انتقال اطلاعات vpn تعداد اتصالات همزمان

24.06.2019 اخبار

اینترنت به طور فزاینده ای به عنوان وسیله ای برای ارتباط بین رایانه ها مورد استفاده قرار می گیرد زیرا ارتباطات کارآمد و ارزانی را ارائه می دهد. با این حال، اینترنت یک شبکه عمومی است و برای اطمینان از برقراری ارتباط امن از طریق آن، مکانیسمی مورد نیاز است که حداقل وظایف زیر را برآورده کند:

محرمانه بودن اطلاعات؛

یکپارچگی داده؛

در دسترس بودن اطلاعات؛

این الزامات توسط مکانیزمی به نام VPN (شبکه خصوصی مجازی - شبکه خصوصی مجازی) برآورده می شود - یک نام کلی برای فناوری هایی که اجازه می دهد یک یا چند اتصال شبکه (شبکه منطقی) از طریق شبکه دیگری (به عنوان مثال، اینترنت) با استفاده از رمزنگاری ارائه شود. ابزارها (رمزگذاری، احراز هویت، کلیدهای عمومی زیرساخت، ابزاری برای محافظت در برابر تکرار و تغییر پیام های ارسال شده از طریق شبکه منطقی).

ایجاد VPN نیازی به سرمایه گذاری اضافی ندارد و به شما امکان می دهد استفاده از خطوط اجاره ای را متوقف کنید. بسته به پروتکل های مورد استفاده و هدف، یک VPN می تواند سه نوع اتصال را ارائه دهد: میزبان-میزبان، میزبان-شبکه و شبکه-شبکه.

برای وضوح، بیایید مثال زیر را تصور کنیم: یک شرکت دارای چندین شعبه از راه دور و کارمندان "سیار" است که در خانه یا در جاده کار می کنند. لازم است همه کارکنان شرکت در یک شبکه واحد متحد شوند. ساده ترین راه قرار دادن مودم در هر شعبه و سازماندهی ارتباطات در صورت نیاز است. با این حال، چنین راه حلی همیشه راحت و سودآور نیست - گاهی اوقات به یک اتصال ثابت و پهنای باند زیاد نیاز دارید. برای انجام این کار، یا باید یک خط اختصاصی بین شعب ایجاد کنید، یا آنها را اجاره کنید. هر دو بسیار گران هستند. و در اینجا، به عنوان یک جایگزین، هنگام ساخت یک شبکه امن واحد، می توانید از اتصالات VPN تمام شعب شرکت از طریق اینترنت استفاده کنید و ابزار VPN را بر روی هاست شبکه پیکربندی کنید.

برنج. 6.4.اتصال VPN سایت به سایت

برنج. 6.5.اتصال میزبان به شبکه VPN

در این مورد، بسیاری از مشکلات حل می شود - شعب را می توان در هر نقطه از جهان قرار داد.

خطر در اینجا این است که اولاً، شبکه باز برای حملات متجاوزان در سراسر جهان باز است. ثانیاً، همه داده ها از طریق اینترنت به صورت شفاف منتقل می شوند و مهاجمان با هک کردن شبکه، تمام اطلاعات را از طریق شبکه منتقل می کنند. و ثالثاً، داده ها نه تنها می توانند رهگیری شوند، بلکه در حین انتقال از طریق شبکه نیز جایگزین می شوند. برای مثال، یک مهاجم می‌تواند با اقدام از طرف مشتریان یکی از شاخه‌های مورد اعتماد، یکپارچگی پایگاه‌های داده را به خطر بیاندازد.

برای جلوگیری از این اتفاق، راه حل های VPN از ابزارهایی مانند رمزگذاری داده ها برای اطمینان از یکپارچگی و محرمانه بودن، احراز هویت و مجوز برای تأیید حقوق کاربر و اجازه دسترسی به یک شبکه خصوصی مجازی استفاده می کنند.

یک اتصال VPN همیشه از یک پیوند نقطه به نقطه تشکیل شده است که به عنوان تونل نیز شناخته می شود. این تونل در یک شبکه ناامن ایجاد می شود که اغلب اینترنت است.

تونل سازی یا کپسوله سازی راهی برای انتقال اطلاعات مفید از طریق یک شبکه میانی است. چنین اطلاعاتی ممکن است فریم (یا بسته) پروتکل دیگری باشد. با کپسوله‌سازی، فریم همانطور که توسط میزبان فرستنده تولید شده است، منتقل نمی‌شود، بلکه با یک هدر اضافی حاوی اطلاعات مسیریابی ارائه می‌شود که به بسته‌های محصور شده اجازه می‌دهد تا از شبکه میانی (اینترنت) عبور کنند. در انتهای تونل، فریم ها کپسوله شده و به گیرنده منتقل می شوند. به طور معمول، یک تونل توسط دو دستگاه لبه واقع در نقاط ورودی به شبکه عمومی ایجاد می شود. یکی از مزایای واضح تونل سازی این است که این فناوری به شما امکان می دهد کل بسته اصلی، از جمله هدر را رمزگذاری کنید، که ممکن است حاوی اطلاعاتی باشد که مهاجمان برای هک کردن شبکه استفاده می کنند (به عنوان مثال، آدرس های IP، تعداد زیر شبکه ها و غیره). ) .

اگرچه یک تونل VPN بین دو نقطه ایجاد می شود، هر میزبان می تواند تونل های اضافی را با میزبان های دیگر ایجاد کند. به عنوان مثال، زمانی که سه ایستگاه راه دور نیاز به تماس با یک دفتر داشته باشند، سه تونل VPN مجزا برای این دفتر ایجاد می شود. برای همه تونل ها، گره در سمت دفتر می تواند یکسان باشد. این امر به دلیل این واقعیت امکان پذیر است که گره می تواند داده ها را از طرف کل شبکه رمزگذاری و رمزگشایی کند، همانطور که در شکل نشان داده شده است:

برنج. 6.6.تونل های VPN را برای چندین مکان راه دور ایجاد کنید

کاربر یک اتصال به دروازه VPN برقرار می کند و پس از آن کاربر به شبکه داخلی دسترسی پیدا می کند.

در یک شبکه خصوصی، خود رمزگذاری رخ نمی دهد. دلیل آن این است که این قسمت از شبکه برخلاف اینترنت امن و تحت کنترل مستقیم در نظر گرفته می شود. این همچنین در هنگام اتصال دفاتر با استفاده از دروازه های VPN صادق است. بنابراین، رمزگذاری فقط برای اطلاعاتی که از طریق یک کانال ناامن بین دفاتر منتقل می شود تضمین می شود.

راه حل های مختلفی برای ساخت شبکه های خصوصی مجازی وجود دارد. معروف ترین و پرکاربردترین پروتکل ها عبارتند از:

PPTP (پروتکل نقطه به نقطه تونل) - این پروتکل به دلیل گنجاندن آن در سیستم عامل های مایکروسافت بسیار محبوب شده است.

L2TP (پروتکل لایه 2 تونل) - پروتکل L2F (Layer 2 Forwarding) و پروتکل PPTP را ترکیب می کند. معمولاً در ارتباط با IPSec استفاده می شود.

IPSec (امنیت پروتکل اینترنت) یک استاندارد رسمی اینترنتی است که توسط انجمن IETF (گروه وظیفه مهندسی اینترنت) توسعه یافته است.

پروتکل های لیست شده توسط دستگاه های D-Link پشتیبانی می شوند.

پروتکل PPTP در درجه اول برای شبکه های خصوصی مجازی مبتنی بر اتصالات شماره گیری در نظر گرفته شده است. این پروتکل به شما امکان می دهد دسترسی از راه دور را سازماندهی کنید، به طوری که کاربران می توانند اتصالات تلفنی را با ارائه دهندگان اینترنت برقرار کنند و یک تونل امن برای شبکه های شرکتی خود ایجاد کنند. برخلاف IPSec، پروتکل PPTP در ابتدا برای سازماندهی تونل ها بین شبکه های محلی در نظر گرفته نشده بود. PPTP قابلیت‌های PPP را گسترش می‌دهد، یک پروتکل پیوند داده که در ابتدا برای کپسوله کردن داده‌ها و ارائه آن‌ها از طریق اتصالات نقطه به نقطه طراحی شده بود.

پروتکل PPTP به شما امکان می دهد با استفاده از پروتکل های مختلف کانال های امنی برای تبادل داده ایجاد کنید - IP، IPX، NetBEUI، و غیره. سپس با استفاده از IP به شکل رمزگذاری شده روی هر شبکه TCP/IP منتقل می شوند. گره دریافت کننده فریم های PPP را از بسته های IP استخراج می کند و سپس آنها را به روش استاندارد پردازش می کند. یک بسته IP، IPX یا NetBEUI را از یک فریم PPP استخراج می کند و آن را از طریق شبکه محلی ارسال می کند. بنابراین، پروتکل PPTP یک اتصال نقطه به نقطه در شبکه ایجاد می کند و داده ها را از طریق کانال امن ایجاد شده منتقل می کند. مزیت اصلی کپسوله کردن پروتکل هایی مانند PPTP ماهیت چند پروتکلی آنهاست. آن ها حفاظت از داده ها در لایه پیوند داده برای پروتکل های شبکه و لایه برنامه شفاف است. بنابراین، در داخل شبکه، هم پروتکل IP (مانند یک VPN مبتنی بر IPSec) یا هر پروتکل دیگری می تواند به عنوان یک انتقال استفاده شود.

در حال حاضر، به دلیل سهولت پیاده سازی، پروتکل PPTP به طور گسترده ای هم برای دستیابی به دسترسی ایمن مطمئن به یک شبکه شرکتی و هم برای دسترسی به شبکه های ISP زمانی که یک کلاینت نیاز به برقراری ارتباط PPTP با یک ISP برای دسترسی به اینترنت دارد، استفاده می شود.

روش رمزگذاری مورد استفاده در PPTP در لایه PPP مشخص شده است. به طور معمول، مشتری PPP یک رایانه رومیزی است که سیستم عامل مایکروسافت را اجرا می کند و پروتکل رمزگذاری، رمزگذاری نقطه به نقطه مایکروسافت (MPPE) است. این پروتکل بر اساس استاندارد RSA RC4 است و از رمزگذاری 40 یا 128 بیتی پشتیبانی می کند. برای بسیاری از کاربردهای این سطح از رمزگذاری، استفاده از این الگوریتم کافی است، اگرچه نسبت به تعدادی دیگر از الگوریتم‌های رمزگذاری ارائه شده توسط IPSec، به ویژه استاندارد رمزگذاری سه‌گانه 168 بیتی (3DES) از امنیت کمتری برخوردار است.

