Za što se koristi vpn virtualna privatna mreža. Što je VPN i zašto je potreban

VPN (Virtual Private Network) je virtualna privatna mreža.

Laički rečeno, VPN je potpuno siguran kanal koji povezuje vaš uređaj s internetom s bilo kojim drugim uređajem na svjetskoj mreži. Ako je još jednostavnije, onda to možete zamisliti i slikovitije: bez spajanja na VPN uslugu, vaše računalo (laptop, telefon, TV ili bilo koji drugi uređaj) kada pristupate mreži je kao privatna kuća bez ograde. U svakom trenutku svatko može namjerno ili slučajno slomiti stabla, pogaziti gredice u vašem vrtu. Uz korištenje VPN-a, vaš se dom pretvara u neprobojnu tvrđavu čiju će zaštitu jednostavno biti nemoguće slomiti.

Kako radi?

Princip rada VPN-a je jednostavan i "transparentan" za krajnjeg korisnika. U trenutku kada se povežete s internetom, stvara se virtualni "tunel" između vašeg uređaja i ostatka interneta, blokirajući sve pokušaje izvana da uđu unutra. Za vas, rad VPN-a ostaje apsolutno "transparentan" i nevidljiv. Vaša osobna, poslovna korespondencija, razgovori putem Skypea ili telefona ni na koji način ne mogu biti presretnuti ili preslušani. Svi vaši podaci kriptirani su posebnim algoritmom za šifriranje, koji je gotovo nemoguće provaliti.

Osim zaštite od upada izvana, VPN pruža priliku za praktički privremeni posjet bilo kojoj zemlji na svijetu i korištenje mrežnih resursa tih zemalja, gledanje televizijskih kanala koji su prethodno bili nedostupni. VPN će vašu IP adresu zamijeniti bilo kojom drugom. Da biste to učinili, bit će vam dovoljno da odaberete državu s predloženog popisa, na primjer, Nizozemsku, a sve stranice i usluge koje posjetite automatski će "misliti" da se nalazite u toj zemlji.

Zašto ne anonimizator ili proxy?

Postavlja se pitanje: zašto jednostavno ne koristiti nekakav anonimizator ili proxy poslužitelj na mreži, jer oni također zamjenjuju IP adresu? Da, sve je vrlo jednostavno – niti jedna od navedenih usluga ne pruža zaštitu, i dalje ostajete „vidljivi“ uljezima, a time i svi podaci koje razmjenjujete na internetu. Osim toga, rad s proxy poslužiteljima zahtijeva od vas određenu sposobnost postavljanja točnih postavki. VPN radi po sljedećem principu: “Poveži se i radi”, ne zahtijeva nikakve dodatne postavke. Cijeli proces povezivanja traje nekoliko minuta i vrlo je jednostavan.

O besplatnim VPN-ovima

Prilikom odabira imajte na umu da besplatni VPN-ovi gotovo uvijek imaju ograničenja količine prometa i brzine prijenosa podataka. To znači da može doći do situacije kada jednostavno ne možete nastaviti koristiti besplatni VPN. Ne zaboravite da besplatni VPN-ovi nisu uvijek stabilni i često su preopterećeni. Čak i ako vaše ograničenje nije prekoračeno, prijenos podataka može potrajati dugo zbog velikog opterećenja na VPN poslužitelju. Plaćene VPN usluge odlikuju se velikom propusnošću, bez ograničenja, kako u prometu tako i u brzini, a razina sigurnosti je viša od onih besplatnih.

Gdje početi?

Većina VPN usluga pruža mogućnost besplatnog testiranja kvalitete na kratko vrijeme. Razdoblje testiranja može biti od nekoliko sati do nekoliko dana. Tijekom testiranja obično dobivate potpuni pristup svim funkcijama VPN usluge. Naša usluga omogućuje pronalaženje takvih VPN usluga na poveznici:

VPN (Virtual Private Network) ili prevedeno na ruski virtualna privatna mreža je tehnologija koja vam omogućuje kombiniranje računalnih uređaja u sigurne mreže kako bi svojim korisnicima omogućili šifrirani kanal i anonimni pristup resursima na Internetu.

U tvrtkama se VPN uglavnom koristi za spajanje nekoliko podružnica smještenih u različitim gradovima ili čak dijelovima svijeta u jednu lokalnu mrežu. Zaposlenici takvih tvrtki, koristeći VPN, mogu koristiti sve resurse koji se nalaze u svakoj poslovnici kao njihov lokalni, koji se nalazi na njihovoj strani. Na primjer, samo jednim klikom ispišite dokument na pisaču koji se nalazi u drugoj grani.

Za obične korisnike interneta, VPN će dobro doći kada:

• davatelj je blokirao stranicu, ali morate otići;
• često morate koristiti internetsko bankarstvo i sustave plaćanja i želite zaštititi podatke od moguće krađe;
• usluga radi samo za Europu, a vi ste u Rusiji i nemate ništa protiv slušanja glazbe na LastFm-u;
• želite da stranice koje posjećujete ne prate vaše podatke;
• nema usmjerivača, ali je moguće spojiti dva računala na lokalnu mrežu kako bi se obama omogućio pristup Internetu.

Kako VPN funkcionira

VPN-ovi rade kroz tunel koji uspostave između vašeg računala i udaljenog poslužitelja. Svi podaci koji se prenose kroz ovaj tunel su šifrirani.

Može se zamisliti kao običan tunel, koji se nalazi na autocestama, samo položen internetom između dvije točke - računala i servera. Kroz ovaj tunel podaci, poput automobila, jure između točaka najvećom mogućom brzinom. Na ulazu (na korisničkom računalu) ovi se podaci šifriraju i u ovom obliku šalju primatelju (poslužitelju), u ovom trenutku se dešifriraju i interpretiraju: datoteka se preuzima, šalje se zahtjev na stranicu, itd. Nakon toga se primljeni podaci ponovno šifriraju na serveru i kroz tunel se šalju natrag na računalo korisnika.

Za anonimni pristup stranicama i uslugama dovoljna je mreža koja se sastoji od računala (tableta, pametnog telefona) i poslužitelja.

Općenito, razmjena podataka putem VPN-a izgleda ovako:

1. Tunel se stvara između računala korisnika i poslužitelja s instaliranim softverom za stvaranje VPN-a. Na primjer OpenVPN.
2. U tim se programima generira ključ (lozinka) na poslužitelju i računalu za šifriranje/dešifriranje podataka.
3. Zahtjev se kreira na računalu i šifrira pomoću prethodno generiranog ključa.
4. Šifrirani podaci se prenose kroz tunel do poslužitelja.
5. Podaci koji su došli iz tunela na server se dešifriraju i zahtjev se izvršava – slanje datoteke, ulazak na stranicu, pokretanje servisa.
6. Poslužitelj priprema odgovor, šifrira ga prije slanja i šalje natrag korisniku.
7. Računalo korisnika prima podatke i dešifrira ih ključem koji je ranije generiran.

