شبکه خصوصی مجازی vpn برای چه استفاده می شود. VPN چیست و چرا به آن نیاز است

VPN (شبکه خصوصی مجازی) یک شبکه خصوصی مجازی است.

به زبان ساده، VPN یک کانال کاملا امن است که دستگاه دارای اینترنت شما را به هر دستگاه دیگری در شبکه جهانی وب متصل می کند. اگر حتی ساده تر است، می توانید آن را به صورت مجازی تر تصور کنید: بدون اتصال به یک سرویس VPN، رایانه شما (لپ تاپ، تلفن، تلویزیون یا هر دستگاه دیگری) هنگام دسترسی به شبکه مانند یک خانه خصوصی بدون حصار است. هر لحظه هر کسی می تواند عمدا یا سهوا درختان را بشکند، تخت های باغ شما را زیر پا بگذارد. با استفاده از VPN، خانه شما به قلعه ای غیر قابل نفوذ تبدیل می شود که شکستن محافظت از آن به سادگی غیرممکن خواهد بود.

چگونه کار می کند؟

اصل عملکرد VPN برای کاربر نهایی ساده و "شفاف" است. در لحظه ای که آنلاین می شوید، یک "تونل" مجازی بین دستگاه شما و بقیه اینترنت ایجاد می شود که هرگونه تلاش از خارج برای ورود به داخل را مسدود می کند. برای شما، کار VPN کاملاً "شفاف" و نامرئی باقی می ماند. مکاتبات شخصی، تجاری، مکالمات شما در اسکایپ یا تلفن به هیچ وجه قابل شنود یا شنود نیست. تمام داده های شما با استفاده از یک الگوریتم رمزگذاری خاص رمزگذاری می شوند که شکستن آن تقریبا غیرممکن است.

علاوه بر محافظت در برابر نفوذ از خارج، VPN فرصتی را برای بازدید از هر کشور در جهان به طور موقت و استفاده از منابع شبکه این کشورها، مشاهده کانال های تلویزیونی که قبلاً در دسترس نبودند، فراهم می کند. VPN آدرس IP شما را با آدرس دیگری جایگزین می کند. برای انجام این کار، کافی است یک کشور را از لیست پیشنهادی انتخاب کنید، به عنوان مثال، هلند، و تمام سایت ها و سرویس هایی که بازدید می کنید به طور خودکار "فکر می کنند" که در این کشور خاص هستید.

چرا ناشناس یا پروکسی نیست؟

این سوال مطرح می شود: چرا فقط از نوعی ناشناس یا سرور پروکسی در شبکه استفاده نمی کنیم، زیرا آنها همچنین آدرس IP را جایگزین می کنند؟ بله، همه چیز بسیار ساده است - هیچ یک از خدمات فوق محافظت نمی کند، شما همچنان برای متجاوزان "قابل مشاهده" باقی می ماند و بنابراین تمام داده هایی که در اینترنت مبادله می کنید. و علاوه بر این، کار با سرورهای پروکسی مستلزم داشتن توانایی خاصی برای تنظیم تنظیمات دقیق است. VPN طبق اصل زیر عمل می کند: "اتصال و کار"، نیازی به تنظیمات اضافی ندارد. کل فرآیند اتصال چند دقیقه طول می کشد و بسیار ساده است.

درباره VPN های رایگان

هنگام انتخاب، باید به یاد داشته باشید که VPN های رایگان تقریباً همیشه محدودیت هایی در میزان ترافیک و سرعت انتقال داده دارند. این بدان معنی است که ممکن است شرایطی پیش بیاید که شما به سادگی نتوانید به استفاده از VPN رایگان ادامه دهید. فراموش نکنید که VPN های رایگان همیشه پایدار نیستند و اغلب بارگذاری می شوند. حتی اگر از حد شما فراتر نرود، به دلیل بار زیاد روی سرور VPN، انتقال داده ممکن است زمان زیادی ببرد. خدمات VPN پولی با پهنای باند زیاد، بدون محدودیت در ترافیک و سرعت متمایز می شوند و سطح امنیت بالاتر از موارد رایگان است.

از کجا شروع کنیم؟

اکثر خدمات VPN این امکان را برای آزمایش کیفیت برای مدت کوتاهی به صورت رایگان فراهم می کنند. دوره آزمایش می تواند از چند ساعت تا چند روز باشد. در طول آزمایش، معمولاً به تمام عملکردهای سرویس VPN دسترسی کامل دارید. خدمات ما امکان یافتن چنین خدمات VPN را در پیوند می دهد:

VPN (شبکه خصوصی مجازی) یا ترجمه شده به شبکه خصوصی مجازی روسی، فناوری است که به شما امکان می دهد دستگاه های رایانه ای را در شبکه های امن ترکیب کنید تا به کاربران آنها یک کانال رمزگذاری شده و دسترسی ناشناس به منابع موجود در اینترنت ارائه دهید.

در شرکت ها، VPN عمدتا برای ترکیب چندین شعبه واقع در شهرهای مختلف یا حتی نقاط جهان در یک شبکه محلی استفاده می شود. کارمندان این گونه شرکت ها با استفاده از VPN می توانند از تمامی منابع موجود در هر شعبه به عنوان محلی خود و در کنار آنها استفاده کنند. به عنوان مثال، یک سند را روی چاپگری که در شعبه دیگری قرار دارد، تنها با یک کلیک چاپ کنید.

برای کاربران عادی اینترنت، VPN زمانی مفید خواهد بود که:

• سایت توسط ارائه دهنده مسدود شده است، اما شما باید بروید.
• اغلب مجبورید از سیستم های بانکی و پرداخت آنلاین استفاده کنید و می خواهید از داده ها در برابر سرقت احتمالی محافظت کنید.
• این سرویس فقط برای اروپا کار می کند، و شما در روسیه هستید و اهمیتی برای گوش دادن به موسیقی در LastFm ندارید.
• می خواهید سایت هایی که بازدید می کنید داده های شما را ردیابی نکنند.
• هیچ روتر وجود ندارد، اما می توان دو کامپیوتر را به یک شبکه محلی متصل کرد تا دسترسی هر دو به اینترنت را فراهم کند.

VPN چگونه کار می کند

VPN ها از طریق تونلی کار می کنند که بین رایانه شما و یک سرور راه دور ایجاد می کنند. تمام داده های ارسال شده از طریق این تونل رمزگذاری شده است.

می توان آن را به عنوان یک تونل معمولی تصور کرد که در بزرگراه ها یافت می شود و فقط از طریق اینترنت بین دو نقطه - یک کامپیوتر و یک سرور - گذاشته شده است. از طریق این تونل، داده ها، مانند اتومبیل ها، با بالاترین سرعت ممکن بین نقاط حرکت می کنند. در ورودی (در رایانه کاربر)، این داده ها رمزگذاری شده و به این شکل برای مخاطب (به سرور) ارسال می شود، در این مرحله رمزگشایی و تفسیر می شود: فایل دانلود می شود، درخواستی به سایت ارسال می شود. پس از آن، داده های دریافتی مجدداً روی سرور رمزگذاری شده و از طریق تونل به رایانه کاربر بازگردانده می شود.

برای دسترسی ناشناس به سایت ها و خدمات، شبکه ای متشکل از یک رایانه (تبلت، گوشی هوشمند) و یک سرور کافی است.

به طور کلی، تبادل داده از طریق VPN به شکل زیر است:

1. یک تونل بین کامپیوتر کاربر و سرور با نصب نرم افزار VPN ایجاد می شود. به عنوان مثال OpenVPN.
2. در این برنامه ها یک کلید (رمز عبور) روی سرور و کامپیوتر برای رمزگذاری/رمزگشایی داده ها تولید می شود.
3. یک درخواست در رایانه ایجاد می شود و با استفاده از کلید تولید شده قبلی رمزگذاری می شود.
4. داده های رمزگذاری شده از طریق تونل به سرور منتقل می شود.
5. داده هایی که از تونل به سرور آمده است رمزگشایی می شود و درخواست اجرا می شود - ارسال فایل، ورود به سایت، شروع سرویس.
6. سرور پاسخ را آماده می کند، قبل از ارسال آن را رمزگذاری می کند و آن را برای کاربر ارسال می کند.
7. رایانه کاربر داده ها را دریافت کرده و با کلیدی که قبلاً تولید شده بود رمزگشایی می کند.

