VPN prijenos podataka. Broj istovremenih veza

Internet se sve više koristi kao sredstvo komunikacije između računara jer nudi efikasnu i jeftinu komunikaciju. Međutim, Internet je javna mreža i da bi se putem njega osigurala sigurna komunikacija potreban je određeni mehanizam koji zadovoljava barem sljedeće zadatke:

povjerljivost informacija;

integritet podataka;

dostupnost informacija;

Ove zahtjeve ispunjava mehanizam koji se zove VPN (Virtualna privatna mreža) - generalizirani naziv za tehnologije koje omogućavaju pružanje jedne ili više mrežnih veza (logičke mreže) preko druge mreže (na primjer, Interneta) koristeći kriptografiju (šifriranje, autentifikaciju). , infrastrukturni javni ključevi, sredstva za zaštitu od ponavljanja i promjena poruka koje se prenose preko logičke mreže).

Stvaranje VPN-a ne zahtijeva dodatna ulaganja i omogućava vam da napustite korištenje iznajmljenih linija. Ovisno o korištenim protokolima i namjeni, VPN može pružiti tri vrste konekcija: host-host, host-net i net-net.

Radi jasnoće, navedimo sljedeći primjer: preduzeće ima nekoliko geografski udaljenih filijala i "mobilne" zaposlene koji rade kod kuće ili na putu. Neophodno je ujediniti sve zaposlene u preduzeću u jedinstvenu mrežu. Najlakši način je staviti modeme u svaku granu i organizirati komunikaciju po potrebi. Takvo rješenje, međutim, nije uvijek zgodno i isplativo - ponekad vam je potrebna stalna veza i velika propusnost. Da biste to učinili, morat ćete ili postaviti posebnu liniju između grana ili ih iznajmiti. Oba su prilično skupa. I ovdje, kao alternativu pri izgradnji jedne sigurne mreže, možete koristiti VPN-veze svih ogranaka kompanije putem Interneta i konfigurirati VPN-alate na mrežnim hostovima.

Rice. 6.4. Site-to-site VPN veza

Rice. 6.5. Host-to-Network VPN

U ovom slučaju se rješavaju mnogi problemi - podružnice se mogu nalaziti bilo gdje u svijetu.

Opasnost ovdje leži u činjenici da je, prvo, otvorena mreža dostupna za napade napadača iz cijelog svijeta. Drugo, svi podaci se prenose preko Interneta u čistom obliku, a napadači će, nakon što su hakovali mrežu, sve informacije prenijeti preko mreže. I treće, podaci se ne mogu samo presresti, već i zamijeniti tokom prijenosa preko mreže. Napadač bi, na primjer, mogao ugroziti integritet baza podataka djelujući u ime klijenata jedne od povjerljivih grana.

Kako bi spriječili da se to dogodi, VPN rješenja koriste alate kao što su šifriranje podataka kako bi se osigurao integritet i povjerljivost, autentikacija i autorizacija za provjeru valjanosti korisničkih prava i omogućavanje pristupa VPN-u.

VPN veza se uvijek sastoji od veze od tačke do tačke, poznate i kao tunel. Tunel se kreira na nezaštićenoj mreži, a to je najčešće internet.

Tuneliranje ili enkapsulacija je način prenošenja korisnih informacija preko posredničke mreže. Takve informacije mogu biti okviri (ili paketi) drugog protokola. Kod enkapsulacije, okvir se ne prenosi u obliku u kojem ga je generirao host koji ga šalje, već ima dodatno zaglavlje koje sadrži informacije o ruti koje omogućava da inkapsulirani paketi prođu kroz posrednu mrežu (Internet). Na kraju tunela, okviri se dekapsuliraju i šalju primaocu. Obično tunel kreiraju dva rubna uređaja smještena na mjestima ulaska u javnu mrežu. Jedna od jasnih prednosti tuneliranja je da ova tehnologija omogućava šifriranje cijelog originalnog paketa, uključujući zaglavlje, koje može sadržavati podatke koji sadrže informacije koje napadači koriste za hakiranje mreže (na primjer, IP adrese, broj podmreža, itd. ) ...

Iako je VPN tunel uspostavljen između dvije točke, svaki čvor može uspostaviti dodatne tunele s drugim čvorovima. Na primjer, kada tri udaljene stanice trebaju komunicirati s istom kancelarijom, tri odvojena VPN tunela će biti kreirana do tog ureda. Za sve tunele, čvor na kancelarijskoj strani može biti isti. To je moguće jer domaćin može šifrirati i dešifrirati podatke u ime cijele mreže, kao što je prikazano na slici:

Rice. 6.6. Kreirajte VPN tunele za više udaljenih lokacija

Korisnik uspostavlja vezu sa VPN gateway-om, nakon čega se korisniku odobrava pristup internoj mreži.

Sama enkripcija se ne odvija unutar privatne mreže. Razlog je taj što se ovaj dio mreže smatra sigurnim i pod direktnom kontrolom, za razliku od interneta. Isto vrijedi i kada povezujete urede koristeći VPN gatewaye. Dakle, šifriranje je zagarantovano samo za informacije koje se prenose nesigurnim kanalom između ureda.

Postoji mnogo različitih rješenja za izgradnju virtualnih privatnih mreža. Najpoznatiji i najčešće korišćeni protokoli su:

PPTP (Point-to-Point Tunneling Protocol) - ovaj protokol je postao prilično popularan zbog svog uključivanja u Microsoftove operativne sisteme.

L2TP (Layer-2 Tunneling Protocol) - kombinuje L2F (Layer 2 Forwarding) protokol i PPTP protokol. Obično se koristi u kombinaciji sa IPSec.

IPSec (Internet Protocol Security) je zvanični Internet standard koji je razvila zajednica Internet Engineering Task Force (IETF).

Navedene protokole podržavaju D-Link uređaji.

PPTP je prvenstveno namijenjen za dial-up virtuelne privatne mreže. Protokol omogućava daljinski pristup, omogućavajući korisnicima da uspostave dial-up veze sa ISP-ovima i kreiraju siguran tunel do svojih korporativnih mreža. Za razliku od IPSec-a, PPTP nije originalno dizajniran za LAN-to-LAN tunele. PPTP proširuje mogućnosti PPP-a, protokola za vezu podataka koji je prvobitno razvijen da inkapsulira podatke i isporučuje ih putem veze od tačke do tačke.

PPTP vam omogućava da kreirate sigurne kanale za razmenu podataka koristeći različite protokole - IP, IPX, NetBEUI, itd. Podaci ovih protokola se pakuju u PPP okvire, inkapsuliraju pomoću PPTP-a u IP pakete. Zatim se prenose korištenjem IP-a u šifriranom obliku preko bilo koje TCP/IP mreže. Prijemni čvor izdvaja PPP okvire iz IP paketa i zatim ih obrađuje na standardni način, tj. izdvaja IP, IPX ili NetBEUI paket iz PPP okvira i šalje ga preko lokalne mreže. Dakle, PPTP stvara point-to-point vezu u mreži i prenosi podatke preko kreiranog sigurnog kanala. Glavna prednost inkapsuliranja protokola kao što je PPTP je to što su oni sa više protokola. One. zaštita podataka na sloju veze podataka transparentna je za protokole mrežnog i aplikacijskog sloja. Stoga, unutar mreže možete koristiti i IP protokol (kao u slučaju VPN-a zasnovanog na IPSec) i bilo koji drugi protokol kao transport.

Danas, zbog svoje lakoće implementacije, PPTP se široko koristi kako za dobijanje pouzdanog bezbednog pristupa korporativnoj mreži tako i za pristup mrežama ISP-a kada klijent treba da uspostavi PPTP vezu sa ISP-om za pristup Internetu.

Metoda šifriranja koja se koristi u PPTP-u je specificirana na razini PPP-a. Tipično, PPP klijent je Microsoft desktop, a protokol šifriranja je Microsoft point-to-point enkripcija (MPPE). Ovaj protokol je baziran na RSA RC4 standardu i podržava 40- ili 128-bitnu enkripciju. Za mnoge aplikacije ovog nivoa enkripcije, upotreba ovog algoritma je dovoljna, iako se smatra manje pouzdanim od brojnih drugih algoritama za šifrovanje koje nudi IPSec, posebno 168-bitnog standarda za šifrovanje trostrukih podataka (3DES).

Kako se uspostavlja vezaPPTP?

PPTP inkapsulira IP pakete za prijenos preko IP mreže. PPTP klijenti kreiraju vezu s kontrolom tunela kako bi održali vezu živom. Ovaj proces se izvodi u transportnom sloju OSI modela. Nakon kreiranja tunela, klijentski računar i server počinju da razmjenjuju servisne pakete.

