VPN (Virtual Private Network) je virtuelna privatna mreža.
Općenito govoreći, VPN je potpuno siguran kanal koji povezuje vaš uređaj s pristupom Internetu s bilo kojim drugim na globalnoj mreži. Ako je još jednostavnije, možete to zamisliti figurativno: bez povezivanja na VPN servis, vaš računar (laptop, telefon, TV ili bilo koji drugi uređaj) kada se poveže na internet je kao privatna kuća koja nije ograđena. U svakom trenutku svako može namjerno ili slučajno polomiti drveće, pogaziti leje u vašoj bašti. Koristeći VPN, vaš dom se pretvara u neosvojivu tvrđavu, koju će jednostavno biti nemoguće slomiti.
Kako radi?
Princip rada VPN-a je jednostavan i transparentan za krajnjeg korisnika. U trenutku kada se povežete na internet, stvara se virtuelni "tunel" između vašeg uređaja i ostatka interneta, blokirajući sve pokušaje izvana da uđu unutra. VPN rad ostaje potpuno transparentan i nevidljiv za vas. Vaša lična, poslovna prepiska, Skype ili telefonski razgovori ni na koji način ne mogu biti presretnuti ili preslušani. Svi vaši podaci su šifrirani pomoću posebnog algoritma za šifriranje, koji je gotovo nemoguće provaliti.
Osim zaštite od upada izvana, VPN pruža mogućnost da praktično privremeno posjetite bilo koju zemlju na svijetu i koristite mrežne resurse tih zemalja, gledate TV kanale koji su ranije bili nedostupni. VPN će vašu IP adresu zamijeniti bilo kojom drugom. Da biste to učinili, samo trebate odabrati državu sa predložene liste, na primjer Nizozemsku i sve stranice i usluge na koje ćete ići automatski će "misliti" da se nalazite u toj zemlji.
Zašto ne anonimizator ili proxy?
Postavlja se pitanje: zašto jednostavno ne koristite neku vrstu anonimizatora ili proxy servera na mreži, jer oni također lažiraju IP adresu? Sve je vrlo jednostavno - nijedan od navedenih servisa ne pruža zaštitu, i dalje ste "vidljivi" uljezima, a samim tim i svi podaci koje razmjenjujete na internetu. Osim toga, rad sa proxy serverima zahtijeva od vas određenu vještinu za postavljanje preciznih postavki. VPN radi po sljedećem principu: "Poveži se i radi", ne zahtijeva nikakva dodatna podešavanja. Cijeli proces povezivanja traje nekoliko minuta i vrlo je jednostavan.
O besplatnim VPN-ovima
Prilikom odabira, imajte na umu da besplatni VPN-ovi gotovo uvijek imaju ograničenja na količinu prometa i brzinu prijenosa podataka. To znači da može doći do situacije u kojoj jednostavno ne možete nastaviti koristiti besplatni VPN. Ne zaboravite da besplatni VPN-ovi nisu uvijek stabilni i često su preopterećeni. Čak i ako vaš limit nije prekoračen, prijenos podataka može biti odložen na duži vremenski period zbog velikog opterećenja na VPN serveru. Plaćene VPN usluge odlikuju se velikom propusnošću, nema ograničenja ni u prometu ni u brzini, a nivo sigurnosti je viši od onih besplatnih.
Gdje početi?
Većina VPN usluga pruža mogućnost besplatnog testiranja kvaliteta u kratkom periodu. Period testiranja može biti od nekoliko sati do nekoliko dana. Tokom testiranja obično dobijate potpuni pristup svim funkcionalnostima VPN usluge. Naša usluga omogućava pronalaženje takvih VPN usluga putem linka:
VPN (Virtual Private Network) ili u prevodu na ruski virtuelna privatna mreža je tehnologija koja vam omogućava da kombinujete računarske uređaje u sigurne mreže kako biste svojim korisnicima pružili šifrovani kanal i anonimni pristup resursima na Internetu.
U kompanijama, VPN se uglavnom koristi za spajanje nekoliko podružnica koje se nalaze u različitim gradovima ili čak dijelovima svijeta u jednu lokalnu mrežu. Zaposleni u takvim kompanijama, koristeći VPN, mogu koristiti sve resurse koji se nalaze u svakoj poslovnici kao svoj lokal, koji se nalazi na njihovoj strani. Na primjer, možete odštampati dokument na štampaču koji se nalazi u drugoj grani samo jednim klikom.
Za obične korisnike interneta, VPN je od koristi kada:
- sajt je blokiran od strane provajdera, ali morate ući;
- često moraju koristiti online bankarstvo i sisteme plaćanja i žele zaštititi podatke od moguće krađe;
- usluga radi samo za Evropu, a vama u Rusiji ne smeta da slušate muziku na LastFm-u;
- ne želite da stranice koje posjećujete prate vaše podatke;
- ne postoji ruter, ali je moguće spojiti dva računara na lokalnu mrežu kako bi oba omogućili pristup Internetu.
Kako VPN funkcionira
VPN-ovi rade kroz tunel koji uspostavljaju između vašeg računara i udaljenog servera. Svi podaci koji se prenose kroz ovaj tunel su šifrirani.
Može se zamisliti kao običan tunel, koji se nalazi na autoputevima, samo položen internetom između dvije tačke – kompjutera i servera. U ovom tunelu podaci, poput automobila, prelaze između tačaka najvećom mogućom brzinom. Na ulazu (na računar korisnika) ovi podaci se šifruju i u ovom obliku idu primaocu (serveru), u ovom trenutku se dešifruju i interpretiraju: fajl se preuzima, šalje se zahtev sajtu, itd. Nakon čega se primljeni podaci ponovo šifruju na serveru i kroz tunel se šalju nazad na računar korisnika.
Za anonimni pristup sajtovima i servisima dovoljna je mreža koju čine računar (tablet, pametni telefon) i server.
Općenito, razmjena podataka putem VPN-a izgleda ovako:
- Tunel se kreira između računara korisnika i servera sa instaliranim softverom za kreiranje VPN-a. Na primjer OpenVPN.
- U ovim programima, ključ (lozinka) se generiše na serveru i na računaru za šifrovanje/dešifrovanje podataka.
- Zahtjev se generiše na računaru i šifrira pomoću prethodno kreiranog ključa.
- Šifrirani podaci se prenose preko tunela do servera.
- Podaci koji su došli iz tunela na server se dešifriraju i zahtjev se izvršava – slanje fajla, ulazak na stranicu, pokretanje servisa.
- Server priprema odgovor, šifrira ga prije slanja i šalje nazad korisniku.