دستگاه های موجود در یک شبکه خصوصی مجازی از نظر جغرافیایی محدود نیستند و می توانند در هر فاصله ای از یکدیگر قرار گیرند.

برای یک کاربر معمولی خدمات شبکه خصوصی مجازی، کافی است درک کنید که دسترسی به اینترنت از طریق VPN به معنای ناشناس بودن کامل و دسترسی نامحدود به هر منبعی است، از جمله منابعی که توسط ارائه دهنده مسدود شده یا برای کشور شما در دسترس نیستند.

چه کسی و چرا به VPN نیاز دارد

کارشناسان توصیه می کنند از VPN برای انتقال داده هایی که نباید در دست اشخاص ثالث باشد - لاگین، رمز عبور، مکاتبات خصوصی و کاری، کار با بانکداری اینترنتی استفاده کنید. این امر به ویژه در هنگام استفاده از نقاط دسترسی باز - وای فای در فرودگاه ها، کافه ها، پارک ها و غیره صادق است.

این فناوری همچنین برای کسانی که می خواهند آزادانه به هر سایت و سرویسی دسترسی داشته باشند، از جمله مواردی که توسط ارائه دهنده مسدود شده اند یا فقط برای یک حلقه خاص از افراد باز می شوند، مفید خواهد بود. به عنوان مثال، Last.fm فقط برای ساکنان ایالات متحده، انگلستان و تعدادی دیگر از کشورهای اروپایی به صورت رایگان در دسترس است. استفاده از خدمات موسیقی از روسیه امکان اتصال از طریق VPN را فراهم می کند.

تفاوت بین VPN و TOR، پروکسی و ناشناس

VPN به صورت جهانی روی رایانه کار می کند و همه نرم افزارهای نصب شده روی رایانه را از طریق تونل هدایت می کند. هر درخواستی - از طریق چت، مرورگر، سرویس گیرنده ذخیره سازی ابری (دراپ باکس) و غیره قبل از رسیدن به مخاطب از تونل عبور می کند و رمزگذاری می شود. دستگاه‌های واسطه از طریق رمزگذاری درخواست‌ها، مسیر را به هم می‌ریزند و فقط قبل از ارسال به مقصد نهایی، آن را رمزگشایی می‌کنند. مقصد نهایی درخواست، به عنوان مثال، یک وب سایت، نه داده های کاربر - موقعیت جغرافیایی و غیره، بلکه داده های سرور VPN را می گیرد. به این معنا که از نظر تئوری نمی توان ردیابی سایت هایی که کاربر بازدید کرده و چه درخواست هایی از طریق یک اتصال ایمن ارسال شده است.

تا حدی، ناشناس‌کننده‌ها، پروکسی‌ها و TOR را می‌توان آنالوگ VPN‌ها در نظر گرفت، اما همه آنها به نوعی در شبکه‌های خصوصی مجازی ضرر می‌کنند.

تفاوت VPN و TOR چیست؟

مانند VPN، فناوری TOR شامل رمزگذاری درخواست ها و انتقال آنها از کاربر به سرور و بالعکس است. فقط TOR تونل های دائمی ایجاد نمی کند، راه های دریافت / انتقال داده ها با هر دسترسی تغییر می کند، که شانس رهگیری بسته های داده را کاهش می دهد، اما بهترین تأثیر را بر سرعت ندارد. TOR یک فناوری رایگان است و توسط علاقه مندان پشتیبانی می شود، بنابراین نمی توانید انتظار کار پایدار را داشته باشید. به عبارت ساده، رفتن به سایتی که توسط ارائه دهنده مسدود شده است کار می کند، اما ویدیو با کیفیت HD برای چندین ساعت یا حتی چند روز از آن بارگیری می شود.

تفاوت بین VPN و پروکسی چیست؟

پروکسی ها، به قیاس با VPN ها، درخواست را به سایت هدایت می کنند و آن را از طریق سرورهای واسطه منتقل می کنند. فقط رهگیری چنین درخواست هایی دشوار نیست، زیرا تبادل اطلاعات بدون هیچ گونه رمزگذاری انجام می شود.

تفاوت بین VPN و ناشناس چیست؟

Anonymizer یک نسخه حذف شده از یک پروکسی است که فقط در یک برگه باز مرورگر می تواند کار کند. از طریق آن می‌توانید وارد صفحه شوید، اما نمی‌توانید از بیشتر ویژگی‌ها استفاده کنید و هیچ رمزگذاری ارائه نمی‌شود.

از نظر سرعت، پروکسی از روش های تبادل اطلاعات غیرمستقیم برنده خواهد شد، زیرا رمزگذاری کانال ارتباطی را فراهم نمی کند. در وهله دوم VPN قرار دارد که نه تنها ناشناس ماندن، بلکه محافظت نیز فراهم می کند. مکان سوم متعلق به ناشناس است که محدود به کار در یک پنجره باز مرورگر است. TOR زمانی مناسب است که زمان و فرصتی برای اتصال به VPN وجود ندارد، اما نباید روی پردازش سریع درخواست های انبوه حساب کنید. این درجه بندی برای مواردی معتبر است که از سرورهای بدون بار استفاده می شود که در همان فاصله از سرور آزمایش شده قرار دارند.

نحوه اتصال به اینترنت با VPN

ده ها سرویس خدمات دسترسی VPN را در RuNet ارائه می دهند. خوب، احتمالاً صدها نفر در سراسر جهان وجود دارند. اصولاً تمام خدمات پولی است. هزینه از چند دلار تا چند ده دلار در ماه متغیر است. متخصصانی که درک خوبی از فناوری اطلاعات دارند، با استفاده از سرورهایی که توسط ارائه دهندگان هاست مختلف برای این منظور ارائه می شود، برای خود سرور VPN ایجاد می کنند. هزینه چنین سروری معمولاً حدود 5 دلار در ماه است.

اینکه شما یک راه حل پولی یا رایگان را ترجیح می دهید به نیازها و انتظارات شما بستگی دارد. هر دو گزینه کار خواهند کرد - مخفی کردن مکان، جایگزینی IP، رمزگذاری داده ها در حین انتقال و غیره - اما مشکلات سرعت و دسترسی در خدمات پولی بسیار کمتر اتفاق می افتد و بسیار سریعتر حل می شوند.

توییت

به علاوه

فناوری ایجاد یک شبکه منطقی در یک شبکه دیگر، مخفف «VPN» را دریافت کرده است که به معنای واقعی کلمه مخفف «شبکه خصوصی مجازی» در انگلیسی است. به زبان ساده، VPN شامل روش‌های مختلف ارتباط بین دستگاه‌های داخل شبکه دیگر است و امکان اعمال روش‌های حفاظتی مختلف را فراهم می‌کند که امنیت اطلاعات مبادله شده بین رایانه‌ها را به میزان قابل توجهی افزایش می‌دهد.

و این در دنیای مدرن بسیار مهم است، به عنوان مثال، برای شبکه های شرکت های بزرگ تجاری و، البته، بانک ها. در زیر راهنماهای دقیقی در مورد نحوه ایجاد VPN، دستورالعمل‌هایی در مورد روش ایجاد اتصال VPN و نحوه پیکربندی صحیح اتصال VPN ایجاد شده وجود دارد.

تعریف

برای درک بهتر VPN چیست، فقط باید بدانید که چه کاری می تواند انجام دهد. اتصال VPN بخش خاصی را در یک شبکه موجود تخصیص می دهد و تمام رایانه ها و تجهیزات دیجیتالی واقع در آن در ارتباط دائمی با یکدیگر هستند. اما مهمتر از همه، این بخش برای تمام دستگاه های دیگر واقع در یک شبکه بزرگ کاملاً بسته و محافظت می شود.