Pored PPTP kontrolne veze, kreira se i tunelska podatkovna veza. Enkapsuliranje podataka prije slanja u tunel uključuje dva koraka. Prvo se kreira informacijski dio PPP okvira. Podaci teku od vrha do dna, od sloja aplikacije OSI do sloja veze podataka. Primljeni podaci se zatim šalju prema OSI modelu i inkapsuliraju protokolima gornjeg sloja.

Podaci iz sloja veze stižu do transportnog sloja. Međutim, informacije se ne mogu poslati na svoje odredište, jer je za to odgovoran sloj OSI veze podataka. Stoga, PPTP šifrira polje korisnog opterećenja paketa i preuzima funkcije sloja 2 koje su obično povezane s PPP-om, odnosno dodaje PPP zaglavlje i trailer PPTP paketu. Ovo dovršava kreiranje okvira sloja veze. Zatim, PPTP inkapsulira PPP okvir u paket generičke enkapsulacije rutiranja (GRE) koji pripada mrežnom sloju. GRE inkapsulira protokole mrežnog sloja kao što su IP, IPX kako bi se omogućio njihov prijenos preko IP mreža. Međutim, korištenje samo GRE protokola neće osigurati uspostavljanje sesije i sigurnost podataka. Koristi sposobnost PPTP-a da stvori vezu za upravljanje tunelom. Upotreba GRE kao metode enkapsulacije ograničava PPTP polje djelovanja samo na IP mreže.

Nakon što je PPP okvir inkapsuliran u GRE okvir zaglavlja, on se inkapsulira u okvir IP zaglavlja. IP zaglavlje sadrži adrese pošiljaoca i primaoca paketa. Konačno, PPTP dodaje PPP zaglavlje i završetak.

Na pirinač. 6.7 prikazuje strukturu podataka za slanje preko PPTP tunela:

Rice. 6.7. Struktura podataka PPTP tunela

Organiziranje VPN-a zasnovanog na PPTP-u ne zahtijeva velike troškove i složena podešavanja: dovoljno je instalirati PPTP server u centralnom uredu (PPTP rješenja postoje i za Windows i za Linux platforme) i konfigurirati potrebna podešavanja na klijentskim računalima. Ako trebate kombinirati nekoliko grana, onda je umjesto konfiguriranja PPTP-a na svim klijentskim stanicama bolje koristiti internet ruter ili firewall s podrškom za PPTP: postavke se vrše samo na graničnom ruteru (firewall) spojenom na Internet, sve je apsolutno transparentno za korisnike. Multifunkcionalni internet ruteri serije DIR/DSR i zaštitni zidovi serije DFL su primjeri takvih uređaja.

GRE-tuneli

Generička enkapsulacija rutiranja (GRE) je protokol enkapsulacije mrežnih paketa koji tunelira promet preko mreža bez enkripcije. Primjeri korištenja GRE:

prijenos prometa (uključujući emitiranje) preko opreme koja ne podržava određeni protokol;

tuneliranje IPv6 saobraćaja preko IPv4 mreže;

prijenos podataka preko javnih mreža radi implementacije sigurne VPN veze.

Rice. 6.8. Primjer GRE tunela

Između dva rutera A i B ( pirinač. 6.8) postoji više rutera, GRE tunel omogućava povezivanje između lokalnih mreža 192.168.1.0/24 i 192.168.3.0/24 kao da su ruteri A i B direktno povezani.

L2 TP

L2TP je rezultat kombinacije PPTP i L2F. Glavna prednost L2TP-a je što vam omogućava da kreirate tunel ne samo u IP mrežama, već iu ATM, X.25 i Frame relay mrežama. L2TP koristi UDP kao svoj transport i koristi isti format poruke i za upravljanje tunelom i za prijenos podataka.

Kao i kod PPTP-a, L2TP započinje sastavljanje paketa za prijenos u tunel dodavanjem prvo PPP zaglavlja, a zatim L2TP zaglavlja u polje podataka PPP informacija. Rezultirajući paket je UDP enkapsuliran. Ovisno o odabranom tipu sigurnosne politike IPSec, L2TP može šifrirati UDP poruke i dodati zaglavlje i završetak Encapsulating Security Payload (ESP), kao i završetak IPSec autentifikacije (pogledajte "L2TP preko IPSec"). Zatim se inkapsulira u IP. Dodaje se IP zaglavlje koje sadrži adrese pošiljaoca i primaoca. Konačno, L2TP izvodi drugu PPP enkapsulaciju kako bi pripremio podatke za prijenos. Na pirinač. 6.9 prikazuje strukturu podataka za prosljeđivanje preko L2TP tunela.

Rice. 6.9. Struktura podataka za prosljeđivanje preko L2TP tunela

Računar koji prima podatke prima podatke, obrađuje PPP zaglavlje i završetak i uklanja IP zaglavlje. IPSec Authentication provjerava autentičnost polja IP informacija, a IPSec ESP zaglavlje pomaže dešifriranju paketa.

Računar zatim obrađuje UDP zaglavlje i koristi L2TP zaglavlje za identifikaciju tunela. PPP paket sada sadrži samo korisni teret, koji se obrađuje ili prosljeđuje određenom primaocu.

IPsec (skraćeno od IP Security) je skup protokola za osiguranje podataka koji se prenose preko Internet protokola (IP), omogućavajući autentifikaciju i/ili šifriranje IP paketa. IPsec takođe uključuje protokole za bezbednu razmenu ključeva preko Interneta.

IPSec sigurnost se postiže dodatnim protokolima koji IP paketu dodaju vlastita zaglavlja - enkapsulacije. Jer IPSec je Internet standard, za njega postoje RFC dokumenti:

RFC 2401 (Sigurnosna arhitektura za Internet protokol) - Sigurnosna arhitektura za Internet protokol.

RFC 2402 (IP Authentication header) - IP autentifikacijsko zaglavlje.

RFC 2404 (Upotreba HMAC-SHA-1-96 unutar ESP i AH) - Korištenje SHA-1 algoritma za heširanje za kreiranje zaglavlja za provjeru autentičnosti.

RFC 2405 (ESP DES-CBC algoritam šifriranja sa eksplicitnim IV) - upotreba DES algoritma za šifrovanje.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - enkripcija podataka.

RFC 2407 (Internet IP bezbednosna domena interpretacije za ISAKMP) je opseg protokola za upravljanje ključevima.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Upravljanje ključevima i autentifikatorima za sigurne veze.

RFC 2409 (Razmjena internetskih ključeva (IKE)) - Razmjena ključeva.

RFC 2410 (NULL algoritam šifriranja i njegova upotreba sa IPsec-om) - nulti algoritam šifriranja i njegova upotreba.

RFC 2411 (IP sigurnosni dokument putokaz) je dalji razvoj standarda.

RFC 2412 (OAKLEY protokol za određivanje ključa) - Provjera autentičnosti ključa.

IPsec je sastavni dio IPv6 Internet protokola i opciono je proširenje za IPv4 verziju Internet protokola.

IPSec mehanizam rješava sljedeće zadatke:

autentifikaciju korisnika ili računara prilikom inicijalizacije sigurnog kanala;

enkripciju i autentifikaciju podataka koji se prenose između krajnjih tačaka sigurnog kanala;

Automatski dodijelite krajnje točke kanala tajnim ključevima potrebnim za autentifikaciju i protokole za šifriranje podataka.

IPSec komponente

AH (Authentication Header) protokol je protokol zaglavlja provjere autentičnosti. Osigurava integritet tako što provjerava da nijedan bit u zaštićenom dijelu paketa nije promijenjen tokom prijenosa. Ali korištenje AH može uzrokovati probleme, na primjer, kada paket prolazi kroz NAT uređaj. NAT mijenja IP adresu paketa kako bi omogućio pristup Internetu sa privatne lokalne adrese. Jer U tom slučaju će se paket promijeniti, tada će AH kontrolna suma postati netačna (da bi se eliminisao ovaj problem, razvijen je NAT-Traversal (NAT-T) protokol koji omogućava ESP prijenos preko UDP-a i koristi UDP port 4500 u svom radu ). Također je vrijedno napomenuti da je AH dizajniran samo za integritet. Ne jamči povjerljivost šifriranjem sadržaja paketa.

ESP (Encapsulation Security Payload) protokol obezbeđuje ne samo integritet i autentifikaciju prenetih podataka, već i enkripciju podataka, kao i zaštitu od lažnog ponavljanja paketa.

ESP je inkapsulirajući sigurnosni protokol koji pruža i integritet i povjerljivost. U transportnom načinu, ESP zaglavlje je između originalnog IP zaglavlja i TCP ili UDP zaglavlja. U tunelskom režimu, ESP zaglavlje se postavlja između novog IP zaglavlja i potpuno šifrovanog originalnog IP paketa.