- Korisnički računar prima podatke i dešifruje ih ključem koji je ranije generisan.
Uređaji uključeni u VPN nisu geografski povezani i mogu se nalaziti na bilo kojoj udaljenosti jedan od drugog.
Za običnog korisnika usluga virtualne privatne mreže dovoljno je razumjeti da je pristup internetu putem VPN-a potpuna anonimnost i neograničen pristup svim resursima, uključujući i one koje je provajder blokirao ili su nedostupni za vašu zemlju.
Kome treba VPN i zašto
Stručnjaci preporučuju korištenje VPN-a za prijenos svih podataka koji ne bi trebali završiti u rukama trećih strana – login, lozinke, privatna i poslovna prepiska, te rad s internet bankarstvom. Ovo se posebno odnosi na korištenje otvorenih pristupnih tačaka - WiFi na aerodromima, kafićima, parkovima itd.
Tehnologija će također dobro doći onima koji žele slobodno pristupiti svim stranicama i uslugama, uključujući one koje je provajder blokirao ili otvorene samo za određeni krug ljudi. Na primjer, Last.fm je besplatno dostupan samo za stanovnike Sjedinjenih Država, Engleske i nekoliko drugih evropskih zemalja. Korištenje muzičkog servisa iz Rusije omogućit će VPN vezu.
Razlike između VPN-a i TOR-a, proxy-ja i anonimizatora
VPN radi globalno na računaru i preusmerava rad svih softvera instaliranih na računaru kroz tunel. Svaki zahtjev - putem chata, pretraživača, klijenta za pohranu u oblaku (dropbox) itd., prije nego što stigne do primaoca, prolazi kroz tunel i šifrira se. Srednji uređaji "zbunjuju tragove" šifriranjem zahtjeva i dešifriraju ih tek prije slanja konačnom primaocu. Krajnji primalac zahtjeva, na primjer web stranica, ne bilježi podatke korisnika – geografsku lokaciju i sl., već podatke VPN servera. Odnosno, teoretski je nemoguće pratiti koje je stranice korisnik posjetio i koje je zahtjeve poslao preko sigurne veze.
U određenoj mjeri, anonimizatori, proksiji i TOR mogu se smatrati analozima VPN-ova, ali svi su oni nešto inferiorniji u odnosu na virtualne privatne mreže.
Po čemu se VPN razlikuje od TOR-a
Kao i VPN, TOR tehnologija pretpostavlja enkripciju zahtjeva i njihov prijenos od korisnika do servera i obrnuto. Jedino TOR ne stvara trajne tunele, načini prijema/prenosa podataka se mijenjaju sa svakim pristupom, što smanjuje šanse za presretanje paketa podataka, ali ne utiče najbolje na brzinu. TOR je besplatna tehnologija i podržavaju je entuzijasti, tako da ne treba očekivati stabilan rad. Jednostavno rečeno, moći ćete pristupiti web stranici koju je blokirao vaš provajder, ali će biti potrebno nekoliko sati ili čak dana za preuzimanje HD videa s nje.
Kako se VPN razlikuje od proxyja
Proksiji, po analogiji s VPN-ovima, preusmjeravaju zahtjev na stranicu, propuštajući ga kroz posredničke servere. Takve je zahtjeve jednostavno presresti, jer se razmjena informacija odvija bez ikakvog šifriranja.
Po čemu se VPN razlikuje od anonimizatora
Anonymizer je skraćena verzija proxyja koja može raditi samo unutar otvorene kartice pretraživača. Preko nje ćete moći da uđete na stranicu, ali nećete moći da iskoristite većinu mogućnosti, a nije obezbeđeno ni šifrovanje.
Što se tiče brzine, proxy će pobijediti u metodama indirektne razmjene podataka, jer ne predviđa šifriranje komunikacionog kanala. Na drugom mjestu je VPN koji pruža ne samo anonimnost, već i zaštitu. Treće mjesto je za anonimizator ograničen na rad u otvorenom prozoru pretraživača. TOR je prikladan kada nema vremena i mogućnosti za povezivanje na VPN, ali ne biste trebali računati na brzu obradu velikih zahtjeva. Ova gradacija važi za slučaj kada se koriste neopterećeni serveri koji se nalaze na istoj udaljenosti od testiranog.
Kako se povezati na internet pomoću VPN-a
Deseci usluga nude usluge VPN pristupa na RuNetu. Pa, širom svijeta ih vjerovatno ima na stotine. Uglavnom, sve usluge se plaćaju. Troškovi se kreću od nekoliko dolara do nekoliko desetina dolara mjesečno. Stručnjaci koji se dobro razumiju u IT sami kreiraju VPN server za sebe koristeći servere za te svrhe koje obezbjeđuju razni hosting provajderi. Cijena takvog servera je obično oko 5 dolara mjesečno.
Da li više volite plaćeno ili besplatno rješenje ovisi o vašim zahtjevima i očekivanjima. Obje opcije će raditi - sakriti lokaciju, promijeniti IP, šifrirati podatke tokom prijenosa itd. - ali problemi sa brzinom i pristupom plaćenim uslugama se dešavaju mnogo rjeđe i rješavaju se mnogo brže.
Tweet
Plus
Molimo omogućite JavaScript da viditeTehnologija koja stvara logičku mrežu u drugoj mreži dobila je skraćenicu "VPN", što na engleskom doslovno znači "Virtual Private Network". Jednostavno rečeno, VPN uključuje različite metode komunikacije između uređaja unutar druge mreže i pruža mogućnost primjene različitih metoda zaštite, što značajno povećava sigurnost informacija koje se razmjenjuju između računala.
A to je vrlo važno u modernom svijetu, na primjer, za mreže velikih komercijalnih korporacija i, naravno, banaka. Ispod su detaljni vodiči o tome kako kreirati VPN, uputstva o proceduri za uspostavljanje VPN veze i kako pravilno konfigurisati kreiranu VPN vezu.
Definicija
Da biste lakše razumjeli što je VPN, samo trebate znati što on može učiniti. VPN veza dodjeljuje određeni sektor u postojeću mrežu i svi računari i digitalna oprema koja se nalazi u njoj su u stalnoj međusobnoj komunikaciji. Ali najvažnije je da je ovaj sektor potpuno zatvoren i zaštićen za sve ostale uređaje u velikoj mreži.
Kako povezati VPN
Uprkos naizgled složenosti VPN definicije, njeno kreiranje na Windows računarima, pa čak i samo podešavanje VPN-a neće predstavljati velike poteškoće ako postoji detaljan vodič. Glavni zahtjev je striktno slijediti striktan slijed sljedećih koraka:
Nadalje, vrši se podešavanje VPN-a, uzimajući u obzir razne prateće nijanse.