نحوه اتصال VPN

علیرغم پیچیدگی ظاهری اولیه تعریف VPN، ایجاد آن بر روی رایانه های ویندوز و حتی خود راه اندازی VPN دشوار نخواهد بود اگر راهنمای دقیقی داشته باشید. شرط اصلی این است که به طور دقیق دنباله ای دقیق از مراحل زیر را دنبال کنید:

علاوه بر این، پیکربندی VPN با در نظر گرفتن تفاوت های ظریف مختلف انجام می شود.

چگونه یک VPN راه اندازی کنیم؟

پیکربندی با در نظر گرفتن ویژگی های فردی نه تنها سیستم عامل، بلکه اپراتور ارائه دهنده خدمات ارتباطی نیز ضروری است.

ویندوز XP

برای اینکه VPN در سیستم عامل Windows XP با موفقیت کار خود را انجام دهد، مراحل متوالی زیر مورد نیاز است:

سپس، در حین عملکرد در محیط ایجاد شده، می توانید از برخی عملکردهای راحت استفاده کنید. برای این کار موارد زیر را انجام دهید:

توجه: پارامترها همیشه به روش های مختلف وارد می شوند، زیرا نه تنها به سرور، بلکه به ارائه دهنده خدمات ارتباطی نیز بستگی دارند.

ویندوز 8

در این سیستم عامل، نحوه راه اندازی VPN نباید مشکل زیادی ایجاد کند، زیرا در اینجا تقریباً خودکار است.

الگوریتم توالی اقدامات شامل مراحل زیر است:

بعد، باید گزینه های شبکه را مشخص کنید. برای این منظور موارد زیر را انجام دهید:

توجه: وارد کردن تنظیمات ممکن است بسته به پیکربندی شبکه بسیار متفاوت باشد.

ویندوز 7

فرآیند انجام تنظیمات در ویندوز 7 حتی برای کاربران کم تجربه کامپیوتر نیز ساده و قابل دسترس است.

برای تولید آنها، یک کاربر ویندوز 7 باید مراحل متوالی زیر را انجام دهد:

توجه: برای عملکرد صحیح، انتخاب دقیق همه پارامترها ضروری است.

اندروید

برای تنظیم عملکرد عادی یک گجت با سیستم عامل اندروید در محیط VPN، باید چندین کار را انجام دهید:

ویژگی های اتصال

این فناوری شامل انواع مختلفی از تاخیر در فرآیندهای انتقال داده است. تاخیر به دلیل عوامل زیر رخ می دهد:

1. ایجاد یک ارتباط مدتی طول می کشد.
2. یک فرآیند ثابت برای رمزگذاری اطلاعات ارسال شده وجود دارد.
3. بلوک های اطلاعات منتقل شده

مهم ترین تفاوت ها در خود فناوری وجود دارد، به عنوان مثال، روترها و خطوط جداگانه برای VPN مورد نیاز نیست. برای عملکرد مؤثر، فقط به شبکه جهانی وب و برنامه هایی نیاز دارید که رمزگذاری اطلاعات را ارائه می دهند.

اینترنت به طور فزاینده ای به عنوان وسیله ای برای ارتباط بین رایانه ها مورد استفاده قرار می گیرد زیرا ارتباطات کارآمد و ارزانی را ارائه می دهد. با این حال، اینترنت یک شبکه عمومی است و برای اطمینان از برقراری ارتباط امن از طریق آن، مکانیسمی مورد نیاز است که حداقل وظایف زیر را برآورده کند:

محرمانه بودن اطلاعات؛

یکپارچگی داده؛

در دسترس بودن اطلاعات؛

این الزامات توسط مکانیزمی به نام VPN (شبکه خصوصی مجازی - شبکه خصوصی مجازی) برآورده می شود - یک نام کلی برای فناوری هایی که اجازه می دهد یک یا چند اتصال شبکه (شبکه منطقی) از طریق شبکه دیگری (به عنوان مثال، اینترنت) با استفاده از رمزنگاری ارائه شود. ابزارها (رمزگذاری، احراز هویت، کلیدهای عمومی زیرساخت، ابزاری برای محافظت در برابر تکرار و تغییر پیام های ارسال شده از طریق شبکه منطقی).

ایجاد VPN نیازی به سرمایه گذاری اضافی ندارد و به شما امکان می دهد استفاده از خطوط اجاره ای را متوقف کنید. بسته به پروتکل های مورد استفاده و هدف، یک VPN می تواند سه نوع اتصال را ارائه دهد: میزبان-میزبان، میزبان-شبکه و شبکه-شبکه.

برای وضوح، بیایید مثال زیر را تصور کنیم: یک شرکت دارای چندین شعبه از راه دور و کارمندان "سیار" است که در خانه یا در جاده کار می کنند. لازم است همه کارکنان شرکت در یک شبکه واحد متحد شوند. ساده ترین راه قرار دادن مودم در هر شعبه و سازماندهی ارتباطات در صورت نیاز است. با این حال، چنین راه حلی همیشه راحت و سودآور نیست - گاهی اوقات به یک اتصال ثابت و پهنای باند زیاد نیاز دارید. برای انجام این کار، یا باید یک خط اختصاصی بین شعب ایجاد کنید، یا آنها را اجاره کنید. هر دو بسیار گران هستند. و در اینجا، به عنوان یک جایگزین، هنگام ساخت یک شبکه امن واحد، می توانید از اتصالات VPN تمام شعب شرکت از طریق اینترنت استفاده کنید و ابزار VPN را بر روی هاست شبکه پیکربندی کنید.

برنج. 6.4.اتصال VPN سایت به سایت

برنج. 6.5.اتصال میزبان به شبکه VPN

در این مورد، بسیاری از مشکلات حل می شود - شعب را می توان در هر نقطه از جهان قرار داد.

خطر در اینجا این است که اولاً، شبکه باز برای حملات متجاوزان در سراسر جهان باز است. ثانیاً، همه داده ها از طریق اینترنت به صورت شفاف منتقل می شوند و مهاجمان با هک کردن شبکه، تمام اطلاعات را از طریق شبکه منتقل می کنند. و ثالثاً، داده ها نه تنها می توانند رهگیری شوند، بلکه در حین انتقال از طریق شبکه نیز جایگزین می شوند. برای مثال، یک مهاجم می‌تواند با اقدام از طرف مشتریان یکی از شاخه‌های مورد اعتماد، یکپارچگی پایگاه‌های داده را به خطر بیاندازد.

برای جلوگیری از این اتفاق، راه حل های VPN از ابزارهایی مانند رمزگذاری داده ها برای اطمینان از یکپارچگی و محرمانه بودن، احراز هویت و مجوز برای تأیید حقوق کاربر و اجازه دسترسی به یک شبکه خصوصی مجازی استفاده می کنند.

یک اتصال VPN همیشه از یک پیوند نقطه به نقطه تشکیل شده است که به عنوان تونل نیز شناخته می شود. این تونل در یک شبکه ناامن ایجاد می شود که اغلب اینترنت است.

تونل سازی یا کپسوله سازی راهی برای انتقال اطلاعات مفید از طریق یک شبکه میانی است. چنین اطلاعاتی ممکن است فریم (یا بسته) پروتکل دیگری باشد. با کپسوله‌سازی، فریم همانطور که توسط میزبان فرستنده تولید شده است، منتقل نمی‌شود، بلکه با یک هدر اضافی حاوی اطلاعات مسیریابی ارائه می‌شود که به بسته‌های محصور شده اجازه می‌دهد تا از شبکه میانی (اینترنت) عبور کنند. در انتهای تونل، فریم ها کپسوله شده و به گیرنده منتقل می شوند. به طور معمول، یک تونل توسط دو دستگاه لبه واقع در نقاط ورودی به شبکه عمومی ایجاد می شود. یکی از مزایای واضح تونل سازی این است که این فناوری به شما امکان می دهد کل بسته اصلی، از جمله هدر را رمزگذاری کنید، که ممکن است حاوی اطلاعاتی باشد که مهاجمان برای هک کردن شبکه استفاده می کنند (به عنوان مثال، آدرس های IP، تعداد زیر شبکه ها و غیره). ) .

