VPN prijenos podataka. Broj istodobnih veza

Internet se sve više koristi kao sredstvo komunikacije između računala jer nudi učinkovitu i jeftinu komunikaciju. Međutim, internet je javna mreža i da bi se putem njega osigurala sigurna komunikacija potreban je određeni mehanizam koji zadovoljava barem sljedeće zadatke:

povjerljivost informacija;

integritet podataka;

dostupnost informacija;

Ove zahtjeve ispunjava mehanizam koji se naziva VPN (Virtual Private Network) - generalizirani naziv za tehnologije koje omogućuju pružanje jedne ili više mrežnih veza (logička mreža) preko druge mreže (na primjer, Interneta) korištenjem kriptografije (šifriranje, autentifikacija , infrastrukturni javni ključevi, sredstva za zaštitu od ponavljanja i promjena poruka koje se prenose preko logičke mreže).

Stvaranje VPN-a ne zahtijeva dodatna ulaganja i omogućuje vam da napustite korištenje iznajmljenih linija. Ovisno o korištenim protokolima i namjeni, VPN može pružiti tri vrste veza: host-host, host-net i net-net.

Radi jasnoće, zamislimo sljedeći primjer: poduzeće ima nekoliko geografski udaljenih podružnica i "mobilne" zaposlenike koji rade kod kuće ili na cesti. Potrebno je ujediniti sve zaposlenike poduzeća u jedinstvenu mrežu. Najlakši način je staviti modeme u svaku granu i organizirati komunikaciju prema potrebi. Takvo rješenje, međutim, nije uvijek prikladno i isplativo - ponekad vam je potrebna stalna veza i velika propusnost. Da biste to učinili, morat ćete ili postaviti namjensku liniju između grana ili ih iznajmiti. Obje su dosta skupe. I ovdje, kao alternativu pri izgradnji jedne sigurne mreže, možete koristiti VPN-veze svih podružnica tvrtke putem Interneta i konfigurirati VPN-alate na mrežnim hostovima.

Riža. 6.4. Site-to-site VPN veza

Riža. 6.5. Host-to-Network VPN

U ovom slučaju rješavaju se mnogi problemi - podružnice se mogu nalaziti bilo gdje u svijetu.

Opasnost ovdje leži u činjenici da je, prvo, otvorena mreža dostupna za napade napadača iz cijelog svijeta. Drugo, svi podaci se prenose putem Interneta u čistom obliku, a napadači će, nakon što su hakirali mrežu, sve informacije prenijeti preko mreže. I treće, podaci se ne mogu samo presresti, već i zamijeniti tijekom prijenosa preko mreže. Napadač bi, na primjer, mogao ugroziti integritet baza podataka djelujući u ime klijenata jedne od povjerljivih podružnica.

Kako bi se to spriječilo, VPN rješenja koriste alate kao što su enkripcija podataka kako bi se osigurao integritet i povjerljivost, autentifikacija i autorizacija za provjeru valjanosti korisničkih prava i omogućavanje pristupa VPN-u.

VPN veza se uvijek sastoji od veze točka-točka, također poznata kao tunel. Tunel se stvara na nezaštićenoj mreži, a to je najčešće internet.

Tuneliranje ili enkapsulacija način je prijenosa korisnih informacija preko posredne mreže. Takve informacije mogu biti okviri (ili paketi) drugog protokola. Kod enkapsulacije, okvir se ne prenosi u obliku u kojem ga je generirao host koji šalje, već ima dodatno zaglavlje koje sadrži informacije o ruti koje omogućuje inkapsuliranim paketima prolaz kroz posrednu mrežu (Internet). Na kraju tunela, okviri se dekapsuliraju i šalju primatelju. Tunel obično stvaraju dva rubna uređaja smještena na mjestima ulaska u javnu mrežu. Jedna od jasnih prednosti tuneliranja je da ova tehnologija omogućuje šifriranje cijelog originalnog paketa, uključujući zaglavlje, koje može sadržavati podatke koji sadrže informacije koje napadači koriste za hakiranje mreže (na primjer, IP adrese, broj podmreža itd.). ) ...

Iako je VPN tunel uspostavljen između dvije točke, svaki čvor može uspostaviti dodatne tunele s drugim čvorovima. Na primjer, kada tri udaljene stanice trebaju komunicirati s istim uredom, za taj će se ured stvoriti tri odvojena VPN tunela. Za sve tunele čvor na uredskoj strani može biti isti. To je moguće jer domaćin može šifrirati i dešifrirati podatke u ime cijele mreže, kao što je prikazano na slici:

Riža. 6.6. Napravite VPN tunele za više udaljenih lokacija

Korisnik uspostavlja vezu s VPN pristupnikom, nakon čega se korisniku odobrava pristup internoj mreži.

Sama enkripcija se ne odvija unutar privatne mreže. Razlog je taj što se ovaj dio mreže smatra sigurnim i pod izravnom kontrolom, za razliku od interneta. Isto vrijedi i kod povezivanja ureda pomoću VPN pristupnika. Dakle, šifriranje je zajamčeno samo za informacije koje se prenose nesigurnim kanalom između ureda.

Postoji mnogo različitih rješenja za izgradnju virtualnih privatnih mreža. Najpoznatiji i najčešće korišteni protokoli su:

PPTP (Point-to-Point Tunneling Protocol) - ovaj protokol je postao prilično popularan zbog svoje uključenosti u Microsoftove operativne sustave.

L2TP (Layer-2 Tunneling Protocol) - kombinira L2F (Layer 2 Forwarding) protokol i PPTP protokol. Obično se koristi zajedno s IPSec-om.

IPSec (Internet Protocol Security) je službeni internetski standard koji je razvila zajednica Internet Engineering Task Force (IETF).

Navedene protokole podržavaju D-Link uređaji.

PPTP je prvenstveno namijenjen za dial-up virtualne privatne mreže. Protokol omogućuje daljinski pristup, dopuštajući korisnicima da uspostave dial-up veze s ISP-ovima i kreiraju siguran tunel do svojih korporativnih mreža. Za razliku od IPSec-a, PPTP nije izvorno dizajniran za LAN-to-LAN tunele. PPTP proširuje mogućnosti PPP-a, protokola podatkovne veze koji je izvorno razvijen da inkapsulira podatke i isporučuje ih putem veze točka-točka.

PPTP vam omogućuje stvaranje sigurnih kanala za razmjenu podataka korištenjem različitih protokola - IP, IPX, NetBEUI itd. Podaci ovih protokola se pakiraju u PPP okvire, enkapsulirani pomoću PPTP-a u IP pakete. Zatim se prenose korištenjem IP-a u šifriranom obliku preko bilo koje TCP/IP mreže. Prijamni čvor izdvaja PPP okvire iz IP paketa i zatim ih obrađuje na standardni način, tj. izdvaja IP, IPX ili NetBEUI paket iz PPP okvira i šalje ga preko lokalne mreže. Dakle, PPTP stvara point-to-point vezu u mreži i prenosi podatke preko stvorenog sigurnog kanala. Glavna prednost inkapsuliranja protokola kao što je PPTP je to što su višeprotokolni. Oni. zaštita podataka na sloju podatkovne veze transparentna je za protokole mrežnih i aplikacijskih slojeva. Stoga unutar mreže možete koristiti i IP protokol (kao u slučaju VPN-a koji se temelji na IPSec) i bilo koji drugi protokol kao transport.

Danas, zbog svoje jednostavnosti implementacije, PPTP se naširoko koristi kako za dobivanje pouzdanog sigurnog pristupa korporativnoj mreži tako i za pristup mrežama ISP-ova kada klijent treba uspostaviti PPTP vezu s ISP-om za pristup internetu.

Metoda šifriranja koja se koristi u PPTP-u određena je na razini PPP-a. Obično je PPP klijent Microsoftova radna površina, a protokol šifriranja je Microsoftovo šifriranje od točke do točke (MPPE). Ovaj protokol temelji se na RSA RC4 standardu i podržava 40- ili 128-bitnu enkripciju. Za mnoge primjene ove razine enkripcije dovoljna je upotreba ovog algoritma, iako se smatra manje pouzdanim od brojnih drugih algoritama za enkripciju koje nudi IPSec, posebice 168-bitnog standarda trostrukog šifriranja podataka (3DES).

Kako se uspostavlja vezaPPTP?

PPTP enkapsulira IP pakete za prijenos preko IP mreže. PPTP klijenti stvaraju vezu s kontrolom tunela kako bi održali vezu živom. Ovaj proces se izvodi u transportnom sloju OSI modela. Nakon što je tunel stvoren, klijentsko računalo i poslužitelj počinju razmjenjivati ​​servisne pakete.

Osim PPTP kontrolne veze, stvara se i tunelska podatkovna veza. Enkapsuliranje podataka prije slanja u tunel uključuje dva koraka. Najprije se kreira informacijski dio PPP okvira. Podaci teku od vrha do dna, od sloja aplikacije OSI do sloja podatkovne veze. Primljeni podaci se zatim šalju prema OSI modelu i kapsuliraju protokolima gornjeg sloja.