Uređaji uključeni u virtualnu privatnu mrežu nisu geografski vezani i mogu se nalaziti na bilo kojoj udaljenosti jedan od drugog.

Za običnog korisnika usluga virtualne privatne mreže dovoljno je razumjeti da pristup internetu putem VPN-a znači potpunu anonimnost i neograničen pristup svim resursima, uključujući i one koje je davatelj blokirao ili nisu dostupni za vašu zemlju.

Kome treba VPN i zašto

Stručnjaci preporučuju korištenje VPN-a za prijenos svih podataka koji ne bi trebali biti u rukama trećih osoba - prijave, lozinke, privatna i radna korespondencija, rad s internet bankarstvom. To se posebno odnosi na korištenje otvorenih pristupnih točaka - WiFi u zračnim lukama, kafićima, parkovima itd.

Tehnologija će također dobro doći onima koji žele slobodno pristupiti svim stranicama i uslugama, uključujući one koje je davatelj blokirao ili otvorene samo određenom krugu ljudi. Na primjer, Last.fm je besplatno dostupan samo stanovnicima SAD-a, Engleske i brojnih drugih europskih zemalja. Korištenje glazbenih usluga iz Rusije omogućit će povezivanje putem VPN-a.

Razlike između VPN-a i TOR-a, proxyja i anonimizatora

VPN radi globalno na računalu i preusmjerava sav softver instaliran na računalu kroz tunel. Svaki zahtjev - putem chata, preglednika, klijenta za pohranu u oblaku (dropbox) itd. prije nego što stigne do primatelja prolazi kroz tunel i šifrira se. Posrednički uređaji "mutaju trag" kroz enkripciju zahtjeva i dešifriraju ga tek prije slanja na konačno odredište. Konačno odredište zahtjeva, na primjer, web stranica, ne hvata korisničke podatke - geografsku lokaciju itd., već podatke VPN poslužitelja. Odnosno, teoretski je nemoguće pratiti koje je stranice korisnik posjetio i koji su zahtjevi preneseni putem sigurne veze.

U određenoj mjeri, anonimizatori, proxyji i TOR mogu se smatrati analozima VPN-ova, ali svi oni na neki način gube u odnosu na virtualne privatne mreže.

Koja je razlika između VPN-a i TOR-a

Poput VPN-a, TOR tehnologija uključuje šifriranje zahtjeva i njihovo prijenos od korisnika do poslužitelja i obrnuto. Jedino TOR ne stvara trajne tunele, načini primanja/prijenosa podataka se mijenjaju sa svakim pristupom, što smanjuje šanse za presretanje paketa podataka, ali ne utječe najbolje na brzinu. TOR je besplatna tehnologija i podržana od strane entuzijasta, tako da ne možete očekivati ​​stabilan rad. Jednostavno rečeno, radit će otići na stranicu koju je davatelj blokirao, ali će se video u HD kvaliteti s nje učitavati nekoliko sati ili čak dana.

Koja je razlika između VPN-a i proxyja

Proksiji, po analogiji s VPN-ovima, preusmjeravaju zahtjev na web-mjesto, prolazeći ga kroz posredničke poslužitelje. Samo takve zahtjeve nije teško presresti, jer se razmjena informacija odvija bez ikakve enkripcije.

Koja je razlika između VPN-a i anonimizatora

Anonymizer je skraćena verzija proxyja koja može raditi samo unutar otvorene kartice preglednika. Preko njega možete ući na stranicu, ali nećete moći koristiti većinu značajki, a nije predviđena ni enkripcija.

Što se tiče brzine, proxy će pobijediti od metoda neizravne razmjene podataka, budući da ne predviđa enkripciju komunikacijskog kanala. Na drugom mjestu je VPN koji pruža ne samo anonimnost, već i zaštitu. Treće mjesto pripada anonimizatoru koji je ograničen na rad u otvorenom prozoru preglednika. TOR je prikladan kada nema vremena i prilike za povezivanje s VPN-om, ali ne biste trebali računati na brzu obradu masovnih zahtjeva. Ova gradacija vrijedi za slučaj kada se koriste neopterećeni poslužitelji koji se nalaze na istoj udaljenosti od testiranog.

Kako se spojiti na internet putem VPN-a

Deseci usluga nude usluge pristupa VPN-u na RuNetu. Pa, vjerojatno ih ima na stotine diljem svijeta. Uglavnom, sve usluge se plaćaju. Trošak se kreće od nekoliko dolara do nekoliko desetaka dolara mjesečno. Stručnjaci koji dobro razumiju IT sami kreiraju VPN poslužitelj za sebe, koristeći za tu svrhu poslužitelje koje pružaju razni hosting provajderi. Cijena takvog poslužitelja obično je oko 5 dolara mjesečno.

Hoćete li preferirati plaćeno ili besplatno rješenje ovisi o vašim zahtjevima i očekivanjima. Obje opcije će raditi - sakriti lokaciju, zamijeniti IP, šifrirati podatke tijekom prijenosa itd. - ali problemi s brzinom i pristupom u plaćenim uslugama događaju se puno rjeđe i rješavaju se puno brže.

cvrkut

plus

Tehnologija koja stvara logičku mrežu u drugoj mreži dobila je kraticu "VPN", što na engleskom doslovno znači "Virtual Private Network". Jednostavno rečeno, VPN uključuje različite metode komunikacije između uređaja unutar druge mreže i pruža mogućnost primjene različitih metoda zaštite, što značajno povećava sigurnost informacija koje se razmjenjuju između računala.

A to je vrlo važno u suvremenom svijetu, na primjer, za mreže velikih komercijalnih korporacija i, naravno, banaka. U nastavku su detaljni vodiči o tome kako stvoriti VPN, upute o proceduri za uspostavljanje VPN veze i kako pravilno konfigurirati kreiranu VPN vezu.

Definicija

Da biste bolje razumjeli što je VPN, samo trebate znati što on može učiniti. VPN veza dodjeljuje određeni sektor u postojeću mrežu i sva računala i digitalna oprema koja se nalazi u njoj su u stalnoj međusobnoj komunikaciji. Ali što je najvažnije, ovaj sektor je potpuno zatvoren i zaštićen za sve ostale uređaje koji se nalaze u velikoj mreži.

Kako spojiti VPN

Unatoč početnoj naizgled složenosti definiranja VPN-a, njegovo kreiranje na Windows računalima, pa čak i samo postavljanje VPN-a neće biti teško ako imate detaljan vodič. Glavni zahtjev je strogo slijediti strogi slijed koraka u nastavku:

Nadalje, provodi se konfiguracija VPN-a, uzimajući u obzir razne popratne nijanse.