Jer i AH i ESP dodaju svoja vlastita IP zaglavlja, svako sa svojim vlastitim brojem protokola (ID), koji se može koristiti za određivanje onoga što slijedi nakon IP zaglavlja. Svaki protokol, prema IANA-i (Internet Assigned Numbers Authority - organizacija odgovorna za adresni prostor Interneta), ima svoj broj (ID). Na primjer, za TCP ovaj broj je 6, a za UDP - 17. Zbog toga je veoma važno kada radite kroz firewall da konfigurišete filtere na takav način da dozvolite pakete sa AH i/ili ESP ID-ovima protokola.

ID protokola 51 je postavljen da označava AH u IP zaglavlju, a 50 za ESP.

PAŽNJA: ID protokola nije isti kao broj porta.

Internet Key Exchange (IKE) je standardni IPsec protokol koji se koristi za osiguranje komunikacije u virtuelnim privatnim mrežama. Svrha IKE-a je sigurno pregovaranje i isporuka identificiranog materijala za Sigurnosno udruženje (SA).

SA je IPSec termin za vezu. Uspostavljeni SA (sigurni kanal koji se naziva "sigurna asocijacija" ili "sigurnosna asocijacija" - SA) uključuje zajednički tajni ključ i skup kriptografskih algoritama.

IKE služi tri glavne svrhe:

Pruža sredstva provjere autentičnosti između dvije VPN krajnje točke;

uspostavlja nove IPSec veze (kreira SA par);

upravlja postojećim linkovima.

IKE koristi UDP port 500. Kada koristi NAT Traversal, kao što je ranije spomenuto, IKE koristi UDP port 4500.

Razmjena podataka u IKE-u se odvija u 2 faze. U prvoj fazi uspostavlja se IKE SA. U ovom slučaju, krajnje točke kanala se autentifikuju i odabiru se parametri zaštite podataka, kao što su algoritam šifriranja, ključ sesije itd.

U drugoj fazi SA, IKE se koristi za pregovaranje protokola (obično IPSec).

Kada je konfiguriran VPN tunel, kreira se jedan SA par za svaki korišteni protokol. SA se kreiraju u parovima jer svaki SA je jednosmjerna veza, a podaci se moraju slati u dva smjera. Rezultirajući SA parovi su pohranjeni na svakom čvoru.

Budući da svaki čvor može uspostaviti više tunela s drugim čvorovima, svaki SA ima jedinstveni broj za određivanje kojem čvoru pripada. Ovaj broj se zove SPI (Indeks sigurnosnih parametara) ili indeks sigurnosnih parametara.

SA pohranjen u bazi podataka (DB) TUŽAN(Baza podataka udruženja za sigurnost).

Svaki IPSec čvor također ima drugi DB - SPD(Security Policy Database) - baza podataka o sigurnosnim politikama. Sadrži konfiguriranu politiku web lokacije. Većina VPN rješenja dozvoljava kreiranje više politika s kombinacijama odgovarajućih algoritama za svaki čvor na koji se želite povezati.

Fleksibilnost IPSec-a leži u činjenici da za svaki zadatak postoji nekoliko načina za njegovo rješavanje, a metode odabrane za jedan zadatak obično ne zavise od metoda za implementaciju drugih zadataka. Istovremeno, radna grupa IETF-a je definirala osnovni skup podržanih funkcija i algoritama koji bi trebali biti dosljedno implementirani u sve proizvode koji podržavaju IPSec. Mehanizmi AH i ESP mogu se koristiti sa raznim šemama autentifikacije i šifriranja, od kojih su neke potrebne. Na primjer, IPSec specificira da se paketi provjeravaju korištenjem jednosmjernog MD5 ili jednosmjernog SHA-1, a šifriranje se vrši pomoću DES-a. Proizvođači proizvoda koji koriste IPSec mogu dodati druge algoritme za autentifikaciju i šifriranje. Na primjer, neki proizvodi podržavaju algoritme šifriranja kao što su 3DES, Blowfish, Cast, RC5, itd.

Bilo koji algoritam simetričnog šifriranja koji koristi tajne ključeve može se koristiti za šifriranje podataka u IPSec-u.

Protokoli za zaštitu toka (AH i ESP) mogu raditi u dva načina - in način transporta i u način rada tunela... Kada radi u transportnom režimu, IPsec radi samo sa informacijama transportnog sloja, tj. šifrirano je samo polje podataka paketa koji sadrži TCP/UDP protokole (zaglavlje IP paketa se ne mijenja (nije šifrirano)). Transportni način se obično koristi za uspostavljanje veze između hostova.

Način rada tunela šifrira cijeli IP paket, uključujući zaglavlje mrežnog sloja. Da bi se prenosio preko mreže, stavlja se u drugi IP paket. To je u suštini siguran IP tunel. Tunelski način rada može se koristiti za povezivanje udaljenih računara na virtuelnu privatnu mrežu (šema povezivanja "host-mreža") ili za organiziranje sigurnog prijenosa podataka kroz otvorene komunikacijske kanale (na primjer, Internet) između pristupnika radi kombiniranja različitih dijelova virtualne privatne mreže. mreža ("mreža -mreža").

IPsec načini se međusobno ne isključuju. Na istom čvoru, neki SA mogu koristiti način transporta dok drugi koriste tunelski način.

Tokom faze autentifikacije, izračunava se ICV kontrolna suma (vrijednost provjere integriteta) paketa. Ovo pretpostavlja da oba čvora znaju tajni ključ, što omogućava primaocu da izračuna ICV i uporedi ga sa rezultatom koji je poslao pošiljalac. Ako je ICV poređenje uspješno, smatra se da je pošiljatelj paketa autentificiran.

U modu transportAH

cijeli IP paket, sa izuzetkom nekih polja u IP zaglavlju koja se mogu mijenjati u tranzitu. Ova polja, koja su 0 za ICV izračunavanje, mogu biti vrsta usluge (TOS), oznake, pomak dijela, vrijeme života (TTL) i zaglavlje kontrolne sume;

sva polja u AH;

nosivost IP paketa.

AH u transportnom modu štiti IP zaglavlje (osim polja koja je dozvoljeno mijenjati) i korisni teret u originalnom IP paketu (slika 3.39).

U tunelskom režimu, originalni paket se stavlja u novi IP paket, a prenos podataka se vrši na osnovu zaglavlja novog IP paketa.

Za tunelski način radaAH Prilikom izračunavanja, ICV kontrolni zbroj uključuje sljedeće komponente:

sva polja u vanjskom IP zaglavlju, s izuzetkom nekih polja u IP zaglavlju, koja se mogu mijenjati u prijenosu. Ova polja, koja su 0 za ICV izračunavanje, mogu biti vrsta usluge (TOS), oznake, pomak dijela, vrijeme života (TTL) i zaglavlje kontrolne sume;

sva AH polja;

originalni IP paket.

Kao što možete vidjeti na sljedećoj ilustraciji, način rada AH tuneliranja štiti cijeli originalni IP paket dodatnim vanjskim zaglavljem koje se ne koristi u AH transportnom načinu:

Rice. 6.10. Tunelski i transportni načini AN protokola

U modu transportESP ne provjerava autentičnost cijelog paketa, već samo štiti IP korisni teret. ESP zaglavlje u ESP transportnom modu dodaje se IP paketu odmah nakon IP zaglavlja, a završetak ESP (ESP Trailer) se dodaje nakon podataka.

ESP način transporta šifrira sljedeće dijelove paketa:

IP nosivost;

Algoritam šifriranja koji koristi Cipher Block Chaining (CBC) način ima nešifrirano polje između ESP zaglavlja i korisnog opterećenja. Ovo polje se naziva inicijalizacijski vektor (IV) za CBC proračun koji se izvodi na prijemniku. Pošto se ovo polje koristi za pokretanje procesa dešifriranja, ne može se šifrirati. Uprkos činjenici da napadač ima mogućnost da vidi IV, on neće moći da dešifruje šifrovani deo paketa bez ključa za šifrovanje. Kako bi spriječili uljeze da promijene vektor inicijalizacije, on je zaštićen ICV kontrolnom sumom. U ovom slučaju, ICV vrši sljedeće proračune:

sva polja u ESP zaglavlju;

nosivost uključujući običan tekst IV;

sva polja u ESP Trailer-u osim polja podataka za autentifikaciju.

ESP tunelski način inkapsulira cijeli originalni IP paket u novo IP zaglavlje, ESP zaglavlje i ESP Trailer. Da bi se naznačilo da je ESP prisutan u IP zaglavlju, identifikator IP protokola je postavljen na 50, ostavljajući originalno IP zaglavlje i teret nepromijenjenim. Kao i kod AH tunelskog načina, vanjsko IP zaglavlje je bazirano na konfiguraciji IPSec tunela. U slučaju korištenja ESP tunelskog moda, područje za autentifikaciju IP paketa pokazuje gdje je potpis potpisan, potvrđujući njegov integritet i autentičnost, a šifrirani dio označava da su informacije sigurne i povjerljive. Originalno zaglavlje se postavlja iza ESP zaglavlja. Nakon što je šifrirani dio enkapsuliran u novo zaglavlje tunela koje nije šifrirano, IP paket se prenosi. Kada se pošalje preko javne mreže, takav se paket usmjerava na IP adresu gatewaya mreže primatelja, a gateway dešifruje paket i odbacuje ESP zaglavlje koristeći originalno IP zaglavlje kako bi usmjerio paket na računar na internoj mreže. ESP tunelski način šifrira sljedeće dijelove paketa:

originalni IP paket;

• Za ESP tunelski način rada, ICV se izračunava na sljedeći način:

  sva polja u ESP zaglavlju;

  originalni IP paket uključujući običan tekst IV;

  sva polja ESP zaglavlja osim polja podataka za autentifikaciju.