نحوه برقراری ارتباطPPTP?

PPTP بسته های IP را برای انتقال از طریق شبکه IP محصور می کند. کلاینت های PPTP یک اتصال کنترل تونل ایجاد می کنند که پیوند را زنده نگه می دارد. این فرآیند در لایه انتقال مدل OSI انجام می شود. پس از ایجاد تونل، کامپیوتر مشتری و سرور شروع به تبادل بسته های سرویس می کنند.

علاوه بر اتصال کنترل PPTP، یک اتصال برای ارسال داده ها از طریق تونل ایجاد می شود. کپسوله کردن داده ها قبل از ارسال به تونل شامل دو مرحله است. ابتدا قسمت اطلاعاتی قاب PPP ایجاد می شود. داده ها از بالا به پایین، از لایه برنامه OSI به لایه پیوند جریان می یابد. سپس داده های دریافتی به مدل OSI ارسال می شود و توسط پروتکل های لایه بالایی محصور می شود.

داده های لایه پیوند به لایه انتقال می رسد. با این حال، اطلاعات را نمی توان به مقصد خود ارسال کرد، زیرا لایه پیوند OSI مسئول این امر است. بنابراین، PPTP فیلد بار بسته را رمزگذاری می‌کند و توابع سطح دوم را که معمولاً به PPP تعلق دارند، به عهده می‌گیرد، یعنی یک هدر PPP (هدر) و یک پایان (تریلر) به بسته PPTP اضافه می‌کند. این کار ایجاد قاب لایه پیوند را کامل می کند. در مرحله بعد، PPTP فریم PPP را در یک بسته Generic Routing Encapsulation (GRE) کپسوله می کند که به لایه شبکه تعلق دارد. GRE پروتکل های لایه شبکه مانند IP، IPX را محصور می کند تا آنها را قادر به انتقال از طریق شبکه های IP کند. با این حال، استفاده از پروتکل GRE به تنهایی ایجاد جلسه و امنیت داده ها را تضمین نمی کند. این از توانایی PPTP برای ایجاد یک اتصال کنترل تونل استفاده می کند. استفاده از GRE به عنوان یک روش کپسوله سازی، دامنه PPTP را فقط به شبکه های IP محدود می کند.

پس از اینکه فریم PPP در یک فریم با هدر GRE کپسوله شد، در یک فریم با هدر IP محصور شد. هدر IP حاوی آدرس فرستنده و گیرنده بسته است. در نهایت، PPTP یک هدر PPP و پایان اضافه می کند.

در برنج. 6.7ساختار داده را برای ارسال از طریق یک تونل PPTP نشان می دهد:

برنج. 6.7.ساختار داده برای ارسال از طریق یک تونل PPTP

راه اندازی VPN بر اساس PPTP نیازی به هزینه های زیاد و تنظیمات پیچیده ندارد: کافی است یک سرور PPTP را در دفتر مرکزی نصب کنید (راه حل های PPTP برای هر دو سیستم عامل ویندوز و لینوکس وجود دارد) و تنظیمات لازم را در رایانه های مشتری انجام دهید. اگر نیاز به ترکیب چندین شاخه دارید، به جای راه اندازی PPTP در تمام ایستگاه های مشتری، بهتر است از یک روتر اینترنتی یا فایروال با پشتیبانی PPTP استفاده کنید: تنظیمات فقط روی یک روتر مرزی (دیوار آتش) متصل به اینترنت انجام می شود. همه چیز برای کاربران کاملا شفاف است. نمونه هایی از این دستگاه ها روترهای اینترنت چند منظوره DIR/DSR و فایروال های سری DFL هستند.

GRE-تونل ها

Generic Routing Encapsulation (GRE) یک پروتکل کپسوله‌سازی بسته‌های شبکه است که تونل‌سازی ترافیک را از طریق شبکه‌ها بدون رمزگذاری فراهم می‌کند. نمونه هایی از استفاده از GRE:

انتقال ترافیک (از جمله پخش) از طریق تجهیزاتی که از پروتکل خاصی پشتیبانی نمی کنند.

تونل سازی ترافیک IPv6 از طریق شبکه IPv4؛

انتقال داده از طریق شبکه های عمومی برای اجرای یک اتصال VPN ایمن.

برنج. 6.8.نمونه ای از تونل GRE

بین دو روتر A و B ( برنج. 6.8) چندین روتر وجود دارد، تونل GRE به شما اجازه می دهد تا ارتباطی بین شبکه های محلی 192.168.1.0/24 و 192.168.3.0/24 فراهم کنید، گویی روترهای A و B مستقیماً متصل شده اند.

L2 TP

پروتکل L2TP در نتیجه ادغام پروتکل های PPTP و L2F ظاهر شد. مزیت اصلی پروتکل L2TP این است که به شما امکان می دهد نه تنها در شبکه های IP، بلکه در شبکه های ATM، X.25 و Frame relay یک تونل ایجاد کنید. L2TP از UDP به عنوان یک انتقال استفاده می کند و از همان قالب پیام برای مدیریت تونل و ارسال داده استفاده می کند.

همانطور که در مورد PPTP، L2TP با اضافه کردن هدر PPP، سپس سربرگ L2TP، به فیلد داده اطلاعات PPP شروع به مونتاژ یک بسته برای ارسال به تونل می کند. بسته دریافت شده توسط UDP کپسوله می شود. بسته به نوع خط‌مشی امنیتی IPSec انتخاب شده، L2TP می‌تواند پیام‌های UDP را رمزگذاری کند و یک سرصفحه و انتهای محفظه بار امنیتی (ESP) و همچنین یک پایان تأیید اعتبار IPSec اضافه کند (به بخش «L2TP over IPSec» مراجعه کنید). سپس در IP کپسوله می شود. یک هدر IP حاوی آدرس فرستنده و گیرنده اضافه می شود. در نهایت، L2TP یک کپسوله سازی PPP دوم را برای آماده سازی داده ها برای انتقال انجام می دهد. در برنج. 6.9ساختار داده را نشان می دهد که باید از طریق یک تونل L2TP ارسال شود.

برنج. 6.9.ساختار داده برای ارسال از طریق یک تونل L2TP

کامپیوتر دریافت کننده داده ها را دریافت می کند، هدر و پایان PPP را پردازش می کند و هدر IP را حذف می کند. IPSec Authentication فیلد اطلاعات IP را احراز هویت می کند و هدر IPSec ESP به رمزگشایی بسته کمک می کند.

سپس کامپیوتر هدر UDP را پردازش می کند و از هدر L2TP برای شناسایی تونل استفاده می کند. بسته PPP در حال حاضر فقط حاوی باری است که در حال پردازش یا ارسال به گیرنده مشخص شده است.

IPsec (مخفف IP Security) مجموعه ای از پروتکل ها برای ایمن سازی داده های منتقل شده از طریق پروتکل اینترنت IP است که امکان احراز هویت و/یا رمزگذاری بسته های IP را فراهم می کند. IPsec همچنین شامل پروتکل هایی برای تبادل کلید امن در اینترنت است.

امنیت IPSec از طریق پروتکل های اضافی حاصل می شود که هدرهای خود را به بسته IP اضافه می کنند - کپسوله سازی. زیرا IPSec یک استاندارد اینترنتی است، سپس اسناد RFC برای آن وجود دارد:

RFC 2401 (معماری امنیتی برای پروتکل اینترنت) معماری امنیتی برای پروتکل IP است.

RFC 2402 (هدر IP Authentication) - هدر تأیید اعتبار IP.

RFC 2404 (استفاده از HMAC-SHA-1-96 در ESP و AH) - استفاده از الگوریتم هش SHA-1 برای ایجاد هدر احراز هویت.

RFC 2405 (الگوریتم رمزگذاری ESP DES-CBC با IV صریح) - استفاده از الگوریتم رمزگذاری DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - رمزگذاری داده.

RFC 2407 (دامنه تفسیر امنیت IP اینترنت برای ISAKMP) محدوده پروتکل مدیریت کلید است.

RFC 2408 (انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP)) - مدیریت کلید و احراز هویت برای اتصالات امن.

RFC 2409 (The Internet Key Exchange (IKE)) - مبادله کلید.

RFC 2410 (الگوریتم رمزگذاری NULL و استفاده از آن با IPsec) - الگوریتم رمزگذاری NULL و استفاده از آن.

RFC 2411 (نقشه راه سند امنیت IP) توسعه بیشتر این استاندارد است.

RFC 2412 (پروتکل تعیین کلید OAKLEY) - بررسی صحت یک کلید.

IPsec بخشی جدایی ناپذیر از پروتکل اینترنت IPv6 و افزونه اختیاری نسخه IPv4 پروتکل اینترنت است.

مکانیسم IPSec وظایف زیر را انجام می دهد:

احراز هویت کاربران یا رایانه ها در طول راه اندازی کانال امن؛

رمزگذاری و احراز هویت داده های منتقل شده بین نقاط انتهایی یک کانال امن؛

تامین خودکار نقاط انتهایی کانال با کلیدهای مخفی لازم برای عملیات احراز هویت و پروتکل های رمزگذاری داده ها.

اجزای IPSec

پروتکل AH (Authentication Header) یک پروتکل شناسایی هدر است. با تأیید اینکه هیچ بیتی در قسمت محافظت شده بسته در طول انتقال تغییر نکرده است، یکپارچگی را تضمین می کند. اما استفاده از AH می تواند مشکلاتی را ایجاد کند، به عنوان مثال، زمانی که یک بسته از یک دستگاه NAT عبور می کند. NAT آدرس IP بسته را تغییر می دهد تا امکان دسترسی به اینترنت از یک آدرس محلی خصوصی را فراهم کند. زیرا در این حالت بسته تغییر می کند، سپس چک جمع AH نادرست می شود (برای رفع این مشکل، پروتکل NAT-Traversal (NAT-T) ایجاد شد که انتقال ESP را از طریق UDP فراهم می کند و از پورت UDP 4500 در کار خود استفاده می کند). همچنین شایان ذکر است که AH فقط برای یکپارچگی طراحی شده است. با رمزگذاری محتویات بسته، محرمانه بودن را تضمین نمی کند.

پروتکل ESP (Encapsulation Security Payload) نه تنها یکپارچگی و احراز هویت داده های ارسالی را فراهم می کند، بلکه رمزگذاری داده ها و همچنین محافظت در برابر جعل بسته ها را فراهم می کند.

پروتکل ESP یک پروتکل امنیتی محصور کننده است که هم یکپارچگی و هم محرمانه بودن را فراهم می کند. در حالت انتقال، هدر ESP بین هدر IP اصلی و هدر TCP یا UDP قرار دارد. در حالت تونل، هدر ESP بین هدر IP جدید و بسته IP اصلی کاملاً رمزگذاری شده قرار می گیرد.