Podaci iz sloja veze dolaze do transportnog sloja. Međutim, informacije se ne mogu poslati na svoje odredište, jer je za to odgovoran OSI sloj podatkovne veze. Stoga, PPTP šifrira polje korisnog opterećenja paketa i preuzima funkcije Layera 2 koje su normalno povezane s PPP-om, odnosno dodaje PPP zaglavlje i trailer PPTP paketu. Time se dovršava stvaranje okvira sloja veze. Zatim, PPTP enkapsulira PPP okvir u paket Generičke enkapsulacije usmjeravanja (GRE) koji pripada mrežnom sloju. GRE inkapsulira protokole mrežnog sloja kao što su IP, IPX kako bi se omogućio njihov prijenos preko IP mreža. Međutim, korištenje samo GRE protokola neće osigurati uspostavljanje sesije i sigurnost podataka. Koristi sposobnost PPTP-a za stvaranje veze za upravljanje tunelom. Korištenje GRE kao metode enkapsulacije ograničava PPTP polje djelovanja samo na IP mreže.

Nakon što je PPP okvir inkapsuliran u GRE okvir zaglavlja, on se inkapsulira u okvir IP zaglavlja. IP zaglavlje sadrži adrese pošiljatelja i primatelja paketa. Konačno, PPTP dodaje PPP zaglavlje i završetak.

Na riža. 6.7 prikazuje strukturu podataka za slanje preko PPTP tunela:

Riža. 6.7. Struktura podataka PPTP tunela

Organiziranje VPN-a na temelju PPTP-a ne zahtijeva velike troškove i složene postavke: dovoljno je instalirati PPTP poslužitelj u središnji ured (PPTP rješenja postoje i za Windows i za Linux platforme) i konfigurirati potrebne postavke na klijentskim računalima. Ako trebate kombinirati nekoliko grana, onda je umjesto konfiguriranja PPTP-a na svim klijentskim stanicama bolje koristiti internetski usmjerivač ili vatrozid s podrškom za PPTP: postavke se rade samo na graničnom usmjerivaču (vatrozidu) spojenom na Internet, sve je apsolutno transparentno za korisnike. Višenamjenski internetski usmjerivači serije DIR / DSR i vatrozidi serije DFL primjeri su takvih uređaja.

GRE-tuneli

Generička enkapsulacija usmjeravanja (GRE) je protokol enkapsulacije mrežnih paketa koji tunelira promet preko mreža bez enkripcije. Primjeri korištenja GRE-a:

prijenos prometa (uključujući emitiranje) putem opreme koja ne podržava određeni protokol;

tuneliranje IPv6 prometa preko IPv4 mreže;

prijenos podataka preko javnih mreža radi implementacije sigurne VPN veze.

Riža. 6.8. Primjer GRE tunela

Između dva usmjerivača A i B ( riža. 6.8) postoji više usmjerivača, GRE tunel omogućuje povezivanje između lokalnih mreža 192.168.1.0/24 i 192.168.3.0/24 kao da su usmjerivači A i B izravno povezani.

L2 TP

L2TP je rezultat kombinacije PPTP i L2F. Glavna prednost L2TP-a je da vam omogućuje stvaranje tunela ne samo u IP mrežama, već iu ATM, X.25 i Frame relay mrežama. L2TP koristi UDP kao svoj prijenos i koristi isti format poruke za upravljanje tunelom i prijenos podataka.

Kao i kod PPTP-a, L2TP počinje sastavljati paket za prijenos u tunel tako što prvo dodaje PPP zaglavlje, a zatim L2TP zaglavlje u podatkovno polje PPP podataka. Rezultirajući paket je UDP enkapsuliran. Ovisno o odabranoj vrsti sigurnosne politike IPSec, L2TP može šifrirati UDP poruke i dodati zaglavlje i završetak Encapsulating Security Payload (ESP), kao i završetak IPSec autentifikacije (pogledajte "L2TP preko IPSec"). Zatim se inkapsulira u IP. Dodaje se IP zaglavlje koje sadrži adrese pošiljatelja i primatelja. Konačno, L2TP izvodi drugu PPP enkapsulaciju kako bi pripremio podatke za prijenos. Na riža. 6.9 prikazuje strukturu podataka za prosljeđivanje preko L2TP tunela.

Riža. 6.9. Struktura podataka za prosljeđivanje preko L2TP tunela

Računalo primatelj prima podatke, obrađuje PPP zaglavlje i završetak i uklanja IP zaglavlje. IPSec Authentication provjerava autentičnost IP informacijskog polja, a IPSec ESP zaglavlje pomaže dešifrirati paket.

Računalo zatim obrađuje UDP zaglavlje i koristi L2TP zaglavlje za identifikaciju tunela. PPP paket sada sadrži samo korisni teret koji se obrađuje ili prosljeđuje navedenom primatelju.

IPsec (skraćeno od IP Security) je skup protokola za osiguranje podataka koji se prenose putem internetskog protokola (IP), omogućujući provjeru autentičnosti i/ili enkripciju IP paketa. IPsec također uključuje protokole za sigurnu razmjenu ključeva putem Interneta.

IPSec sigurnost se postiže dodatnim protokolima koji IP paketu dodaju vlastita zaglavlja – enkapsulacije. Jer IPSec je internetski standard, a za njega postoje RFC dokumenti:

RFC 2401 (Sigurnosna arhitektura za internetski protokol) - Sigurnosna arhitektura za internetski protokol.

RFC 2402 (IP Authentication header) - IP autentifikacijsko zaglavlje.

RFC 2404 (Upotreba HMAC-SHA-1-96 unutar ESP-a i AH-a) - Korištenje algoritma za raspršivanje SHA-1 za stvaranje zaglavlja provjere autentičnosti.

RFC 2405 (ESP DES-CBC algoritam šifriranja s eksplicitnim IV) - korištenje algoritma za šifriranje DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) - šifriranje podataka.

RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) je opseg protokola za upravljanje ključevima.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Upravljanje ključevima i autentifikatorima za sigurne veze.

RFC 2409 (Internetska razmjena ključeva (IKE)) - Razmjena ključeva.

RFC 2410 (The NULL Encryption Algoritam and Its Use With IPsec) - null enkripcijski algoritam i njegova upotreba.

RFC 2411 (IP Security Document Roadmap) je daljnji razvoj standarda.

RFC 2412 (Protokol za određivanje ključa OAKLEY) - Provjera autentičnosti ključa.

IPsec je sastavni dio IPv6 internetskog protokola i dodatno je proširenje za IPv4 verziju internetskog protokola.

Mehanizam IPSec rješava sljedeće zadatke:

autentifikaciju korisnika ili računala prilikom inicijalizacije sigurnog kanala;

enkripcija i provjera autentičnosti podataka koji se prenose između krajnjih točaka sigurnog kanala;

Automatski dodijelite krajnje točke kanala tajnim ključevima potrebnim za autentifikaciju i protokole za šifriranje podataka.

IPSec komponente

AH (Authentication Header) protokol je protokol zaglavlja provjere autentičnosti. Osigurava integritet provjeravanjem da nijedan bit u zaštićenom dijelu paketa nije promijenjen tijekom prijenosa. Ali korištenje AH-a može uzrokovati probleme, na primjer, kada paket prolazi kroz NAT uređaj. NAT mijenja IP adresu paketa kako bi omogućio pristup internetu s privatne lokalne adrese. Jer U tom slučaju, paket će se promijeniti, tada će AH kontrolni zbroj postati netočan (da bi se eliminirao ovaj problem, razvijen je NAT-Traversal (NAT-T) protokol koji pruža ESP prijenos preko UDP-a i koristi UDP port 4500 u svom radu ). Također je vrijedno napomenuti da je AH dizajniran samo za integritet. Ne jamči povjerljivost šifriranjem sadržaja paketa.

Protokol ESP (Encapsulation Security Payload) osigurava ne samo integritet i autentifikaciju prenesenih podataka, već i enkripciju podataka, kao i zaštitu od lažnog ponavljanja paketa.

ESP je inkapsulirajući sigurnosni protokol koji pruža i integritet i povjerljivost. U transportnom načinu, ESP zaglavlje je između izvornog IP zaglavlja i TCP ili UDP zaglavlja. U tunelskom načinu rada, ESP zaglavlje se postavlja između novog IP zaglavlja i potpuno šifriranog izvornog IP paketa.

Jer i AH i ESP dodaju vlastita IP zaglavlja, svako sa svojim vlastitim brojem protokola (ID), koji se može koristiti za određivanje onoga što slijedi nakon IP zaglavlja. Svaki protokol, prema IANA-i (Internet Assigned Numbers Authority – organizacija odgovorna za adresni prostor Interneta), ima svoj vlastiti broj (ID). Na primjer, za TCP ovaj broj je 6, a za UDP - 17. Stoga je vrlo važno kada radite kroz vatrozid konfigurirati filtre na takav način da dopuštaju pakete s ID-ovima AH i/ili ESP protokola.