Kako postaviti VPN?

Potrebno je konfigurirati uzimajući u obzir individualne karakteristike ne samo operativnog sustava, već i operatera koji pruža komunikacijske usluge.

Windows XP

Kako bi VPN u operacijskom sustavu Windows XP uspješno obavljao svoj rad, potrebni su sljedeći uzastopni koraci:

Zatim, dok funkcionirate u stvorenom okruženju, možete koristiti neke prikladne funkcije. Da biste to učinili, učinite sljedeće:

Napomena: parametri se uvijek unose na različite načine, jer ne ovise samo o poslužitelju, već i o davatelju komunikacijskih usluga.

Windows 8

U ovom OS-u pitanje kako postaviti VPN ne bi trebalo uzrokovati velike poteškoće, jer je ovdje gotovo automatizirano.

Algoritam redoslijeda radnji sastoji se od sljedećih koraka:

Zatim morate odrediti mrežne opcije. U tu svrhu učinite sljedeće:

Napomena: Unos postavki može se značajno razlikovati ovisno o konfiguraciji mreže.

Windows 7

Proces postavljanja postavki u sustavu Windows 7 jednostavan je i dostupan čak i neiskusnim korisnicima računala.

Da bi ih proizveo, korisnik Windows 7 mora poduzeti sljedeće korake u nizu:

Napomena: u svrhu ispravnog rada potreban je pažljiv individualni odabir svih parametara.

Android

Da biste postavili normalno funkcioniranje gadgeta s Android OS-om u VPN okruženju, trebate učiniti nekoliko stvari:

Karakteristike veze

Ova tehnologija uključuje različite vrste kašnjenja u postupcima prijenosa podataka. Do kašnjenja dolazi zbog sljedećih čimbenika:

1. Potrebno je neko vrijeme da se uspostavi veza;
2. Postoji stalan proces kodiranja prenesenih informacija;
3. blokovi prenesenih informacija.

Najznačajnije razlike prisutne su u samoj tehnologiji, na primjer, usmjerivači i zasebne linije nisu potrebni za VPN. Za učinkovito funkcioniranje potreban vam je samo pristup World Wide Webu i aplikacijama koje pružaju kodiranje informacija.

Internet se sve više koristi kao sredstvo komunikacije između računala jer nudi učinkovitu i jeftinu komunikaciju. Međutim, internet je javna mreža i da bi se putem njega osigurala sigurna komunikacija potreban je neki mehanizam koji zadovoljava barem sljedeće zadatke:

povjerljivost informacija;

integritet podataka;

dostupnost informacija;

Ove zahtjeve ispunjava mehanizam koji se naziva VPN (Virtual Private Network - virtualna privatna mreža) - generalizirani naziv za tehnologije koje vam omogućuju pružanje jedne ili više mrežnih veza (logička mreža) preko druge mreže (na primjer, Interneta) pomoću kriptografije alati (šifriranje, autentifikacija, infrastrukturni javni ključevi, sredstva za zaštitu od ponavljanja i promjene poruka koje se prenose preko logičke mreže).

Stvaranje VPN-a ne zahtijeva dodatna ulaganja i omogućuje vam prestanak korištenja iznajmljenih linija. Ovisno o korištenim protokolima i namjeni, VPN može pružiti tri vrste veza: host-host, host-mreža i mrežna-mreža.

Radi jasnoće, zamislimo sljedeći primjer: poduzeće ima nekoliko teritorijalno udaljenih podružnica i "mobilne" zaposlenike koji rade kod kuće ili na cesti. Potrebno je ujediniti sve zaposlenike poduzeća u jedinstvenu mrežu. Najlakši način je staviti modeme u svaku granu i organizirati komunikaciju prema potrebi. Takvo rješenje, međutim, nije uvijek prikladno i isplativo - ponekad vam je potrebna stalna veza i velika propusnost. Da biste to učinili, morat ćete ili postaviti namjensku liniju između grana ili ih iznajmiti. Obje su dosta skupe. I ovdje, kao alternativu, pri izgradnji jedne sigurne mreže možete koristiti VPN veze svih podružnica tvrtke putem Interneta i konfigurirati VPN alate na mrežnim hostovima.

Riža. 6.4. VPN veza između mjesta

Riža. 6.5. VPN veza između hosta i mreže

U ovom slučaju rješavaju se mnogi problemi - podružnice se mogu nalaziti bilo gdje u svijetu.

Opasnost je u tome što je, prvo, otvorena mreža otvorena za napade uljeza iz cijelog svijeta. Drugo, svi podaci se prenose putem Interneta u čistom obliku, a napadači će, nakon što su hakirali mrežu, sve informacije prenijeti preko mreže. I, treće, podaci se mogu ne samo presresti, već i zamijeniti tijekom prijenosa kroz mrežu. Napadač može, na primjer, ugroziti integritet baza podataka djelujući u ime klijenata jedne od povjerljivih podružnica.

Kako bi se to spriječilo, VPN rješenja koriste alate kao što su šifriranje podataka kako bi se osigurao integritet i povjerljivost, autentifikacija i autorizacija za provjeru korisničkih prava i dopuštanje pristupa virtualnoj privatnoj mreži.

VPN veza se uvijek sastoji od veze točka-točka, također poznata kao tunel. Tunel se stvara u nesigurnoj mreži, a to je najčešće internet.

Tuneliranje ili enkapsulacija način je prijenosa korisnih informacija kroz posrednu mrežu. Takve informacije mogu biti okviri (ili paketi) drugog protokola. Kod enkapsulacije, okvir se ne prenosi onako kako ga je generirao host koji šalje, ali ima dodatno zaglavlje koje sadrži informacije o usmjeravanju koje omogućuje inkapsuliranim paketima prolaz kroz posrednu mrežu (Internet). Na kraju tunela, okviri se dekapsuliraju i prenose primatelju. Obično tunel stvaraju dva rubna uređaja smještena na ulaznim točkama u javnu mrežu. Jedna od jasnih prednosti tuneliranja je ta što ova tehnologija omogućuje šifriranje cijelog izvornog paketa, uključujući zaglavlje, koje može sadržavati podatke koji sadrže informacije koje napadači koriste za hakiranje mreže (na primjer, IP adrese, broj podmreža itd.). ) .