زیرا هر دو پروتکل - AH و ESP - هدر IP خود را اضافه می کنند، هر کدام از آنها شماره پروتکل (ID) خاص خود را دارند، که توسط آن می توانید تعیین کنید که چه چیزی پس از هدر IP خواهد آمد. طبق گفته IANA (مرجع شماره های اختصاص داده شده اینترنتی - سازمان مسئول فضای آدرس اینترنت) هر پروتکل دارای شماره (ID) خاص خود است. به عنوان مثال، برای TCP این عدد 6 و برای UDP 17 است. بنابراین، هنگام کار از طریق فایروال بسیار مهم است که فیلترها را به گونه ای پیکربندی کنید که بسته هایی با ID AH و/یا ESP پروتکل ارسال شود.

شناسه پروتکل 51 برای نشان دادن وجود AH در هدر IP و 50 برای ESP تنظیم شده است.

توجه: شناسه پروتکل با شماره پورت یکسان نیست.

پروتکل IKE (Internet Key Exchange) یک پروتکل استاندارد IPsec است که برای ایمن سازی ارتباطات در شبکه های خصوصی مجازی استفاده می شود. هدف IKE مذاکره ایمن و تحویل مواد شناسایی شده به یک انجمن امنیتی (SA) است.

SA اصطلاح IPSec برای اتصال است. یک SA تاسیس شده (یک کانال ایمن به نام "ارتباط امن" یا "اتحاد امنیتی" - Security Association، SA) شامل یک کلید مخفی مشترک و مجموعه ای از الگوریتم های رمزنگاری است.

پروتکل IKE سه وظیفه اصلی را انجام می دهد:

ابزاری برای احراز هویت بین دو نقطه پایانی VPN فراهم می کند.

پیوندهای جدید IPSec را ایجاد می کند (یک جفت SA ایجاد می کند).

روابط موجود را مدیریت می کند.

IKE از پورت UDP شماره 500 استفاده می کند. هنگام استفاده از ویژگی NAT Traversal، همانطور که قبلا ذکر شد، پروتکل IKE از پورت UDP شماره 4500 استفاده می کند.

تبادل داده در IKE در 2 فاز انجام می شود. در مرحله اول انجمن SA IKE تاسیس می شود. در همان زمان، نقاط انتهایی کانال احراز هویت می شوند و پارامترهای حفاظت از داده ها مانند الگوریتم رمزگذاری، کلید جلسه و غیره انتخاب می شوند.

در مرحله دوم، SA IKE برای مذاکره پروتکل (معمولا IPSec) استفاده می شود.

با یک تونل VPN پیکربندی شده، یک جفت SA برای هر پروتکل استفاده شده ایجاد می شود. SA ها به صورت جفتی ایجاد می شوند هر SA یک اتصال یک طرفه است و داده ها باید در دو جهت ارسال شوند. جفت های SA دریافتی در هر گره ذخیره می شوند.

از آنجایی که هر گره قادر به ایجاد تونل های متعدد با گره های دیگر است، هر SA یک شماره منحصر به فرد دارد تا مشخص کند به کدام گره تعلق دارد. به این عدد SPI (Security Parameter Index) یا Security Parameter Index می گویند.

SA ذخیره شده در یک پایگاه داده (DB) غمگین(پایگاه اطلاعات انجمن امنیتی).

هر گره IPSec یک DB دوم نیز دارد SPD(Security Policy Database) - پایگاه داده سیاست امنیتی. این شامل سیاست میزبان پیکربندی شده است. اکثر راه حل های VPN به شما امکان می دهند چندین خط مشی را با ترکیبی از الگوریتم های مناسب برای هر میزبانی که می خواهید به آن متصل شوید ایجاد کنید.

انعطاف پذیری IPSec در این است که برای هر کار چندین راه برای حل آن وجود دارد و روش هایی که برای یک کار انتخاب می شوند معمولاً مستقل از روش های اجرای وظایف دیگر هستند. با این حال، گروه کاری IETF مجموعه‌ای اصلی از ویژگی‌ها و الگوریتم‌های پشتیبانی شده را تعریف کرده است که باید به روشی یکسان در تمام محصولات دارای IPSec اجرا شوند. مکانیسم‌های AH و ESP را می‌توان با طرح‌های احراز هویت و رمزگذاری مختلفی استفاده کرد که برخی از آنها اجباری هستند. به عنوان مثال، IPSec مشخص می کند که بسته ها با استفاده از تابع یک طرفه MD5 یا تابع یک طرفه SHA-1 احراز هویت می شوند و رمزگذاری با استفاده از الگوریتم DES انجام می شود. تولیدکنندگان محصولاتی که IPSec را اجرا می کنند ممکن است الگوریتم های احراز هویت و رمزگذاری دیگری را اضافه کنند. به عنوان مثال، برخی از محصولات از الگوریتم های رمزگذاری مانند 3DES، Blowfish، Cast، RC5 و غیره پشتیبانی می کنند.

هر الگوریتم رمزگذاری متقارن که از کلیدهای مخفی استفاده می کند می تواند برای رمزگذاری داده ها در IPSec استفاده شود.

پروتکل های حفاظت از جریان (AH و ESP) می توانند در دو حالت کار کنند - in حالت حمل و نقلو در حالت تونل. هنگام کار در حالت انتقال، IPsec فقط با اطلاعات لایه انتقال سروکار دارد. فقط فیلد داده بسته حاوی پروتکل های TCP / UDP رمزگذاری شده است (سرصفحه بسته IP تغییر نمی کند (رمزگذاری نشده)). حالت انتقال معمولاً برای برقراری ارتباط بین میزبان ها استفاده می شود.

حالت Tunneling کل بسته IP از جمله هدر لایه شبکه را رمزگذاری می کند. برای اینکه از طریق شبکه منتقل شود، در بسته IP دیگری قرار می گیرد. در اصل، این یک تونل IP امن است. حالت تونل را می توان برای اتصال رایانه های راه دور به یک شبکه خصوصی مجازی (طرح اتصال «شبکه میزبان») یا سازماندهی انتقال امن داده از طریق کانال های ارتباطی باز (مثلاً اینترنت) بین دروازه ها برای ترکیب بخش های مختلف یک خصوصی مجازی استفاده کرد. شبکه ("طرح اتصال به شبکه"). -net").

حالت های IPsec متقابل نیستند. در همان میزبان، برخی از SAها ممکن است از حالت انتقال استفاده کنند، در حالی که برخی دیگر ممکن است از حالت تونل استفاده کنند.

در مرحله احراز هویت، جمع چک ICV (مقدار بررسی یکپارچگی) بسته محاسبه می شود. این فرض را بر این می گذارد که هر دو گره کلید مخفی را می دانند، که به گیرنده اجازه می دهد ICV را محاسبه کرده و با نتیجه ارسال شده توسط فرستنده مقایسه کند. اگر مقایسه ICV موفقیت آمیز باشد، فرستنده بسته احراز هویت در نظر گرفته می شود.

در حالت حمل و نقلق

کل بسته IP، به جز برخی از فیلدهای هدر IP، که می توان آنها را در حین انتقال تغییر داد. این فیلدها که مقادیر آنها برای محاسبه ICV 0 است، می‌توانند بخشی از سرویس (نوع سرویس، TOS)، پرچم‌ها، افست قطعه، زمان زنده ماندن (TTL) و همچنین هدر چک‌سوم باشند.

همه رشته ها در ق.

بار بسته های IP

AH در حالت انتقال از هدر IP (به جز فیلدهایی که مجاز به تغییر هستند) و بار در بسته اصلی IP محافظت می کند (شکل 3.39).

در حالت تونل، بسته اصلی در یک بسته IP جدید قرار می گیرد و انتقال داده بر اساس هدر بسته IP جدید انجام می شود.

برای حالت تونلقهنگام انجام یک محاسبه، اجزای زیر در جمع کنترل ICV گنجانده شده است:

همه فیلدها در هدر IP خارجی، به استثنای برخی از فیلدهای هدر IP، که می توان آنها را در حین انتقال تغییر داد. این فیلدها که مقادیر آنها برای محاسبه ICV 0 است، می‌توانند بخشی از سرویس (نوع سرویس، TOS)، پرچم‌ها، افست قطعه، زمان زنده ماندن (TTL) و همچنین هدر چک‌سوم باشند.

همه رشته ها ق.

بسته IP اصلی

همانطور که در تصویر زیر می بینید، حالت تونل AH از کل بسته IP منبع با یک هدر خارجی اضافی محافظت می کند که حالت انتقال AH از آن استفاده نمی کند:

برنج. 6.10.تونل و حالت های عملیاتی پروتکل AN

در حالت حمل و نقلESPکل بسته را تأیید نمی کند، بلکه فقط از بار IP محافظت می کند. هدر ESP در حالت انتقال ESP بلافاصله پس از سرآیند IP به بسته IP اضافه می شود و انتهای ESP (ESP Trailer) پس از داده ها بر این اساس اضافه می شود.

حالت انتقال ESP قسمت های زیر بسته را رمزگذاری می کند:

بار IP؛

یک الگوریتم رمزگذاری که از حالت رمزگذاری زنجیره بلوک رمز (CBC) استفاده می کند، دارای یک فیلد رمزگذاری نشده بین هدر ESP و بار است. این فیلد برای محاسبه CBC IV (Vector Initialization) نامیده می شود که بر روی گیرنده انجام می شود. از آنجایی که این فیلد برای شروع فرآیند رمزگشایی استفاده می شود، نمی توان آن را رمزگذاری کرد. حتی با وجود اینکه مهاجم توانایی مشاهده IV را دارد، هیچ راهی وجود ندارد که بتواند قسمت رمزگذاری شده بسته را بدون کلید رمزگذاری رمزگشایی کند. برای جلوگیری از تغییر بردار اولیه توسط مهاجمان، توسط جمع کنترل ICV محافظت می شود. در این مورد، ICV محاسبات زیر را انجام می دهد:

تمام فیلدها در هدر ESP؛

محموله شامل متن ساده IV.

همه فیلدها در ESP Trailer به جز قسمت داده های احراز هویت.