اگرچه یک تونل VPN بین دو نقطه ایجاد می شود، هر میزبان می تواند تونل های اضافی را با میزبان های دیگر ایجاد کند. به عنوان مثال، زمانی که سه ایستگاه راه دور نیاز به تماس با یک دفتر داشته باشند، سه تونل VPN مجزا برای این دفتر ایجاد می شود. برای همه تونل ها، گره در سمت دفتر می تواند یکسان باشد. این امر به دلیل این واقعیت امکان پذیر است که گره می تواند داده ها را از طرف کل شبکه رمزگذاری و رمزگشایی کند، همانطور که در شکل نشان داده شده است:

برنج. 6.6.تونل های VPN را برای چندین مکان راه دور ایجاد کنید

کاربر یک اتصال به دروازه VPN برقرار می کند و پس از آن کاربر به شبکه داخلی دسترسی پیدا می کند.

در یک شبکه خصوصی، خود رمزگذاری رخ نمی دهد. دلیل آن این است که این قسمت از شبکه برخلاف اینترنت امن و تحت کنترل مستقیم در نظر گرفته می شود. این در هنگام اتصال دفاتر با استفاده از دروازه های VPN نیز صادق است. بنابراین، رمزگذاری فقط برای اطلاعاتی که از طریق یک کانال ناامن بین دفاتر مخابره می‌شود، تضمین می‌شود.

راه حل های مختلفی برای ساخت شبکه های خصوصی مجازی وجود دارد. معروف ترین و پرکاربردترین پروتکل ها عبارتند از:

PPTP (پروتکل نقطه به نقطه تونل) - این پروتکل به دلیل گنجاندن آن در سیستم عامل های مایکروسافت بسیار محبوب شده است.

L2TP (Layer-2 Tunneling Protocol) - پروتکل L2F (Layer 2 Forwarding) و پروتکل PPTP را ترکیب می کند. معمولاً در ارتباط با IPSec استفاده می شود.

IPSec (امنیت پروتکل اینترنت) یک استاندارد رسمی اینترنتی است که توسط انجمن IETF (گروه وظیفه مهندسی اینترنت) توسعه یافته است.

پروتکل های لیست شده توسط دستگاه های D-Link پشتیبانی می شوند.

پروتکل PPTP در درجه اول برای شبکه های خصوصی مجازی مبتنی بر اتصالات شماره گیری در نظر گرفته شده است. این پروتکل اجازه دسترسی از راه دور را می دهد، به طوری که کاربران می توانند با ارائه دهندگان اینترنت ارتباط تلفنی برقرار کنند و یک تونل امن برای شبکه های شرکتی خود ایجاد کنند. برخلاف IPSec، پروتکل PPTP در اصل برای سازماندهی تونل ها بین شبکه های محلی در نظر گرفته نشده بود. PPTP قابلیت‌های PPP را گسترش می‌دهد، یک پروتکل پیوند داده که در ابتدا برای کپسوله کردن داده‌ها و ارائه آن‌ها از طریق اتصالات نقطه به نقطه طراحی شده بود.

پروتکل PPTP به شما امکان می دهد با استفاده از پروتکل های مختلف کانال های امنی برای تبادل داده ایجاد کنید - IP، IPX، NetBEUI، و غیره. سپس با استفاده از IP به شکل رمزگذاری شده روی هر شبکه TCP/IP منتقل می شوند. گره دریافت کننده فریم های PPP را از بسته های IP استخراج می کند و سپس آنها را به روش استاندارد پردازش می کند. یک بسته IP، IPX یا NetBEUI را از یک فریم PPP استخراج می کند و آن را از طریق شبکه محلی ارسال می کند. بنابراین، پروتکل PPTP یک اتصال نقطه به نقطه در شبکه ایجاد می کند و داده ها را از طریق کانال امن ایجاد شده منتقل می کند. مزیت اصلی کپسوله کردن پروتکل هایی مانند PPTP ماهیت چند پروتکلی آنهاست. آن ها حفاظت از داده ها در لایه پیوند داده برای پروتکل های شبکه و لایه برنامه شفاف است. بنابراین، در داخل شبکه، هم پروتکل IP (مانند یک VPN مبتنی بر IPSec) یا هر پروتکل دیگری می تواند به عنوان یک انتقال استفاده شود.

در حال حاضر، به دلیل سهولت پیاده سازی، پروتکل PPTP به طور گسترده ای هم برای دستیابی به دسترسی ایمن مطمئن به یک شبکه شرکتی و هم برای دسترسی به شبکه های ISP زمانی که یک کلاینت نیاز به برقراری ارتباط PPTP با یک ISP برای دسترسی به اینترنت دارد، استفاده می شود.

روش رمزگذاری مورد استفاده در PPTP در لایه PPP مشخص شده است. به طور معمول، مشتری PPP یک رایانه رومیزی است که سیستم عامل مایکروسافت را اجرا می کند، و پروتکل رمزگذاری، رمزگذاری نقطه به نقطه مایکروسافت (MPPE) است. این پروتکل بر اساس استاندارد RSA RC4 است و از رمزگذاری 40 یا 128 بیتی پشتیبانی می کند. برای بسیاری از کاربردهای این سطح از رمزگذاری، استفاده از این الگوریتم کافی است، اگرچه نسبت به تعدادی دیگر از الگوریتم‌های رمزگذاری ارائه شده توسط IPSec، به ویژه استاندارد رمزگذاری سه‌گانه 168 بیتی (3DES) از امنیت کمتری برخوردار است.

نحوه برقراری ارتباطPPTP?

PPTP بسته های IP را برای انتقال از طریق شبکه IP محصور می کند. کلاینت های PPTP یک اتصال کنترل تونل ایجاد می کنند که پیوند را زنده نگه می دارد. این فرآیند در لایه انتقال مدل OSI انجام می شود. پس از ایجاد تونل، کامپیوتر مشتری و سرور شروع به تبادل بسته های سرویس می کنند.

علاوه بر اتصال کنترل PPTP، یک اتصال برای ارسال داده ها از طریق تونل ایجاد می شود. کپسوله کردن داده ها قبل از ارسال به تونل شامل دو مرحله است. ابتدا قسمت اطلاعاتی قاب PPP ایجاد می شود. داده ها از بالا به پایین، از لایه برنامه OSI به لایه پیوند جریان می یابد. سپس داده های دریافتی به مدل OSI ارسال می شود و توسط پروتکل های لایه بالایی محصور می شود.

داده های لایه پیوند به لایه انتقال می رسد. با این حال، اطلاعات را نمی توان به مقصد خود ارسال کرد، زیرا لایه پیوند OSI مسئول این امر است. بنابراین، PPTP فیلد بار بسته را رمزگذاری می‌کند و توابع سطح دوم را که معمولاً به PPP تعلق دارند، به عهده می‌گیرد، یعنی یک هدر PPP (هدر) و یک پایان (تریلر) به بسته PPTP اضافه می‌کند. این کار ایجاد قاب لایه پیوند را کامل می کند. در مرحله بعد، PPTP فریم PPP را در یک بسته Generic Routing Encapsulation (GRE) کپسوله می کند که به لایه شبکه تعلق دارد. GRE پروتکل های لایه شبکه مانند IP، IPX را محصور می کند تا آنها را قادر به انتقال از طریق شبکه های IP کند. با این حال، استفاده از پروتکل GRE به تنهایی ایجاد جلسه و امنیت داده ها را تضمین نمی کند. این از توانایی PPTP برای ایجاد یک اتصال کنترل تونل استفاده می کند. استفاده از GRE به عنوان یک روش کپسوله سازی، دامنه PPTP را فقط به شبکه های IP محدود می کند.

پس از اینکه فریم PPP در یک فریم با هدر GRE کپسوله شد، در یک فریم با هدر IP محصور شد. هدر IP حاوی آدرس فرستنده و گیرنده بسته است. در نهایت، PPTP یک هدر PPP و پایان اضافه می کند.