Rice. 6.11. ESP tunel i način transporta

Rice. 6.12. Poređenje ESP i AH protokola

Način rada Rezime aplikacijeIPSec:

Protokol - ESP (AH).

Način rada - tunel (transport).

Metoda razmjene ključeva - IKE (ručno).

IKE mod - glavni (agresivan).

DH ključ - grupa 5 (grupa 2, grupa 1) - broj grupe za odabir dinamički generiranih ključeva sesije, dužina grupe.

Autentifikacija - SHA1 (SHA, MD5).

Šifriranje - DES (3DES, Blowfish, AES).

Prilikom kreiranja politike obično je moguće kreirati uređenu listu algoritama i Diffie-Hellman grupa. Diffie-Hellman (DH) je protokol za šifriranje koji se koristi za uspostavljanje zajedničkih tajnih ključeva za IKE, IPSec i PFS (Perfect Forward Secrecy). U ovom slučaju će se koristiti prva pozicija koja se podudara na oba čvora. Vrlo je važno da sve u sigurnosnoj politici omogući ovo preklapanje. Ako se, osim jednog dijela politike, sve ostalo poklopi, vršnjaci i dalje neće moći uspostaviti VPN vezu. Kada postavljate VPN tunel između različitih sistema, morate saznati koje algoritme podržava svaka strana kako biste mogli odabrati najsigurniju moguću politiku.

Glavne postavke koje sigurnosna politika uključuje:

Simetrični algoritmi za šifriranje / dešifriranje podataka.

Kriptografske kontrolne sume za provjeru integriteta podataka.

Metoda identifikacije domaćina. Najčešći metodi su unaprijed podijeljene tajne ili CA certifikati.

Da li koristiti tunelski ili transportni način.

Koju Diffie-Hellman grupu koristiti (DH grupa 1 (768-bitna); DH grupa 2 (1024-bitna); DH grupa 5 (1536-bitna)).

Da li koristiti AH, ESP ili oboje.

Da li koristiti PFS.

Ograničenje IPSec-a je to što podržava samo prijenos podataka na sloju IP protokola.

Postoje dvije glavne sheme za korištenje IPSec-a, koje se razlikuju po ulozi čvorova koji formiraju sigurni kanal.

U prvoj shemi, sigurni kanal se formira između krajnjih hostova mreže. U ovoj šemi, IPSec štiti host koji radi:

Rice. 6.13. Kreirajte siguran kanal između dvije krajnje tačke

U drugoj šemi, uspostavljen je siguran kanal između dva sigurnosna prolaza. Ovi gatewayi primaju podatke od krajnjih hostova povezanih na mreže iza gatewaya. U ovom slučaju, krajnji domaćini ne podržavaju IPSec protokol, saobraćaj usmjeren na javnu mrežu prolazi kroz Security Gateway, koji štiti u svoje ime.

Rice. 6.14. Kreiranje sigurnog kanala između dva gateway-a

Za hostove koji podržavaju IPSec, mogu se koristiti i transportni i tunelski načini. Za pristupnike je dozvoljen samo tunelski način rada.

Instalacija i podrškaVPN

Kao što je gore spomenuto, postavljanje i održavanje VPN tunela je proces u dva koraka. U prvoj fazi (fazi), dva čvora se dogovaraju o metodi identifikacije, algoritmu šifriranja, hash algoritmu i Diffie-Hellman grupi. Takođe se identifikuju. Sve se to može dogoditi kao rezultat razmjene tri nešifrirane poruke (tzv. agresivni način rada, Agresivan način rada) ili šest poruka, uz razmjenu šifriranih identifikacijskih informacija (standardni način rada, Main način rada).

U glavnom načinu rada moguće je dogovoriti sve konfiguracijske parametre uređaja pošiljatelja i primatelja, dok u agresivnom modu to nije moguće, a neki parametri (Diffie-Hellman grupa, algoritmi za šifriranje i autentifikaciju, PFS) moraju biti unaprijed konfigurirani u na isti način na svakom uređaju. Međutim, u ovom načinu rada manji su i broj razmjena i broj paketa koji se šalju u isto vrijeme, zbog čega je potrebno manje vremena za uspostavljanje IPSec sesije.

Rice. 6.15. Razmjena poruka u standardnom (a) i agresivnom (b) načinu rada

Pod pretpostavkom da je operacija uspješno završena, kreira se prva faza SA - Faza 1 SA(takođe se zove IKESA) i proces prelazi u drugu fazu.

U drugom koraku se generišu ključni podaci, čvorovi se slažu o politici koja će se koristiti. Ovaj način rada, koji se naziva i brzi način rada, razlikuje se od prve faze po tome što se može uspostaviti tek nakon prve faze, kada su svi paketi u drugoj fazi šifrirani. Ispravan završetak druge faze dovodi do pojave Faza 2 SA ili IPSecSA i time je završena instalacija tunela.

Prvo, paket stiže do čvora sa odredišnom adresom u drugoj mreži, a čvor inicira prvu fazu sa čvorom koji je odgovoran za drugu mrežu. Recimo da je tunel između čvorova uspješno uspostavljen i čeka na pakete. Međutim, čvorovi moraju ponovo da identifikuju jedni druge i uporede politike tokom određenog vremenskog perioda. Ovaj period se naziva životni vijek prve faze ili životni vijek IKE SA.

Čvorovi također moraju promijeniti svoj ključ za šifriranje tokom vremenskog perioda koji se naziva životni vijek druge faze ili životni vijek IPSec SA.

Životni vijek druge faze je kraći od onog u prvoj fazi, jer ključ se mora češće mijenjati. Morate postaviti iste parametre vijeka trajanja za oba čvora. Ako to ne učinite, onda je moguće da će tunel u početku biti uspješno uspostavljen, ali nakon isteka prvog nedosljednog perioda života, veza će biti prekinuta. Problemi mogu nastati i kada je životni vijek prve faze kraći od životnog vijeka druge faze. Ako prethodno konfigurisani tunel prestane da radi, onda je prva stvar koju treba proveriti je životni vek na oba čvora.

Također treba napomenuti da kada promijenite politiku na jednom od čvorova, promjene će stupiti na snagu tek pri sljedećem početku prve faze. Da bi promjene odmah stupile na snagu, SA za ovaj tunel se mora ukloniti iz baze podataka SAD. Ovo će prisiliti ponovno pregovaranje o sporazumu između čvorova s ​​novim postavkama sigurnosne politike.

Ponekad, prilikom postavljanja IPSec tunela između opreme različitih proizvođača, postoje poteškoće u vezi sa pregovaranjem o parametrima prilikom uspostavljanja prve faze. Treba obratiti pažnju na takav parametar kao što je Lokalni ID - ovo je jedinstveni identifikator krajnje tačke tunela (pošiljalac i primalac). Ovo je posebno važno kada kreirate više tunela i koristite NAT Traversal protokol.

SmrtPeerDetection

Tokom VPN rada, u nedostatku prometa između krajnjih tačaka tunela, ili kada se originalni podaci udaljenog čvora promijene (na primjer, promjena dinamički dodijeljene IP adrese), može nastati situacija kada tunel u suštini više nije takav. , postaje poput tunela duhova... Kako bi se održala stalna spremnost za razmjenu podataka u kreiranom IPSec tunelu, IKE mehanizam (opisan u RFC 3706) vam omogućava da kontrolirate prisutnost prometa sa udaljenog čvora tunela, a ako je odsutan određeno vrijeme, pozdrav poruka se šalje (u firewall-u D-Link šalje poruku "DPD-RU-THERE"). Ako nema odgovora na ovu poruku određeno vrijeme, u D-Link zaštitnim zidovima određenim postavkama "DPD Expire Time", tunel se demontira. D-Link firewall zatim koristeći "DPD Keep Time" ( pirinač. 6.18) automatski pokušajte vratiti tunel.

ProtokolNATTraversal

IPsec saobraćaj se može usmjeriti prema istim pravilima kao i drugi IP protokoli, ali budući da ruter ne može uvijek dohvatiti informacije specifične za protokole transportnog sloja, IPsec ne može proći kroz NAT gateway. Kao što je ranije spomenuto, da bi se riješio ovaj problem, IETF je definirao način za enkapsulaciju ESP-a u UDP pod nazivom NAT-T (NAT Traversal).