حالت تونل ESP کل بسته IP اصلی را در یک هدر IP جدید، یک هدر ESP و یک ESP Trailer کپسوله می کند. برای نشان دادن اینکه ESP در هدر IP وجود دارد، شناسه پروتکل IP روی 50 تنظیم می شود و هدر IP و بار اصلی بدون تغییر باقی می ماند. همانند حالت تونل AH، هدر IP بیرونی بر اساس پیکربندی تونل IPSec است. در مورد استفاده از حالت تونل ESP، ناحیه احراز هویت بسته IP نشان می دهد که امضا در کجا ساخته شده است و صحت و صحت آن را تأیید می کند و قسمت رمزگذاری شده نشان می دهد که اطلاعات محافظت شده و محرمانه است. هدر اصلی بعد از هدر ESP قرار می گیرد. پس از اینکه قسمت رمزگذاری شده در یک هدر تونل جدید که رمزگذاری نشده است کپسوله شد، بسته IP منتقل می شود. هنگامی که از طریق یک شبکه عمومی ارسال می شود، چنین بسته ای به آدرس IP دروازه شبکه دریافت کننده هدایت می شود و دروازه بسته را رمزگشایی می کند و هدر ESP را با استفاده از هدر IP اصلی دور می اندازد و سپس بسته را به رایانه ای که در آن قرار دارد هدایت می کند. شبکه داخلی حالت تونل ESP قسمت های زیر بسته را رمزگذاری می کند:

بسته IP اصلی؛

برای حالت تونل ESP، ICV به صورت زیر محاسبه می شود:
تمام فیلدها در هدر ESP؛
بسته IP اصلی، از جمله متن ساده IV.
تمام فیلدهای هدر ESP به جز فیلد داده احراز هویت.

برنج. 6.11.تونل و حالت حمل و نقل پروتکل ESP

برنج. 6.12.مقایسه پروتکل های ESP و AH

خلاصه ای از حالت های کاربردیIPSec:

پروتکل - ESP (AH).

حالت - تونل (حمل و نقل).

روش تعویض کلید - IKE (دستی).

حالت IKE - اصلی (تهاجمی).

کلید DH - گروه 5 (گروه 2، گروه 1) - شماره گروه برای انتخاب کلیدهای جلسه ایجاد شده به صورت پویا، طول گروه.

احراز هویت - SHA1 (SHA، MD5).

رمزگذاری - DES (3DES، Blowfish، AES).

هنگام ایجاد یک خط مشی، معمولاً امکان ایجاد لیست مرتبی از الگوریتم ها و گروه های Diffie-Hellman وجود دارد. Diffie-Hellman (DH) یک پروتکل رمزگذاری است که برای ایجاد کلیدهای مخفی مشترک برای IKE، IPSec و PFS (Perfect Forward Secrecy) استفاده می شود. در این حالت، اولین موقعیتی که در هر دو گره مطابقت دارد استفاده خواهد شد. بسیار مهم است که همه چیز در سیاست امنیتی به شما امکان می دهد تا به این تصادف دست یابید. اگر همه چیز به جز یک بخش از خط مشی مطابقت داشته باشد، میزبان ها همچنان نمی توانند اتصال VPN برقرار کنند. هنگام راه‌اندازی یک تونل VPN بین سیستم‌های مختلف، باید دریابید که چه الگوریتم‌هایی توسط هر طرف پشتیبانی می‌شوند تا بتوانید ایمن‌ترین خط مشی ممکن را انتخاب کنید.

تنظیمات اصلی که سیاست امنیتی شامل می شود:

الگوریتم های متقارن برای رمزگذاری/رمزگشایی داده ها.

چک جمع های رمزنگاری برای بررسی یکپارچگی داده ها.

روش شناسایی گره متداول ترین روش ها اسرار از پیش به اشتراک گذاشته شده یا گواهینامه های CA هستند.

از حالت تونل یا حمل و نقل استفاده کنید.

کدام گروه Diffie-Hellman برای استفاده (گروه DH 1 (768 بیت)؛ گروه DH 2 (1024 بیت)؛ گروه DH 5 (1536 بیت)).

از AH، ESP یا هر دو استفاده کنید.

استفاده از PFS

محدودیت IPSec این است که فقط از انتقال داده در لایه پروتکل IP پشتیبانی می کند.

دو طرح اصلی برای استفاده از IPSec وجود دارد که در نقش گره هایی که کانال امن را تشکیل می دهند متفاوت است.

در طرح اول، یک کانال امن بین میزبان های انتهایی شبکه تشکیل می شود. در این طرح، پروتکل IPSec از میزبانی که در حال اجرا است محافظت می کند:

برنج. 6.13.یک کانال امن بین دو نقطه پایانی ایجاد کنید

در طرح دوم، یک کانال امن بین دو دروازه امنیتی ایجاد می شود. این دروازه‌ها داده‌ها را از میزبان‌های پایانی متصل به شبکه‌های پشت دروازه‌ها دریافت می‌کنند. میزبان های نهایی در این مورد از پروتکل IPSec پشتیبانی نمی کنند، ترافیک هدایت شده به شبکه عمومی از دروازه امنیتی عبور می کند که از طرف خود محافظت را انجام می دهد.

برنج. 6.14.ایجاد یک کانال امن بین دو دروازه

برای میزبان هایی که از IPSec پشتیبانی می کنند، می توان از هر دو حالت انتقال و حالت تونل استفاده کرد. برای دروازه‌ها، فقط حالت تونل مجاز است.

نصب و پشتیبانیVPN

همانطور که در بالا ذکر شد، نصب و نگهداری تونل VPN یک فرآیند دو مرحله ای است. در مرحله اول (مرحله)، دو گره بر روی یک روش شناسایی، یک الگوریتم رمزگذاری، یک الگوریتم هش و یک گروه Diffie-Hellman توافق دارند. آنها همدیگر را شناسایی می کنند. همه اینها می تواند در نتیجه تبادل سه پیام رمزگذاری نشده (به اصطلاح حالت تهاجمی، خشونت آمیز حالت) یا شش پیام، با تبادل اطلاعات شناسایی رمزگذاری شده (حالت استاندارد، اصلی حالت).

در حالت اصلی، امکان مذاکره با تمام پارامترهای پیکربندی دستگاه‌های فرستنده و گیرنده وجود دارد، در حالی که در حالت تهاجمی این امکان وجود ندارد و برخی از پارامترها (گروه Diffie-Hellman، الگوریتم‌های رمزگذاری و احراز هویت، PFS) باید از قبل تنظیم شوند. در هر دستگاه به همان روش پیکربندی شده است. با این حال، در این حالت، هم تعداد مبادلات و هم تعداد بسته های ارسالی کمتر است و در نتیجه زمان کمتری برای ایجاد یک جلسه IPSec می شود.

برنج. 6.15.پیام رسانی در حالت استاندارد (الف) و تهاجمی (ب).

با فرض انجام موفقیت آمیز عملیات، فاز اول SA ایجاد می شود فاز 1 SA(همچنین به نام IKESA) و فرآیند به مرحله دوم پیش می رود.

در مرحله دوم، داده های کلیدی تولید می شود، گره ها در مورد سیاست مورد استفاده توافق می کنند. این حالت که حالت سریع نیز نامیده می شود، با فاز 1 تفاوت دارد زیرا فقط می تواند پس از فاز 1 برقرار شود، زمانی که تمام بسته های فاز 2 رمزگذاری شده اند. تکمیل صحیح فاز دوم منجر به ظاهر شدن می شود فاز 2 SAیا IPSecSAو بر این اساس نصب تونل به پایان رسیده است.

ابتدا بسته ای با آدرس مقصد در شبکه دیگر به گره می رسد و گره فاز اول را با گرهی که مسئول شبکه دیگر است آغاز می کند. فرض کنید تونل بین گره ها با موفقیت ایجاد شده است و منتظر بسته ها است. با این حال، گره ها باید یکدیگر را دوباره شناسایی کرده و سیاست ها را پس از یک دوره زمانی معین مقایسه کنند. این دوره را فاز یک عمر یا IKE SA می نامند.

گره ها همچنین باید کلید رمزگذاری داده ها را پس از یک دوره زمانی به نام فاز دوم یا IPSec SA تغییر دهند.

طول عمر فاز دو کوتاهتر از فاز اول است، زیرا کلید باید بیشتر عوض شود. شما باید پارامترهای طول عمر یکسانی را برای هر دو گره تنظیم کنید. اگر این کار را انجام ندهید، ممکن است در ابتدا تونل با موفقیت ایجاد شود، اما پس از اولین دوره ناسازگار زندگی، اتصال قطع شود. همچنین زمانی که طول عمر فاز اول کمتر از فاز دوم باشد، ممکن است مشکلات ایجاد شود. اگر تونل از قبل پیکربندی شده کار خود را متوقف کند، اولین چیزی که باید بررسی شود طول عمر هر دو گره است.

همچنین لازم به ذکر است که اگر خط مشی یکی از گره ها را تغییر دهید، تغییرات تنها در شروع بعدی مرحله اول اعمال می شوند. برای اینکه تغییرات فورا اعمال شوند، باید SA را برای این تونل از پایگاه داده SAD حذف کنید. این امر باعث تجدیدنظر در توافق بین گره ها با تنظیمات سیاست امنیتی جدید می شود.

گاهی اوقات، هنگام راه اندازی یک تونل IPSec بین تجهیزات تولید کنندگان مختلف، مشکلاتی در ارتباط با هماهنگی پارامترها در طول ایجاد فاز اول وجود دارد. باید به پارامتری مانند Local ID توجه کنید - این یک شناسه منحصر به فرد برای نقطه پایانی تونل (فرستنده و گیرنده) است. این امر به ویژه هنگام ایجاد چندین تونل و استفاده از پروتکل NAT Traversal بسیار مهم است.

مردههمتاتشخیص

در طول عملیات VPN، اگر ترافیکی بین نقاط انتهایی تونل وجود نداشته باشد، یا اگر داده های اولیه گره راه دور تغییر کند (به عنوان مثال، تغییر آدرس IP اختصاص داده شده به صورت پویا)، ممکن است وضعیتی ایجاد شود که تونل اساساً دیگر چنین نباشد. ، تبدیل شدن به یک تونل ارواح. به منظور حفظ آمادگی ثابت برای تبادل داده در تونل IPSec ایجاد شده، مکانیسم IKE (شرح شده در RFC 3706) به شما امکان می دهد حضور ترافیک را از گره راه دور تونل کنترل کنید و اگر برای مدت زمان مشخصی وجود نداشته باشد، یک پیام سلام ارسال می شود (در فایروال ها D-Link پیام "DPD-RU-THERE" را ارسال می کند). اگر در مدت زمان معینی به این پیام پاسخی داده نشد، در فایروال های D-Link تنظیم شده توسط تنظیمات "DPD Expire Time"، تونل برچیده می شود. فایروال های D-Link پس از آن، با استفاده از تنظیمات "DPD Keep Time" ( برنج. 6.18) به طور خودکار سعی کنید تونل را مجدداً ایجاد کنید.