Iako je VPN tunel uspostavljen između dvije točke, svaki domaćin može uspostaviti dodatne tunele s drugim hostovima. Na primjer, kada tri udaljene stanice trebaju kontaktirati isti ured, tri odvojena VPN tunela će se stvoriti za ovaj ured. Za sve tunele, čvor na strani ureda može biti isti. To je moguće zbog činjenice da čvor može šifrirati i dešifrirati podatke u ime cijele mreže, kao što je prikazano na slici:

Riža. 6.6. Stvorite VPN tunele za više udaljenih lokacija

Korisnik uspostavlja vezu s VPN pristupnikom, nakon čega korisnik ima pristup internoj mreži.

Unutar privatne mreže, sama enkripcija se ne događa. Razlog je taj što se ovaj dio mreže smatra sigurnim i pod izravnom kontrolom, za razliku od interneta. To vrijedi i za povezivanje ureda pomoću VPN pristupnika. Dakle, šifriranje je zajamčeno samo za informacije koje se prenose nesigurnim kanalom između ureda.

Postoji mnogo različitih rješenja za izgradnju virtualnih privatnih mreža. Najpoznatiji i najčešće korišteni protokoli su:

PPTP (Point-to-Point Tunneling Protocol) - ovaj protokol je postao prilično popularan zbog svoje uključenosti u Microsoftove operativne sustave.

L2TP (Layer-2 Tunneling Protocol) - kombinira L2F (Layer 2 Forwarding) protokol i PPTP protokol. Obično se koristi zajedno s IPSec-om.

IPSec (Internet Protocol Security) službeni je internetski standard koji je razvila zajednica IETF (Internet Engineering Task Force).

Navedene protokole podržavaju D-Link uređaji.

PPTP protokol prvenstveno je namijenjen virtualnim privatnim mrežama temeljenim na dial-up vezama. Protokol omogućuje daljinski pristup, tako da korisnici mogu uspostaviti dial-up veze s internetskim davateljima i stvoriti siguran tunel do svojih korporativnih mreža. Za razliku od IPSec-a, PPTP protokol izvorno nije bio namijenjen organiziranju tunela između lokalnih mreža. PPTP proširuje mogućnosti PPP-a, protokola podatkovne veze koji je izvorno dizajniran za kapsuliranje podataka i njihovu isporuku putem veze točka-točka.

PPTP protokol omogućuje stvaranje sigurnih kanala za razmjenu podataka korištenjem različitih protokola - IP, IPX, NetBEUI itd. Podaci ovih protokola se pakiraju u PPP okvire, enkapsuliraju pomoću PPTP protokola u pakete IP protokola. Zatim se prenose korištenjem IP-a u šifriranom obliku preko bilo koje TCP/IP mreže. Prijamni čvor izdvaja PPP okvire iz IP paketa i zatim ih obrađuje na standardni način, tj. izdvaja IP, IPX ili NetBEUI paket iz PPP okvira i šalje ga preko lokalne mreže. Dakle, PPTP protokol stvara point-to-point vezu u mreži i prenosi podatke preko stvorenog sigurnog kanala. Glavna prednost inkapsuliranja protokola kao što je PPTP je njihova višeprotokolska priroda. Oni. zaštita podataka na sloju podatkovne veze transparentna je za protokole mrežnog i aplikacijskog sloja. Stoga se unutar mreže kao prijenos može koristiti i IP protokol (kao u slučaju VPN-a temeljenog na IPSec-u) ili bilo koji drugi protokol.

Trenutno, zbog jednostavnosti implementacije, PPTP protokol se široko koristi kako za dobivanje pouzdanog sigurnog pristupa korporativnoj mreži tako i za pristup ISP mrežama kada klijent treba uspostaviti PPTP vezu s ISP-om kako bi pristupio Internetu.

Metoda šifriranja koja se koristi u PPTP-u navedena je na PPP sloju. Obično je PPP klijent stolno računalo s Microsoftovim operativnim sustavom, a protokol za šifriranje je Microsoftovo šifriranje od točke do točke (MPPE). Ovaj se protokol temelji na RSA RC4 standardu i podržava 40 ili 128-bitnu enkripciju. Za mnoge primjene ove razine enkripcije dovoljna je upotreba ovog algoritma, iako se smatra manje sigurnim od brojnih drugih algoritama za šifriranje koje nudi IPSec, posebice 168-bitnog standarda za šifriranje trostrukih podataka (3DES).

Kako se uspostavlja vezaPPTP?

PPTP enkapsulira IP pakete za prijenos preko IP mreže. PPTP klijenti stvaraju kontrolnu vezu tunela koja održava vezu živom. Ovaj proces se izvodi na transportnom sloju OSI modela. Nakon što je tunel stvoren, klijentsko računalo i poslužitelj počinju razmjenjivati ​​servisne pakete.

Osim PPTP kontrolne veze, stvara se veza za slanje podataka preko tunela. Enkapsuliranje podataka prije slanja u tunel uključuje dva koraka. Prvo se kreira informacijski dio okvira PPP. Podaci teku od vrha do dna, od sloja aplikacije OSI do sloja veze. Primljeni podaci se zatim šalju prema OSI modelu i kapsuliraju protokolima gornjeg sloja.

Podaci iz sloja veze dolaze do transportnog sloja. Međutim, informacije se ne mogu poslati na svoje odredište, jer je za to odgovoran sloj OSI veze. Stoga PPTP šifrira polje korisnog opterećenja paketa i preuzima funkcije druge razine koje obično pripadaju PPP-u, tj. dodaje PPP zaglavlje (header) i završetak (trailer) PPTP paketu. Time se dovršava stvaranje okvira sloja veze. Zatim, PPTP enkapsulira PPP okvir u paket Generičke enkapsulacije usmjeravanja (GRE) koji pripada mrežnom sloju. GRE inkapsulira protokole mrežnog sloja kao što su IP, IPX kako bi se omogućio njihov prijenos preko IP mreža. Međutim, samo korištenje GRE protokola neće osigurati uspostavljanje sesije i sigurnost podataka. Ovo koristi PPTP-ovu sposobnost za stvaranje kontrolne veze tunela. Korištenje GRE kao metode enkapsulacije ograničava opseg PPTP-a samo na IP mreže.

Nakon što je PPP okvir inkapsuliran u okvir s GRE zaglavljem, on se inkapsulira u okvir s IP zaglavljem. IP zaglavlje sadrži adrese pošiljatelja i primatelja paketa. Konačno, PPTP dodaje PPP zaglavlje i završetak.

Na riža. 6.7 prikazuje strukturu podataka za prosljeđivanje preko PPTP tunela:

Riža. 6.7. Struktura podataka za prosljeđivanje preko PPTP tunela

Postavljanje VPN-a na temelju PPTP-a ne zahtijeva velike troškove i složene postavke: dovoljno je instalirati PPTP poslužitelj u središnji ured (PPTP rješenja postoje i za Windows i za Linux platforme), te izvršiti potrebne postavke na klijentskim računalima. Ako trebate kombinirati nekoliko grana, umjesto postavljanja PPTP-a na svim klijentskim stanicama, bolje je koristiti internetski usmjerivač ili vatrozid s podrškom za PPTP: postavke se vrše samo na graničnom usmjerivaču (vatrozidu) spojenom na Internet, sve je apsolutno transparentno za korisnike. Primjeri takvih uređaja su višenamjenski internetski usmjerivači DIR/DSR i vatrozidi serije DFL.