ID protokola 51 je postavljen da označava AH u IP zaglavlju, a 50 za ESP.

PAŽNJA: ID protokola nije isti kao broj porta.

Internet Key Exchange (IKE) je standardni IPsec protokol koji se koristi za sigurnu komunikaciju u virtualnim privatnim mrežama. Svrha IKE-a je sigurno pregovaranje i isporuka identificiranog materijala za Sigurnosno udruženje (SA).

SA je IPSec izraz za vezu. Uspostavljeni SA (sigurni kanal nazvan "sigurno udruženje" ili "sigurnosno udruženje" - SA) uključuje zajednički tajni ključ i skup kriptografskih algoritama.

IKE ima tri glavne svrhe:

Pruža sredstva provjere autentičnosti između dvije VPN krajnje točke;

uspostavlja nove IPSec veze (stvara SA par);

upravlja postojećim vezama.

IKE koristi UDP port 500. Kada koristi NAT Traversal, kao što je ranije spomenuto, IKE koristi UDP port 4500.

Razmjena podataka u IKE-u odvija se u 2 faze. U prvoj fazi uspostavlja se IKE SA. U tom se slučaju autentificiraju krajnje točke kanala i odabiru se parametri zaštite podataka, kao što su algoritam šifriranja, ključ sesije itd.

U drugoj fazi SA, IKE se koristi za dogovaranje protokola (obično IPSec).

Kada je konfiguriran VPN tunel, kreira se jedan SA par za svaki korišteni protokol. SA se stvaraju u parovima jer svaki SA je jednosmjerna veza, a podaci se moraju slati u dva smjera. Rezultirajući SA parovi su pohranjeni na svakom čvoru.

Budući da svaki čvor može uspostaviti više tunela s drugim čvorovima, svaki SA ima jedinstveni broj za određivanje kojem čvoru pripada. Taj se broj naziva SPI (Indeks sigurnosnih parametara) ili indeks sigurnosnih parametara.

SA pohranjen u bazi podataka (DB) TUŽNO(Baza podataka sigurnosnog udruženja).

Svaki IPSec čvor također ima drugi DB - SPD(Security Policy Database) - baza podataka sigurnosnih politika. Sadrži konfiguriranu politiku web-mjesta. Većina VPN rješenja dopušta stvaranje više politika s kombinacijama prikladnih algoritama za svaki čvor na koji se želite povezati.

Fleksibilnost IPSec-a leži u činjenici da za svaki zadatak postoji nekoliko načina rješavanja, a metode odabrane za jedan zadatak obično ne ovise o metodama implementacije drugih zadataka. Istodobno, radna skupina IETF-a definirala je osnovni skup podržanih funkcija i algoritama koji bi trebali biti dosljedno implementirani u sve proizvode koji podržavaju IPSec. Mehanizmi AH i ESP mogu se koristiti s raznim shemama provjere autentičnosti i enkripcije, od kojih su neke potrebne. Na primjer, IPSec navodi da se paketi provjeravaju pomoću jednosmjernog MD5 ili jednosmjernog SHA-1, a šifriranje se vrši pomoću DES-a. Proizvođači proizvoda koji koriste IPSec mogu dodati druge algoritme za autentifikaciju i šifriranje. Na primjer, neki proizvodi podržavaju algoritme za šifriranje kao što su 3DES, Blowfish, Cast, RC5, itd.

Bilo koji algoritam simetričnog šifriranja koji koristi tajne ključeve može se koristiti za šifriranje podataka u IPSec-u.

Protokoli za zaštitu toka (AH i ESP) mogu raditi u dva načina - in način transporta i u način rada tunela... Kada radi u transportnom načinu, IPsec radi samo s informacijama transportnog sloja, tj. šifrirano je samo podatkovno polje paketa koji sadrži TCP/UDP protokole (zaglavlje IP paketa se ne mijenja (nije šifrirano)). Prijenosni način se obično koristi za uspostavljanje veze između hostova.

Način rada tunela šifrira cijeli IP paket, uključujući zaglavlje mrežnog sloja. Da bi se mogao prenositi preko mreže, stavlja se u drugi IP paket. To je u biti siguran IP tunel. Tunelski način rada može se koristiti za povezivanje udaljenih računala s virtualnom privatnom mrežom (shema povezivanja "host-mreža") ili za organiziranje sigurnog prijenosa podataka kroz otvorene komunikacijske kanale (na primjer, internet) između pristupnika radi kombiniranja različitih dijelova virtualne privatne mreže mreža ("mreža -mreža").

IPsec načini se međusobno ne isključuju. Na istom čvoru neki SA mogu koristiti način transporta dok drugi koriste tunelski način.

Tijekom faze provjere autentičnosti izračunava se ICV kontrolni zbroj (vrijednost provjere integriteta) paketa. Ovo pretpostavlja da oba čvora znaju tajni ključ, što primatelju omogućuje izračunavanje ICV-a i usporedbu s rezultatom koji je poslao pošiljatelj. Ako je ICV usporedba uspješna, smatra se da je pošiljatelj paketa autentificiran.

U načinu rada prijevozAH

cijeli IP paket, s izuzetkom nekih polja u IP zaglavlju koja se mogu mijenjati tijekom prijenosa. Ova polja, koja su 0 za ICV izračun, mogu biti Vrsta usluge (TOS), zastavice, pomak dijela, vrijeme života (TTL) i zaglavlje kontrolnog zbroja;

sva polja u AH;

nosivost IP paketa.

AH u transportnom načinu štiti IP zaglavlje (osim polja koja je dopušteno mijenjati) i korisni teret u izvornom IP paketu (slika 3.39).

U tunelskom načinu rada, originalni paket se stavlja u novi IP paket, a prijenos podataka se izvodi na temelju zaglavlja novog IP paketa.

Za tunelski način radaAH Prilikom izračuna, ICV kontrolni zbroj uključuje sljedeće komponente:

sva polja u vanjskom IP zaglavlju, s izuzetkom nekih polja u IP zaglavlju, koja se mogu mijenjati tijekom prijenosa. Ova polja, koja su 0 za ICV izračun, mogu biti Vrsta usluge (TOS), zastavice, pomak dijela, vrijeme života (TTL) i zaglavlje kontrolnog zbroja;

sva AH polja;

originalni IP paket.

Kao što možete vidjeti na sljedećoj ilustraciji, način rada AH tuneliranja štiti cijeli originalni IP paket dodatnim vanjskim zaglavljem koje se ne koristi u AH načinu transporta:

Riža. 6.10. Tunelski i transportni načini AN protokola

U načinu rada prijevozESP ne provjerava autentičnost cijelog paketa, već samo štiti IP korisni teret. ESP zaglavlje u ESP transportnom načinu dodaje se IP paketu odmah nakon IP zaglavlja, a završetak ESP (ESP Trailer) dodaje se nakon podataka.

ESP način prijenosa šifrira sljedeće dijelove paketa:

IP nosivost;

Algoritam šifriranja koji koristi Cipher Block Chaining (CBC) način ima nešifrirano polje između ESP zaglavlja i korisnog opterećenja. Ovo polje se naziva inicijalizacijski vektor (IV) za CBC izračun koji se izvodi na prijemniku. Budući da se ovo polje koristi za pokretanje procesa dešifriranja, ne može se šifrirati. Unatoč činjenici da napadač ima mogućnost pregleda IV, neće moći dešifrirati šifrirani dio paketa bez ključa za šifriranje. Kako bi spriječili uljeze da promijene vektor inicijalizacije, on je zaštićen ICV kontrolnim zbrojem. U tom slučaju ICV izvodi sljedeće izračune:

sva polja u ESP zaglavlju;

nosivost uključujući običan tekst IV;

sva polja u ESP Traileru osim polja podataka za provjeru autentičnosti.

ESP tunelski način inkapsulira cijeli originalni IP paket u novom IP zaglavlju, ESP zaglavlju i ESP traileru. Kako bi se naznačilo da je ESP prisutan u IP zaglavlju, identifikator IP protokola je postavljen na 50, ostavljajući izvorno IP zaglavlje i teret nepromijenjenim. Kao i kod načina rada AH tunela, vanjsko IP zaglavlje temelji se na konfiguraciji IPSec tunela. U slučaju korištenja ESP tunelskog načina, područje provjere autentičnosti IP paketa pokazuje gdje je potpis potpisan, potvrđujući njegov integritet i autentičnost, a šifrirani dio označava da su informacije sigurne i povjerljive. Izvorno zaglavlje postavlja se nakon ESP zaglavlja. Nakon što je šifrirani dio enkapsuliran u novo zaglavlje tunela koje nije šifrirano, IP paket se prenosi. Kada se pošalje preko javne mreže, takav se paket usmjerava na IP adresu pristupnika mreže primatelja, a pristupnik dešifrira paket i odbacuje ESP zaglavlje koristeći izvorno IP zaglavlje kako bi usmjerio paket na računalo na internom mreža. ESP tunelski način šifrira sljedeće dijelove paketa:

originalni IP paket;

• Za ESP tunelski način rada, ICV se izračunava na sljedeći način:

  sva polja u ESP zaglavlju;

  originalni IP paket uključujući običan tekst IV;

  sva polja ESP zaglavlja osim polja podataka za provjeru autentičnosti.