پروتکلNATپیمایش

ترافیک IPsec را می توان طبق قوانین مشابه سایر پروتکل های IP هدایت کرد، اما از آنجایی که روتر همیشه نمی تواند اطلاعات ویژه پروتکل های لایه انتقال را استخراج کند، عبور IPsec از دروازه های NAT غیرممکن است. همانطور که قبلا ذکر شد، برای حل این مشکل، IETF روشی را برای کپسوله کردن ESP در UDP تعریف کرده است که NAT-T (NAT Traversal) نام دارد.

پروتکل NAT Traversal ترافیک IPSec را کپسوله می کند و به طور همزمان بسته های UDP ایجاد می کند که NAT به درستی ارسال می کند. برای انجام این کار، NAT-T یک هدر UDP اضافی را قبل از بسته IPSec قرار می دهد تا مانند یک بسته UDP معمولی در سراسر شبکه رفتار شود و میزبان گیرنده هیچ گونه بررسی یکپارچگی را انجام ندهد. پس از رسیدن بسته به مقصد، هدر UDP حذف می شود و بسته داده به عنوان یک بسته IPSec محصور شده به راه خود ادامه می دهد. بنابراین، با استفاده از مکانیزم NAT-T، امکان برقراری ارتباط بین کلاینت های IPSec در شبکه های امن و هاست های عمومی IPSec از طریق فایروال ها وجود دارد.

هنگام پیکربندی فایروال های D-Link در دستگاه گیرنده باید به دو نکته توجه کرد:

در فیلدهای Remote Network و Remote Endpoint، شبکه و آدرس IP دستگاه ارسال از راه دور را مشخص کنید. لازم است امکان ترجمه آدرس IP آغازگر (فرستنده) با استفاده از فناوری NAT فراهم شود (شکل 3.48).

هنگام استفاده از کلیدهای مشترک با چندین تونل متصل به یک فایروال راه دور که به یک آدرس NAT شده اند، مهم است که اطمینان حاصل شود که شناسه محلی برای هر تونل منحصر به فرد است.

محلی شناسهمی تواند یکی از موارد زیر باشد:

خودکار- آدرس IP رابط ترافیک خروجی به عنوان شناسه محلی استفاده می شود.

IP– آدرس IP پورت WAN فایروال راه دور

DNS– آدرس DNS

پیش از این، ایالت درک نسبتاً متوسطی از اینترنت داشت، بنابراین از نظر قانونی با کاربران تداخل نداشت. امروزه، با قدم زدن در شبکه جهانی وب، به طور فزاینده ای می توانید با این عبارت روبرو شوید: "این سایت در ثبت نام ممنوع است" یا "ارائه دهنده شما دسترسی را مسدود کرده است."

بنابراین، اگر می خواهید آزادی عمل کامل را در اینترنت بازگردانید و سطح دیگری از محافظت را به دست آورید، قطعاً باید با فناوری شبکه های خصوصی مجازی - VPN آشنا شوید.

VPN: مدت و اصل عملکرد

شبکه خصوصی مجازی (VPN) نام فناوری است که ایجاد و پوشش یک یا چند شبکه را در بالای شبکه هر کاربر دیگری فراهم می کند.

و اکنون، یک VPN دقیقا چگونه کار می کند. رایانه شما دارای یک آدرس IP خاص است که دسترسی به سایت های خاصی را مسدود می کند. شما فناوری VPN را از طریق برنامه یا برنامه افزودنی روشن می کنید. VPN آدرس شما را به آدرسی از سروری در کشور دیگری (به عنوان مثال هلند یا آلمان) تغییر می دهد.

سپس یک اتصال امن ایجاد می شود که توسط ارائه دهنده مسدود نمی شود. در نتیجه، شما یک پروتکل امن دریافت می کنید که به وسیله آن می توانید آزادانه از هر سایت اینترنتی و کاملاً ناشناس بازدید کنید.

ساختار و انواع فناوری

کل فناوری در دو لایه کار می کند. اولی شبکه داخلی و دومی شبکه خارجی. هنگامی که به فناوری متصل می شوید، سیستم شبکه شما را شناسایی می کند و سپس یک درخواست احراز هویت ارسال می کند. این فناوری بسیار شبیه به مجوز در برخی از شبکه های اجتماعی است، فقط در اینجا همه چیز از طریق پروتکل های امن و بدون مشارکت ارائه دهنده انجام می شود.

خود شبکه های مجازی نیز به چند دسته تقسیم می شوند. طبقه بندی اصلی بر اساس درجه حفاظت است، یعنی کاربر می تواند از VPN های پولی و رایگان استفاده کند.

تفاوت این دو در اتصال امن است. به عنوان مثال، سیستم های اشتراک پروتکل های امنی مانند PPTP، IPSec و سایر موارد را در اختیار شما قرار می دهند. در حالی که VPN های رایگان اغلب فقط کانال های "معتمد" را ارائه می دهند. یعنی خود شبکه شما باید از امنیت بالایی برخوردار باشد و VPN فقط سطح محافظت را افزایش می دهد.

صادقانه بگویم، بزرگترین نقطه ضعف خدمات رایگان VPN حتی امنیت نیست، بلکه ثبات و سرعت اتصال است. از طریق یک VPN رایگان، اینترنت به احتمال زیاد بسیار کند کار می کند و همیشه پایدار نیست.

اشتراک VPN های پولی بیش از 10 دلار در ماه نیست، اما هر کاربر به آن نیاز ندارد. برای کارهای معمولی، خرید حساب های Premium معنی ندارد، ویژگی های استاندارد کاملاً کافی است.

دلایل استفاده از VPN

هر کاربر باید از فناوری VPN استفاده کند، و در اینجا دلیل آن است:

حفاظت اطلاعات.مخصوصاً برای آن دسته از کاربرانی که دوست دارند به اتصال Wi-Fi همسایه "رایگان" متصل شوند و سپس متوجه شوند که اطلاعات کارت آنها به سرقت رفته است مناسب است. چنین موقعیت هایی شامل تجمع در کافه ها و به طور کلی در هر نقطه ای با وای فای رایگان است.
ناشناس بودن کاملهنگامی که یک تب جدید با سایت باز می کنید، این عمل در سرور ارائه دهنده نمایش داده می شود تا هر کارمند شرکت بتواند سفر شما را در اینترنت پیگیری کند. با فعال کردن VPN، سابقه مرور یا مرور خود را پنهان می کنید زیرا از آدرس IP دیگری استفاده می کنید.
امکان گشت و گذار در اینترنت بدون هیچ مانعی.کتابسازان، کازینوهای آنلاین، تورنت ها، انجمن ها، سایت های بزرگسالان - همه "زیرزمینی" اینترنت دوباره در دسترس شما است، همه چیز، مانند روزهای قدیم.
استفاده از منابع خارجیالبته بعید است که از خدمات انگلیسی زبان مانند hulu.com استفاده کنید، اما با این وجود، دسترسی کامل به تمام سایت های محبوب در سراسر جهان برای شما فراهم شده است.

چگونه از VPN در رایانه استفاده کنیم؟

موقعیتی را در نظر بگیرید که از یک مرورگر معمولی استفاده می کنیم و می خواهیم از سایت های مسدود شده بازدید کنیم. در این شرایط، شما می توانید به دو راه بروید:

یک سرویس گیرنده VPN (برنامه) را روی رایانه شخصی نصب کنید.
افزودن پسوند مرورگر از طریق فروشگاه اینترنتی

اولین کدام است، گزینه دوم چیست - آنها به راحتی اجرا می شوند، اما برای تصویر کامل، ما هر دو را در نظر خواهیم گرفت.

شما همچنین می توانید از رایگان استفاده کنید.

برای نصب یک سرویس گیرنده VPN، باید یک برنامه را از اینترنت دانلود کنید، به عنوان مثال، "Betternet". فایل setup را اجرا کرده و کلاینت را نصب کنید. ما آن را راه اندازی می کنیم، کلیک می کنیم: "اتصال" و تمام. مشکل این است که برنامه به طور خودکار یک آدرس IP تصادفی به ما می دهد و ما نمی توانیم کشوری را انتخاب کنیم، اما فقط با فشار دادن یک دکمه از VPN استفاده می کنیم. و یک نکته منفی دیگر نیاز به اجرای مداوم برنامه است، با این حال، برخی از مشتریان توانایی اجرای همزمان با سیستم عامل را دارند.

راه دوم اضافه کردن پسوند است. در اینجا، نقطه ضعف این است که، اغلب، برای استفاده، ثبت نام لازم است، به علاوه، افزونه‌ها دارای ویژگی‌هایی هستند که «فرار می‌کنند». اما استفاده از برنامه افزودنی بسیار ساده تر است - روی نماد در مرورگر کلیک می کنید، کشور را انتخاب می کنید و سود می کنید. در حال حاضر، هزاران برنامه از این دست وجود دارد، شما می توانید هر یک از آنها را انتخاب کنید، به عنوان مثال، "Hotspot Shield". پسوند را به مرورگر اضافه کنید، ثبت نام کنید و دیگر مشکل فنی وجود نخواهد داشت.

به عنوان مثال، نحوه کار افزونه ZenMate VPN در مرورگر به این صورت است:

ما در مورد افزونه های VPN برای مرورگرهای مختلف در مقاله نوشتیم:.

چگونه از VPN در دستگاه های تلفن همراه استفاده کنیم؟

ما آن دسته از دستگاه هایی را در نظر خواهیم گرفت که دارای سیستم عامل های محبوبی هستند، به عنوان مثال، iOS یا Android.

استفاده از VPN در تلفن های هوشمند یا تبلت ها نیز بسیار ساده است، یعنی از طریق برنامه های تلفن همراه. مشکل این است که برخی از برنامه ها به حقوق ریشه نیاز دارند و این مشکلات اضافی است، به علاوه توانایی تبدیل تلفن به "آجر". بنابراین به دنبال برنامه هایی باشید که نیازی به root-right ندارند. به عنوان مثال، در اندروید، این OpenVPN است و در iOS، این Cloak است. همچنین می توانید از نسخه رایگان و اثبات شده در آیفون و آیپد استفاده کنید. من خودم گاهی ازش استفاده میکنم عالیه

فناوری دانلود بسیار ساده است: برنامه را از Play Market یا AppStore دانلود کنید، آن را بر روی دستگاه خود نصب کنید. بعد، VPN را فعال می کنیم، پروفایل را انتخاب می کنیم (از آنجا، آدرس IP را دریافت می کنیم)، سپس اتصال برقرار می شود و تمام. اکنون از طریق VPN در حال گشت و گذار در اینترنت هستید که توسط اپلیکیشن مورد استفاده به شما گزارش می شود.