NAT Traversal inkapsulira IPSec saobraćaj i istovremeno kreira UDP pakete koje NAT ispravno prosleđuje. Da bi to uradio, NAT-T postavlja dodatno UDP zaglavlje ispred IPSec paketa tako da se tretira kao običan UDP paket u celoj mreži i da domaćin primaoca ne vrši nikakve provere integriteta. Kada paket stigne na svoje odredište, UDP zaglavlje se uklanja i paket podataka nastavlja svojim putem kao enkapsulirani IPSec paket. Dakle, korištenjem NAT-T mehanizma, moguće je uspostaviti komunikaciju između IPSec klijenata na sigurnim mrežama i javnih IPSec hostova preko firewall-a.

Prilikom konfigurisanja D-Link firewall-a na uređaju primatelju, treba napomenuti dvije stavke:

u poljima Remote Network i Remote Endpoint navedite mrežu i IP adresu uređaja za udaljeno slanje. Potrebno je omogućiti translaciju IP adrese inicijatora (pošiljaoca) korišćenjem NAT tehnologije (slika 3.48).

Kada koristite dijeljene ključeve sa više tunela povezanih na isti udaljeni zaštitni zid koji su NAT-ovi na istoj adresi, važno je osigurati da je Lokalni ID jedinstven za svaki tunel.

Lokalno ID može biti jedno od:

Auto- IP adresa interfejsa odlaznog saobraćaja se koristi kao lokalni identifikator.

IP- IP adresa WAN porta udaljenog zaštitnog zida

DNS- DNS adresa

Ranije je država imala prilično osrednje razumijevanje za internet, tako da nije zakonski ometala korisnike. Danas, hodajući po svjetskoj mreži, sve češće možete naići na frazu: "Ova stranica je uvrštena u registar zabranjenih" ili "Vaš provajder je blokirao pristup".

Dakle, ako želite vratiti potpunu slobodu djelovanja na internetu i steći još jedan nivo zaštite, onda se svakako trebate upoznati s tehnologijom virtualnih privatnih mreža - VPN.

VPN: termin i princip rada

Virtuelna privatna mreža (VPN) je naziv tehnologije koja omogućava kreiranje i preklapanje jedne ili više mreža na bilo koju drugu korisničku mrežu.

Sada, kako tačno VPN funkcionira. Vaš računar ima određenu IP adresu koja blokira pristup određenim lokacijama. VPN tehnologiju omogućavate putem programa ili ekstenzije. VPN mijenja vašu adresu u adresu sa servera u drugoj zemlji (na primjer, Holandija ili Njemačka).

Zatim se kreira sigurna veza, koju provajder ne može blokirati. Kao rezultat, dobijate siguran protokol po kojem možete slobodno posjetiti bilo koju internet stranicu, i to potpuno anonimno.

Struktura i varijeteti tehnologije

Cijela tehnologija radi u dva sloja. Prvi je interna mreža, drugi je eksterna. Kada se povežete na tehnologiju, sistem identificira vašu mrežu, a nakon toga će poslati zahtjev za autentifikaciju. Ova tehnologija je vrlo slična autorizaciji na nekoj društvenoj mreži, samo što se ovdje sve odvija preko sigurnih protokola i bez sudjelovanja provajdera.

Same virtuelne mreže su također podijeljene u nekoliko kategorija. Glavna klasifikacija je prema stupnju zaštite, odnosno korisnik može koristiti i plaćene VPN-ove i besplatne.

Razlika između njih dvoje je sigurna veza. Na primjer, sistemi pretplate će vam dati sigurne protokole kao što su PPTP, IPSec i drugi. Dok besplatni VPN-ovi često pružaju samo "pouzdane" kanale. Odnosno, vaša mreža bi trebala biti vrlo sigurna, a VPN će samo povećati razinu zaštite.

Da budem iskren, najveći nedostatak besplatnih VPN usluga nije čak ni sigurnost, već stabilnost i brzina veze. Putem besplatnog VPN-a internet će najvjerovatnije raditi vrlo sporo, a ne uvijek stabilno.

Pretplata na plaćeni VPN ne prelazi 10 dolara mjesečno, ali nije potrebna svakom korisniku. Za obične zadatke nema smisla kupovati Premium račune, standardne funkcije su sasvim dovoljne.

Razlozi za korištenje VPN-a

Svaki korisnik treba da koristi VPN tehnologiju, a evo zašto:

• Zaštita podataka. Posebno pogodan za one korisnike koji vole da se povežu na "besplatnu" Wi-Fi vezu susjeda, a zatim otkriju da su im podaci s kartice ukradeni. U takve situacije spadaju okupljanja u kafićima i općenito u svim mjestima s besplatnim Wi-Fi-jem.
• Potpuna anonimnost. Kada otvorite novu karticu sa sajtom, ova akcija će se prikazati na serveru provajdera, tako da svaki zaposleni u kompaniji može pratiti vaše putovanje na Internetu. Uključivanjem VPN-a sakriti ćete svoju historiju pretraživanja ili posjeta jer koristite drugu IP adresu.
• Mogućnost surfanja internetom bez prepreka. Kladionice, onlajn kazina, torrenti, forumi, sajtovi za odrasle - ponovo vam je dostupno svo "podzemlje" interneta, sve je kao u stara vremena.
• Korišćenje stranih resursa. Naravno, malo je vjerovatno da ćete koristiti usluge na engleskom jeziku, kao što je hulu.com, ali svejedno - omogućen vam je pun pristup svim popularnim stranicama širom svijeta.

Kako da koristim VPN na svom računaru?

Razmislite o situaciji kada koristimo običan pretraživač i želimo posjetiti blokirane stranice. U ovoj situaciji možete ići na dva načina:

1. instalirati VPN klijent (program) na PC;
2. dodajte ekstenziju preglednika putem Webstore-a.

Šta je prva, a koja druga opcija - lako ih je implementirati, ali za potpunu sliku razmotrit ćemo obje.

Možete koristiti i besplatni,.

Da biste instalirali VPN klijent, morate preuzeti program na Internetu, na primjer, "Betternet". Pokrenite instalacioni fajl i instalirajte klijenta. Pokrećemo ga, kliknemo: "Poveži" i to je to. Problem je u tome što nam program automatski daje slučajnu IP-adresu i ne možemo odabrati državu, ali pritiskom na samo jedno dugme već koristimo VPN. I još jedan nedostatak je potreba za stalnim pokretanjem programa, međutim, neki klijenti imaju mogućnost da ga pokreću istovremeno sa OS-om.

Drugi način je dodavanje ekstenzije. Nedostatak je što je, češće nego ne, potrebna registracija za korištenje, plus, ekstenzije imaju svojstva da "izlijeću". Ali proširenje je mnogo lakše za korištenje - kliknete na ikonu u pretraživaču, odaberete zemlju i profit. Trenutno postoje hiljade takvih programa, možete odabrati bilo koji od njih, na primjer, "Hotspot Shield". Dodajte ekstenziju u pretraživač, prođite kroz registraciju i više neće biti tehničkih problema.

Na primjer, ovako funkcionira ZenMate VPN ekstenzija u pregledniku:



O VPN ekstenzijama za različite pretraživače pisali smo u članku:.

Kako da koristim VPN na mobilnim uređajima?

Razmotrit ćemo one uređaje koji imaju popularne operativne sisteme, na primjer, iOS ili Android.

Korištenje VPN-a na pametnim telefonima ili tabletima također je prilično jednostavno, naime putem mobilnih aplikacija. Problem je što neki programi zahtijevaju root prava, a to su dodatne muke, plus mogućnost pretvaranja telefona u "ciglu". Zato potražite programe koji ne zahtijevaju da budete root. Na Androidu, na primjer, to je OpenVPN, a na iOS-u je Cloak. Također na iPhone i iPad možete koristiti besplatno i testirano. I sama ga ponekad koristim, odlično radi.



Tehnologija preuzimanja je vrlo jednostavna: preuzmite aplikaciju sa Play Marketa ili AppStorea, instalirajte je na svoj uređaj. Zatim aktiviramo VPN, izaberemo profil (odakle dobijamo IP adresu), zatim se uspostavi veza i to je to. Sada surfate internetom putem VPN-a, a aplikacija koju koristite će vam reći o tome.

Sada razumijete kako je implementirana VPN tehnologija, a sada će vaše online iskustvo postati sigurnije, anonimnije, i što je najvažnije, dostupno i neograničeno.

U ovom članku ćemo odgovoriti na najčešća pitanja o tome šta je VPN server, reći vam može li VPN povećati vašu sigurnost, trebate li koristiti Double VPN i kako provjeriti da li VPN servis vodi evidenciju i koje su moderne tehnologije postoje radi zaštite vaših ličnih podataka.