Riža. 6.11. ESP tunel i način transporta

Riža. 6.12. Usporedba ESP i AH protokola

Način rada Sažetak aplikacijeIPSec:

Protokol - ESP (AH).

Način rada - tunel (transport).

Metoda zamjene ključeva - IKE (ručno).

IKE način rada - glavni (agresivan).

DH ključ - grupa 5 (grupa 2, grupa 1) - broj grupe za odabir dinamički generiranih ključeva sesije, duljina grupe.

Autentifikacija - SHA1 (SHA, MD5).

Šifriranje - DES (3DES, Blowfish, AES).

Prilikom izrade politike obično je moguće izraditi uređeni popis algoritama i Diffie-Hellmanovih grupa. Diffie-Hellman (DH) je protokol za šifriranje koji se koristi za uspostavljanje zajedničkih tajnih ključeva za IKE, IPSec i PFS (Perfect Forward Secrecy). U ovom slučaju koristit će se prva pozicija koja se podudara na oba čvora. Vrlo je važno da sve u sigurnosnoj politici omogući to preklapanje. Ako se, osim u jednom dijelu pravila, sve ostalo podudara, vršnjaci i dalje neće moći uspostaviti VPN vezu. Kada postavljate VPN tunel između različitih sustava, morate saznati koje algoritme podržava svaka strana kako biste mogli odabrati najsigurniju moguću politiku.

Glavne postavke koje sigurnosna politika uključuje:

Simetrični algoritmi za šifriranje / dešifriranje podataka.

Kriptografski kontrolni zbroji za provjeru integriteta podataka.

Metoda identifikacije domaćina. Najčešće metode su unaprijed dijeljene tajne ili CA certifikati.

Treba li koristiti tunelski ili transportni način.

Koju Diffie-Hellman grupu koristiti (DH grupa 1 (768-bitna); DH grupa 2 (1024-bitna); DH grupa 5 (1536-bitna)).

Treba li koristiti AH, ESP ili oboje.

Treba li koristiti PFS.

Ograničenje IPSec-a je da podržava samo prijenos podataka na sloju IP protokola.

Postoje dvije glavne sheme za korištenje IPSec-a, koje se razlikuju po ulozi čvorova koji čine sigurni kanal.

U prvoj shemi, između krajnjih domaćina mreže formira se siguran kanal. U ovoj shemi, IPSec štiti host koji radi:

Riža. 6.13. Stvorite siguran kanal između dvije krajnje točke

U drugoj shemi, uspostavljen je siguran kanal između dva sigurnosna pristupnika. Ovi pristupnici primaju podatke od krajnjih hostova spojenih na mreže iza pristupnika. U ovom slučaju krajnji domaćini ne podržavaju IPSec protokol, promet usmjeren na javnu mrežu prolazi kroz Security Gateway, koji štiti u svoje ime.

Riža. 6.14. Stvaranje sigurnog kanala između dva pristupnika

Za hostove koji podržavaju IPSec, mogu se koristiti i transportni i tunelski načini. Za pristupnike je dopušten samo tunelski način rada.

Instalacija i podrškaVPN

Kao što je gore spomenuto, postavljanje i održavanje VPN tunela proces je u dva koraka. U prvoj fazi (fazi), dva čvora se dogovaraju o metodi identifikacije, algoritmu šifriranja, hash algoritmu i Diffie-Hellman grupi. Također se međusobno identificiraju. Sve se to može dogoditi kao rezultat razmjene tri nekriptirane poruke (tzv. agresivni način rada, Agresivan način rada) ili šest poruka, uz razmjenu šifriranih identifikacijskih informacija (standardni način, Glavni način rada).

U glavnom načinu rada moguće je dogovoriti sve konfiguracijske parametre uređaja pošiljatelja i primatelja, dok u agresivnom načinu rada to nije moguće, a neki parametri (Diffie-Hellman grupa, algoritmi enkripcije i provjere autentičnosti, PFS) moraju biti unaprijed konfigurirani u na isti način na svakom uređaju. Međutim, u ovom načinu rada manji su i broj razmjena i broj paketa koji se šalju u isto vrijeme, zbog čega je potrebno manje vremena za uspostavljanje IPSec sesije.

Riža. 6.15. Slanje poruka u standardnom (a) i agresivnom (b) načinu rada

Pod pretpostavkom da je operacija uspješno završena, kreira se prva faza SA - Faza 1 SA(također se zove IKESA) i proces prelazi u drugu fazu.

U drugom koraku generiraju se ključni podaci, čvorovi se slažu o politici koja će se koristiti. Ovaj način rada, koji se naziva i brzi način rada, razlikuje se od prve faze po tome što se može uspostaviti tek nakon prve faze, kada su svi paketi u drugoj fazi šifrirani. Ispravan završetak druge faze dovodi do pojave Faza 2 SA ili IPSecSA i time je završena instalacija tunela.

Prvo, paket stiže na čvor s odredišnom adresom u drugoj mreži, a čvor započinje prvu fazu s čvorom koji je odgovoran za drugu mrežu. Recimo da je tunel između čvorova uspješno uspostavljen i čeka na pakete. Međutim, čvorovi se moraju ponovno identificirati jedni druge i uspoređivati ​​politike tijekom određenog vremenskog razdoblja. Ovo razdoblje naziva se životni vijek prve faze ili životni vijek IKE SA.

Čvorovi također moraju promijeniti svoj ključ za šifriranje tijekom vremenskog razdoblja koje se naziva životni vijek druge faze ili životni vijek IPSec SA.

Životni vijek druge faze je kraći od života prve faze, jer ključ se mora češće mijenjati. Morate postaviti iste parametre životnog vijeka za oba čvora. Ako to ne učinite, moguće je da će se tunel u početku uspješno uspostaviti, ali nakon isteka prvog nedosljednog razdoblja života, veza će biti prekinuta. Problemi mogu nastati i kada je životni vijek prve faze kraći od životnog vijeka druge faze. Ako prethodno konfigurirani tunel prestane raditi, prvo što treba provjeriti je životni vijek na oba čvora.

Također treba napomenuti da kada promijenite politiku na jednom od čvorova, promjene će stupiti na snagu tek pri sljedećem početku prve faze. Da bi promjene odmah stupile na snagu, SA za ovaj tunel se mora ukloniti iz baze podataka SAD-a. To će prisiliti ponovno pregovaranje o sporazumu između čvorova s ​​novim postavkama sigurnosne politike.

Ponekad, prilikom postavljanja IPSec tunela između opreme različitih proizvođača, postoje poteškoće povezane s pregovaranjem o parametrima prilikom uspostavljanja prve faze. Trebali biste obratiti pažnju na takav parametar kao što je Lokalni ID - ovo je jedinstveni identifikator krajnje točke tunela (pošiljatelj i primatelj). Ovo je posebno važno kada se kreira više tunela i koristi NAT Traversal protokol.

MrtavVršnjakOtkrivanje

Tijekom VPN rada, u nedostatku prometa između krajnjih točaka tunela, ili kada se mijenjaju izvorni podaci udaljenog čvora (na primjer, promjena dinamički dodijeljene IP adrese), može se pojaviti situacija kada tunel u biti više nije takav , postaje poput tunela duhova ... Kako bi se održala stalna spremnost za razmjenu podataka u kreiranom IPSec tunelu, IKE mehanizam (opisan u RFC 3706) omogućuje vam kontrolu prisutnosti prometa s udaljenog čvora tunela, a ako je odsutan određeno vrijeme, pozdrav poruka se šalje (u vatrozidima D-Link šalje poruku "DPD-RU-THERE"). Ako određeno vrijeme nema odgovora na ovu poruku, u D-Link vatrozidima navedenim u postavkama "DPD Expire Time", tunel se demontira. D-Link vatrozidi koji zatim koriste "DPD Keep Time" ( riža. 6.18) automatski pokušajte vratiti tunel.

ProtokolNATTraversal

IPsec promet može se usmjeravati prema istim pravilima kao i drugi IP protokoli, ali budući da usmjerivač ne može uvijek dohvatiti informacije specifične za protokole transportnog sloja, IPsec ne može proći kroz NAT pristupnike. Kao što je ranije spomenuto, kako bi riješio ovaj problem, IETF je definirao način enkapsulacije ESP-a u UDP pod nazivom NAT-T (NAT Traversal).