اکنون می‌دانید که چگونه فناوری اتصالات VPN پیاده‌سازی می‌شود، و اکنون تجربه آنلاین شما امن‌تر، ناشناس‌تر و مهم‌تر از همه، در دسترس و نامحدود خواهد شد.

در این مقاله، ما به رایج‌ترین سوالات در مورد چیستی سرور VPN پاسخ می‌دهیم، به شما می‌گوییم که آیا VPN می‌تواند امنیت شما را افزایش دهد، آیا باید از Double VPN استفاده کنید و چگونه بررسی کنید که آیا سرویس VPN گزارش‌ها را نگه می‌دارد یا خیر فن آوری های مدرن برای محافظت از اطلاعات شخصی وجود دارد.

VPN یک شبکه خصوصی مجازی است که رمزگذاری بین مشتری و سرور VPN را فراهم می کند.

هدف اصلی VPN رمزگذاری ترافیک و تغییر آدرس IP است.

بیایید ببینیم چرا و چه زمانی به آن نیاز است.

VPN برای چیست؟

همه ISP ها فعالیت های مشتریان خود را در اینترنت ثبت می کنند. یعنی ارائه دهنده اینترنت می داند از چه سایت هایی بازدید کرده اید. این امر به منظور ارائه کلیه اطلاعات در مورد متخلف در صورت درخواست پلیس و همچنین حذف کلیه مسئولیت های قانونی در قبال اقدامات کاربر ضروری است.

موقعیت های زیادی وجود دارد که کاربر باید از داده های شخصی خود در اینترنت محافظت کند و آزادی ارتباط را به دست آورد.

مثال 1. یک تجارت وجود دارد و لازم است داده های محرمانه از طریق اینترنت منتقل شود تا کسی نتواند آن را رهگیری کند. اکثر شرکت ها از فناوری VPN برای انتقال اطلاعات بین شعب شرکت استفاده می کنند.

مثال 2. بسیاری از سرویس ها در اینترنت بر اساس اصل ارجاع جغرافیایی به مکان کار می کنند و دسترسی کاربران سایر کشورها را ممنوع می کنند.

به عنوان مثال، سرویس Yandex Music فقط برای آدرس های IP روسیه و کشورهای CIS سابق کار می کند. بر این اساس، کل جمعیت روسی زبان ساکن در کشورهای دیگر به این سرویس دسترسی ندارند.

مثال 3. مسدود کردن سایت های خاص در دفتر و کشور. اغلب، دفاتر دسترسی به شبکه های اجتماعی را مسدود می کنند تا کارمندان زمان کاری خود را صرف برقراری ارتباط نکنند.

به عنوان مثال، بسیاری از سرویس های گوگل در چین مسدود شده اند. اگر مقیم چین با شرکتی از اروپا کار می کند، نیاز به استفاده از خدماتی مانند Google Disk وجود دارد.

مثال 4. سایت های بازدید شده را از ISP مخفی کنید. مواقعی وجود دارد که باید لیست سایت های بازدید شده را از ارائه دهنده اینترنت مخفی کنید. تمام ترافیک رمزگذاری خواهد شد.

با رمزگذاری ترافیک، ISP شما نمی داند از چه سایت هایی در اینترنت بازدید کرده اید. در این صورت آدرس IP شما در اینترنت متعلق به کشور سرور VPN خواهد بود.

هنگامی که به یک VPN متصل می شوید، یک کانال امن بین رایانه شما و سرور VPN ایجاد می شود. تمام داده های این کانال رمزگذاری شده است.

به لطف VPN، شما آزادی برقراری ارتباط و محافظت از داده های شخصی خود را خواهید داشت.

مجموعه ای از کاراکترهای مختلف در گزارش های ISP وجود خواهد داشت. تصویر زیر تجزیه و تحلیل داده های به دست آمده توسط یک برنامه خاص را نشان می دهد.

در هدر HTTP، بلافاصله می توانید ببینید که به کدام سایت وصل می شوید. این داده ها توسط ارائه دهندگان خدمات اینترنتی ثبت می شود.

تصویر زیر هدر HTTP را هنگام استفاده از VPN نشان می دهد. داده ها رمزگذاری شده اند و نمی توان فهمید که از کدام سایت ها بازدید کرده اید.

نحوه اتصال به VPN

راه های مختلفی برای اتصال به شبکه VPN وجود دارد.

PPTP یک پروتکل قدیمی است. اکثر سیستم عامل های مدرن آن را از لیست موارد پشتیبانی شده حذف کرده اند. معایب PPTP - پایداری اتصال کم. ممکن است اتصال قطع شود و داده های ناامن ممکن است به اینترنت نشت کند.
اتصال L2TP (IPSec) قابل اعتمادتر است. همچنین در اکثر سیستم عامل ها (ویندوز، سیستم عامل مک، لینوکس، iOS، اندروید، ویندوز فون و غیره) تعبیه شده است. قابلیت اطمینان بهتری نسبت به اتصال PPTP دارد.
اتصال SSTP نسبتاً اخیراً توسعه یافته است. این فقط در ویندوز پشتیبانی می شود، بنابراین به طور گسترده استفاده نمی شود.
IKEv2 یک پروتکل مدرن مبتنی بر IPSec است. این پروتکل جایگزین پروتکل PPTP شده و توسط تمامی سیستم عامل های معروف پشتیبانی می شود.
اتصال OpenVPN قابل اعتمادترین در نظر گرفته می شود. این فناوری را می توان به صورت انعطاف پذیر پیکربندی کرد و هنگامی که اتصال قطع شد، OpenVPN ارسال داده های محافظت نشده به اینترنت را مسدود می کند.

2 پروتکل انتقال داده برای فناوری OpenVPN وجود دارد:

پروتکل UDP - عملکرد سریع (توصیه می شود برای تلفن VoiP، اسکایپ، بازی های آنلاین)
پروتکل TCP - با قابلیت اطمینان داده های ارسال شده مشخص می شود (نیاز به تأیید دریافت بسته است). کمی کندتر از UDP کار می کند.

نحوه راه اندازی VPN

راه اندازی یک اتصال VPN چند دقیقه طول می کشد و در روش اتصال VPN متفاوت است.

در سرویس ما از اتصالات PPTP و OpenVPN استفاده می کنیم.

امنیت VPN

ما همیشه در مورد یک رویکرد جامع به امنیت صحبت خواهیم کرد. امنیت کاربر تنها شامل اتصال VPN نیست. مهم است که از چه برنامه ای برای اتصال به سرور VPN استفاده می کنید.

در حال حاضر، خدمات مشتریان VPN راحت را ارائه می دهند - اینها برنامه هایی هستند که راه اندازی یک اتصال VPN را آسان می کنند. ما خودمان یک مشتری VPN راحت ارائه می دهیم. به لطف چنین برنامه هایی، راه اندازی یک اتصال VPN بیش از 1 دقیقه طول نمی کشد.

هنگامی که ما برای اولین بار در سال 2006 ارائه خدمات VPN را شروع کردیم، همه کاربران ما برنامه رسمی OpenVPN را راه اندازی کردند. متن باز است. البته، راه اندازی سرویس گیرنده رسمی OpenVPN زمان بیشتری می برد. اما بیایید ببینیم از نظر ناشناس بودن چه چیزی بهتر است استفاده کنیم.

ناشناس بودن مشتری VPN

ما خطر را در استفاده از چنین برنامه هایی می بینیم. موضوع این است که کد منبع چنین برنامه هایی متعلق به شرکت است و برای حفظ منحصر به فرد بودن برنامه آن، هیچکس آن را منتشر نمی کند.

در صورت عدم وجود کد منبع باز، کاربران نمی توانند دریابند که برنامه چه داده هایی را در مورد شما جمع آوری می کند.

برنامه VPN می تواند شما را به عنوان یک کاربر خاص شناسایی کند حتی زمانی که گزارش ها در سرور خاموش هستند.

هر برنامه ای می تواند قابلیت ضبط سایت هایی که بازدید کرده اید، آدرس IP واقعی شما را داشته باشد. و از آنجایی که شما خودتان لاگین خود را وارد برنامه می کنید، به طور کلی نمی توان در مورد ناشناس بودن استفاده از برنامه صحبت کرد.

اگر فعالیت شما به سطح بالایی از ناشناس بودن نیاز دارد، توصیه می کنیم این برنامه های VPN را کنار بگذارید و از نسخه رسمی منبع باز OpenVPN استفاده کنید.

در ابتدا، این امر برای شما ناراحت کننده است. اما اگر عامل امنیت و ناشناس بودن در وهله اول برای شما باشد به مرور زمان به آن عادت خواهید کرد.

ما تضمین می کنیم که Secure Kit هیچ داده ای را در مورد شما ذخیره نمی کند. اما باید به شما هشدار دهیم که چنین برنامه هایی می توانند از شما جاسوسی کنند.

ایده دیگری که چگونه امنیت خود را افزایش دهید از نقطه نظر موقعیت جغرافیایی سرورها به وجود آمد. در اینترنت به آن VPN offshore گفته می شود.

VPN فراساحلی چیست

کشورهای مختلف سطوح متفاوتی از قوانین دارند. کشورهای قوی با قوانین قوی وجود دارد. و کشورهای کوچکی وجود دارند که سطح توسعه آنها امکان حفاظت اطلاعات از داده ها را در کشورشان نمی دهد.

در ابتدا، مفهوم فراساحل برای اشاره به کشوری مورد استفاده قرار گرفت که در آن سیاست مالیاتی تسهیل شده است. چنین کشورهایی مالیات بسیار کمی بر تجارت دارند. شرکت های جهانی به فرار مالیاتی قانونی در کشور خود علاقه مند شده اند و حساب های بانکی خارج از کشور در جزایر کیمن بسیار محبوب شده اند.

در حال حاضر، در بسیاری از کشورهای جهان استفاده از حساب های بانکی در کشورهای خارج از کشور ممنوع شده است.

اکثر کشورهای فراساحلی، کشورهای کوچکی هستند که در گوشه‌های دوردست کره زمین قرار دارند. یافتن سرورها در چنین کشورهایی دشوارتر است و به دلیل نبود زیرساخت توسعه یافته اینترنت، گرانتر هستند. سرورهای VPN در چنین کشورهایی شروع به نامیده شدن offshore کردند.

به نظر می رسد که کلمه VPN offshore به معنای VPN ناشناس نیست، بلکه فقط از تعلق سرزمینی به یک دولت فراساحلی صحبت می کند.

آیا باید از VPN دریایی استفاده کنید؟

VPN فراساحلی مزایای بیشتری از نظر ناشناس بودن ارائه می دهد.