در برنج. 6.7ساختار داده را برای ارسال از طریق یک تونل PPTP نشان می دهد:

برنج. 6.7.ساختار داده برای ارسال از طریق یک تونل PPTP

راه اندازی VPN بر اساس PPTP نیازی به هزینه های زیاد و تنظیمات پیچیده ندارد: کافی است یک سرور PPTP را در دفتر مرکزی نصب کنید (راه حل های PPTP برای هر دو سیستم عامل ویندوز و لینوکس وجود دارد) و تنظیمات لازم را در رایانه های مشتری انجام دهید. اگر نیاز به ترکیب چندین شاخه دارید، به جای راه اندازی PPTP در تمام ایستگاه های مشتری، بهتر است از یک روتر اینترنتی یا فایروال با پشتیبانی PPTP استفاده کنید: تنظیمات فقط روی یک روتر مرزی (دیوار آتش) متصل به اینترنت انجام می شود. همه چیز برای کاربران کاملا شفاف است. نمونه هایی از این دستگاه ها روترهای اینترنت چند منظوره DIR/DSR و فایروال های سری DFL هستند.

GRE-تونل ها

Generic Routing Encapsulation (GRE) یک پروتکل کپسوله‌سازی بسته‌های شبکه است که تونل‌سازی ترافیک را از طریق شبکه‌ها بدون رمزگذاری فراهم می‌کند. نمونه هایی از استفاده از GRE:

انتقال ترافیک (از جمله پخش) از طریق تجهیزاتی که از پروتکل خاصی پشتیبانی نمی کنند.

تونل سازی ترافیک IPv6 از طریق شبکه IPv4؛

انتقال داده از طریق شبکه های عمومی برای اجرای یک اتصال VPN ایمن.

برنج. 6.8.نمونه ای از تونل GRE

بین دو روتر A و B ( برنج. 6.8) چندین روتر وجود دارد، تونل GRE به شما اجازه می دهد تا ارتباطی بین شبکه های محلی 192.168.1.0/24 و 192.168.3.0/24 فراهم کنید، گویی روترهای A و B مستقیماً متصل شده اند.

L2 TP

پروتکل L2TP در نتیجه ادغام پروتکل های PPTP و L2F ظاهر شد. مزیت اصلی پروتکل L2TP این است که به شما امکان می دهد نه تنها در شبکه های IP، بلکه در شبکه های ATM، X.25 و Frame relay یک تونل ایجاد کنید. L2TP از UDP به عنوان یک انتقال استفاده می کند و از همان قالب پیام برای مدیریت تونل و ارسال داده استفاده می کند.

همانطور که در مورد PPTP، L2TP با اضافه کردن هدر PPP، سپس سربرگ L2TP، به فیلد داده اطلاعات PPP شروع به مونتاژ یک بسته برای ارسال به تونل می کند. بسته دریافت شده توسط UDP کپسوله می شود. بسته به نوع خط‌مشی امنیتی IPSec انتخاب شده، L2TP می‌تواند پیام‌های UDP را رمزگذاری کند و یک سرصفحه و انتهای محفظه بار امنیتی (ESP) و همچنین یک پایان تأیید اعتبار IPSec اضافه کند (به بخش «L2TP over IPSec» مراجعه کنید). سپس در IP کپسوله می شود. یک هدر IP حاوی آدرس فرستنده و گیرنده اضافه می شود. در نهایت، L2TP یک کپسوله سازی PPP دوم را برای آماده سازی داده ها برای انتقال انجام می دهد. در برنج. 6.9ساختار داده را نشان می دهد که باید از طریق یک تونل L2TP ارسال شود.

برنج. 6.9.ساختار داده برای ارسال از طریق یک تونل L2TP

کامپیوتر دریافت کننده داده ها را دریافت می کند، هدر و پایان PPP را پردازش می کند و هدر IP را حذف می کند. IPSec Authentication فیلد اطلاعات IP را احراز هویت می کند و هدر IPSec ESP به رمزگشایی بسته کمک می کند.

سپس کامپیوتر هدر UDP را پردازش می کند و از هدر L2TP برای شناسایی تونل استفاده می کند. بسته PPP در حال حاضر فقط حاوی باری است که در حال پردازش یا ارسال به گیرنده مشخص شده است.

IPsec (مخفف IP Security) مجموعه ای از پروتکل ها برای ایمن سازی داده های منتقل شده از طریق پروتکل اینترنت IP است که امکان احراز هویت و/یا رمزگذاری بسته های IP را فراهم می کند. IPsec همچنین شامل پروتکل هایی برای تبادل کلید امن در اینترنت است.

امنیت IPSec از طریق پروتکل های اضافی حاصل می شود که هدرهای خود را به بسته IP اضافه می کنند - کپسوله سازی. زیرا IPSec یک استاندارد اینترنتی است، سپس اسناد RFC برای آن وجود دارد:

RFC 2401 (معماری امنیتی برای پروتکل اینترنت) معماری امنیتی برای پروتکل IP است.

RFC 2402 (هدر IP Authentication) - هدر تأیید اعتبار IP.

RFC 2404 (استفاده از HMAC-SHA-1-96 در ESP و AH) - استفاده از الگوریتم هش SHA-1 برای ایجاد هدر احراز هویت.

RFC 2405 (الگوریتم رمزگذاری ESP DES-CBC با صریح IV) - استفاده از الگوریتم رمزگذاری DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - رمزگذاری داده ها.

RFC 2407 (دامنه تفسیر امنیت IP اینترنت برای ISAKMP) محدوده پروتکل مدیریت کلید است.

RFC 2408 (انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP)) - مدیریت کلید و احراز هویت برای اتصالات امن.

RFC 2409 (The Internet Key Exchange (IKE)) - مبادله کلید.

RFC 2410 (الگوریتم رمزگذاری NULL و استفاده از آن با IPsec) - الگوریتم رمزگذاری NULL و استفاده از آن.

RFC 2411 (نقشه راه سند امنیت IP) توسعه بیشتر این استاندارد است.

RFC 2412 (پروتکل تعیین کلید OAKLEY) - بررسی اصالت یک کلید.

IPsec بخشی جدایی ناپذیر از پروتکل اینترنت IPv6 و افزونه اختیاری نسخه IPv4 پروتکل اینترنت است.

مکانیسم IPSec وظایف زیر را انجام می دهد:

احراز هویت کاربران یا رایانه ها در طول راه اندازی کانال امن؛

رمزگذاری و احراز هویت داده های منتقل شده بین نقاط انتهایی یک کانال امن؛

تامین خودکار نقاط انتهایی کانال با کلیدهای مخفی لازم برای عملیات احراز هویت و پروتکل های رمزگذاری داده ها.

اجزای IPSec

پروتکل AH (Authentication Header) یک پروتکل شناسایی هدر است. با تأیید اینکه هیچ بیتی در قسمت محافظت شده بسته در طول انتقال تغییر نکرده است، یکپارچگی را تضمین می کند. اما استفاده از AH می تواند مشکلاتی را ایجاد کند، به عنوان مثال، زمانی که یک بسته از یک دستگاه NAT عبور می کند. NAT آدرس IP بسته را تغییر می دهد تا امکان دسترسی به اینترنت از یک آدرس محلی خصوصی را فراهم کند. زیرا در این حالت بسته تغییر می کند، سپس چک جمع AH نادرست می شود (برای رفع این مشکل، پروتکل NAT-Traversal (NAT-T) ایجاد شد که انتقال ESP را از طریق UDP فراهم می کند و از پورت UDP 4500 در کار خود استفاده می کند). همچنین شایان ذکر است که AH فقط برای یکپارچگی طراحی شده است. با رمزگذاری محتویات بسته، محرمانه بودن را تضمین نمی کند.

پروتکل ESP (Encapsulation Security Payload) نه تنها یکپارچگی و احراز هویت داده های ارسالی را فراهم می کند، بلکه رمزگذاری داده ها و همچنین محافظت در برابر جعل بسته ها را فراهم می کند.