Kako da postavim VPN?
Potrebno ga je konfigurirati uzimajući u obzir individualne karakteristike ne samo operativnog sistema, već i operatera koji pruža komunikacijske usluge.
Windows XP
Da bi VPN u operativnom sistemu Windows XP uspješno obavljao svoj posao, potrebni su sljedeći koraci u nizu:
Zatim, kada radite u stvorenom okruženju, možete koristiti neke zgodne funkcije. Da biste to učinili, trebate učiniti sljedeće:
Napomena: Parametri se uvek različito unose, jer ne zavise samo od servera, već i od provajdera servisa.
Windows 8
U ovom OS-u pitanje kako postaviti VPN ne bi trebalo uzrokovati posebne poteškoće, jer je ovdje gotovo automatizirano.
Redoslijed radnji sastoji se od sljedećih koraka:
Zatim morate odrediti mrežne opcije. U tu svrhu izvršite sljedeće radnje:
Napomena: Unos postavki može značajno varirati ovisno o konfiguraciji mreže.
Windows 7
Proces podešavanja u Windows 7 je jednostavan i dostupan čak i neiskusnim korisnicima računara.
Da bi ih proizveo, korisnik Windows 7 mora poduzeti sljedeće korake:
Napomena: za ispravan rad potreban je pažljiv individualni odabir svih parametara.
Android
Da biste konfigurirali normalno funkcioniranje Android gadgeta u VPN okruženju, trebate napraviti nekoliko koraka:
Karakteristike veze
Ova tehnologija uključuje različite vrste kašnjenja u postupcima prenosa podataka. Do kašnjenja dolazi zbog sljedećih faktora:
- Potrebno je neko vrijeme da se uspostavi veza;
- Postoji stalan proces kodiranja prenesenih informacija;
- blokovi prenesenih informacija.
Najznačajnije razlike su prisutne u samoj tehnologiji, na primjer, za VPN nisu vam potrebni ruteri i odvojene linije. Da biste efikasno funkcionisali, potreban vam je samo pristup World Wide Webu i aplikacijama koje pružaju kodiranje informacija.
Internet se sve više koristi kao sredstvo komunikacije između računara jer nudi efikasnu i jeftinu komunikaciju. Međutim, Internet je javna mreža i da bi se putem njega osigurala sigurna komunikacija potreban je određeni mehanizam koji zadovoljava barem sljedeće zadatke:
povjerljivost informacija;
integritet podataka;
dostupnost informacija;
Ove zahtjeve ispunjava mehanizam koji se zove VPN (Virtualna privatna mreža) - generalizirani naziv za tehnologije koje omogućavaju pružanje jedne ili više mrežnih veza (logička mreža) preko druge mreže (na primjer, Interneta) koristeći kriptografiju (šifriranje, autentifikaciju). , infrastrukturni javni ključevi, sredstva za zaštitu od ponavljanja i promjena poruka koje se prenose preko logičke mreže).
Stvaranje VPN-a ne zahtijeva dodatna ulaganja i omogućava vam da napustite korištenje iznajmljenih linija. Ovisno o korištenim protokolima i namjeni, VPN može pružiti tri vrste konekcija: host-host, host-net i net-net.
Radi jasnoće, zamislimo sljedeći primjer: preduzeće ima nekoliko geografski udaljenih filijala i "mobilne" zaposlene koji rade kod kuće ili na putu. Neophodno je ujediniti sve zaposlene u preduzeću u jedinstvenu mrežu. Najlakši način je staviti modeme u svaku granu i organizirati komunikaciju po potrebi. Takvo rješenje, međutim, nije uvijek zgodno i isplativo - ponekad vam je potrebna stalna veza i velika propusnost. Da biste to učinili, morat ćete ili postaviti posebnu liniju između grana ili ih iznajmiti. Oba su prilično skupa. I ovdje, kao alternativu pri izgradnji jedne sigurne mreže, možete koristiti VPN-veze svih ogranaka kompanije putem Interneta i konfigurirati VPN-alate na mrežnim hostovima.
Rice. 6.4. Site-to-site VPN veza
Rice. 6.5. Host-to-Network VPN
U ovom slučaju se rješavaju mnogi problemi - podružnice se mogu nalaziti bilo gdje u svijetu.
Opasnost ovdje leži u činjenici da je, prije svega, otvorena mreža dostupna za napade napadača iz cijelog svijeta. Drugo, svi podaci se prenose preko Interneta u čistom obliku, a napadači će, nakon što su hakovali mrežu, sve informacije prenijeti preko mreže. I treće, podaci se ne mogu samo presresti, već i zamijeniti tokom prijenosa preko mreže. Napadač bi, na primjer, mogao ugroziti integritet baza podataka djelujući u ime klijenata jedne od povjerljivih grana.
Kako bi spriječili da se to dogodi, VPN rješenja koriste alate kao što su šifriranje podataka kako bi se osigurao integritet i povjerljivost, autentifikacija i autorizacija za provjeru valjanosti korisničkih prava i omogućavanje pristupa VPN-u.
VPN veza se uvijek sastoji od veze od tačke do tačke, poznate i kao tunel. Tunel se kreira na nezaštićenoj mreži, a to je najčešće internet.
Tuneliranje ili enkapsulacija je način prenošenja korisnih informacija preko posredničke mreže. Takve informacije mogu biti okviri (ili paketi) drugog protokola. Kod enkapsulacije, okvir se ne prenosi u obliku u kojem ga je generirao host koji ga šalje, već mu se daje dodatno zaglavlje koje sadrži informacije o ruti koje omogućava da inkapsulirani paketi prođu kroz posrednu mrežu (Internet). Na kraju tunela, okviri se dekapsuliraju i šalju primaocu. Obično tunel kreiraju dva rubna uređaja smještena na mjestima ulaska u javnu mrežu. Jedna od jasnih prednosti tuneliranja je da ova tehnologija omogućava šifriranje cijelog originalnog paketa, uključujući zaglavlje, koje može sadržavati podatke koji sadrže informacije koje napadači koriste za hakiranje mreže (na primjer, IP adrese, broj podmreža, itd. ) ...