VPN je virtuelna privatna mreža koja obezbeđuje enkripciju između klijenta i VPN servera.




Glavna svrha VPN-a je šifriranje prometa i promjena IP adresa.

Hajde da shvatimo zašto i kada je to potrebno.

Čemu služi VPN?

Svi internet provajderi evidentiraju aktivnosti svojih klijenata na Internetu. Odnosno, ISP zna koje ste lokacije posjetili. Ovo je neophodno kako bi se dali svi podaci o prekršiocu u slučaju zahteva policije, kao i da bi se oslobodio svake pravne odgovornosti za radnje korisnika.

Mnogo je situacija kada korisnik treba zaštititi svoje lične podatke na Internetu i steći slobodu komunikacije.

Primjer 1. Poslovanje postoji i potrebno je prenijeti povjerljive podatke preko interneta kako ih niko ne bi presreo. Većina kompanija koristi VPN tehnologiju za prijenos informacija između podružnica.

Primjer 2. Mnogi servisi na Internetu rade na principu georeferenciranja i uskraćuju pristup korisnicima iz drugih zemalja.

Na primjer, usluga Yandex Music radi samo za IP adrese iz Rusije i zemalja bivšeg ZND-a. Shodno tome, cjelokupna populacija ruskog govornog područja koja živi u drugim zemljama nema pristup ovoj usluzi.

Primer 3. Blokiranje određenih sajtova u kancelariji i zemlji. Često je u uredima pristup društvenim mrežama blokiran kako zaposleni ne bi gubili vrijeme na komunikaciju.

Na primjer, mnoge Google usluge su blokirane u Kini. Ako stanovnik Kine radi sa kompanijom iz Evrope, onda postoji potreba za korištenjem usluga kao što je Google Disk.

Primjer 4. Sakrij posjećene stranice od internet provajdera. Postoje slučajevi kada trebate sakriti listu posjećenih stranica od internet provajdera. Sav promet će biti šifriran.




Šifriranjem vašeg prometa vaš ISP neće znati koje ste stranice posjetili na Internetu. U tom slučaju, vaša IP adresa na Internetu će pripadati zemlji VPN servera.

Kada se povežete na VPN, kreira se siguran kanal između vašeg računara i VPN servera. Svi podaci na ovom kanalu su šifrirani.






Uz VPN dobijate slobodu komunikacije i zaštite vaših ličnih podataka.

U evidenciji internet provajdera biće skup različitih znakova. Slika ispod prikazuje analizu podataka dobijenih posebnim programom.

U HTTP zaglavlju možete odmah vidjeti na koju stranicu se povezujete. Ove podatke bilježe internet provajderi.






Sljedeća slika prikazuje HTTP zaglavlje kada koristite VPN. Podaci su šifrirani i nemoguće je saznati koje ste stranice posjetili.



Kako se povezati na VPN

Postoji nekoliko načina za povezivanje na VPN mrežu.

• PPTP je naslijeđeni protokol. Većina modernih operativnih sistema uklonila ga je sa liste podržanih. Nedostaci PPTP-a su loša stabilnost veze. Veza može biti prekinuta i nebezbedni podaci mogu otići na Internet.
• L2TP (IPSec) veza je pouzdanija. Takođe ugrađen u većinu operativnih sistema (Windows, Mac OS, Linux, iOS, Android, Windows Phone i drugi). Razlikuje se po većoj pouzdanosti za razliku od PPTP veza.
• SSTP povezivanje je razvijeno relativno nedavno. Podržan je samo na Windows-u, tako da se ne koristi široko.
• IKEv2 je moderan protokol baziran na IPSec-u. Ovaj protokol je zamijenio PPTP protokol i podržavaju ga svi popularni operativni sistemi.
• OpenVPN veza se smatra najpouzdanijim. Ova tehnologija se može fleksibilno konfigurirati i kada se veza prekine, OpenVPN blokira slanje nezaštićenih podataka na Internet.

Postoje 2 protokola za prijenos podataka za OpenVPN tehnologiju:

• UDP protokol - brz (preporučuje se za VoiP telefoniju, Skype, online igrice)
• TCP protokol - odlikuje se pouzdanošću prenetih podataka (zahteva potvrdu prijema paketa). Nešto sporije od UDP-a.

Kako postaviti VPN

Postavljanje VPN veze traje nekoliko minuta i razlikuje se u načinu VPN veze.

Koristimo PPTP i OpenVPN veze na našoj usluzi.

Sigurnost rada sa VPN programom

Uvijek ćemo govoriti o integriranom pristupu sigurnosti. Sigurnost korisnika ne sastoji se samo od same VPN veze. Važno je koji program koristite za povezivanje na VPN server.

Trenutno usluge nude pogodne VPN klijente - to su programi koji olakšavaju postavljanje VPN veze. Mi sami nudimo pogodan VPN klijent. Zahvaljujući takvim programima, postavljanje VPN veze traje manje od 1 minute.






Kada smo prvi put počeli pružati VPN usluge 2006. godine, svi naši korisnici su postavljali službenu OpenVPN aplikaciju. To je open source. Naravno, potrebno je više vremena za postavljanje službenog OpenVPN klijenta. Ali hajde da shvatimo šta je bolje koristiti u smislu anonimnosti.

Anonimnost VPN klijenta

Vidimo opasnost u korištenju ovakvih programa. Poenta je da je izvorni kod ovakvih programa vlasništvo kompanije i da bi se očuvala jedinstvenost svog programa, niko ga ne objavljuje.

Korisnici ne mogu saznati koje podatke program prikuplja o vama u nedostatku otvorenog koda.

VPN program vas može identificirati kao određenog korisnika čak i ako su evidencije na serveru isključene.

Svaki program može imati funkciju za snimanje lokacija koje posjećujete, vaše stvarne IP adrese. A pošto vi sami unosite svoju prijavu u program, ne možete uopće govoriti o bilo kakvoj anonimnosti korištenja programa.

Ako vaše poslovanje zahtijeva visok nivo anonimnosti, preporučujemo vam da napustite takve VPN programe i koristite službeno OpenVPN izdanje otvorenog koda.

U početku će vam ovo biti neprijatno. Ali s vremenom ćete se naviknuti, ako vam je faktor sigurnosti i anonimnosti na prvom mjestu.

Garantujemo da Secure Kit ne pohranjuje nikakve podatke o vama. Ali moramo vas upozoriti da vas takvi programi mogu špijunirati.

Još jedna ideja kako povećati svoju sigurnost došla je sa stanovišta geografske lokacije servera. Na internetu se to zove offshore VPN.

Šta je offshore VPN

Različite zemlje imaju različite nivoe zakonodavstva. Postoje jake države sa jakim zakonima. A postoje i male zemlje čiji stepen razvoja ne dozvoljava informatičku zaštitu podataka u njihovoj zemlji.

U početku je koncept ofšor primijenjen za označavanje zemlje u kojoj je porezna politika relaksirana. Ove zemlje imaju veoma niske poslovne poreze. Globalne kompanije zainteresovale su se za legalnu utaju poreza u svojoj zemlji, a ofšor bankovni računi na Kajmanskim ostrvima postali su veoma popularni.

Trenutno mnoge zemlje širom svijeta već imaju zabranu korištenja bankovnih računa u ofšor zemljama.

Većina ofšor zemalja su male države smještene u udaljenim kutovima planete. Servere u takvim zemljama je teže pronaći i skuplji su zbog nedostatka razvijene internet infrastrukture. VPN serveri u takvim zemljama počeli su se nazivati ​​offshore.

Ispostavilo se da riječ offshore VPN ne znači anonimni VPN, već samo govori o teritorijalnoj pripadnosti offshore državi.

Trebate li koristiti offshore VPN?

Offshore VPN nudi dodatne pogodnosti u smislu anonimnosti.

Mislite li da je mnogo lakše napisati službeni zahtjev:

• u policijsku upravu u Njemačkoj
• ili u policijsku stanicu za ostrva Antigva Barbuda

Offshore VPN je dodatni sloj zaštite. Dobro je koristiti offshore server kao dio dvostrukog VPN lanca.

Ne morate koristiti samo 1 offshore VPN server i misliti da je potpuno siguran. Svojoj sigurnosti i anonimnosti na Internetu morate pristupiti iz različitih uglova.

Koristite offshore VPN kao vezu za anonimnost.

I vrijeme je da odgovorite na najčešće postavljano pitanje. Može li anonimni VPN servis voditi evidenciju? I kako možete znati da li se usluga evidentira?

Anonimna VPN usluga i zapisnici. Kako biti?

Anonimni VPN servis ne bi trebao voditi evidenciju. Inače se više ne može nazvati anonimnim.

Sastavili smo listu pitanja, zahvaljujući kojima možete precizno utvrditi da li servis vodi evidenciju.

Sada imate potpune informacije o VPN konekcijama. Ovo znanje je dovoljno da postanete anonimni na Internetu i da prijenos ličnih podataka bude siguran.