NAT Traversal enkapsulira IPSec promet i istovremeno stvara UDP pakete koje NAT ispravno prosljeđuje. Da bi to učinio, NAT-T stavlja dodatno UDP zaglavlje ispred IPSec paketa tako da se tretira kao običan UDP paket u cijeloj mreži i da domaćin primatelja ne provodi nikakve provjere integriteta. Nakon što paket stigne na svoje odredište, UDP zaglavlje se uklanja i podatkovni paket nastavlja svojim putem kao enkapsulirani IPSec paket. Dakle, korištenjem NAT-T mehanizma, moguće je uspostaviti komunikaciju između IPSec klijenata na sigurnim mrežama i javnih IPSec hostova putem vatrozida.

Prilikom konfiguriranja D-Link vatrozida u uređaju primatelju, treba imati na umu dvije stavke:

u poljima Udaljena mreža i Udaljena krajnja točka navedite mrežu i IP adresu udaljenog uređaja za slanje. Potrebno je omogućiti prijevod IP adrese inicijatora (pošiljatelja) pomoću NAT tehnologije (slika 3.48).

Kada koristite dijeljene ključeve s više tunela povezanih na isti udaljeni vatrozid koji su NAT-ovi na istoj adresi, važno je osigurati da je Lokalni ID jedinstven za svaki tunel.

Lokalni iskaznica može biti jedno od:

Auto- IP adresa sučelja odlaznog prometa koristi se kao lokalni identifikator.

IP- IP adresa WAN porta udaljenog vatrozida

DNS- DNS adresa

Država je prije toga imala prilično osrednje razumijevanje za internet, pa nije pravno smetala korisnicima. Danas, hodajući svjetskim internetom, sve češće možete naići na izraz: "Ova stranica je uvrštena u registar zabranjenih" ili "Vaš je davatelj blokirao pristup".

Dakle, ako želite vratiti potpunu slobodu djelovanja na internetu i steći drugu razinu zaštite, onda se svakako trebate upoznati s tehnologijom virtualnih privatnih mreža - VPN.

VPN: pojam i princip rada

Virtualna privatna mreža (VPN) naziv je tehnologije koja omogućuje stvaranje i preklapanje jedne ili više mreža na bilo koju drugu korisničku mrežu.

Sada, kako točno VPN funkcionira. Vaše računalo ima određenu IP adresu koja blokira pristup određenim stranicama. VPN tehnologiju omogućujete putem programa ili proširenja. VPN mijenja vašu adresu u adresu s poslužitelja u drugoj zemlji (na primjer, Nizozemska ili Njemačka).

Zatim se stvara sigurna veza, koju davatelj ne može blokirati. Kao rezultat, dobivate siguran protokol po kojem možete slobodno posjećivati ​​bilo koju internetsku stranicu, i to potpuno anonimno.

Struktura i varijeteti tehnologije

Cijela tehnologija radi u dva sloja. Prva je unutarnja mreža, druga je vanjska. Kada se spojite na tehnologiju, sustav identificira vašu mrežu, a nakon toga će poslati zahtjev za provjeru autentičnosti. Ova tehnologija je vrlo slična autorizaciji na nekoj društvenoj mreži, samo što se ovdje sve provodi putem sigurnih protokola i bez sudjelovanja davatelja.

Same virtualne mreže također su podijeljene u nekoliko kategorija. Glavna klasifikacija je prema stupnju zaštite, odnosno korisnik može koristiti i plaćene VPN-ove i besplatne.

Razlika između njih dvoje je sigurna veza. Na primjer, sustavi pretplate će vam dati sigurne protokole kao što su PPTP, IPSec i drugi. Dok besplatni VPN-ovi često pružaju samo "pouzdane" kanale. Odnosno, vaša mreža sama po sebi treba biti vrlo sigurna, a VPN će samo povećati razinu zaštite.

Iskreno govoreći, najveći nedostatak besplatnih VPN usluga nije čak ni sigurnost, već stabilnost i brzina veze. Putem besplatnog VPN-a internet će najvjerojatnije raditi vrlo sporo, a ne uvijek stabilno.

Pretplata na plaćeni VPN ne prelazi 10 dolara mjesečno, ali nije potrebna svakom korisniku. Za obične zadatke nema smisla kupovati Premium račune, standardne značajke su sasvim dovoljne.

Razlozi za korištenje VPN-a

Svaki korisnik mora koristiti VPN tehnologiju, a evo zašto:

• Zaštita podataka. Posebno pogodno za one korisnike koji se vole spojiti na "besplatnu" susjedovu Wi-Fi vezu, a zatim otkriju da su im podaci s kartice ukradeni. Takve situacije uključuju okupljanja u kafićima i općenito u svim točkama s besplatnim Wi-Fi-jem.
• Potpuna anonimnost. Kada otvorite novu karticu na stranici, ova će se radnja prikazati na poslužitelju davatelja usluga, tako da svaki zaposlenik tvrtke može pratiti vaše putovanje na internetu. Uključivanjem VPN-a sakriti ćete svoju povijest pregledavanja ili posjeta jer koristite drugu IP adresu.
• Mogućnost surfanja Internetom bez prepreka. Kladionice, online kockarnice, torrenti, forumi, stranice za odrasle – ponovno vam je dostupno svo "podzemlje" interneta, sve je kao u stara vremena.
• Korištenje stranih resursa. Naravno, malo je vjerojatno da ćete koristiti usluge na engleskom jeziku, poput hulu.com, ali svejedno - omogućen vam je pun pristup svim popularnim stranicama diljem svijeta.

Kako mogu koristiti VPN na svom računalu?

Razmislite o situaciji kada koristimo obični preglednik i želimo posjetiti blokirane stranice. U ovoj situaciji možete ići na dva načina:

1. instalirati VPN klijent (program) na PC;
2. dodajte proširenje preglednika putem web-trgovine.

Što je prva, što je druga opcija - lako ih je implementirati, ali za potpunu sliku razmotrit ćemo oboje.

Također možete koristiti besplatno,.

Da biste instalirali VPN klijent, morate preuzeti program na Internetu, na primjer, "Betternet". Pokrenite datoteku za postavljanje i instalirajte klijenta. Pokrećemo ga, kliknemo: "Poveži" i to je to. Problem je u tome što nam program automatski daje slučajnu IP adresu i ne možemo odabrati državu, ali pritiskom na samo jedan gumb već koristimo VPN. I još jedan nedostatak je potreba za stalnim pokretanjem programa, međutim, neki klijenti imaju mogućnost pokretati ga istovremeno s OS-om.

Drugi način je dodavanje ekstenzije. Nedostatak je ovdje što je, češće nego ne, potrebna registracija za korištenje, plus, ekstenzije imaju svojstva da "izlijeću". Ali proširenje je puno lakše za korištenje - kliknete na ikonu u pregledniku, odaberete zemlju i profit. Trenutno postoje tisuće takvih programa, možete odabrati bilo koji od njih, na primjer, "Hotspot Shield". Dodajte proširenje pregledniku, prođite kroz registraciju i više neće biti tehničkih problema.

Na primjer, ovako radi ZenMate VPN proširenje u pregledniku:



O VPN proširenjima za različite preglednike pisali smo u članku:.

Kako mogu koristiti VPN na mobilnim uređajima?

Razmotrit ćemo one uređaje koji imaju popularne operativne sustave, na primjer, iOS ili Android.

Korištenje VPN-a na pametnim telefonima ili tabletima također je prilično jednostavno, naime putem mobilnih aplikacija. Problem je što neki programi zahtijevaju root prava, a to su dodatne nevolje, plus mogućnost pretvaranja telefona u "ciglu". Stoga potražite programe koji ne zahtijevaju da budete root. Na Androidu je, primjerice, OpenVPN, a na iOS-u Cloak. Također na iPhone i iPad možete koristiti besplatno i testirano. I sama ga ponekad koristim, radi odlično.



Tehnologija preuzimanja je vrlo jednostavna: preuzmite aplikaciju s Play Marketa ili AppStorea, instalirajte je na svoj uređaj. Zatim aktiviramo VPN, odaberemo profil (odakle dobivamo IP adresu), zatim se uspostavi veza i to je to. Sada surfate internetom putem VPN-a, a aplikacija koju koristite će vam reći o tome.

Sada razumijete kako je implementirana VPN tehnologija, a sada će vaša online prisutnost postati sigurnija, anonimnija, i što je najvažnije, dostupna i neograničena.

U ovom ćemo članku odgovoriti na najčešća pitanja o tome što je VPN poslužitelj, reći vam može li VPN poboljšati vašu sigurnost, trebate li koristiti Double VPN i kako provjeriti vodi li VPN usluga zapisnike, kao i što postoje moderne tehnologije za zaštitu osobnih podataka.

VPN je virtualna privatna mreža koja osigurava enkripciju između klijenta i VPN poslužitelja.




Glavna svrha VPN-a je šifriranje prometa i promjena IP adresa.

