирајте го VPN клиентот (програмата) на вашиот компјутер;
    2. додадете екстензија на прелистувачот преку Webstore.

    Или првата или втората опција - тие лесно се спроведуваат, но за целосна слика, да ги разгледаме и двете.

    Можете исто така да го користите бесплатниот.

    За да инсталирате VPN клиент, треба да преземете програма на Интернет, на пример, „Betternet“. Ајде да започнеме инсталациона датотекаи инсталирајте го клиентот. Го стартуваме, кликнете: „Поврзи се“ и тоа е тоа. Проблемот е што програмата автоматски ни дава случаен IP адреса и не можеме да избереме земја, но со притискање на само едно копче веќе користиме VPN. И уште еден недостаток е потребата постојано да се стартува програмата, меѓутоа, некои клиенти имаат можност да ја стартуваат истовремено со оперативниот систем.

    Вториот начин е да додадете екстензија. Негативната страна овде е што, најчесто, потребна е регистрација за да се користи, плус екстензиите имаат можност да се срушат. Но, екстензијата е многу полесна за користење - кликнете на иконата во прелистувачот, изберете ја земјата и профитирајте. На овој моментИма илјадници слични програми, можете да изберете која било од нив, на пример, „Hotspot Shield“. Додајте ја наставката во вашиот прелистувач, регистрирајте се и нема да има повеќе технички проблеми.

    На пример, вака функционира екстензијата ZenMate VPN во прелистувачот:

    За VPN екстензии за различни прелистувачи пишувавме во статијата: .

    Како да користите VPN на мобилни уреди?

    Ќе ги разгледаме оние уреди кои имаат популарни оперативни системи на одборот, на пример, iOS или Android.

    Користењето VPN на паметни телефони или таблети е исто така прилично едноставно, имено преку мобилни апликации. Проблемот е што некои програми бараат права на root, а тоа се дополнителни проблеми, плус можноста телефонот да се претвори во „тула“. Затоа барајте програми кои не бараат од вас да имате права на root. На Android, на пример, тоа е OpenVPN, а на iOS е Cloak. Можете исто така да го користите бесплатниот и докажан на iPhone и iPad. Јас го користам понекогаш, одлично функционира.

    Технологијата за преземање е многу едноставна: преземете ја апликацијата од Play Marketили AppStore, инсталирајте го на вашиот уред. Следно, ја активираме VPN, избираме профил (од каде ќе ја добиеме IP адресата), потоа воспоставуваме врска и тоа е сè. Сега пребарувате на Интернет преку VPN, за што ќе ви каже апликацијата што ја користите.

    Сега разбирате како се имплементира технологијата за поврзување VPN и сега вашето онлајн искуство ќе стане посигурно, анонимно и што е најважно - достапно и неограничено.