Iako je VPN tunel uspostavljen između dvije točke, svaki čvor može uspostaviti dodatne tunele s drugim čvorovima. Na primjer, kada tri udaljene stanice trebaju komunicirati s istom kancelarijom, tri odvojena VPN tunela će biti kreirana do te kancelarije. Za sve tunele, čvor na kancelarijskoj strani može biti isti. To je moguće jer domaćin može šifrirati i dešifrirati podatke u ime cijele mreže, kao što je prikazano na slici:
Rice. 6.6. Kreirajte VPN tunele za više udaljenih lokacija
Korisnik uspostavlja vezu sa VPN gateway-om, nakon čega se korisniku odobrava pristup internoj mreži.
Sama enkripcija se ne odvija unutar privatne mreže. Razlog je taj što se ovaj dio mreže smatra sigurnim i pod direktnom kontrolom, za razliku od interneta. Isto vrijedi i kada povezujete urede koristeći VPN gatewaye. Dakle, šifriranje je zagarantovano samo za informacije koje se prenose nesigurnim kanalom između ureda.
Postoji mnogo različitih rješenja za izgradnju virtualnih privatnih mreža. Najpoznatiji i najčešće korišćeni protokoli su:
PPTP (Point-to-Point Tunneling Protocol) - ovaj protokol je postao prilično popularan zbog svog uključivanja u Microsoftove operativne sisteme.
L2TP (Layer-2 Tunneling Protocol) - kombinuje L2F (Layer 2 Forwarding) protokol i PPTP protokol. Obično se koristi u kombinaciji sa IPSec.
IPSec (Internet Protocol Security) je zvanični Internet standard koji je razvila zajednica Internet Engineering Task Force (IETF).
Navedene protokole podržavaju D-Link uređaji.
PPTP je prvenstveno namijenjen za dial-up virtuelne privatne mreže. Protokol omogućava daljinski pristup, omogućavajući korisnicima da uspostave dial-up veze sa ISP-ovima i kreiraju siguran tunel do svojih korporativnih mreža. Za razliku od IPSec-a, PPTP nije prvobitno dizajniran za LAN-to-LAN tunele. PPTP proširuje mogućnosti PPP-a, protokola za vezu podataka koji je prvobitno razvijen da inkapsulira podatke i isporučuje ih putem veze od tačke do tačke.
PPTP vam omogućava da kreirate sigurne kanale za razmenu podataka koristeći različite protokole - IP, IPX, NetBEUI, itd. Podaci ovih protokola se pakuju u PPP okvire, enkapsulirani pomoću PPTP-a u IP pakete. Zatim se prenose korištenjem IP-a u šifriranom obliku preko bilo koje TCP/IP mreže. Prijemni čvor izdvaja PPP okvire iz IP paketa i zatim ih obrađuje na standardni način, tj. izdvaja IP, IPX ili NetBEUI paket iz PPP okvira i šalje ga preko lokalne mreže. Dakle, PPTP stvara point-to-point vezu u mreži i prenosi podatke preko kreiranog sigurnog kanala. Glavna prednost inkapsuliranja protokola kao što je PPTP je to što su oni sa više protokola. One. zaštita podataka na sloju veze podataka transparentna je za protokole mrežnog i aplikacijskog sloja. Stoga, unutar mreže možete koristiti i IP protokol (kao u slučaju VPN-a zasnovanog na IPSec) i bilo koji drugi protokol kao transport.
Danas, zbog svoje lakoće implementacije, PPTP se široko koristi kako za dobijanje pouzdanog bezbednog pristupa korporativnoj mreži tako i za pristup mrežama ISP-a kada klijent treba da uspostavi PPTP vezu sa ISP-om da bi pristupio Internetu.
Metoda šifriranja koja se koristi u PPTP-u je specificirana na razini PPP-a. Tipično, PPP klijent je Microsoft desktop, a protokol šifriranja je Microsoft point-to-point enkripcija (MPPE). Ovaj protokol je baziran na RSA RC4 standardu i podržava 40- ili 128-bitnu enkripciju. Za mnoge aplikacije ovog nivoa enkripcije, upotreba ovog algoritma je dovoljna, iako se smatra manje pouzdanim od brojnih drugih algoritama za šifrovanje koje nudi IPSec, posebno 168-bitnog standarda za šifrovanje trostrukih podataka (3DES).
Kako se uspostavlja vezaPPTP?
PPTP inkapsulira IP pakete za prijenos preko IP mreže. PPTP klijenti kreiraju vezu s kontrolom tunela kako bi održali vezu živom. Ovaj proces se izvodi u transportnom sloju OSI modela. Nakon kreiranja tunela, klijentski računar i server počinju da razmjenjuju servisne pakete.
Pored PPTP kontrolne veze, kreira se i tunelska podatkovna veza. Enkapsuliranje podataka prije slanja u tunel uključuje dva koraka. Prvo se kreira informacijski dio PPP okvira. Podaci teku od vrha do dna, od sloja aplikacije OSI do sloja veze podataka. Primljeni podaci se zatim šalju prema OSI modelu i inkapsuliraju protokolima gornjeg sloja.
Podaci iz sloja veze stižu do transportnog sloja. Međutim, informacije se ne mogu poslati na svoje odredište, jer je za to odgovoran sloj OSI veze podataka. Stoga, PPTP šifrira polje korisnog opterećenja paketa i preuzima funkcije sloja 2 koje su obično povezane s PPP-om, odnosno dodaje PPP zaglavlje i trailer PPTP paketu. Ovo dovršava kreiranje okvira sloja veze. Zatim, PPTP inkapsulira PPP okvir u paket generičke enkapsulacije rutiranja (GRE) koji pripada mrežnom sloju. GRE inkapsulira protokole mrežnog sloja kao što su IP, IPX kako bi se omogućio njihov prijenos preko IP mreža. Međutim, korištenje samo GRE protokola neće osigurati uspostavljanje sesije i sigurnost podataka. Koristi sposobnost PPTP-a da stvori vezu za upravljanje tunelom. Upotreba GRE kao metode enkapsulacije ograničava PPTP polje djelovanja samo na IP mreže.
Nakon što je PPP okvir inkapsuliran u GRE okvir zaglavlja, on se inkapsulira u okvir IP zaglavlja. IP zaglavlje sadrži adrese pošiljaoca i primaoca paketa. Konačno, PPTP dodaje PPP zaglavlje i završetak.
On pirinač. 6.7 prikazuje strukturu podataka za slanje preko PPTP tunela:
Rice. 6.7. Struktura podataka PPTP tunela
Organiziranje VPN-a zasnovanog na PPTP-u ne zahtijeva velike troškove i složena podešavanja: dovoljno je instalirati PPTP server u centralni ured (PPTP rješenja postoje i za Windows i za Linux platforme) i konfigurirati potrebna podešavanja na klijentskim računalima. Ako trebate kombinirati nekoliko grana, onda je umjesto konfiguriranja PPTP-a na svim klijentskim stanicama bolje koristiti internet ruter ili firewall s podrškom za PPTP: postavke se vrše samo na graničnom ruteru (firewall) spojenom na Internet, sve je apsolutno transparentno za korisnike. Multifunkcionalni internet ruteri serije DIR/DSR i zaštitni zidovi serije DFL su primjeri takvih uređaja.