پروتکل ESP یک پروتکل امنیتی محصور کننده است که هم یکپارچگی و هم محرمانه بودن را فراهم می کند. در حالت انتقال، هدر ESP بین هدر IP اصلی و هدر TCP یا UDP قرار دارد. در حالت تونل، هدر ESP بین هدر IP جدید و بسته IP اصلی کاملاً رمزگذاری شده قرار می گیرد.

زیرا هر دو پروتکل - AH و ESP - هدر IP خود را اضافه می کنند، هر یک از آنها شماره پروتکل (ID) خود را دارند، که توسط آن می توانید تعیین کنید که چه چیزی پس از هدر IP خواهد آمد. طبق گفته IANA (مرجع شماره های اختصاص داده شده اینترنتی - سازمانی که مسئولیت فضای آدرس اینترنت را بر عهده دارد)، هر پروتکل دارای شماره (ID) خاص خود است. به عنوان مثال، برای TCP این عدد 6 و برای UDP 17 است. بنابراین، هنگام کار از طریق فایروال بسیار مهم است که فیلترها را به گونه ای پیکربندی کنید که بسته هایی با ID AH و/یا ESP پروتکل ارسال شود.

شناسه پروتکل 51 برای نشان دادن وجود AH در هدر IP و 50 برای ESP تنظیم شده است.

توجه: شناسه پروتکل با شماره پورت یکسان نیست.

پروتکل IKE (Internet Key Exchange) یک پروتکل استاندارد IPsec است که برای ایمن سازی ارتباطات در شبکه های خصوصی مجازی استفاده می شود. هدف IKE مذاکره ایمن و تحویل مواد شناسایی شده به یک انجمن امنیتی (SA) است.

SA اصطلاح IPSec برای اتصال است. یک SA تاسیس شده (یک کانال ایمن به نام "ارتباط امن" یا "ارتباط امنیتی" - Security Association، SA) شامل یک کلید مخفی مشترک و مجموعه ای از الگوریتم های رمزنگاری است.

پروتکل IKE سه وظیفه اصلی را انجام می دهد:

ابزاری برای احراز هویت بین دو نقطه پایانی VPN فراهم می کند.

پیوندهای جدید IPSec را ایجاد می کند (یک جفت SA ایجاد می کند).

روابط موجود را مدیریت می کند.

IKE از پورت UDP شماره 500 استفاده می کند. هنگام استفاده از ویژگی NAT Traversal، همانطور که قبلا ذکر شد، پروتکل IKE از پورت UDP شماره 4500 استفاده می کند.

تبادل داده در IKE در 2 فاز انجام می شود. در مرحله اول انجمن SA IKE تاسیس می شود. در همان زمان، نقاط انتهایی کانال احراز هویت می شوند و پارامترهای حفاظت از داده ها مانند الگوریتم رمزگذاری، کلید جلسه و غیره انتخاب می شوند.

در مرحله دوم، SA IKE برای مذاکره پروتکل (معمولا IPSec) استفاده می شود.

با یک تونل VPN پیکربندی شده، یک جفت SA برای هر پروتکل استفاده شده ایجاد می شود. SA ها به صورت جفتی ایجاد می شوند هر SA یک اتصال یک طرفه است و داده ها باید در دو جهت ارسال شوند. جفت های SA دریافتی در هر گره ذخیره می شوند.

از آنجایی که هر گره قادر به ایجاد تونل های متعدد با گره های دیگر است، هر SA یک شماره منحصر به فرد دارد تا مشخص کند به کدام گره تعلق دارد. به این عدد SPI (Security Parameter Index) یا Security Parameter Index می گویند.

SA ذخیره شده در یک پایگاه داده (DB) غمگین(پایگاه اطلاعات انجمن امنیتی).

هر گره IPSec یک DB دوم نیز دارد SPD(Security Policy Database) - پایگاه داده سیاست امنیتی. این شامل سیاست میزبان پیکربندی شده است. اکثر راه حل های VPN به شما امکان می دهند چندین خط مشی را با ترکیبی از الگوریتم های مناسب برای هر میزبانی که می خواهید به آن متصل شوید ایجاد کنید.

انعطاف پذیری IPSec در این است که برای هر کار چندین راه برای حل آن وجود دارد و روش هایی که برای یک کار انتخاب می شوند معمولا مستقل از روش های اجرای وظایف دیگر هستند. با این حال، گروه کاری IETF مجموعه‌ای اصلی از ویژگی‌ها و الگوریتم‌های پشتیبانی شده را تعریف کرده است که باید به روشی یکسان در تمام محصولات دارای IPSec اجرا شوند. مکانیسم‌های AH و ESP را می‌توان با طرح‌های احراز هویت و رمزگذاری مختلفی استفاده کرد که برخی از آنها اجباری هستند. به عنوان مثال، IPSec مشخص می کند که بسته ها با استفاده از تابع یک طرفه MD5 یا تابع یک طرفه SHA-1 احراز هویت می شوند و رمزگذاری با استفاده از الگوریتم DES انجام می شود. تولیدکنندگان محصولاتی که IPSec را اجرا می کنند ممکن است الگوریتم های احراز هویت و رمزگذاری دیگری را اضافه کنند. به عنوان مثال، برخی از محصولات از الگوریتم های رمزگذاری مانند 3DES، Blowfish، Cast، RC5 و غیره پشتیبانی می کنند.

هر الگوریتم رمزگذاری متقارن که از کلیدهای مخفی استفاده می کند می تواند برای رمزگذاری داده ها در IPSec استفاده شود.

پروتکل های حفاظت از جریان (AH و ESP) می توانند در دو حالت کار کنند - in حالت حمل و نقلو در حالت تونل. هنگام کار در حالت انتقال، IPsec فقط با اطلاعات لایه انتقال سروکار دارد. فقط قسمت داده بسته حاوی پروتکل های TCP / UDP رمزگذاری شده است (سرصفحه بسته IP تغییر نمی کند (رمزگذاری نشده است)). حالت انتقال معمولاً برای برقراری ارتباط بین میزبان ها استفاده می شود.

حالت Tunneling کل بسته IP از جمله هدر لایه شبکه را رمزگذاری می کند. برای اینکه از طریق شبکه منتقل شود، در بسته IP دیگری قرار می گیرد. در اصل، این یک تونل IP امن است. حالت تونل را می توان برای اتصال رایانه های راه دور به یک شبکه خصوصی مجازی (طرح اتصال «شبکه میزبان») یا سازماندهی انتقال امن داده از طریق کانال های ارتباطی باز (مثلاً اینترنت) بین دروازه ها برای ترکیب بخش های مختلف یک خصوصی مجازی استفاده کرد. شبکه ("طرح اتصال شبکه"). -network").

حالت های IPsec متقابل نیستند. در همان میزبان، برخی از SAها ممکن است از حالت انتقال استفاده کنند، در حالی که برخی دیگر ممکن است از حالت تونل استفاده کنند.

در مرحله احراز هویت، جمع چک ICV (مقدار بررسی یکپارچگی) بسته محاسبه می شود. این فرض را بر این می گذارد که هر دو گره کلید مخفی را می دانند، که به گیرنده اجازه می دهد ICV را محاسبه کرده و با نتیجه ارسال شده توسط فرستنده مقایسه کند. اگر مقایسه ICV موفقیت آمیز باشد، فرستنده بسته احراز هویت در نظر گرفته می شود.

در حالت حمل و نقلق

کل بسته IP، به جز برخی از فیلدهای هدر IP، که می توان آنها را در حین انتقال تغییر داد. این فیلدها، که مقادیر آنها برای محاسبه ICV 0 است، می توانند بخشی از سرویس (نوع سرویس، TOS)، پرچم ها، افست قطعه، زمان زنده ماندن (TTL) و همچنین سربرگ جمع کنترلی باشند.

همه رشته ها در ق.

بار بسته های IP

AH در حالت انتقال از هدر IP (به جز فیلدهایی که مجاز به تغییر هستند) و بار در بسته اصلی IP محافظت می کند (شکل 3.39).