GRE-tuneli

Generička enkapsulacija usmjeravanja (GRE) je protokol enkapsulacije mrežnih paketa koji omogućuje tuneliranje prometa kroz mreže bez enkripcije. Primjeri korištenja GRE-a:

prijenos prometa (uključujući emitiranje) putem opreme koja ne podržava određeni protokol;

tuneliranje IPv6 prometa kroz IPv4 mrežu;

prijenos podataka preko javnih mreža radi implementacije sigurne VPN veze.

Riža. 6.8. Primjer GRE tunela

Između dva usmjerivača A i B ( riža. 6.8) postoji nekoliko usmjerivača, GRE tunel vam omogućuje povezivanje između lokalnih mreža 192.168.1.0/24 i 192.168.3.0/24 kao da su usmjerivači A i B izravno povezani.

L2 TP

Protokol L2TP pojavio se kao rezultat spajanja PPTP i L2F protokola. Glavna prednost L2TP protokola je da vam omogućuje stvaranje tunela ne samo u IP mrežama, već iu ATM, X.25 i Frame relay mrežama. L2TP koristi UDP kao transport i koristi isti format poruke i za upravljanje tunelom i za prosljeđivanje podataka.

Kao iu slučaju PPTP-a, L2TP počinje sastavljati paket za prijenos u tunel tako što prvo dodaje PPP zaglavlje, a zatim L2TP zaglavlje, u PPP informacijsko polje. Tako primljeni paket je enkapsuliran u UDP. Ovisno o odabranoj vrsti IPSec sigurnosne politike, L2TP može šifrirati UDP poruke i dodati zaglavlje i završetak Encapsulating Security Payload (ESP), kao i završetak IPSec autentifikacije (pogledajte odjeljak "L2TP preko IPSec"). Zatim se inkapsulira u IP. Dodaje se IP zaglavlje koje sadrži adrese pošiljatelja i primatelja. Konačno, L2TP izvodi drugu PPP enkapsulaciju kako bi pripremio podatke za prijenos. Na riža. 6.9 prikazuje strukturu podataka koja se šalje preko L2TP tunela.

Riža. 6.9. Struktura podataka za prosljeđivanje preko L2TP tunela

Računalo primatelj prima podatke, obrađuje PPP zaglavlje i završetak i uklanja IP zaglavlje. IPSec Authentication provjerava autentičnost IP informacijskog polja, a IPSec ESP zaglavlje pomaže dešifrirati paket.

Računalo zatim obrađuje UDP zaglavlje i koristi L2TP zaglavlje za identifikaciju tunela. PPP paket sada sadrži samo korisni teret koji se obrađuje ili prosljeđuje navedenom primatelju.

IPsec (skraćeno od IP Security) je skup protokola za osiguranje podataka koji se prenose putem IP internetskog protokola, omogućujući provjeru autentičnosti i/ili enkripciju IP paketa. IPsec također uključuje protokole za sigurnu razmjenu ključeva na Internetu.

IPSec sigurnost se postiže dodatnim protokolima koji IP paketu dodaju vlastita zaglavlja – enkapsulacija. Jer IPSec je internetski standard, a za njega postoje RFC dokumenti:

RFC 2401 (Sigurnosna arhitektura za internetski protokol) je sigurnosna arhitektura za IP protokol.

RFC 2402 (IP Authentication header) - IP autentifikacijsko zaglavlje.

RFC 2404 (Korištenje HMAC-SHA-1-96 unutar ESP-a i AH-a) - Upotreba SHA-1 hash algoritma za stvaranje zaglavlja provjere autentičnosti.

RFC 2405 (ESP DES-CBC algoritam šifriranja s eksplicitnim IV) - Upotreba algoritma za šifriranje DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - Šifriranje podataka.

RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) je opseg protokola za upravljanje ključevima.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Upravljanje ključevima i autentifikatorom za sigurne veze.

RFC 2409 (Internetska razmjena ključeva (IKE)) - Razmjena ključeva.

RFC 2410 (NULL algoritam šifriranja i njegova upotreba s IPsec-om) - NULL algoritam šifriranja i njegova upotreba.

RFC 2411 (IP Security Document Roadmap) je daljnji razvoj standarda.

RFC 2412 (OAKLEY protokol za određivanje ključa) - Provjera autentičnosti ključa.

IPsec je sastavni dio IPv6 internetskog protokola i izborno proširenje IPv4 verzije internetskog protokola.

Mehanizam IPSec obavlja sljedeće zadatke:

provjera autentičnosti korisnika ili računala tijekom inicijalizacije sigurnog kanala;

enkripcija i provjera autentičnosti podataka koji se prenose između krajnjih točaka sigurnog kanala;

automatska opskrba krajnjih točaka kanala tajnim ključevima potrebnim za rad protokola autentifikacije i enkripcije podataka.

IPSec komponente

AH (Authentication Header) protokol je identifikacijski protokol zaglavlja. Osigurava integritet provjeravanjem da se tijekom prijenosa nisu promijenili bitovi u zaštićenom dijelu paketa. Ali korištenje AH može uzrokovati probleme, na primjer, kada paket prolazi kroz NAT uređaj. NAT mijenja IP adresu paketa kako bi omogućio pristup internetu s privatne lokalne adrese. Jer u tom slučaju se paket mijenja, tada AH kontrolni zbroj postaje netočan (da bi se eliminirao ovaj problem, razvijen je NAT-Traversal (NAT-T) protokol koji osigurava ESP prijenos preko UDP-a i u svom radu koristi UDP port 4500). Također je vrijedno napomenuti da je AH dizajniran samo za integritet. Ne jamči povjerljivost šifriranjem sadržaja paketa.

Protokol ESP (Encapsulation Security Payload) osigurava ne samo integritet i autentifikaciju prenesenih podataka, već i enkripciju podataka, kao i zaštitu od lažiranja paketa.

ESP protokol je inkapsulirajući sigurnosni protokol koji pruža i integritet i povjerljivost. U transportnom načinu, ESP zaglavlje je između izvornog IP zaglavlja i TCP ili UDP zaglavlja. U tunelskom načinu rada, ESP zaglavlje se postavlja između novog IP zaglavlja i potpuno šifriranog izvornog IP paketa.