Hajde da shvatimo zašto i kada je to potrebno.

Čemu služi VPN?

Svi internetski davatelji bilježe aktivnosti svojih klijenata na Internetu. Odnosno, ISP zna koje ste stranice posjetili. To je potrebno kako bi se u slučaju zahtjeva policije dali svi podaci o počinitelju, kao i kako bi se oslobodio svake pravne odgovornosti za radnje korisnika.

Mnogo je situacija kada korisnik treba zaštititi svoje osobne podatke na internetu i dobiti slobodu komunikacije.

Primjer 1. Poduzeće postoji i potrebno je prenijeti povjerljive podatke preko interneta kako ih nitko ne bi mogao presresti. Većina tvrtki koristi VPN tehnologiju za prijenos informacija između podružnica.

Primjer 2. Mnoge usluge na Internetu rade na principu georeferenciranja i uskraćuju pristup korisnicima iz drugih zemalja.

Na primjer, usluga Yandex Music radi samo za IP adrese iz Rusije i zemalja bivšeg ZND-a. Sukladno tome, cijelo stanovništvo koje govori ruski jezik koje živi u drugim zemljama nema pristup ovoj usluzi.

Primjer 3. Blokiranje određenih stranica u uredu iu zemlji. Često je u uredima blokiran pristup društvenim mrežama kako zaposlenici ne bi gubili vrijeme na komunikaciju.

Na primjer, mnoge Googleove usluge blokirane su u Kini. Ako stanovnik Kine radi s tvrtkom iz Europe, onda postoji potreba za korištenjem usluga kao što je Google Disk.

Primjer 4. Sakrij posjećene stranice od internetskog davatelja usluga. Postoje slučajevi kada trebate sakriti popis posjećenih stranica od internetskog davatelja. Sav promet bit će šifriran.




Šifriranjem vašeg prometa vaš ISP neće znati koje ste stranice posjetili na Internetu. U tom će slučaju vaša IP adresa na Internetu pripadati zemlji VPN poslužitelja.

Kada se povežete na VPN, stvara se sigurni kanal između vašeg računala i VPN poslužitelja. Svi podaci na ovom kanalu su šifrirani.






Uz VPN dobivate slobodu komunikacije i zaštite svojih osobnih podataka.

U zapisnicima internetskog davatelja bit će skup različitih znakova. Slika ispod prikazuje analizu podataka dobivenih posebnim programom.

U HTTP zaglavlju možete odmah vidjeti na koju stranicu se povezujete. Te podatke bilježe davatelji internetskih usluga.






Sljedeća slika prikazuje HTTP zaglavlje kada koristite VPN. Podaci su šifrirani i nemoguće je saznati koje ste stranice posjetili.



Kako se povezati s VPN-om

Postoji nekoliko načina za povezivanje s VPN mrežom.

• PPTP je naslijeđeni protokol. Većina modernih operativnih sustava uklonila ga je s popisa podržanih. Nedostaci PPTP-a su loša stabilnost veze. Veza može biti prekinuta i nezaštićeni podaci mogu otići na Internet.
• L2TP (IPSec) veza je pouzdanija. Također je ugrađen u većinu operativnih sustava (Windows, Mac OS, Linux, iOS, Android, Windows Phone i drugi). Razlikuje se u boljoj pouzdanosti za razliku od PPTP veza.
• SSTP povezivost razvijena je relativno nedavno. Podržan je samo u sustavu Windows, pa se ne koristi široko.
• IKEv2 je moderan IPSec protokol. Ovaj protokol zamijenio je PPTP protokol i podržavaju ga svi popularni operativni sustavi.
• OpenVPN veza se smatra najpouzdanijim. Ova se tehnologija može fleksibilno konfigurirati i kada veza padne, OpenVPN blokira slanje nezaštićenih podataka na Internet.

Postoje 2 protokola za prijenos podataka za OpenVPN tehnologiju:

• UDP protokol - brz (preporučuje se za VoiP telefoniju, Skype, online igre)
• TCP protokol - karakterizira pouzdanost prenesenih podataka (zahtijeva potvrdu o primitku paketa). Nešto sporije od UDP-a.

Kako postaviti VPN

Postavljanje VPN veze traje nekoliko minuta i razlikuje se u načinu VPN povezivanja.

Na našoj usluzi koristimo PPTP i OpenVPN veze.

Sigurnost rada s VPN programom

Uvijek ćemo govoriti o integriranom pristupu sigurnosti. Sigurnost korisnika ne sastoji se samo od same VPN veze. Važno je koji program koristite za spajanje na VPN poslužitelj.

Trenutno usluge nude prikladne VPN klijente - to su programi koji olakšavaju postavljanje VPN veze. Mi sami nudimo prikladan VPN klijent. Zahvaljujući takvim programima, postavljanje VPN veze traje manje od 1 minute.






Kada smo prvi put počeli pružati VPN usluge 2006., svi naši korisnici postavljali su službenu OpenVPN aplikaciju. To je open source. Naravno, potrebno je više vremena za postavljanje službenog OpenVPN klijenta. No, shvatimo što je bolje koristiti u smislu anonimnosti.

Anonimnost VPN klijenta

Vidimo opasnost u korištenju takvih programa. Poanta je da je izvorni kod takvih programa vlasništvo tvrtke i da bi se očuvala jedinstvenost njezina programa nitko ga ne objavljuje.

Korisnici ne mogu saznati koje podatke program prikuplja o vama u nedostatku otvorenog izvornog koda.

VPN program vas može identificirati kao određenog korisnika čak i ako su zapisnici na poslužitelju isključeni.

Bilo koji program može imati funkciju za snimanje stranica koje posjećujete, vaše stvarne IP adrese. A budući da sami unosite svoju prijavu u program, ne možete uopće govoriti o bilo kakvoj anonimnosti korištenja programa.

Ako vaša tvrtka zahtijeva visoku razinu anonimnosti, preporučamo da napustite takve VPN programe i koristite službeno OpenVPN open source izdanje.

U početku će vam to biti neugodno. No s vremenom ćete se naviknuti, ako vam je faktor sigurnosti i anonimnosti na prvom mjestu.

Jamčimo da Secure Kit ne pohranjuje nikakve podatke o vama. Ali moramo vas upozoriti da vas takvi programi mogu špijunirati.

Još jedna ideja kako povećati svoju sigurnost došla je s gledišta geografskog položaja poslužitelja. Na internetu se to zove offshore VPN.

Što je offshore VPN

Različite zemlje imaju različite razine zakonodavstva. Postoje jake države s jakim zakonima. A postoje male zemlje čiji stupanj razvoja ne dopušta informacijsku zaštitu podataka u njihovoj zemlji.

U početku se koncept offshorea primjenjivao za označavanje zemlje u kojoj je porezna politika opuštena. Ove zemlje imaju vrlo niske poreze na poslovanje. Globalne tvrtke zainteresirale su se za legalnu utaju poreza u svojoj zemlji, a offshore bankovni računi na Kajmanskim otocima postali su vrlo popularni.

Trenutno mnoge zemlje diljem svijeta već imaju zabranu korištenja bankovnih računa u offshore zemljama.

Većina offshore zemalja su male države smještene u udaljenim kutovima planeta. Servere je u takvim zemljama teže pronaći i skuplji su zbog nedostatka razvijene internetske infrastrukture. VPN poslužitelji u takvim zemljama počeli su se nazivati ​​offshore.

Ispada da riječ offshore VPN ne znači anonimni VPN, već samo govori o teritorijalnoj pripadnosti offshore državi.

Trebate li koristiti offshore VPN?

Offshore VPN nudi dodatne pogodnosti u smislu anonimnosti.

Mislite li da je puno lakše napisati službeni zahtjev:

• u policijsku upravu u Njemačkoj
• ili u policijsku postaju za otoke u Antigua Barbudi

Offshore VPN dodatni je sloj zaštite. Dobro je koristiti offshore poslužitelj kao dio dvostrukog VPN lanca.

Ne morate koristiti samo 1 offshore VPN poslužitelj i misliti da je potpuno siguran. Svojoj sigurnosti i anonimnosti na internetu morate pristupiti iz različitih kutova.

Koristite offshore VPN kao vezu za anonimnost.

I vrijeme je da odgovorimo na najčešće postavljano pitanje. Može li anonimni VPN servis voditi zapisnike? A kako možete znati da li se usluga bilježi?

Anonimna VPN usluga i zapisnici. Kako biti?

Anonimna VPN usluga ne bi trebala voditi zapisnike. Inače se više ne može nazvati anonimnim.

Sastavili smo popis pitanja, zahvaljujući kojima možete točno odrediti vodi li usluga zapisnike.

Sada imate potpune informacije o VPN vezama. Ovo znanje je dovoljno da postanete anonimni na Internetu i da prijenos osobnih podataka bude siguran.

Nove VPN tehnologije

Postoje li nove upute za VPN?