GRE-tuneli
Generička enkapsulacija rutiranja (GRE) je protokol enkapsulacije mrežnih paketa koji tunelira promet preko mreža bez enkripcije. Primjeri korištenja GRE:
prijenos prometa (uključujući emitiranje) preko opreme koja ne podržava određeni protokol;
tuneliranje IPv6 saobraćaja preko IPv4 mreže;
prijenos podataka preko javnih mreža radi implementacije sigurne VPN veze.
Rice. 6.8. Primjer GRE tunela
Između dva rutera A i B ( pirinač. 6.8) postoji više rutera, GRE tunel omogućava povezivanje između lokalnih mreža 192.168.1.0/24 i 192.168.3.0/24 kao da su ruteri A i B direktno povezani.
L2 TP
L2TP je rezultat kombinacije PPTP i L2F. Glavna prednost L2TP-a je što vam omogućava da kreirate tunel ne samo u IP mrežama, već iu ATM, X.25 i Frame relay mrežama. L2TP koristi UDP kao svoj transport i koristi isti format poruke i za upravljanje tunelom i za prijenos podataka.
Kao i kod PPTP-a, L2TP započinje sastavljanje paketa za prijenos u tunel dodavanjem prvo PPP zaglavlja, a zatim L2TP zaglavlja u polje podataka PPP informacija. Rezultirajući paket je UDP enkapsuliran. Ovisno o odabranom tipu sigurnosne politike IPSec, L2TP može šifrirati UDP poruke i dodati zaglavlje i završetak Encapsulating Security Payload (ESP), kao i završetak IPSec autentifikacije (pogledajte "L2TP preko IPSec"). Zatim se inkapsulira u IP. Dodaje se IP zaglavlje koje sadrži adrese pošiljaoca i primaoca. Konačno, L2TP izvodi drugu PPP enkapsulaciju kako bi pripremio podatke za prijenos. On pirinač. 6.9 prikazuje strukturu podataka za prosljeđivanje preko L2TP tunela.
Rice. 6.9. Struktura podataka za prosljeđivanje preko L2TP tunela
Računar koji prima podatke prima podatke, obrađuje PPP zaglavlje i završetak i uklanja IP zaglavlje. IPSec Authentication provjerava autentičnost polja IP informacija, a IPSec ESP zaglavlje pomaže dešifriranju paketa.
Računar zatim obrađuje UDP zaglavlje i koristi L2TP zaglavlje za identifikaciju tunela. PPP paket sada sadrži samo korisni teret, koji se obrađuje ili prosljeđuje određenom primaocu.
IPsec (skraćeno od IP Security) je skup protokola za osiguranje podataka koji se prenose preko Internet protokola (IP), omogućavajući autentifikaciju i/ili šifriranje IP paketa. IPsec takođe uključuje protokole za bezbednu razmenu ključeva preko Interneta.
IPSec sigurnost se postiže dodatnim protokolima koji IP paketu dodaju vlastita zaglavlja - enkapsulacije. Jer IPSec je Internet standard, za njega postoje RFC dokumenti:
RFC 2401 (Sigurnosna arhitektura za Internet protokol) - Sigurnosna arhitektura za Internet protokol.
RFC 2402 (IP Authentication header) - IP autentifikacijsko zaglavlje.
RFC 2404 (Upotreba HMAC-SHA-1-96 unutar ESP i AH) - Korištenje SHA-1 algoritma za heširanje za kreiranje zaglavlja za provjeru autentičnosti.
RFC 2405 (ESP DES-CBC algoritam šifriranja sa eksplicitnim IV) - upotreba DES algoritma za šifrovanje.
RFC 2406 (IP Encapsulating Security Payload (ESP)) - enkripcija podataka.
RFC 2407 (Internet IP bezbednosna domena interpretacije za ISAKMP) je opseg protokola za upravljanje ključevima.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Upravljanje ključevima i autentifikatorima za sigurne veze.
RFC 2409 (Razmjena internetskih ključeva (IKE)) - Razmjena ključeva.
RFC 2410 (NULL algoritam šifriranja i njegova upotreba sa IPsec-om) - nulti algoritam šifriranja i njegova upotreba.
RFC 2411 (IP sigurnosni dokument putokaz) je dalji razvoj standarda.
RFC 2412 (OAKLEY protokol za određivanje ključa) - Provjera autentičnosti ključa.
IPsec je sastavni dio IPv6 Internet protokola i opciono je proširenje za IPv4 verziju Internet protokola.
IPSec mehanizam rješava sljedeće zadatke:
autentifikaciju korisnika ili računara prilikom inicijalizacije sigurnog kanala;
enkripciju i autentifikaciju podataka koji se prenose između krajnjih tačaka sigurnog kanala;
Automatski dodijelite krajnje točke kanala tajnim ključevima potrebnim za autentifikaciju i protokole za šifriranje podataka.
IPSec komponente
AH (Authentication Header) protokol je protokol zaglavlja provjere autentičnosti. Osigurava integritet tako što provjerava da nijedan bit u zaštićenom dijelu paketa nije promijenjen tokom prijenosa. Ali korištenje AH može uzrokovati probleme, na primjer, kada paket prolazi kroz NAT uređaj. NAT mijenja IP adresu paketa kako bi omogućio pristup Internetu sa privatne lokalne adrese. Jer U tom slučaju će se paket promijeniti, tada će AH kontrolna suma postati netačna (da bi se eliminisao ovaj problem, razvijen je NAT-Traversal (NAT-T) protokol koji omogućava ESP prijenos preko UDP-a i koristi UDP port 4500 u svom radu ). Također je vrijedno napomenuti da je AH dizajniran samo za integritet. Ne jamči povjerljivost šifriranjem sadržaja paketa.
ESP (Encapsulation Security Payload) protokol obezbeđuje ne samo integritet i autentifikaciju prenetih podataka, već i enkripciju podataka, kao i zaštitu od lažnog ponavljanja paketa.
ESP je inkapsulirajući sigurnosni protokol koji pruža i integritet i povjerljivost. U transportnom načinu, ESP zaglavlje je između originalnog IP zaglavlja i TCP ili UDP zaglavlja. U tunelskom režimu, ESP zaglavlje se postavlja između novog IP zaglavlja i potpuno šifrovanog originalnog IP paketa.