آیا فکر می کنید نوشتن یک درخواست رسمی آسان تر است:

به اداره پلیس آلمان
یا به اداره پلیس در جزایر آنتیگوا باربودا

VPN دریایی یک لایه حفاظتی اضافی است. خوب است که از یک سرور دریایی به عنوان بخشی از زنجیره Double VPN استفاده کنید.

نیازی به استفاده از تنها 1 سرور VPN دریایی نیست و فکر می کنید که کاملاً ایمن است. شما باید از زوایای مختلف به امنیت و ناشناس بودن خود در اینترنت بپردازید.

از VPN فراساحلی به عنوان پیوندی برای ناشناس بودن خود استفاده کنید.

و زمان پاسخ به متداول ترین سوال است. آیا یک سرویس VPN ناشناس می تواند گزارش ها را نگه دارد؟ و چگونه می توان تشخیص داد که آیا سرویس گزارش ها را نگه می دارد؟

سرویس VPN ناشناس و سیاهههای مربوط. چگونه بودن؟

یک سرویس VPN ناشناس نباید گزارش ها را نگه دارد. در غیر این صورت، دیگر نمی توان آن را ناشناس نامید.

ما لیستی از سؤالات را گردآوری کرده ایم که به لطف آنها می توانید به طور دقیق تعیین کنید که آیا سرویس گزارش ها را نگه می دارد یا خیر.

اکنون اطلاعات کاملی در مورد اتصالات VPN دارید. این دانش کافی است تا خود را در اینترنت ناشناس کنید و انتقال داده های شخصی را ایمن کنید.

فن آوری های جدید VPN

آیا روند جدیدی در زمینه VPN وجود دارد؟

قبلاً در مورد مزایا و معایب آبشار سریال سرورهای VPN (Double, Triple, Quad VPN) صحبت کرده ایم.

برای جلوگیری از مضرات فناوری Double VPN، می توانید یک زنجیره موازی از زنجیره ایجاد کنید. ما آن را VPN موازی نامیدیم.

VPN موازی چیست؟

ماهیت VPN موازی هدایت ترافیک به یک کانال داده موازی است.

نقطه ضعف فناوری آبشاری متوالی (Double, Triple, Quad VPN) این است که هر سرور کانال را رمزگشایی می کند و آن را در کانال بعدی رمزگذاری می کند. داده ها به صورت متوالی رمزگذاری می شوند.

چنین مشکلی در فناوری VPN موازی وجود ندارد، زیرا همه داده ها رمزگذاری شده دوگانه موازی هستند. یعنی پیازی را تصور کنید که چند پوست دارد. به همین ترتیب، داده ها از کانالی عبور می کنند که دوبار رمزگذاری شده است.

امروزه کاربران اینترنت به طور فزاینده ای از اصطلاح VPN استفاده می کنند. برخی توصیه می کنند بیشتر از آن استفاده کنید، در حالی که دیگران توصیه می کنند از آن اجتناب کنید. بیایید با جزئیات بیشتری در نظر بگیریم که در پس این اصطلاح چه چیزی پنهان شده است.

اتصال VPN، چیست؟

VPN(شبکه خصوصی مجازی) می باشد فن آوری، که ارتباط بسته از دسترسی خارجی را در حضور سرعت اتصال بالا فراهم می کند. چنین اتصالی طبق اصل انجام می شود نقطه - نقطه". در علم به این روش اتصال می گویند تونل. می توانید به تونل بپیوندید در کامپیوتر با هر سیستم عامل، که در آن سرویس گیرنده VPN نصب شده است. این برنامه با استفاده از یک پورت مجازی "Forward" می کند TCP/IPبه شبکه دیگری

برای پیاده سازی چنین اتصالی، به پلتفرمی نیاز دارید که به سرعت مقیاس شود، یکپارچگی و محرمانه بودن داده ها را تضمین کند.

برای اینکه رایانه شخصی به آدرس IP 192.168.1.1-100متصل شده از طریق دروازه به شبکه خارجی، باید قوانین اتصال را در روتر ثبت کنید. هنگامی که یک اتصال VPN برقرار می شود، آدرس رایانه از راه دور در هدر پیام منتقل می شود. پیام توسط فرستنده رمزگذاری شده و توسط گیرنده با استفاده از یک کلید مشترک رمزگشایی می شود. سپس یک اتصال امن بین دو شبکه برقرار می شود.

نحوه اتصال VPN

قبلاً یک طرح مختصر از پروتکل شرح داده شد. اکنون نحوه اتصال کلاینت را در یک دستگاه خاص یاد خواهیم گرفت.

روی کامپیوتر و لپ تاپ

قبل از راه اندازی VPNاتصال روشن است کامپیوتر ویندوز 7، دنبال می شود آدرس IP را بررسی کنیدیا نام سرور برای این، در مرکز کنترل شبکه"در" تابلوهای کنترل"لازم" یک اتصال جدید ایجاد کنید».

مورد "" - " را انتخاب کنید (VPN)».

مرحله بعدی مشخص کردن است نامو آدرس سرور.

باید منتظر بمانید تا اتصال کامل شود.

بیایید اتصال VPN را بررسی کنیم. برای این، در صفحه کنترل" در بخش " اتصالات شبکه»با دوبار کلیک کردن روی میانبر، منوی زمینه را فراخوانی کنید.

در برگه " جزئیات" نیاز به بررسی آدرس IPv4. باید در محدوده IP مشخص شده در تنظیمات VPN باشد.

در تلفن، آیفون یا تبلت شما

اکنون بیایید نحوه ایجاد اتصال VPN و پیکربندی آن را بر روی ابزارهای دارای سیستم عامل اندروید بررسی کنیم.

برای این شما نیاز دارید:

گوشی هوشمند، تبلت؛ ورود، رمز عبور شبکه، آدرس سرور.

برای راه اندازی یک اتصال VPN، باید مورد "" را در تنظیمات تلفن انتخاب کنید و مورد جدیدی ایجاد کنید.

یک نماد با اتصال جدید روی صفحه نمایش داده می شود.

سیستم به نام کاربری و رمز عبور نیاز دارد. شما باید پارامترها را وارد کرده و گزینه "" را انتخاب کنید. سپس در جلسه بعدی دیگر لازم نیست این داده ها را تأیید کنید.

پس از فعال کردن اتصال VPN، یک نماد مشخصه در نوار ابزار ظاهر می شود.

اگر روی نماد کلیک کنید، جزئیات اتصال ظاهر می شود.

نحوه راه اندازی VPN برای عملکرد صحیح

بیایید نگاهی دقیق تر به نحوه پیکربندی خودکار بیندازیم VPNدر کامپیوتر با سیستم عامل ویندوز 10.

به تنظیمات کامپیوتر بروید.

در بخش " مولفه های"به بخش فرعی بروید"".

... و یک اتصال VPN جدید اضافه کنید.

در صفحه بعد، تنظیمات اتصال VPN را مشخص کنید:

ارائه دهنده خدمات - ویندوز؛ نام اتصال؛ آدرس سرور؛ نوع VPN؛ نام کاربری و رمز عبور.

پس از برقراری ارتباط، باید به آن متصل شوید.

نحوه ایجاد سرور VPN

همه ارائه دهندگان فعالیت های مشتریان خود را ثبت می کنند. در صورت درخواست از سوی سازمان های مجری قانون، آنها اطلاعات کاملی در مورد اینکه متخلف از چه سایت هایی بازدید کرده است، ارائه می دهند. بنابراین، ارائه دهنده تمام مسئولیت های قانونی را سلب می کند. اما گاهی اوقات شرایطی وجود دارد که در آن کاربر باید از داده های خود محافظت کند:

شرکت ها داده های خود را از طریق اینترنت از طریق یک کانال رمزگذاری شده ارسال می کنند. به عنوان مثال، سرویس Yandex.Music فقط از طریق IP از فدراسیون روسیه و کشورهای مستقل مشترک المنافع کار می کند. یک روسی که در اروپا است نمی تواند به موسیقی مورد علاقه خود گوش دهد دسترسی به شبکه های اجتماعی اغلب در دفاتر مسدود می شود.

Win+R

ncpa.cpl

وارد

alt

در مرحله بعد، شما باید یک کاربر ایجاد کنید و به او حقوق محدودی فقط برای VPN بدهید. همچنین باید یک رمز عبور طولانی جدید ایجاد کنید. یک کاربر را از لیست انتخاب کنید. مرحله بعدی انتخاب گزینه اتصال است. از طریق اینترنت". در مرحله بعد، باید تنظیمات اتصال را مشخص کنید. اگر هنگام کار با VPN نیازی به دسترسی به فایل ها و پوشه ها ندارید، می توانید تیک تمام کادرها را بردارید و روی دکمه "" کلیک کنید.

نحوه استفاده از VPN

اتصال

شروع کنید

ZenMate VPN

روی نماد کلیک کنید. پنجره افزونه نمایش داده خواهد شد:

اگر نشانگر ماوس را به نماد پرچم روسیه، سپس صفحه نمایش داده می شود IP فعلی. اگر مکان نما را روی نماد با پرچم رومانی حرکت دهید، IP سرور انتخاب شده ظاهر می شود. در صورت تمایل، کشور اتصال قابل تغییر است. برای این کار روی کره زمین کلیک کرده و یکی از آدرس های خودکار را انتخاب کنید.

نقطه ضعف نسخه رایگان برنامه، تعداد کم سرورهای موجود و تحمیل تبلیغات است.

رایج ترین اشتباهات

اشتباه	علت	راه حل
678	سیستم عامل اجازه رمزگذاری را نمی دهد.	شما باید یک خط فرمان باز کنید و پارامتر "ProhibitIpSec" را در رجیستری "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ Parameters" بررسی کنید. باید برابر با 0 باشد. اگر خود ارائه دهنده از یک کانال رمزگذاری برای ارائه خدمات استفاده کند، تغییر این تنظیمات بر دسترسی به اینترنت تأثیر می گذارد.
691	نام کاربری/گذرواژه نامعتبر وارد شده است	باید دوباره وارد شوید
692	خطای فایروال	فایروال را خاموش کنید
720/738	کاربر قبلاً متصل است	خطای 720 فقط در ویندوز 7 رخ می دهد. کد 738 در تمام سیستم عامل های دیگر منعکس می شود. اگر باید از طریق یک کلاینت از رایانه های شخصی مختلف کار کنید، باید چندین نام کاربری ایجاد کنید.
734	VPN خودکار	لازم است نوع "Automatic" را به "L2TP IPSec VPN" در ویژگی های اتصال تغییر دهید. اگر خطا ادامه داشت، باید اتصال را دوباره ایجاد کنید.
766/781	کلید ذخیره / وارد نشده است	خصوصیات VPN را باز کنید، در تب "امنیت" مورد "گزینه های پیشرفته" را انتخاب کنید و در پنجره جدید کلید را وارد کنید.
768/789 (ویندوز 7، ویستا، ایکس پی)	IPSec کار نمی کند	RMB روی برچسب "رایانه من" - "مدیریت". در بخش "خدمات"، "IPSec" را انتخاب کنید. نوع اتصال را روی Auto تنظیم کنید.