در حالت تونل، بسته اصلی در یک بسته IP جدید قرار می گیرد و انتقال داده بر اساس هدر بسته IP جدید انجام می شود.

برای حالت تونلقهنگام انجام یک محاسبه، اجزای زیر در جمع کنترل ICV گنجانده شده است:

همه فیلدها در هدر IP خارجی، به استثنای برخی از فیلدهای هدر IP، که می توان آنها را در حین انتقال تغییر داد. این فیلدها، که مقادیر آنها برای محاسبه ICV 0 است، می توانند بخشی از سرویس (نوع سرویس، TOS)، پرچم ها، افست قطعه، زمان زنده ماندن (TTL) و همچنین سربرگ جمع کنترلی باشند.

همه رشته ها ق.

بسته IP اصلی

همانطور که در تصویر زیر می بینید، حالت تونل AH از کل بسته IP منبع با یک هدر خارجی اضافی محافظت می کند که حالت انتقال AH از آن استفاده نمی کند:

برنج. 6.10.تونل و حالت های عملیاتی پروتکل AN

در حالت حمل و نقلESPکل بسته را تأیید نمی کند، بلکه فقط از بار IP محافظت می کند. هدر ESP در حالت انتقال ESP بلافاصله پس از سرآیند IP به بسته IP اضافه می شود و انتهای ESP (ESP Trailer) پس از داده ها بر این اساس اضافه می شود.

حالت انتقال ESP قسمت های زیر بسته را رمزگذاری می کند:

بار IP؛

یک الگوریتم رمزگذاری که از حالت رمزگذاری زنجیره بلوک رمز (CBC) استفاده می کند، دارای یک فیلد رمزگذاری نشده بین هدر ESP و بار است. این فیلد برای محاسبه CBC IV (Vector Initialization) نامیده می شود که بر روی گیرنده انجام می شود. از آنجایی که این فیلد برای شروع فرآیند رمزگشایی استفاده می شود، نمی توان آن را رمزگذاری کرد. حتی با وجود اینکه مهاجم توانایی مشاهده IV را دارد، هیچ راهی وجود ندارد که بتواند قسمت رمزگذاری شده بسته را بدون کلید رمزگذاری رمزگشایی کند. برای جلوگیری از تغییر بردار اولیه توسط مهاجمان، توسط جمع کنترل ICV محافظت می شود. در این مورد، ICV محاسبات زیر را انجام می دهد:

تمام فیلدها در هدر ESP؛

محموله شامل متن ساده IV.

همه فیلدها در ESP Trailer به جز قسمت داده های احراز هویت.

حالت تونل ESP کل بسته IP اصلی را در یک هدر IP جدید، یک هدر ESP و یک ESP Trailer کپسوله می کند. برای نشان دادن اینکه ESP در هدر IP وجود دارد، شناسه پروتکل IP روی 50 تنظیم می شود و هدر IP و بار اصلی بدون تغییر باقی می ماند. همانند حالت تونل AH، هدر IP بیرونی بر اساس پیکربندی تونل IPSec است. در مورد استفاده از حالت تونل ESP، ناحیه احراز هویت بسته IP نشان می دهد که امضا در کجا ساخته شده است و صحت و صحت آن را تأیید می کند و قسمت رمزگذاری شده نشان می دهد که اطلاعات محافظت شده و محرمانه است. هدر اصلی بعد از هدر ESP قرار می گیرد. پس از اینکه قسمت رمزگذاری شده در یک هدر تونل جدید که رمزگذاری نشده است کپسوله شد، بسته IP منتقل می شود. هنگامی که از طریق یک شبکه عمومی ارسال می شود، چنین بسته ای به آدرس IP دروازه شبکه دریافت کننده هدایت می شود و دروازه بسته را رمزگشایی می کند و هدر ESP را با استفاده از هدر IP اصلی حذف می کند تا سپس بسته را به رایانه ای که در شبکه داخلی قرار دارد هدایت کند. حالت تونل ESP قسمت های زیر بسته را رمزگذاری می کند:

بسته IP اصلی؛

• برای حالت تونل ESP، ICV به صورت زیر محاسبه می شود:

  تمام فیلدها در هدر ESP؛

  بسته IP اصلی، از جمله متن ساده IV.

  تمام فیلدهای هدر ESP به جز فیلد داده احراز هویت.

برنج. 6.11.تونل و حالت حمل و نقل پروتکل ESP

برنج. 6.12.مقایسه پروتکل های ESP و AH

خلاصه ای از حالت های کاربردیIPSec:

پروتکل - ESP (AH).

حالت - تونل (حمل و نقل).

روش تعویض کلید - IKE (دستی).

حالت IKE - اصلی (تهاجمی).

کلید DH - گروه 5 (گروه 2، گروه 1) - شماره گروه برای انتخاب کلیدهای جلسه ایجاد شده به صورت پویا، طول گروه.

احراز هویت - SHA1 (SHA، MD5).

رمزگذاری - DES (3DES، Blowfish، AES).

هنگام ایجاد یک خط مشی، معمولاً امکان ایجاد لیست مرتبی از الگوریتم ها و گروه های Diffie-Hellman وجود دارد. Diffie-Hellman (DH) یک پروتکل رمزگذاری است که برای ایجاد کلیدهای مخفی مشترک برای IKE، IPSec و PFS (Perfect Forward Secrecy) استفاده می شود. در این حالت، اولین موقعیتی که در هر دو گره مطابقت دارد استفاده خواهد شد. بسیار مهم است که همه چیز در سیاست امنیتی به شما امکان می دهد تا به این تصادف دست یابید. اگر همه چیز به جز یک بخش از خط مشی مطابقت داشته باشد، میزبان ها همچنان نمی توانند اتصال VPN برقرار کنند. هنگام راه‌اندازی یک تونل VPN بین سیستم‌های مختلف، باید دریابید که چه الگوریتم‌هایی توسط هر طرف پشتیبانی می‌شوند تا بتوانید ایمن‌ترین خط مشی ممکن را انتخاب کنید.

تنظیمات اصلی که سیاست امنیتی شامل می شود:

الگوریتم های متقارن برای رمزگذاری/رمزگشایی داده ها.

چک جمع های رمزنگاری برای بررسی یکپارچگی داده ها.

روش شناسایی گره متداول ترین روش ها اسرار از پیش به اشتراک گذاشته شده یا گواهینامه های CA هستند.

از حالت تونل یا حمل و نقل استفاده کنید.

کدام گروه Diffie-Hellman برای استفاده (گروه DH 1 (768 بیت)؛ گروه DH 2 (1024 بیت)؛ گروه DH 5 (1536 بیت)).

از AH، ESP یا هر دو استفاده کنید.

استفاده از PFS

محدودیت IPSec این است که فقط از انتقال داده در لایه پروتکل IP پشتیبانی می کند.

دو طرح اصلی برای استفاده از IPSec وجود دارد که در نقش گره هایی که کانال امن را تشکیل می دهند متفاوت است.

در طرح اول، یک کانال امن بین میزبان های انتهایی شبکه تشکیل می شود. در این طرح، پروتکل IPSec از میزبانی که در حال اجرا است محافظت می کند:

برنج. 6.13.یک کانال امن بین دو نقطه پایانی ایجاد کنید

در طرح دوم، یک کانال امن بین دو دروازه امنیتی ایجاد می شود. این دروازه‌ها داده‌ها را از میزبان‌های پایانی متصل به شبکه‌های پشت دروازه‌ها دریافت می‌کنند. میزبان های نهایی در این مورد از پروتکل IPSec پشتیبانی نمی کنند، ترافیک هدایت شده به شبکه عمومی از دروازه امنیتی عبور می کند که از طرف خود محافظت را انجام می دهد.

برنج. 6.14.ایجاد یک کانال امن بین دو دروازه

برای میزبان هایی که از IPSec پشتیبانی می کنند، می توان از هر دو حالت انتقال و حالت تونل استفاده کرد. برای دروازه‌ها، فقط حالت تونل مجاز است.