Nove VPN tehnologije

Postoje li nove VPN upute?

Već smo govorili o prednostima i nedostacima sekvencijalnih kaskadnih VPN servera (Double, Triple, Quad VPN).

Da biste izbjegli nedostatke Double VPN tehnologije, možete napraviti paralelnu kaskadu lanaca. Nazvali smo ga Paralelni VPN.

Šta je paralelni VPN

Suština paralelnog VPN-a je da usmjeri promet na paralelni link za podatke.

Nedostatak sekvencijalne kaskadne tehnologije (Double, Triple, Quad VPN) je što svaki server dešifruje kanal i šifrira ga u sljedeći kanal. Podaci su sekvencijalno šifrirani.

Paralelna VPN tehnologija nema takav problem, jer su svi podaci paralelno dvostruko šifrirani. Odnosno, zamislite luk koji ima više kora. Na isti način, podaci putuju u kanalu koji je dvaput šifriran.



Danas korisnici interneta sve više koriste termin VPN. Neki preporučuju da ga koristite češće, dok drugi preporučuju izbjegavanje. Pogledajmo pobliže šta se krije iza ovog pojma.

VPN veza, šta je to

VPN(Virtuelna privatna mreža) jeste tehnologije, koji obezbeđuje vezu zatvorenu od eksternog pristupa u prisustvu velike brzine veze. Takvo povezivanje se izvodi po principu " tačka na tačku". U nauci se ovaj način povezivanja naziva tunel... Možete se pridružiti tunelu na adresi PC sa bilo kojim OS, pri čemu VPN klijent instaliran... Ovaj program "prosleđuje" virtuelni port koristeći TCP / IP na drugu mrežu.

Za implementaciju takve veze potrebna je platforma koja se brzo skalira, osigurava integritet i povjerljivost podataka.



Da bi se PC sa ip-adresa 192.168.1.1-100 povezan preko gatewaya na vanjsku mrežu, potrebno je registrirati pravila povezivanja na ruteru. Kada se uspostavi VPN veza, zaglavlje poruke sadrži adresu udaljenog računara. Pošiljalac je šifrirao poruku, a primatelj dešifrirao pomoću javnog ključa. Tada se uspostavlja sigurna veza između dvije mreže.

Kako povezati VPN

Kratak pregled protokola je opisan ranije. Sada ćemo saznati kako povezati klijenta na određenom uređaju.

Na računaru i laptopu

Prije postavljanja VPN veza uključena Windows 7 PC, trebalo bi navedite IP adresu ili ime servera. Da biste to učinili, u “ Mrežni kontrolni centar" na " Kontrolni paneli"treba" Kreirajte novu vezu».



Odaberite stavku "" - " (VPN)».



Sljedeći korak je naznačiti ime i adresa servera.





Morate pričekati da se veza završi.



Provjerimo VPN vezu. Da biste to učinili, u “ Kontrolna tabla"U poglavlju" Mrežne veze»Pozovite kontekstni meni dvostrukim klikom na prečicu.



Na kartici “ Detalji"treba provjeriti IPv4 adresa... Mora biti unutar IP raspona navedenog u VPN postavkama.



Na vašem telefonu, iPhoneu ili tabletu

Pogledajmo sada kako stvoriti VPN vezu i konfigurirati je na gadgetima s Android OS-om.

Ovo zahtijeva:

pametni telefon, tablet; prijava, lozinka za mrežu; adresa servera.

Da biste postavili VPN vezu, odaberite "" u postavkama telefona i kreirajte novu.







Na ekranu će se prikazati ikona sa novom vezom.



Sistem zahtijeva korisničko ime i lozinku. Morate unijeti parametre i odabrati opciju "". Tada, na sljedećoj sesiji, nećete morati ponovo potvrđivati ​​ove podatke.



Nakon aktiviranja VPN veze, na traci sa alatkama će se pojaviti prepoznatljiva ikona.



Ako kliknete na ikonu, pojavit će se detalji veze.

Kako postaviti VPN da ispravno radi

Pogledajmo bliže kako se automatski konfiguriše VPN na računarima sa Windows 10.

Idite na postavke računara.



u poglavlju " Parametri"Idi na pododjeljak" ".





... i dodajte novu VPN vezu.



Na sljedećoj stranici trebate navesti parametre VPN veze:

Dobavljač usluga - Windows; Naziv veze; Adresa servera; VPN tip; Korisničko ime i lozinka.



Nakon što se veza uspostavi, potrebno je da se povežete na nju.

Kako kreirati VPN server

Svi provajderi bilježe aktivnosti svojih klijenata. U slučaju prijema zahtjeva od agencija za provođenje zakona, oni će dati punu informaciju o tome koje je lokacije počinitelj posjetio. Dakle, provajder se odriče svake pravne odgovornosti. Ali ponekad se javljaju situacije u kojima korisnik treba da zaštiti svoje podatke:

Kompanije prenose svoje podatke preko Interneta putem šifrovanog kanala.Mnoge usluge na Internetu rade na geografskoj lokaciji. Na primjer, usluga Yandex.Music radi samo na IP adresama iz Ruske Federacije i zemalja ZND. Rus u Evropi neće moći da sluša svoju omiljenu muziku.U kancelarijama je često blokiran pristup društvenim mrežama.
Možete, naravno, obrisati historiju pretraživača svaki put kada posjetite stranicu. Ali lakše je kreirati i konfigurirati VPN server. Da biste to učinili, pozovite komandnu liniju ( Win + R), a zatim unesite upit ncpa.cpl i pritisnite Enter... U novom prozoru kliknite Alt i odaberite stavku "".



Zatim morate kreirati korisnika i dati mu ograničena prava samo na VPN. Također ćete morati smisliti novu dugu lozinku. Odaberite korisnika sa liste. U sljedećoj fazi morate odabrati opciju povezivanja " Preko interneta". Zatim morate odrediti parametre veze. Ako vam prilikom rada s VPN-om nije potreban pristup datotekama i mapama, možete poništiti sve okvire i kliknuti na dugme "".



Kako koristiti VPN

Nakon kreiranja nove veze, dovoljno je otvoriti pretraživač i učitati bilo koju stranicu.Nije moguće da se početnici neće baviti stvaranjem veze, već odmah preuzmu VPN klijenta s interneta ili instaliraju posebnu ekstenziju u pretraživač. Nakon preuzimanja programa, potrebno je da ga pokrenete i pritisnete dugme " Povežite se". Klijent će se pridružiti drugoj mreži i korisnik će moći da vidi sajtove koji su zabranjeni u njegovom regionu.Nedostatak ove metode je što se IP automatski izdaje. Korisnik ne može odabrati državu. Ali veza se uspostavlja vrlo brzo, pritiskom na samo jedno dugme. Opcija za dodavanje ekstenzije također ima nedostatke. Prvo, korisnik mora biti registriran na službenoj web stranici programa, a drugo, ekstenzija se često ruši. No, korisnik može odabrati državu kroz koju će se izvršiti veza na vanjsku mrežu. Ni sam proces povezivanja ne postavlja nikakva pitanja. Dovoljno je pritisnuti dugme " Počni”I pretraživač će se ponovo pokrenuti na novu mrežu. Pogledajmo kako instalirati ekstenziju koristeći primjer ZenMate VPN.Preuzmite program sa zvanične stranice. Nakon instalacije, u pretraživaču će se pojaviti ikona:

Kliknite na ikonu. Pojavit će se prozor ekstenzije:



Ako pomerite kursor miša na ikona sa ruskom zastavom, tada će se prikazati ekran trenutni IP... Ako pomerite kursor preko ikone sa zastavom Rumunije, pojaviće se IP adresa izabranog servera. Po želji se može promijeniti zemlja veze. Da biste to učinili, morate kliknuti na globus i odabrati jednu od automatskih adresa.



Nedostatak besplatne verzije programa je mali broj dostupnih servera i nametanje reklama.

Najčešće greške

Različiti antivirusni programi kao i zaštitni zidovi mogu blokirati vezu. U tom slučaju na ekranu se prikazuje kod greške. Pogledajmo najpopularnije probleme i kako ih riješiti.