VPN (شبکه خصوصی مجازی) یا ترجمه شده به شبکه خصوصی مجازی روسی، فناوری است که به شما امکان می دهد دستگاه های رایانه ای را در شبکه های امن ترکیب کنید تا به کاربران آنها یک کانال رمزگذاری شده و دسترسی ناشناس به منابع موجود در اینترنت ارائه دهید.

در شرکت ها، VPN عمدتا برای ترکیب چندین شعبه واقع در شهرهای مختلف یا حتی نقاط جهان در یک شبکه محلی استفاده می شود. کارمندان این گونه شرکت ها با استفاده از VPN می توانند از تمامی منابعی که در هر شعبه قرار دارد به عنوان محلی خود و در کنار آنها استفاده کنند. به عنوان مثال، یک سند را روی چاپگری که در شعبه دیگری قرار دارد، تنها با یک کلیک چاپ کنید.

برای کاربران عادی اینترنت، VPN زمانی مفید خواهد بود که:

سایت توسط ارائه دهنده مسدود شده است، اما شما باید بروید.
اغلب مجبورید از سیستم های بانکی و پرداخت آنلاین استفاده کنید و می خواهید از داده ها در برابر سرقت احتمالی محافظت کنید.
این سرویس فقط برای اروپا کار می کند، و شما در روسیه هستید و اهمیتی برای گوش دادن به موسیقی در LastFm ندارید.
می خواهید سایت هایی که بازدید می کنید داده های شما را ردیابی نکنند.
هیچ روتر وجود ندارد، اما می توان دو کامپیوتر را به یک شبکه محلی متصل کرد تا دسترسی هر دو به اینترنت را فراهم کند.

چگونه یک VPN کار می کند

VPN ها از طریق تونلی کار می کنند که بین رایانه شما و یک سرور راه دور ایجاد می کنند. تمام داده های ارسال شده از طریق این تونل رمزگذاری شده است.

می توان آن را به عنوان یک تونل معمولی تصور کرد که در بزرگراه ها یافت می شود و فقط از طریق اینترنت بین دو نقطه - یک کامپیوتر و یک سرور - گذاشته شده است. از طریق این تونل، داده ها، مانند اتومبیل ها، با بالاترین سرعت ممکن بین نقاط حرکت می کنند. در ورودی (در رایانه کاربر)، این داده ها رمزگذاری شده و به این شکل برای مخاطب (به سرور) ارسال می شود، در این مرحله رمزگشایی و تفسیر می شود: فایل دانلود می شود، درخواستی به سایت ارسال می شود. پس از آن، داده های دریافتی مجدداً روی سرور رمزگذاری شده و از طریق تونل به رایانه کاربر بازگردانده می شود.

برای دسترسی ناشناس به سایت ها و خدمات، شبکه ای متشکل از یک رایانه (تبلت، گوشی هوشمند) و یک سرور کافی است.

به طور کلی، تبادل داده از طریق VPN به شکل زیر است:

یک تونل بین کامپیوتر کاربر و سرور با نصب نرم افزار VPN ایجاد می شود. به عنوان مثال OpenVPN.
در این برنامه ها یک کلید (رمز عبور) روی سرور و کامپیوتر برای رمزگذاری/رمزگشایی داده ها تولید می شود.
یک درخواست در رایانه ایجاد می شود و با استفاده از کلید تولید شده قبلی رمزگذاری می شود.
داده های رمزگذاری شده از طریق تونل به سرور منتقل می شود.
داده هایی که از تونل به سرور آمده است رمزگشایی می شود و درخواست اجرا می شود - ارسال فایل، ورود به سایت، شروع سرویس.
سرور پاسخ را آماده می کند، قبل از ارسال آن را رمزگذاری می کند و آن را برای کاربر ارسال می کند.
رایانه کاربر داده ها را دریافت کرده و با کلیدی که قبلاً تولید شده بود رمزگشایی می کند.

دستگاه های موجود در یک شبکه خصوصی مجازی از نظر جغرافیایی محدود نیستند و می توانند در هر فاصله ای از یکدیگر قرار گیرند.

برای یک کاربر معمولی خدمات شبکه خصوصی مجازی، کافی است درک کنید که دسترسی به اینترنت از طریق VPN به معنای ناشناس بودن کامل و دسترسی نامحدود به هر منبعی است، از جمله منابعی که توسط ارائه دهنده مسدود شده یا برای کشور شما در دسترس نیستند.

چه کسی و چرا به VPN نیاز دارد

کارشناسان توصیه می کنند از VPN برای انتقال داده هایی که نباید در دست اشخاص ثالث باشد - لاگین، رمز عبور، مکاتبات خصوصی و کاری، کار با بانکداری اینترنتی استفاده کنید. این امر به ویژه در هنگام استفاده از نقاط دسترسی باز - وای فای در فرودگاه ها، کافه ها، پارک ها و غیره صادق است.

این فناوری همچنین برای کسانی که می خواهند آزادانه به هر سایت و سرویسی دسترسی داشته باشند، از جمله مواردی که توسط ارائه دهنده مسدود شده اند یا فقط برای یک حلقه خاص از افراد باز می شوند، مفید خواهد بود. به عنوان مثال، Last.fm فقط برای ساکنان ایالات متحده، انگلستان و تعدادی دیگر از کشورهای اروپایی به صورت رایگان در دسترس است. استفاده از خدمات موسیقی از روسیه امکان اتصال از طریق VPN را فراهم می کند.

تفاوت بین VPN و TOR، پروکسی و ناشناس

VPN به صورت جهانی روی رایانه کار می کند و همه نرم افزارهای نصب شده روی رایانه را از طریق تونل هدایت می کند. هر درخواستی - از طریق چت، مرورگر، سرویس گیرنده ذخیره سازی ابری (دراپ باکس) و غیره قبل از رسیدن به مخاطب از تونل عبور می کند و رمزگذاری می شود. دستگاه‌های واسطه از طریق رمزگذاری درخواست‌ها، مسیر را به هم می‌ریزند و فقط قبل از ارسال به مقصد نهایی، آن را رمزگشایی می‌کنند. مقصد نهایی درخواست، به عنوان مثال، یک وب سایت، نه داده های کاربر - موقعیت جغرافیایی و غیره، بلکه داده های سرور VPN را می گیرد. به این معنا که از نظر تئوری نمی توان ردیابی سایت هایی که کاربر بازدید کرده و چه درخواست هایی از طریق یک اتصال ایمن ارسال شده است.

تا حدودی، ناشناس‌کننده‌ها، پراکسی‌ها و TOR را می‌توان آنالوگ VPN‌ها در نظر گرفت، اما همه آنها به نوعی در شبکه‌های خصوصی مجازی ضرر می‌کنند.

تفاوت VPN و TOR چیست؟

مانند VPN، فناوری TOR شامل رمزگذاری درخواست ها و انتقال آنها از کاربر به سرور و بالعکس است. فقط TOR تونل های دائمی ایجاد نمی کند، روش های دریافت / انتقال داده ها با هر دسترسی تغییر می کند، که شانس رهگیری بسته های داده را کاهش می دهد، اما بهترین تاثیر را بر روی سرعت ندارد. TOR یک فناوری رایگان است و توسط علاقه مندان پشتیبانی می شود، بنابراین نمی توانید انتظار کار پایداری داشته باشید. به عبارت ساده، رفتن به سایتی که توسط ارائه دهنده مسدود شده است کار می کند، اما ویدیو با کیفیت HD برای چندین ساعت یا حتی چند روز از آن بارگیری می شود.

تفاوت بین VPN و پروکسی چیست؟

پروکسی ها بر اساس قیاس با VPN ها، درخواست را به سایت هدایت می کنند و آن را از طریق سرورهای واسطه منتقل می کنند. فقط رهگیری چنین درخواست هایی دشوار نیست، زیرا تبادل اطلاعات بدون هیچ گونه رمزگذاری انجام می شود.

تفاوت بین VPN و ناشناس چیست؟

Anonymizer یک نسخه حذف شده از یک پروکسی است که فقط در یک برگه باز مرورگر می تواند کار کند. از طریق آن می‌توانید وارد صفحه شوید، اما نمی‌توانید از بیشتر ویژگی‌ها استفاده کنید و هیچ رمزگذاری ارائه نمی‌شود.

از نظر سرعت، پروکسی از روش های تبادل اطلاعات غیرمستقیم برنده خواهد شد، زیرا رمزگذاری کانال ارتباطی را فراهم نمی کند. در رتبه دوم VPN قرار دارد که نه تنها ناشناس ماندن، بلکه محافظت نیز فراهم می کند. جایگاه سوم متعلق به ناشناس است که محدود به کار در پنجره باز مرورگر است. TOR زمانی مناسب است که زمان و فرصتی برای اتصال به VPN وجود ندارد، اما نباید روی پردازش سریع درخواست های انبوه حساب کنید. این درجه بندی برای مواردی معتبر است که از سرورهای بدون بار استفاده می شود که در همان فاصله از سرور آزمایش شده قرار دارند.

نحوه اتصال به اینترنت با VPN

ده ها سرویس خدمات دسترسی VPN را در RuNet ارائه می دهند. خوب، احتمالاً صدها نفر در سراسر جهان وجود دارند. اصولاً تمام خدمات پولی است. هزینه از چند دلار تا چند ده دلار در ماه متغیر است. متخصصانی که درک خوبی از فناوری اطلاعات دارند، با استفاده از سرورهایی که توسط ارائه دهندگان هاست مختلف برای این منظور ارائه می شود، برای خود سرور VPN ایجاد می کنند. هزینه چنین سروری معمولاً حدود 5 دلار در ماه است.

اینکه شما یک راه حل پولی یا رایگان را ترجیح می دهید به نیازها و انتظارات شما بستگی دارد. هر دو گزینه کار خواهند کرد - مخفی کردن مکان، جایگزینی IP، رمزگذاری داده ها در حین انتقال و غیره - اما مشکلات سرعت و دسترسی در خدمات پولی بسیار کمتر اتفاق می افتد و بسیار سریعتر حل می شوند.

توییت

به علاوه