نصب و پشتیبانیVPN

همانطور که در بالا ذکر شد، نصب و نگهداری تونل VPN یک فرآیند دو مرحله ای است. در مرحله اول (فاز)، دو گره بر روی یک روش شناسایی، یک الگوریتم رمزگذاری، یک الگوریتم هش و یک گروه Diffie-Hellman توافق می کنند. آنها همدیگر را شناسایی می کنند. همه اینها می تواند در نتیجه تبادل سه پیام رمزگذاری نشده (به اصطلاح حالت تهاجمی، خشونت آمیز حالت) یا شش پیام، با تبادل اطلاعات شناسایی رمزگذاری شده (حالت استاندارد، اصلی حالت).

در حالت اصلی، امکان مذاکره با تمام پارامترهای پیکربندی دستگاه‌های فرستنده و گیرنده وجود دارد، در حالی که در حالت تهاجمی این امکان وجود ندارد و برخی از پارامترها (گروه Diffie-Hellman، الگوریتم‌های رمزگذاری و احراز هویت، PFS) باید از قبل تنظیم شوند. در هر دستگاه به همان روش پیکربندی شده است. با این حال، در این حالت، هم تعداد مبادلات و هم تعداد بسته های ارسالی کمتر است و در نتیجه زمان کمتری برای ایجاد یک جلسه IPSec می شود.

برنج. 6.15.پیام رسانی در حالت استاندارد (الف) و تهاجمی (ب).

با فرض انجام موفقیت آمیز عملیات، فاز اول SA ایجاد می شود فاز 1 SA(همچنین به نام IKESA) و فرآیند به مرحله دوم پیش می رود.

در مرحله دوم، داده های کلیدی تولید می شود، گره ها در مورد سیاست مورد استفاده توافق می کنند. این حالت که حالت سریع نیز نامیده می شود، با فاز 1 تفاوت دارد زیرا فقط می تواند پس از فاز 1 برقرار شود، زمانی که تمام بسته های فاز 2 رمزگذاری شده اند. تکمیل صحیح فاز دوم منجر به ظاهر شدن می شود فاز 2 SAیا IPSecSAو بر این اساس نصب تونل به پایان رسیده است.

ابتدا بسته ای با آدرس مقصد در شبکه دیگر به گره می رسد و گره فاز اول را با گرهی که مسئول شبکه دیگر است آغاز می کند. فرض کنید تونل بین گره ها با موفقیت ایجاد شده است و منتظر بسته ها است. با این حال، گره ها باید یکدیگر را دوباره شناسایی کرده و سیاست ها را پس از یک دوره زمانی معین مقایسه کنند. این دوره را فاز یک عمر یا IKE SA می نامند.

گره ها همچنین باید کلید رمزگذاری داده ها را پس از یک دوره زمانی به نام فاز دوم یا IPSec SA تغییر دهند.

طول عمر فاز دو کوتاهتر از فاز اول است، زیرا کلید باید بیشتر عوض شود. شما باید پارامترهای طول عمر یکسانی را برای هر دو گره تنظیم کنید. اگر این کار را انجام ندهید، ممکن است در ابتدا تونل با موفقیت ایجاد شود، اما پس از اولین دوره ناسازگار زندگی، اتصال قطع شود. همچنین زمانی که طول عمر فاز اول کمتر از فاز دوم باشد، ممکن است مشکلات ایجاد شود. اگر تونل از قبل پیکربندی شده کار خود را متوقف کند، اولین چیزی که باید بررسی شود طول عمر هر دو گره است.

همچنین لازم به ذکر است که اگر خط مشی یکی از گره ها را تغییر دهید، تغییرات تنها در شروع بعدی مرحله اول اعمال می شوند. برای اینکه تغییرات بلافاصله اعمال شوند، باید SA را برای این تونل از پایگاه داده SAD حذف کنید. این امر باعث تجدیدنظر در توافق بین گره ها با تنظیمات جدید خط مشی امنیتی می شود.

گاهی اوقات، هنگام راه اندازی یک تونل IPSec بین تجهیزات تولید کنندگان مختلف، مشکلاتی در ارتباط با هماهنگی پارامترها در طول ایجاد فاز اول وجود دارد. باید به پارامتری مانند Local ID توجه کنید - این یک شناسه منحصر به فرد برای نقطه پایانی تونل (فرستنده و گیرنده) است. این امر به ویژه هنگام ایجاد چندین تونل و استفاده از پروتکل NAT Traversal بسیار مهم است.

مردههمتاتشخیص

در طول عملیات VPN، اگر ترافیکی بین نقاط انتهایی تونل وجود نداشته باشد، یا اگر داده های اولیه گره راه دور تغییر کند (به عنوان مثال، تغییر آدرس IP اختصاص داده شده به صورت پویا)، ممکن است وضعیتی ایجاد شود که تونل اساساً دیگر چنین نباشد. ، تبدیل شدن به یک تونل ارواح. به منظور حفظ آمادگی ثابت برای تبادل داده در تونل IPSec ایجاد شده، مکانیسم IKE (شرح شده در RFC 3706) به شما امکان می دهد حضور ترافیک را از گره راه دور تونل کنترل کنید و اگر برای مدت زمان مشخصی وجود نداشته باشد، یک پیام سلام ارسال می شود (در فایروال ها D-Link یک پیام "DPD-R-U-THERE" ارسال می کند). اگر در مدت زمان معینی به این پیام پاسخی داده نشد، در فایروال های D-Link تنظیم شده توسط تنظیمات "DPD Expire Time"، تونل برچیده می شود. فایروال های D-Link پس از آن، با استفاده از تنظیمات "DPD Keep Time" ( برنج. 6.18) به طور خودکار تلاش می کند تا تونل را دوباره برقرار کند.

پروتکلNATپیمایش

ترافیک IPsec را می توان طبق قوانین مشابه سایر پروتکل های IP هدایت کرد، اما از آنجایی که روتر همیشه نمی تواند اطلاعات ویژه پروتکل های لایه انتقال را استخراج کند، عبور IPsec از دروازه های NAT غیرممکن است. همانطور که قبلا ذکر شد، برای حل این مشکل، IETF روشی را برای کپسوله کردن ESP در UDP تعریف کرده است که NAT-T (NAT Traversal) نام دارد.

پروتکل NAT Traversal ترافیک IPSec را کپسوله می کند و به طور همزمان بسته های UDP ایجاد می کند که NAT به درستی ارسال می کند. برای انجام این کار، NAT-T یک هدر UDP اضافی را قبل از بسته IPSec قرار می دهد تا مانند یک بسته UDP معمولی در سراسر شبکه رفتار شود و میزبان گیرنده هیچ گونه بررسی یکپارچگی را انجام ندهد. پس از رسیدن بسته به مقصد، هدر UDP حذف می شود و بسته داده به عنوان یک بسته IPSec محصور شده به راه خود ادامه می دهد. بنابراین، با استفاده از مکانیزم NAT-T، امکان برقراری ارتباط بین کلاینت های IPSec در شبکه های امن و هاست های عمومی IPSec از طریق فایروال ها وجود دارد.

هنگام پیکربندی فایروال های D-Link در دستگاه گیرنده باید به دو نکته توجه کرد:

در فیلدهای Remote Network و Remote Endpoint، شبکه و آدرس IP دستگاه ارسال از راه دور را مشخص کنید. لازم است امکان ترجمه آدرس IP آغازگر (فرستنده) با استفاده از فناوری NAT فراهم شود (شکل 3.48).

هنگام استفاده از کلیدهای مشترک با چندین تونل متصل به یک فایروال راه دور که به یک آدرس NAT شده اند، مهم است که اطمینان حاصل شود که شناسه محلی برای هر تونل منحصر به فرد است.

محلی شناسهمی تواند یکی از:

خودکار- آدرس IP رابط ترافیک خروجی به عنوان شناسه محلی استفاده می شود.

IP– آدرس IP پورت WAN فایروال راه دور

DNS– آدرس DNS