Greška	Uzrok	Rješenje
678	Šifriranje je zabranjeno u OS-u	Morate otvoriti komandnu liniju i provjeriti parametar "ProhibitIpSec" u registru "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ RasMan \ Parameters". Trebalo bi da bude jednako 0. Ako sam provajder koristi kanal za šifrovanje za pružanje usluga, promena ove postavke će uticati na pristup Internetu.
691	Uneseno je pogrešno korisničko ime/lozinka	Morate se ponovo prijaviti na mrežu
692	Greška zaštitnog zida	Onemogući zaštitni zid
720/738	Korisnik je već povezan	Greška 720 se nalazi samo na Windows 7. Svi ostali operativni sistemi prikazuju kod 738. Ako morate da radite sa različitih računara preko jednog klijenta, onda morate kreirati nekoliko korisničkih imena.
734	Automatski VPN	Potrebno je promijeniti tip "Automatski" u "L2TP IPSec VPN" u svojstvima veze. Ako greška i dalje postoji, morate ponovo kreirati vezu.
766/781	Ključ nije sačuvan/unet	Otvorite VPN svojstva, na kartici "Sigurnost" odaberite "Napredne opcije" i u novom prozoru unesite ključ
768/789 (OS Windows 7, Vista, XP)	IPSec ne radi	RMB na prečici "Moj računar" - "Upravljanje". U odjeljku "Usluge" odaberite "IPSec". Odredite tip veze Auto.

VPN (Virtual Private Network) ili u prevodu na ruski virtuelna privatna mreža je tehnologija koja vam omogućava da kombinujete računarske uređaje u sigurne mreže kako biste svojim korisnicima obezbedili šifrovani kanal i anonimni pristup resursima na Internetu.

U kompanijama, VPN se uglavnom koristi za spajanje nekoliko podružnica koje se nalaze u različitim gradovima ili čak dijelovima svijeta u jednu lokalnu mrežu. Zaposleni u takvim kompanijama, koristeći VPN, mogu koristiti sve resurse koji se nalaze u svakoj poslovnici kao svoj lokal, koji se nalazi na njihovoj strani. Na primjer, možete odštampati dokument na štampaču koji se nalazi u drugoj grani samo jednim klikom.

Za obične korisnike interneta, VPN je od koristi kada:

• sajt je blokiran od strane provajdera, ali morate ući;
• često moraju koristiti online bankarstvo i sisteme plaćanja i žele zaštititi podatke od moguće krađe;
• usluga radi samo za Evropu, a vama u Rusiji ne smeta da slušate muziku na LastFm-u;
• ne želite da stranice koje posjećujete prate vaše podatke;
• ne postoji ruter, ali je moguće spojiti dva računara na lokalnu mrežu kako bi oba omogućili pristup Internetu.

Kako VPN funkcionira

VPN-ovi rade kroz tunel koji uspostavljaju između vašeg računara i udaljenog servera. Svi podaci koji se prenose kroz ovaj tunel su šifrirani.

Može se zamisliti kao običan tunel, koji se nalazi na autoputevima, samo položen internetom između dvije tačke – kompjutera i servera. U ovom tunelu podaci, poput automobila, prelaze između tačaka najvećom mogućom brzinom. Na ulazu (na računar korisnika) ovi podaci se šifruju i u ovom obliku idu primaocu (serveru), u ovom trenutku se dešifruju i interpretiraju: fajl se preuzima, šalje se zahtev sajtu, itd. Nakon čega se primljeni podaci ponovo šifruju na serveru i kroz tunel se šalju nazad na računar korisnika.

Za anonimni pristup sajtovima i servisima dovoljna je mreža koju čine računar (tablet, pametni telefon) i server.

Općenito, razmjena podataka putem VPN-a izgleda ovako:

1. Tunel se kreira između računara korisnika i servera sa instaliranim softverom za kreiranje VPN-a. Na primjer OpenVPN.
2. U ovim programima, ključ (lozinka) se generiše na serveru i na računaru za šifrovanje/dešifrovanje podataka.
3. Zahtjev se generiše na računaru i šifrira pomoću prethodno kreiranog ključa.
4. Šifrirani podaci se prenose preko tunela do servera.
5. Podaci koji su došli iz tunela na server se dešifriraju i zahtjev se izvršava – slanje fajla, ulazak na stranicu, pokretanje servisa.
6. Server priprema odgovor, šifrira ga prije slanja i šalje nazad korisniku.
7. Korisnički računar prima podatke i dešifruje ih ključem koji je ranije generisan.



Uređaji uključeni u VPN nisu geografski povezani i mogu se nalaziti na bilo kojoj udaljenosti jedan od drugog.

Za običnog korisnika usluga virtualne privatne mreže dovoljno je razumjeti da je pristup internetu putem VPN-a potpuna anonimnost i neograničen pristup svim resursima, uključujući i one koje je provajder blokirao ili su nedostupni za vašu zemlju.

Kome treba VPN i zašto

Stručnjaci preporučuju korištenje VPN-a za prijenos svih podataka koji ne bi trebali završiti u rukama trećih strana – login, lozinke, privatna i poslovna prepiska, te rad s internet bankarstvom. Ovo se posebno odnosi na korištenje otvorenih pristupnih tačaka - WiFi na aerodromima, kafićima, parkovima itd.

Tehnologija će također dobro doći onima koji žele slobodno pristupiti svim stranicama i uslugama, uključujući one koje je provajder blokirao ili otvorene samo za određeni krug ljudi. Na primjer, Last.fm je besplatno dostupan samo za stanovnike Sjedinjenih Država, Engleske i nekoliko drugih evropskih zemalja. Korištenje muzičkog servisa iz Rusije omogućit će VPN vezu.

Razlike između VPN-a i TOR-a, proxy-ja i anonimizatora

VPN radi globalno na računaru i preusmerava rad svih softvera instaliranih na računaru kroz tunel. Svaki zahtjev - putem chata, pretraživača, klijenta za pohranu u oblaku (dropbox) itd., prije nego što stigne do primaoca, prolazi kroz tunel i šifrira se. Srednji uređaji "zbunjuju tragove" šifriranjem zahtjeva i dešifriraju ih tek prije slanja konačnom primaocu. Krajnji primalac zahtjeva, na primjer web stranica, ne bilježi podatke korisnika – geografsku lokaciju i sl., već podatke VPN servera. Odnosno, teoretski je nemoguće pratiti koje je stranice korisnik posjetio i koje je zahtjeve poslao preko sigurne veze.

U određenoj mjeri, anonimizatori, proksiji i TOR mogu se smatrati analozima VPN-ova, ali svi su oni nešto inferiorniji u odnosu na virtualne privatne mreže.

Po čemu se VPN razlikuje od TOR-a

Kao i VPN, TOR tehnologija pretpostavlja enkripciju zahtjeva i njihov prijenos od korisnika do servera i obrnuto. Jedino TOR ne stvara trajne tunele, načini prijema/prenosa podataka se mijenjaju sa svakim pristupom, što smanjuje šanse za presretanje paketa podataka, ali ne utiče najbolje na brzinu. TOR je besplatna tehnologija i podržavaju je entuzijasti, tako da ne treba očekivati ​​stabilan rad. Jednostavno rečeno, moći ćete da uđete na web lokaciju koju je blokirao vaš provajder, ali video HD kvaliteta će se učitavati sa nje nekoliko sati ili čak dana.

Kako se VPN razlikuje od proxyja

Proksiji, po analogiji s VPN-ovima, preusmjeravaju zahtjev na stranicu, propuštajući ga kroz posredničke servere. Takve je zahtjeve jednostavno presresti, jer se razmjena informacija odvija bez ikakvog šifriranja.

Po čemu se VPN razlikuje od anonimizatora

Anonymizer je skraćena verzija proxyja koja može raditi samo unutar otvorene kartice pretraživača. Preko nje ćete moći da uđete na stranicu, ali nećete moći da iskoristite većinu mogućnosti, a nije obezbeđeno ni šifrovanje.

Što se tiče brzine, proxy će pobijediti u metodama indirektne razmjene podataka, jer ne predviđa šifriranje komunikacionog kanala. Na drugom mjestu je VPN koji pruža ne samo anonimnost, već i zaštitu. Treće mjesto je za anonimizator ograničen na rad u otvorenom prozoru pretraživača. TOR je prikladan kada nema vremena i mogućnosti za povezivanje na VPN, ali ne biste trebali računati na brzu obradu velikih zahtjeva. Ova gradacija važi za slučaj kada se koriste neopterećeni serveri koji se nalaze na istoj udaljenosti od testiranog.

Kako se povezati na internet pomoću VPN-a

Deseci usluga nude usluge VPN pristupa na RuNetu. Pa, širom svijeta ih vjerovatno ima na stotine. Uglavnom, sve usluge se plaćaju. Troškovi se kreću od nekoliko dolara do nekoliko desetina dolara mjesečno. Stručnjaci koji se dobro razumiju u IT sami kreiraju VPN server za sebe koristeći servere za te svrhe koje obezbjeđuju razni hosting provajderi. Cijena takvog servera je obično oko 5 dolara mjesečno.

Da li više volite plaćeno ili besplatno rješenje ovisi o vašim zahtjevima i očekivanjima. Obje opcije će raditi - sakriti lokaciju, promijeniti IP, šifrirati podatke tokom prijenosa itd. - ali problemi sa brzinom i pristupom u plaćenim uslugama su mnogo rjeđi i rješavaju se mnogo brže.

Tweet

Plus

Molimo omogućite JavaScript da vidite