Jer i AH i ESP dodaju vlastita IP zaglavlja, svako sa svojim vlastitim brojem protokola (ID), koji se može koristiti za određivanje onoga što slijedi nakon IP zaglavlja. Svaki protokol, prema IANA-i (Internet Assigned Numbers Authority - organizacija odgovorna za adresni prostor Interneta), ima svoj broj (ID). Na primjer, za TCP ovaj broj je 6, a za UDP - 17. Zbog toga je veoma važno kada radite kroz firewall da konfigurišete filtere na takav način da dozvolite pakete sa AH i/ili ESP ID-ovima protokola.
ID protokola 51 je postavljen da označava AH u IP zaglavlju, a 50 za ESP.
PAŽNJA: ID protokola nije isti kao broj porta.
Internet Key Exchange (IKE) je standardni IPsec protokol koji se koristi za osiguranje komunikacije u virtuelnim privatnim mrežama. Svrha IKE-a je sigurno pregovaranje i isporuka identificiranog materijala za Sigurnosno udruženje (SA).
SA je IPSec termin za vezu. Uspostavljeni SA (sigurni kanal koji se naziva "sigurna asocijacija" ili "sigurnosna asocijacija" - SA) uključuje zajednički tajni ključ i skup kriptografskih algoritama.
IKE služi tri glavne svrhe:
Pruža sredstva provjere autentičnosti između dvije VPN krajnje točke;
uspostavlja nove IPSec veze (kreira SA par);
upravlja postojećim linkovima.
IKE koristi UDP port 500. Kada koristi NAT Traversal, kao što je ranije spomenuto, IKE koristi UDP port 4500.
Razmjena podataka u IKE-u se odvija u 2 faze. U prvoj fazi uspostavlja se IKE SA. U ovom slučaju, krajnje točke kanala se autentifikuju i odabiru se parametri zaštite podataka, kao što su algoritam šifriranja, ključ sesije itd.
U drugoj fazi SA, IKE se koristi za pregovaranje protokola (obično IPSec).
Kada je konfiguriran VPN tunel, kreira se jedan SA par za svaki korišteni protokol. SA se kreiraju u parovima jer svaki SA je jednosmjerna veza, a podaci se moraju slati u dva smjera. Rezultirajući SA parovi su pohranjeni na svakom čvoru.
Budući da svaki čvor može uspostaviti više tunela s drugim čvorovima, svaki SA ima jedinstveni broj za određivanje kojem čvoru pripada. Ovaj broj se zove SPI (Indeks sigurnosnih parametara) ili indeks sigurnosnih parametara.
SA pohranjen u bazi podataka (DB) TUŽAN(Baza podataka udruženja za sigurnost).
Svaki IPSec čvor također ima drugi DB - SPD(Security Policy Database) - baza podataka o sigurnosnim politikama. Sadrži konfiguriranu politiku web lokacije. Većina VPN rješenja dozvoljava kreiranje više politika s kombinacijama odgovarajućih algoritama za svaki čvor na koji se želite povezati.
Fleksibilnost IPSec-a leži u činjenici da za svaki zadatak postoji nekoliko načina za njegovo rješavanje, a metode odabrane za jedan zadatak obično ne zavise od metoda za implementaciju drugih zadataka. Istovremeno, radna grupa IETF-a je definirala osnovni skup podržanih funkcija i algoritama koji bi trebali biti dosljedno implementirani u sve proizvode koji podržavaju IPSec. Mehanizmi AH i ESP mogu se koristiti sa raznim šemama autentifikacije i šifriranja, od kojih su neke potrebne. Na primjer, IPSec specificira da se paketi provjeravaju korištenjem jednosmjernog MD5 ili jednosmjernog SHA-1, a šifriranje se vrši pomoću DES-a. Proizvođači proizvoda koji koriste IPSec mogu dodati druge algoritme za autentifikaciju i šifriranje. Na primjer, neki proizvodi podržavaju algoritme šifriranja kao što su 3DES, Blowfish, Cast, RC5, itd.
Bilo koji algoritam simetričnog šifriranja koji koristi tajne ključeve može se koristiti za šifriranje podataka u IPSec-u.
Protokoli za zaštitu toka (AH i ESP) mogu raditi u dva načina - in način transporta i u način rada tunela... Kada radi u transportnom režimu, IPsec radi samo sa informacijama transportnog sloja, tj. šifrirano je samo polje podataka paketa koji sadrži TCP/UDP protokole (zaglavlje IP paketa se ne mijenja (nije šifrirano)). Transportni način se obično koristi za uspostavljanje veze između hostova.
Način rada tunela šifrira cijeli IP paket, uključujući zaglavlje mrežnog sloja. Da bi se prenosio preko mreže, stavlja se u drugi IP paket. To je u suštini siguran IP tunel. Tunelski način rada može se koristiti za povezivanje udaljenih računara na virtuelnu privatnu mrežu (šema povezivanja "host-mreža") ili za organiziranje sigurnog prijenosa podataka kroz otvorene komunikacijske kanale (na primjer, Internet) između pristupnika radi kombiniranja različitih dijelova virtualne privatne mreže. mreža ("mreža -mreža").
IPsec načini se međusobno ne isključuju. Na istom čvoru, neki SA mogu koristiti način transporta dok drugi koriste tunelski način.
Tokom faze autentifikacije, izračunava se ICV kontrolna suma (vrijednost provjere integriteta) paketa. Ovo pretpostavlja da oba čvora znaju tajni ključ, što omogućava primaocu da izračuna ICV i uporedi ga sa rezultatom koji je poslao pošiljalac. Ako je ICV poređenje uspješno, smatra se da je pošiljatelj paketa autentificiran.
U modu transportAH
cijeli IP paket, sa izuzetkom nekih polja u IP zaglavlju koja se mogu mijenjati u tranzitu. Ova polja, koja su 0 za ICV izračun, mogu biti vrsta usluge (TOS), oznake, pomak dijela, vrijeme života (TTL) i zaglavlje kontrolne sume;
sva polja u AH;
nosivost IP paketa.
AH u transportnom modu štiti IP zaglavlje (osim polja koja je dozvoljeno mijenjati) i korisni teret u originalnom IP paketu (slika 3.39).
U tunelskom režimu, originalni paket se stavlja u novi IP paket, a prenos podataka se vrši na osnovu zaglavlja novog IP paketa.