Već smo govorili o prednostima i nedostacima sekvencijalnih kaskadnih VPN poslužitelja (Double, Triple, Quad VPN).

Kako biste izbjegli nedostatke Double VPN tehnologije, možete napraviti paralelnu kaskadu lanaca. Nazvali smo ga Parallel VPN.

Što je paralelni VPN

Bit Parallel VPN-a je usmjeravanje prometa na paralelnu podatkovnu vezu.

Nedostatak sekvencijalne kaskadne tehnologije (Double, Triple, Quad VPN) je da svaki poslužitelj dešifrira kanal i šifrira ga u sljedeći kanal. Podaci su sekvencijalno šifrirani.

Paralelna VPN tehnologija nema takav problem, budući da su svi podaci paralelno dvostruko šifrirani. Odnosno, zamislite luk koji ima više kora. Na isti način, podaci putuju u kanalu koji je dvaput šifriran.



Danas korisnici interneta sve više koriste pojam VPN. Neki preporučuju češće korištenje, dok drugi preporučuju izbjegavanje. Pogledajmo pobliže što se krije iza ovog pojma.

VPN veza, što je to

VPN(Virtualna privatna mreža) je tehnologija, koji osigurava vezu zatvorenu od vanjskog pristupa u prisutnosti velike brzine veze. Takvo povezivanje se provodi prema principu " od točke do točke". U znanosti se ova metoda povezivanja naziva tunel... Tunelu se možete pridružiti na adresi PC s bilo kojim OS-om, pri čemu VPN klijent instaliran... Ovaj program "prosljeđuje" virtualni port koristeći TCP / IP na drugu mrežu.

Za implementaciju takve veze potrebna je platforma koja se brzo skalira, osigurava integritet i povjerljivost podataka.



Kako bi se računalo s IP adresa 192.168.1.1-100 spojeni putem pristupnika na vanjsku mrežu, morate registrirati pravila povezivanja na usmjerivaču. Kada se uspostavi VPN veza, zaglavlje poruke sadrži adresu udaljenog računala. Pošiljatelj poruku šifrira, a primatelj dešifrira javnim ključem. Tada se uspostavlja sigurna veza između dvije mreže.

Kako spojiti VPN

Kratak pregled protokola opisan je ranije. Sada ćemo saznati kako povezati klijenta na određenom uređaju.

Na računalu i laptopu

Prije postavljanja VPN veza uključena Windows 7 PC, trebao bi navedite IP adresu ili naziv poslužitelja. Da biste to učinili, u “ Mrežni kontrolni centar"na" Upravljačke ploče"potrebno" Stvorite novu vezu».



Odaberite stavku "" - " (VPN)».



Sljedeći korak je naznačiti Ime i adresa poslužitelja.





Morate pričekati da se veza završi.



Provjerimo VPN vezu. Da biste to učinili, u “ Upravljačka ploča"U poglavlju" Mrežne veze»Pozovite kontekstni izbornik dvostrukim klikom na prečac.



Na kartici " Pojedinosti"treba provjeriti IPv4 adresa... Mora biti unutar IP raspona navedenog u postavkama VPN-a.



Na vašem telefonu, iPhoneu ili tabletu

Pogledajmo sada kako stvoriti VPN vezu i konfigurirati je na gadgetima s Android OS-om.

Za to je potrebno:

pametni telefon, tablet; prijava, lozinka za mrežu; adresa poslužitelja.

Za postavljanje VPN veze odaberite "" u postavkama telefona i stvorite novu.







Na ekranu će se prikazati ikona s novom vezom.



Sustav zahtijeva korisničko ime i lozinku. Morate unijeti parametre i odabrati opciju "". Tada, na sljedećoj sesiji, nećete morati ponovno potvrđivati ​​ove podatke.



Nakon aktiviranja VPN veze, na alatnoj traci pojavit će se prepoznatljiva ikona.



Ako kliknete na ikonu, pojavit će se detalji veze.

Kako postaviti VPN za ispravan rad

Pogledajmo pobliže kako se automatski konfigurirati VPN na računalima sa Windows 10.

Idite na postavke računala.



U poglavlju " Mogućnosti"Idi na pododjeljak" ".





... i dodajte novu VPN vezu.



Na sljedećoj stranici trebate navesti parametre VPN veze:

Pružatelj usluge - Windows; Naziv veze; Adresa poslužitelja; VPN vrsta; Korisničko ime i lozinka.



Nakon što se veza uspostavi, morate se povezati s njom.

Kako stvoriti VPN poslužitelj

Svi pružatelji bilježe aktivnosti svojih klijenata. U slučaju zaprimanja zahtjeva od agencija za provođenje zakona, oni će dati potpune informacije o tome koje je stranice počinitelj posjetio. Dakle, davatelj se odriče svake pravne odgovornosti. No ponekad se javljaju situacije u kojima korisnik treba zaštititi svoje podatke:

Tvrtke prenose svoje podatke putem Interneta putem šifriranog kanala.Mnoge usluge na Internetu djeluju na zemljopisnoj lokaciji. Na primjer, usluga Yandex.Music radi samo na IP-ovima iz Ruske Federacije i zemalja ZND-a. Rus u Europi neće moći slušati svoju omiljenu glazbu.U uredima je često blokiran pristup društvenim mrežama.
Možete, naravno, izbrisati svoju povijest preglednika svaki put kada posjetite stranicu. Ali lakše je stvoriti i konfigurirati VPN poslužitelj. Da biste to učinili, pozovite naredbeni redak ( Win + R), a zatim unesite upit ncpa.cpl i pritisnite Unesi... U novom prozoru kliknite Alt i odaberite stavku "".



Zatim morate stvoriti korisnika i dati mu ograničena prava samo na VPN. Također ćete morati smisliti novu dugu lozinku. Odaberite korisnika s popisa. U sljedećoj fazi morate odabrati opciju povezivanja " Putem interneta". Zatim morate odrediti parametre veze. Ako tijekom rada s VPN-om ne trebate pristup datotekama i mapama, možete poništiti sve okvire i kliknuti na gumb "".



Kako koristiti VPN

Nakon što se stvori nova veza, dovoljno je otvoriti preglednik i učitati bilo koju stranicu.Novi se možda neće baviti stvaranjem veze, već odmah preuzmu VPN klijent s interneta ili instaliraju posebno proširenje u preglednik. Nakon preuzimanja programa, trebate ga pokrenuti i pritisnuti gumb " Spojiti". Klijent će se pridružiti drugoj mreži i korisnik će moći vidjeti zabranjene stranice u njegovoj regiji.Nedostatak ove metode je što se IP automatski izdaje. Korisnik ne može odabrati državu. No, veza se postavlja vrlo brzo, pritiskom na samo jednu tipku. Mogućnost dodavanja ekstenzije također ima nedostatke. Prvo, korisnik mora biti registriran na službenoj web stranici programa, a drugo, proširenje se često ruši. No, korisnik može odabrati državu kroz koju će se izvršiti veza s vanjskom mrežom. Sam proces povezivanja također ne postavlja nikakva pitanja. Dovoljno je pritisnuti tipku " Početak”I preglednik će se ponovno pokrenuti na novu mrežu. Pogledajmo kako instalirati proširenje pomoću primjera ZenMate VPN.Preuzmite program sa službene stranice. Nakon instalacije, u pregledniku će se pojaviti ikona:

Kliknite na ikonu. Pojavit će se prozor proširenja:



Ako pomaknete pokazivač miša na ikona s ruskom zastavom, tada će se prikazati zaslon trenutni IP... Ako pomaknete kursor preko ikone sa zastavom Rumunjske, pojavit će se IP odabranog poslužitelja. Po želji se može promijeniti zemlja veze. Da biste to učinili, trebate kliknuti na globus i odabrati jednu od automatskih adresa.



Nedostatak besplatne verzije programa je mali broj dostupnih poslužitelja i nametanje reklama.

Najčešće greške

Različiti antivirusni programi kao i vatrozidi mogu blokirati vezu. U tom slučaju na zaslonu se prikazuje kod pogreške. Pogledajmo najpopularnije probleme i kako ih riješiti.

Greška	Uzrok	Riješenje
678	Šifriranje je zabranjeno u OS-u	Morate otvoriti naredbeni redak i provjeriti parametar "ProhibitIpSec" u registru "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ RasMan \ Parameters". Trebao bi biti jednak 0. Ako sam davatelj usluga koristi kanal za šifriranje za pružanje usluga, promjena ove postavke utječe na pristup internetu.
691	Uneseno je netočno korisničko ime/lozinka	Morate se ponovno prijaviti na mrežu
692	Pogreška vatrozida	Onemogući vatrozid
720/738	Korisnik je već povezan	Pogreška 720 nalazi se samo u sustavu Windows 7. Svi ostali operacijski sustavi prikazuju kod 738. Ako morate raditi s različitih računala preko jednog klijenta, tada morate stvoriti nekoliko korisničkih imena.
734	Automatski VPN	Potrebno je promijeniti tip "Automatski" u "L2TP IPSec VPN" u svojstvima veze. Ako se pogreška nastavi, morate ponovno stvoriti vezu.
766/781	Ključ nije spremljen/uneseno	Otvorite svojstva VPN-a, na kartici "Sigurnost" odaberite "Napredne opcije" i u novom prozoru unesite ključ
768/789 (OS Windows 7, Vista, XP)	IPSec ne radi	RMB na prečacu "Moje računalo" - "Upravljanje". U odjeljku "Usluge" odaberite "IPSec". Odredite vrstu veze Auto.