Jer oba protokola - AH i ESP - dodaju svoja IP zaglavlja, svaki od njih ima svoj broj protokola (ID), po kojem možete odrediti što će slijediti za IP zaglavljem. Svaki protokol, prema IANA-i (Internet Assigned Numbers Authority - organizacija odgovorna za adresni prostor Interneta), ima svoj vlastiti broj (ID). Na primjer, za TCP taj broj je 6, a za UDP 17. Stoga je vrlo važno kada radite kroz vatrozid konfigurirati filtre na način da propuštaju pakete s ID-om AH i/ili ESP protokola.

ID protokola 51 je postavljen tako da označava da je AH prisutan u IP zaglavlju, a 50 za ESP.

PAŽNJA: ID protokola nije isti kao broj porta.

IKE (Internet Key Exchange) protokol je standardni IPsec protokol koji se koristi za sigurnu komunikaciju u virtualnim privatnim mrežama. Svrha IKE-a je sigurno pregovaranje i isporuka identificiranog materijala sigurnosnoj udruzi (SA).

SA je IPSec izraz za vezu. Uspostavljeni SA (sigurni kanal nazvan "sigurna asocijacija" ili "sigurnosna asocijacija" - Security Association, SA) uključuje zajednički tajni ključ i skup kriptografskih algoritama.

IKE protokol obavlja tri glavna zadatka:

pruža način provjere autentičnosti između dvije VPN krajnje točke;

uspostavlja nove IPSec veze (stvara par SA);

upravlja postojećim odnosima.

IKE koristi UDP broj porta 500. Kada se koristi značajka NAT Traversal, kao što je ranije spomenuto, IKE protokol koristi UDP broj porta 4500.

Razmjena podataka u IKE-u odvija se u 2 faze. U prvoj fazi osniva se udruga SA IKE. Istodobno se autentificiraju krajnje točke kanala i odabiru se parametri zaštite podataka, kao što su algoritam šifriranja, ključ sesije itd.

U drugoj fazi, SA IKE se koristi za dogovaranje protokola (obično IPSec).

Uz konfigurirani VPN tunel, jedan SA par se stvara za svaki korišteni protokol. SA se stvaraju u parovima, kao svaki SA je jednosmjerna veza, a podaci se moraju slati u dva smjera. Primljeni SA parovi pohranjeni su na svakom čvoru.

Budući da je svaki čvor sposoban uspostaviti više tunela s drugim čvorovima, svaki SA ima jedinstveni broj za identifikaciju kojem čvoru pripada. Taj se broj naziva SPI (Indeks sigurnosnih parametara) ili Indeks sigurnosnih parametara.

SA pohranjen u bazi podataka (DB) TUŽNO(Baza podataka sigurnosnog udruženja).

Svaki IPSec čvor također ima drugi DB − SPD(Baza podataka o sigurnosnim politikama) - Baza podataka o sigurnosnim politikama. Sadrži konfiguriranu politiku hosta. Većina VPN rješenja omogućuje vam stvaranje više pravila s kombinacijama prikladnih algoritama za svaki host na koji se želite povezati.

Fleksibilnost IPSec-a leži u činjenici da za svaki zadatak postoji nekoliko načina rješavanja, a metode odabrane za jedan zadatak obično su neovisne o metodama implementacije drugih zadataka. Međutim, radna skupina IETF-a definirala je temeljni skup podržanih značajki i algoritama koji se moraju implementirati na isti način u svim proizvodima s omogućenim IPSec. Mehanizmi AH i ESP mogu se koristiti s raznim shemama provjere autentičnosti i šifriranja, od kojih su neke obvezne. Na primjer, IPSec navodi da se paketi provjeravaju korištenjem jednosmjerne funkcije MD5 ili jednosmjerne funkcije SHA-1, a šifriranje se vrši korištenjem DES algoritma. Proizvođači proizvoda koji koriste IPSec mogu dodati druge algoritme za provjeru autentičnosti i enkripcije. Na primjer, neki proizvodi podržavaju algoritme za šifriranje kao što su 3DES, Blowfish, Cast, RC5, itd.

Bilo koji algoritam simetričnog šifriranja koji koristi tajne ključeve može se koristiti za šifriranje podataka u IPSec-u.

Protokoli za zaštitu toka (AH i ESP) mogu raditi u dva načina - in način transporta i u tunelski način rada. Kada radi u transportnom načinu, IPsec se bavi samo informacijama transportnog sloja; šifrirano je samo podatkovno polje paketa koji sadrži TCP/UDP protokole (zaglavlje IP paketa se ne mijenja (nije šifrirano)). Prijenosni način se obično koristi za uspostavljanje veze između hostova.

Način rada tuneliranja šifrira cijeli IP paket, uključujući zaglavlje mrežnog sloja. Da bi se mogao prenositi preko mreže, stavlja se u drugi IP paket. U suštini, ovo je siguran IP tunel. Tunelski način rada može se koristiti za povezivanje udaljenih računala s virtualnom privatnom mrežom (shema povezivanja "host-mreža") ili za organiziranje sigurnog prijenosa podataka putem otvorenih komunikacijskih kanala (na primjer, Interneta) između pristupnika radi kombiniranja različitih dijelova virtualne privatne mreže mreža ("shema mrežnog povezivanja"). -net").

IPsec načini se međusobno ne isključuju. Na istom hostu neki SA mogu koristiti način transporta, dok drugi mogu koristiti tunelski način.

Tijekom faze provjere autentičnosti izračunava se ICV kontrolni zbroj (vrijednost provjere integriteta) paketa. Ovo pretpostavlja da oba čvora znaju tajni ključ, što primatelju omogućuje izračunavanje ICV-a i usporedbu s rezultatom koji je poslao pošiljatelj. Ako je ICV usporedba uspješna, smatra se da je pošiljatelj paketa autentificiran.

U načinu rada prijevozAH

cijeli IP paket, osim nekih polja u IP zaglavlju, koja se mogu mijenjati tijekom prijenosa. Ova polja, čije su vrijednosti za ICV izračun 0, mogu biti dio usluge (Vrsta usluge, TOS), zastavice, pomak fragmenta, vrijeme života (TTL), kao i zaglavlje kontrolnog zbroja;

sva polja u AH;

nosivost IP paketa.

AH u transportnom načinu štiti IP zaglavlje (osim polja koja se smiju mijenjati) i korisni teret u izvornom IP paketu (slika 3.39).

U tunelskom načinu rada, izvorni paket se stavlja u novi IP paket, a prijenos podataka se izvodi na temelju zaglavlja novog IP paketa.