Za tunelski način radaAH Prilikom izračunavanja, ICV kontrolni zbroj uključuje sljedeće komponente:
sva polja u vanjskom IP zaglavlju, s izuzetkom nekih polja u IP zaglavlju, koja se mogu mijenjati u prijenosu. Ova polja, koja su 0 za ICV izračun, mogu biti vrsta usluge (TOS), oznake, pomak dijela, vrijeme života (TTL) i zaglavlje kontrolne sume;
sva AH polja;
originalni IP paket.
Kao što možete vidjeti na sljedećoj ilustraciji, način rada AH tuneliranja štiti cijeli originalni IP paket dodatnim vanjskim zaglavljem koje se ne koristi u AH transportnom načinu:
Rice. 6.10. Tunelski i transportni načini AN protokola
U modu transportESP ne provjerava autentičnost cijelog paketa, već samo štiti IP korisni teret. ESP zaglavlje u ESP transportnom modu dodaje se IP paketu odmah nakon IP zaglavlja, a završetak ESP (ESP Trailer) se dodaje nakon podataka.
ESP način transporta šifrira sljedeće dijelove paketa:
IP nosivost;
Algoritam šifriranja koji koristi Cipher Block Chaining (CBC) ima nešifrirano polje između ESP zaglavlja i korisnog opterećenja. Ovo polje se naziva inicijalizacijski vektor (IV) za CBC proračun koji se izvodi na prijemniku. Pošto se ovo polje koristi za pokretanje procesa dešifriranja, ne može se šifrirati. Uprkos činjenici da napadač ima mogućnost da vidi IV, on neće moći da dešifruje šifrovani deo paketa bez ključa za šifrovanje. Kako bi spriječili uljeze da promijene vektor inicijalizacije, on je zaštićen ICV kontrolnom sumom. U ovom slučaju, ICV vrši sljedeće proračune:
sva polja u ESP zaglavlju;
nosivost uključujući običan tekst IV;
sva polja u ESP Trailer-u osim polja podataka za autentifikaciju.
ESP tunelski način inkapsulira cijeli originalni IP paket u novo IP zaglavlje, ESP zaglavlje i ESP Trailer. Da bi se naznačilo da je ESP prisutan u IP zaglavlju, identifikator IP protokola je postavljen na 50, ostavljajući originalno IP zaglavlje i teret nepromijenjenim. Kao i kod AH tunelskog načina, vanjsko IP zaglavlje je bazirano na konfiguraciji IPSec tunela. U slučaju korištenja ESP tunelskog moda, područje za autentifikaciju IP paketa pokazuje gdje je potpis potpisan, potvrđujući njegov integritet i autentičnost, a šifrirani dio označava da su informacije sigurne i povjerljive. Originalno zaglavlje se postavlja iza ESP zaglavlja. Nakon što je šifrirani dio enkapsuliran u novo zaglavlje tunela koje nije šifrirano, IP paket se prenosi. Kada se pošalje preko javne mreže, takav se paket usmjerava na IP adresu gatewaya mreže primatelja, a gateway dešifruje paket i odbacuje ESP zaglavlje koristeći originalno IP zaglavlje kako bi usmjerio paket na računar na internoj mreže. ESP tunelski način šifrira sljedeće dijelove paketa:
Za ESP tunelski način rada, ICV se izračunava na sljedeći način:
sva polja u ESP zaglavlju;
originalni IP paket uključujući običan tekst IV;
sva polja ESP zaglavlja osim polja podataka za autentifikaciju.
originalni IP paket;
Rice. 6.11. ESP tunel i način transporta
Rice. 6.12. Poređenje ESP i AH protokola
Način rada Rezime aplikacijeIPSec:
Protokol - ESP (AH).
Način rada - tunel (transport).
Metoda razmjene ključeva - IKE (ručno).
IKE mod - glavni (agresivan).
DH ključ - grupa 5 (grupa 2, grupa 1) - broj grupe za odabir dinamički generiranih ključeva sesije, dužina grupe.
Autentifikacija - SHA1 (SHA, MD5).
Šifriranje - DES (3DES, Blowfish, AES).
Prilikom kreiranja politike obično je moguće kreirati uređenu listu algoritama i Diffie-Hellman grupa. Diffie-Hellman (DH) je protokol za šifriranje koji se koristi za uspostavljanje zajedničkih tajnih ključeva za IKE, IPSec i PFS (Perfect Forward Secrecy). U ovom slučaju će se koristiti prva pozicija koja se podudara na oba čvora. Vrlo je važno da sve u sigurnosnoj politici omogući ovo preklapanje. Ako se, osim jednog dijela politike, sve ostalo poklopi, vršnjaci i dalje neće moći uspostaviti VPN vezu. Kada postavljate VPN tunel između različitih sistema, morate saznati koje algoritme podržava svaka strana kako biste mogli odabrati najsigurniju moguću politiku.
Glavne postavke koje sigurnosna politika uključuje:
Simetrični algoritmi za šifriranje / dešifriranje podataka.
Kriptografske kontrolne sume za provjeru integriteta podataka.
Metoda identifikacije domaćina. Najčešći metodi su unaprijed podijeljene tajne ili CA certifikati.
Da li koristiti tunelski ili transportni način.
Koju Diffie-Hellman grupu koristiti (DH grupa 1 (768-bitna); DH grupa 2 (1024-bitna); DH grupa 5 (1536-bitna)).
Da li koristiti AH, ESP ili oboje.
Da li koristiti PFS.
Ograničenje IPSec-a je to što podržava samo prijenos podataka na sloju IP protokola.
Postoje dvije glavne sheme za korištenje IPSec-a, koje se razlikuju po ulozi čvorova koji formiraju sigurni kanal.
U prvoj shemi, sigurni kanal se formira između krajnjih hostova mreže. U ovoj šemi, IPSec štiti host koji radi:
Rice. 6.13. Kreirajte siguran kanal između dvije krajnje tačke
U drugoj šemi, uspostavljen je siguran kanal između dva sigurnosna prolaza. Ovi gatewayi primaju podatke od krajnjih hostova povezanih na mreže iza gatewaya. U ovom slučaju, krajnji domaćini ne podržavaju IPSec protokol, saobraćaj usmjeren na javnu mrežu prolazi kroz Security Gateway, koji štiti u svoje ime.
Rice. 6.14. Kreiranje sigurnog kanala između dva gateway-a
Za hostove koji podržavaju IPSec, mogu se koristiti i transportni i tunelski načini. Za pristupnike je dozvoljen samo tunelski način rada.