VPN (Virtual Private Network) ili u prijevodu na ruski virtualna privatna mreža je tehnologija koja vam omogućuje kombiniranje računalnih uređaja u sigurne mreže kako biste svojim korisnicima pružili šifrirani kanal i anonimni pristup resursima na Internetu.

U tvrtkama se VPN uglavnom koristi za spajanje nekoliko podružnica koje se nalaze u različitim gradovima ili čak dijelovima svijeta u jednu lokalnu mrežu. Zaposlenici takvih tvrtki, koristeći VPN, mogu koristiti sve resurse koji se nalaze u svakoj poslovnici kao svoj lokal, koji se nalazi na njihovoj strani. Na primjer, možete ispisati dokument na pisaču koji se nalazi u drugoj grani samo jednim klikom.

Za obične korisnike interneta, VPN je koristan kada:

• davatelj je blokirao stranicu, ali morate ući;
• često moraju koristiti internetsko bankarstvo i sustave plaćanja i žele zaštititi podatke od moguće krađe;
• usluga radi samo za Europu, a vama u Rusiji ne smeta slušati glazbu na LastFm-u;
• ne želite da stranice koje posjećujete prate vaše podatke;
• nema usmjerivača, ali je moguće spojiti dva računala na lokalnu mrežu kako bi se obama omogućio pristup Internetu.

Kako VPN funkcionira

VPN-ovi rade kroz tunel koji uspostavljaju između vašeg računala i udaljenog poslužitelja. Svi podaci koji se prenose kroz ovaj tunel su šifrirani.

Može se zamisliti kao običan tunel, koji se nalazi na autocestama, samo položen internetom između dvije točke - računala i servera. U ovom tunelu podaci, poput automobila, prelaze između točaka najvećom mogućom brzinom. Na ulazu (na korisničkom računalu) ovi podaci se šifriraju i u ovom obliku idu primatelju (poslužitelju), u ovom trenutku se dešifriraju i interpretiraju: datoteka se preuzima, šalje se zahtjev na stranicu, itd. Nakon čega se primljeni podaci ponovno šifriraju na serveru i kroz tunel se šalju natrag na računalo korisnika.

Za anonimni pristup stranicama i uslugama dovoljna je mreža koja se sastoji od računala (tableta, pametnog telefona) i poslužitelja.

Općenito, razmjena podataka putem VPN-a izgleda ovako:

1. Tunel se stvara između računala korisnika i poslužitelja s instaliranim softverom za kreiranje VPN-a. Na primjer OpenVPN.
2. U tim se programima generira ključ (lozinka) na poslužitelju i na računalu za šifriranje/dešifriranje podataka.
3. Zahtjev se generira na računalu i šifrira pomoću prethodno kreiranog ključa.
4. Šifrirani podaci se prenose preko tunela do poslužitelja.
5. Podaci koji su došli iz tunela na server se dešifriraju i zahtjev se izvršava – slanje datoteke, ulazak na stranicu, pokretanje servisa.
6. Poslužitelj priprema odgovor, šifrira ga prije slanja i šalje natrag korisniku.
7. Računalo korisnika prima podatke i dešifrira ih ključem koji je ranije generiran.



Uređaji uključeni u VPN nisu zemljopisno povezani i mogu se nalaziti na bilo kojoj udaljenosti jedan od drugog.

Za običnog korisnika usluga virtualne privatne mreže dovoljno je razumjeti da je pristup internetu putem VPN-a potpuna anonimnost i neograničen pristup svim resursima, uključujući i one koje je davatelj blokirao ili su nedostupni za vašu zemlju.

Kome treba VPN i zašto

Stručnjaci preporučuju korištenje VPN-a za prijenos svih podataka koji ne bi trebali završiti u rukama trećih osoba – prijave, lozinke, privatna i poslovna korespondencija te rad s internet bankarstvom. To se posebno odnosi na korištenje otvorenih pristupnih točaka - WiFi u zračnim lukama, kafićima, parkovima itd.

Tehnologija će također dobro doći onima koji žele slobodno pristupiti svim stranicama i uslugama, uključujući one koje je davatelj blokirao ili otvorene samo određenom krugu ljudi. Na primjer, Last.fm dostupan je besplatno samo za stanovnike Sjedinjenih Država, Engleske i nekoliko drugih europskih zemalja. Korištenje glazbene usluge iz Rusije omogućit će VPN vezu.

Razlike između VPN-a i TOR-a, proxyja i anonimizatora

VPN radi globalno na računalu i preusmjerava rad svih softvera instaliranih na računalu kroz tunel. Svaki zahtjev – putem chata, preglednika, klijenta za pohranu u oblaku (dropbox) itd., prije nego što stigne do primatelja, prolazi kroz tunel i šifrira se. Međuuređaji "zbunjuju tragove" šifriranjem zahtjeva i dešifriraju ih tek prije slanja konačnom primatelju. Konačni primatelj zahtjeva, primjerice web stranica, ne bilježi podatke korisnika – geografsku lokaciju i sl., već podatke VPN poslužitelja. Odnosno, teoretski je nemoguće pratiti koje je stranice korisnik posjetio i koje je zahtjeve poslao putem sigurne veze.

U određenoj mjeri, anonimizatori, proxyji i TOR mogu se smatrati analozima VPN-ova, ali svi su oni nešto inferiorniji u odnosu na virtualne privatne mreže.

Kako se VPN razlikuje od TOR-a

Kao i VPN, TOR tehnologija pretpostavlja enkripciju zahtjeva i njihov prijenos s korisnika na poslužitelj i obrnuto. Jedino TOR ne stvara trajne tunele, načini primanja/prijenosa podataka se mijenjaju sa svakim pristupom, što smanjuje šanse za presretanje paketa podataka, ali ne utječe najbolje na brzinu. TOR je besplatna tehnologija i podržavaju je entuzijasti, tako da ne biste trebali očekivati ​​stabilan rad. Jednostavno rečeno, moći ćete pristupiti web stranici koju je blokirao vaš davatelj usluga, ali bit će potrebno nekoliko sati ili čak dana da s nje preuzmete HD video.

Kako se VPN razlikuje od proxyja

Proxy, analogno s VPN-ovima, preusmjeravaju zahtjev na web-mjesto, prolazeći ga kroz posredničke poslužitelje. Takve je zahtjeve jednostavno presresti, jer se razmjena informacija odvija bez ikakve enkripcije.

Kako se VPN razlikuje od anonimizatora

Anonymizer je skraćena verzija proxyja koja može raditi samo unutar otvorene kartice preglednika. Preko nje ćete moći ući na stranicu, ali nećete moći iskoristiti većinu mogućnosti, a nije predviđena ni enkripcija.

Što se tiče brzine, proxy će pobijediti u metodama neizravne razmjene podataka, budući da ne predviđa enkripciju komunikacijskog kanala. Na drugom mjestu je VPN koji pruža ne samo anonimnost, već i zaštitu. Treće mjesto je za anonimizator ograničen na rad u otvorenom prozoru preglednika. TOR je prikladan kada nema vremena i prilike za povezivanje s VPN-om, ali ne biste trebali računati na brzu obradu velikih zahtjeva. Ova gradacija vrijedi za slučaj kada se koriste neopterećeni poslužitelji koji su na istoj udaljenosti od testiranog.

Kako se spojiti na internet putem VPN-a

Deseci usluga nude usluge pristupa VPN-u na RuNetu. Pa, diljem svijeta vjerojatno ih ima na stotine. Uglavnom, sve usluge se plaćaju. Trošak se kreće od nekoliko dolara do nekoliko desetaka dolara mjesečno. Stručnjaci koji se dobro razumiju u IT sami kreiraju VPN poslužitelj, koristeći za te svrhe poslužitelje koje osiguravaju razni hosting provajderi. Cijena takvog poslužitelja obično je oko 5 dolara mjesečno.

Hoćete li preferirati plaćeno ili besplatno rješenje ovisi o vašim zahtjevima i očekivanjima. Obje opcije će raditi - sakriti lokaciju, promijeniti IP, šifrirati podatke tijekom prijenosa itd. - ali problemi s brzinom i pristupom u plaćenim uslugama događaju se puno rjeđe i rješavaju se puno brže.

Cvrkut

Plus

Molimo omogućite JavaScript da biste vidjeli