Za tunelski način radaAH pri izvođenju izračuna sljedeće komponente su uključene u ICV kontrolni zbroj:

sva polja u vanjskom IP zaglavlju, s izuzetkom nekih polja u IP zaglavlju, koja se mogu mijenjati tijekom prijenosa. Ova polja, čije su vrijednosti za ICV izračun 0, mogu biti dio usluge (Vrsta usluge, TOS), zastavice, pomak fragmenta, vrijeme života (TTL), kao i zaglavlje kontrolnog zbroja;

sva polja AH;

originalni IP paket.

Kao što možete vidjeti na sljedećoj slici, način rada AH tunela štiti cijeli izvorni IP paket dodatnim vanjskim zaglavljem koje AH način transporta ne koristi:

Riža. 6.10. Tunelski i transportni načini rada AN protokola

U načinu rada prijevozESP ne provjerava autentičnost cijelog paketa, već samo štiti IP korisni teret. ESP zaglavlje u ESP transportnom načinu dodaje se u IP paket odmah nakon IP zaglavlja, a ESP završetak (ESP Trailer) dodaje se nakon podataka u skladu s tim.

ESP način transporta šifrira sljedeće dijelove paketa:

IP nosivost;

Algoritam za šifriranje koji koristi način šifriranja CBC (Cipher Block Chaining) ima nešifrirano polje između ESP zaglavlja i korisnog opterećenja. Ovo polje se naziva IV (inicijalizacijski vektor) za CBC izračun, koji se izvodi na prijemniku. Budući da se ovo polje koristi za pokretanje procesa dešifriranja, ne može se šifrirati. Iako napadač ima mogućnost pregleda IV, ne postoji način na koji može dešifrirati šifrirani dio paketa bez ključa za šifriranje. Kako bi spriječili napadače da promijene vektor inicijalizacije, on je zaštićen ICV kontrolnim zbrojem. U tom slučaju ICV izvodi sljedeće izračune:

sva polja u zaglavlju ESP;

nosivost uključujući otvoreni tekst IV;

sva polja u ESP Traileru osim polja podataka za provjeru autentičnosti.

ESP tunelski način rada sadrži cijeli izvorni IP paket u novom IP zaglavlju, ESP zaglavlju i ESP traileru. Kako bi se naznačilo da je ESP prisutan u IP zaglavlju, identifikator IP protokola je postavljen na 50, ostavljajući izvorno IP zaglavlje i teret nepromijenjenim. Kao i kod AH tunelskog načina, vanjsko IP zaglavlje temelji se na konfiguraciji IPSec tunela. U slučaju korištenja ESP tunelskog načina rada, područje provjere autentičnosti IP paketa pokazuje gdje je potpis napravljen, čime se potvrđuje njegov integritet i autentičnost, a šifrirani dio pokazuje da su podaci zaštićeni i povjerljivi. Izvorno zaglavlje postavlja se nakon ESP zaglavlja. Nakon što je šifrirani dio enkapsuliran u novo zaglavlje tunela koje nije šifrirano, IP paket se prenosi. Kada se pošalje preko javne mreže, takav se paket preusmjerava na IP adresu pristupnika mreže primatelja, a pristupnik dešifrira paket i odbacuje ESP zaglavlje koristeći izvorno IP zaglavlje kako bi potom usmjerio paket na računalo koje se nalazi na internoj mreži. Način rada ESP tuneliranja šifrira sljedeće dijelove paketa:

originalni IP paket;

• Za ESP tunelski način rada, ICV se izračunava na sljedeći način:

  sva polja u zaglavlju ESP;

  izvorni IP paket, uključujući otvoreni tekst IV;

  sva polja ESP zaglavlja osim polja podataka za provjeru autentičnosti.

Riža. 6.11. Tunelski i transportni način ESP protokola

Riža. 6.12. Usporedba ESP i AH protokola

Sažetak načina primjeneIPSec:

Protokol - ESP (AH).

Način rada - tunel (transport).

Metoda zamjene ključeva - IKE (ručno).

IKE način rada - glavni (agresivan).

DH ključ – grupa 5 (grupa 2, grupa 1) – broj grupe za odabir dinamički kreiranih ključeva sesije, duljina grupe.

Autentifikacija - SHA1 (SHA, MD5).

Šifriranje - DES (3DES, Blowfish, AES).

Prilikom izrade politike obično je moguće izraditi uređeni popis algoritama i Diffie-Hellmanovih grupa. Diffie-Hellman (DH) je protokol za šifriranje koji se koristi za uspostavljanje zajedničkih tajnih ključeva za IKE, IPSec i PFS (Perfect Forward Secrecy). U ovom slučaju koristit će se prva pozicija koja se podudara na oba čvora. Vrlo je važno da vam sve u sigurnosnoj politici omogući postizanje ove slučajnosti. Ako sve ostalo odgovara osim jednog dijela pravila, domaćini i dalje neće moći uspostaviti VPN vezu. Kada postavljate VPN tunel između različitih sustava, morate saznati koje algoritme podržava svaka strana kako biste mogli odabrati najsigurniju politiku od svih mogućih.

Glavne postavke koje sigurnosna politika uključuje:

Simetrični algoritmi za šifriranje/dešifriranje podataka.

Kriptografski kontrolni zbrojevi za provjeru integriteta podataka.

Metoda identifikacije čvora. Najčešće metode su unaprijed dijeljene tajne ili CA certifikati.

Treba li koristiti tunelski ili transportni način.

Koju Diffie-Hellman grupu koristiti (DH grupa 1 (768-bitna); DH grupa 2 (1024-bitna); DH grupa 5 (1536-bitna)).

Treba li koristiti AH, ESP ili oboje.

Treba li koristiti PFS.

Ograničenje IPSec-a je da podržava samo prijenos podataka na sloju IP protokola.

Postoje dvije glavne sheme za korištenje IPSec-a, koje se razlikuju po ulozi čvorova koji čine sigurni kanal.

U prvoj shemi, između krajnjih domaćina mreže formira se sigurni kanal. U ovoj shemi, IPSec protokol štiti host koji radi:

Riža. 6.13. Stvorite siguran kanal između dvije krajnje točke

U drugoj shemi, uspostavljen je siguran kanal između dva sigurnosna pristupnika. Ovi pristupnici primaju podatke od krajnjih hostova spojenih na mreže iza pristupnika. Krajnji domaćini u ovom slučaju ne podržavaju IPSec protokol, promet usmjeren na javnu mrežu prolazi kroz sigurnosni gateway, koji obavlja zaštitu u svoje ime.

Riža. 6.14. Stvaranje sigurnog kanala između dva pristupnika

Za hostove koji podržavaju IPSec, mogu se koristiti i transportni i tunelski način. Za pristupnike je dopušten samo tunelski način rada.