Instalacija i podrškaVPN
Kao što je gore spomenuto, postavljanje i održavanje VPN tunela je proces u dva koraka. U prvoj fazi (fazi), dva čvora se dogovaraju o metodi identifikacije, algoritmu šifriranja, hash algoritmu i Diffie-Hellman grupi. Takođe se identifikuju. Sve se to može dogoditi kao rezultat razmjene tri nešifrirane poruke (tzv. agresivni način rada, Agresivan način rada) ili šest poruka, uz razmjenu šifriranih identifikacijskih informacija (standardni način rada, Main način rada).
U glavnom načinu rada moguće je dogovoriti sve konfiguracijske parametre uređaja pošiljatelja i primatelja, dok u agresivnom modu to nije moguće, a neki parametri (Diffie-Hellman grupa, algoritmi za šifriranje i autentifikaciju, PFS) moraju biti unaprijed konfigurirani u na isti način na svakom uređaju. Međutim, u ovom načinu rada manji su i broj razmjena i broj paketa koji se šalju u isto vrijeme, zbog čega je potrebno manje vremena za uspostavljanje IPSec sesije.
Rice. 6.15. Razmjena poruka u standardnom (a) i agresivnom (b) načinu rada
Pod pretpostavkom da je operacija uspješno završena, kreira se prva faza SA - Faza 1 SA(takođe se zove IKESA) i proces prelazi u drugu fazu.
U drugom koraku se generišu ključni podaci, čvorovi se slažu o politici koja će se koristiti. Ovaj način rada, koji se naziva i brzi način rada, razlikuje se od prve faze po tome što se može uspostaviti tek nakon prve faze, kada su svi paketi u drugoj fazi šifrirani. Ispravan završetak druge faze dovodi do pojave Faza 2 SA ili IPSecSA i time je završena instalacija tunela.
Prvo, paket stiže do čvora sa odredišnom adresom u drugoj mreži, a čvor inicira prvu fazu sa čvorom koji je odgovoran za drugu mrežu. Recimo da je tunel između čvorova uspješno uspostavljen i čeka na pakete. Međutim, čvorovi moraju ponovo da identifikuju jedni druge i uporede politike tokom određenog vremenskog perioda. Ovaj period se naziva životni vijek prve faze ili životni vijek IKE SA.
Čvorovi također moraju promijeniti svoj ključ za šifriranje tokom vremenskog perioda koji se naziva životni vijek druge faze ili životni vijek IPSec SA.
Životni vijek druge faze je kraći od onog u prvoj fazi, jer ključ se mora češće mijenjati. Morate postaviti iste parametre vijeka trajanja za oba čvora. Ako to ne učinite, onda je moguće da će tunel u početku biti uspješno uspostavljen, ali nakon isteka prvog nedosljednog perioda života, veza će biti prekinuta. Problemi mogu nastati i kada je životni vijek prve faze kraći od životnog vijeka druge faze. Ako prethodno konfigurisani tunel prestane da radi, onda je prva stvar koju treba proveriti je životni vek na oba čvora.
Također treba napomenuti da kada promijenite politiku na jednom od čvorova, promjene će stupiti na snagu tek pri sljedećem početku prve faze. Da bi promjene odmah stupile na snagu, SA za ovaj tunel se mora ukloniti iz baze podataka SAD. Ovo će prisiliti ponovno pregovaranje o sporazumu između čvorova s novim postavkama sigurnosne politike.
Ponekad, prilikom postavljanja IPSec tunela između opreme različitih proizvođača, postoje poteškoće u vezi sa pregovaranjem o parametrima prilikom uspostavljanja prve faze. Treba obratiti pažnju na parametar kao što je Lokalni ID - ovo je jedinstveni identifikator krajnje tačke tunela (pošiljalac i primalac). Ovo je posebno važno kada kreirate više tunela i koristite NAT Traversal protokol.
SmrtPeerDetection
Tokom VPN rada, u nedostatku prometa između krajnjih tačaka tunela, ili kada se originalni podaci udaljenog čvora promijene (na primjer, promjena dinamički dodijeljene IP adrese), može nastati situacija kada tunel u suštini više nije takav. , postaje poput tunela duhova... Kako bi se održala stalna spremnost za razmjenu podataka u kreiranom IPSec tunelu, IKE mehanizam (opisan u RFC 3706) vam omogućava da kontrolirate prisustvo prometa sa udaljenog čvora tunela, a ako ga nema određeno vrijeme, pozdrav poruka se šalje (u firewall-u D-Link šalje poruku "DPD-RU-THERE"). Ako nema odgovora na ovu poruku određeno vrijeme, u D-Link zaštitnim zidovima određenim postavkama "DPD Expire Time", tunel se demontira. D-Link firewall zatim koristeći "DPD Keep Time" ( pirinač. 6.18) automatski pokušajte vratiti tunel.
ProtokolNATTraversal
IPsec saobraćaj se može usmjeriti prema istim pravilima kao i drugi IP protokoli, ali budući da ruter ne može uvijek dohvatiti informacije specifične za protokole transportnog sloja, IPsec ne može proći kroz NAT gateway. Kao što je ranije spomenuto, da bi se riješio ovaj problem, IETF je definirao način za enkapsulaciju ESP-a u UDP pod nazivom NAT-T (NAT Traversal).
NAT Traversal inkapsulira IPSec saobraćaj i istovremeno kreira UDP pakete koje NAT ispravno prosleđuje. Da bi to uradio, NAT-T postavlja dodatno UDP zaglavlje ispred IPSec paketa tako da se tretira kao običan UDP paket u celoj mreži i da domaćin primaoca ne vrši nikakve provere integriteta. Kada paket stigne na svoje odredište, UDP zaglavlje se uklanja i paket podataka nastavlja svojim putem kao enkapsulirani IPSec paket. Dakle, korištenjem NAT-T mehanizma, moguće je uspostaviti komunikaciju između IPSec klijenata na sigurnim mrežama i javnih IPSec hostova preko firewall-a.
Prilikom konfigurisanja D-Link firewall-a na uređaju primatelju, treba napomenuti dvije stavke:
u poljima Remote Network i Remote Endpoint navedite mrežu i IP adresu uređaja za udaljeno slanje. Potrebno je omogućiti translaciju IP adrese inicijatora (pošiljaoca) korišćenjem NAT tehnologije (slika 3.48).
Kada koristite dijeljene ključeve sa više tunela povezanih na isti udaljeni zaštitni zid koji su NAT-ovi na istoj adresi, važno je osigurati da je Lokalni ID jedinstven za svaki tunel.
Lokalno ID može biti jedno od:
Auto- IP adresa interfejsa odlaznog saobraćaja se koristi kao lokalni identifikator.
IP- IP adresa WAN porta udaljenog zaštitnog zida
DNS- DNS adresa