Instalacija i podrškaVPN

Kao što je gore spomenuto, instaliranje i održavanje VPN tunela proces je u dva koraka. U prvoj fazi (fazi), dva čvora se dogovaraju o metodi identifikacije, algoritmu šifriranja, hash algoritmu i Diffie-Hellmanovoj grupi. Također se međusobno identificiraju. Sve se to može dogoditi kao rezultat razmjene tri nekriptirane poruke (tzv. agresivni način rada, Agresivan način rada) ili šest poruka, uz razmjenu šifriranih identifikacijskih informacija (standardni način rada, Glavni način rada).

U glavnom načinu rada moguće je dogovoriti sve konfiguracijske parametre uređaja pošiljatelja i primatelja, dok u agresivnom načinu rada to nije moguće, a neki parametri (Diffie-Hellman grupa, enkripcijski i autentifikacijski algoritmi, PFS) moraju biti unaprijed -konfigurirano na isti način na svakom uređaju. Međutim, u ovom načinu rada, i broj razmjena i broj poslanih paketa su manji, što rezultira manje vremena za uspostavljanje IPSec sesije.

Riža. 6.15. Slanje poruka u standardnom (a) i agresivnom (b) načinu rada

Pod pretpostavkom da je operacija uspješno dovršena, kreira se prva faza SA − Faza 1 SA(također se zove IKESA) i proces prelazi u drugu fazu.

U drugom koraku generiraju se ključni podaci, čvorovi se slažu o politici koja će se koristiti. Ovaj način rada, koji se također naziva brzi način rada, razlikuje se od Faze 1 po tome što se može uspostaviti tek nakon Faze 1, kada su svi paketi Faze 2 šifrirani. Ispravan završetak druge faze dovodi do pojave Faza 2 SA ili IPSecSA i na tome se montaža tunela smatra završenom.

Prvo, paket stiže na čvor s odredišnom adresom na drugoj mreži, a čvor započinje prvu fazu s čvorom koji je odgovoran za drugu mrežu. Recimo da je tunel između čvorova uspješno uspostavljen i čeka na pakete. Međutim, čvorovi se moraju ponovno identificirati jedni druge i usporediti politike nakon određenog vremenskog razdoblja. Ovo razdoblje naziva se životni vijek prve faze ili životni vijek IKE SA.

Čvorovi također moraju promijeniti ključ za šifriranje podataka nakon vremenskog razdoblja koje se naziva Faza 2 ili IPSec SA životni vijek.

Životni vijek druge faze je kraći od prve faze, jer ključ treba češće mijenjati. Morate postaviti iste parametre životnog vijeka za oba čvora. Ako se to ne učini, tada je moguće da će se tunel u početku uspješno uspostaviti, ali nakon prvog nedosljednog razdoblja života veza će biti prekinuta. Problemi mogu nastati i kada je životni vijek prve faze kraći od životnog vijeka druge faze. Ako prethodno konfigurirani tunel prestane raditi, prvo što treba provjeriti je životni vijek na oba čvora.

Također treba napomenuti da ako promijenite politiku na jednom od čvorova, promjene će stupiti na snagu tek pri sljedećem početku prve faze. Da bi promjene odmah stupile na snagu, morate ukloniti SA za ovaj tunel iz baze podataka SAD. To će prisiliti reviziju sporazuma između čvorova s ​​novim postavkama sigurnosne politike.

Ponekad, prilikom postavljanja IPSec tunela između opreme različitih proizvođača, postoje poteškoće povezane s koordinacijom parametara tijekom uspostavljanja prve faze. Trebali biste obratiti pažnju na takav parametar kao što je Lokalni ID - ovo je jedinstveni identifikator za krajnju točku tunela (pošiljatelj i primatelj). Ovo je posebno važno kada se kreira više tunela i koristi NAT Traversal protokol.

Mrtavvršnjakotkrivanje

Tijekom rada VPN-a, ako nema prometa između krajnjih točaka tunela, ili ako se promijene početni podaci udaljenog čvora (na primjer, promjena dinamički dodijeljene IP adrese), može nastati situacija kada tunel u biti više nije takav , postajući, takoreći, tunel duhova . Kako bi se održala stalna spremnost za razmjenu podataka u kreiranom IPSec tunelu, IKE mehanizam (opisan u RFC 3706) omogućuje vam kontrolu prisutnosti prometa s udaljenog čvora tunela, a ako ga nema za određeno vrijeme, šalje se pozdravna poruka (u vatrozidima D-Link šalje poruku "DPD-RU-THERE"). Ako nema odgovora na ovu poruku unutar određenog vremena, u D-Link vatrozidima postavljenim postavkama "DPD Expire Time", tunel se demontira. D-Link vatrozidi nakon toga, koristeći postavke "DPD Keep Time" ( riža. 6.18) automatski pokušava ponovno uspostaviti tunel.

ProtokolNATTraversal

IPsec promet može se usmjeravati prema istim pravilima kao i drugi IP protokoli, ali budući da usmjerivač ne može uvijek izdvojiti informacije specifične za protokole transportnog sloja, nemoguće je da IPsec prođe kroz NAT pristupnike. Kao što je ranije spomenuto, da bi riješio ovaj problem, IETF je definirao način enkapsulacije ESP-a u UDP, nazvan NAT-T (NAT Traversal).

Protokol NAT Traversal enkapsulira IPSec promet i istovremeno stvara UDP pakete koje NAT ispravno prosljeđuje. Da bi to učinio, NAT-T stavlja dodatno UDP zaglavlje prije IPSec paketa tako da se tretira kao redoviti UDP paket u cijeloj mreži i da primatelj host ne provodi nikakve provjere integriteta. Nakon što paket stigne na svoje odredište, UDP zaglavlje se uklanja i podatkovni paket nastavlja svojim putem kao enkapsulirani IPSec paket. Dakle, korištenjem NAT-T mehanizma, moguće je uspostaviti komunikaciju između IPSec klijenata u sigurnim mrežama i javnih IPSec hostova putem vatrozida.

Dvije su točke na koje treba obratiti pažnju prilikom konfiguriranja D-Link vatrozida na prijemnom uređaju:

u poljima Udaljena mreža i Udaljena krajnja točka navedite mrežu i IP adresu udaljenog uređaja za slanje. Potrebno je omogućiti prijevod IP adrese inicijatora (pošiljatelja) pomoću NAT tehnologije (slika 3.48).

Kada koristite dijeljene ključeve s više tunela povezanih na isti udaljeni vatrozid koji su NAT-ovi povezani na istu adresu, važno je osigurati da je Lokalni ID jedinstven za svaki tunel.

Lokalni iskaznica može biti jedan od:

Auto– IP adresa sučelja odlaznog prometa koristi se kao lokalni identifikator.

IP– IP adresa WAN porta udaljenog vatrozida

DNS– DNS adresa