Come configurare smartphone e PC. Portale informativo
  • casa
  • Programmi
  • A cosa serve la rete privata virtuale VPN. Che cos'è la VPN e perché è necessaria

A cosa serve la rete privata virtuale VPN. Che cos'è la VPN e perché è necessaria

12.08.2019 Programmi

VPN (Virtual Private Network) è una rete privata virtuale.

In termini generali, una VPN è un canale completamente sicuro che collega il tuo dispositivo con accesso a Internet a qualsiasi altro sulla rete globale. Se è ancora più semplice, puoi immaginarlo in modo più figurato: senza connetterti a un servizio VPN, il tuo computer (laptop, telefono, TV o qualsiasi altro dispositivo) quando è online è come una casa privata non recintata. In qualsiasi momento, tutti possono rompere alberi intenzionalmente o accidentalmente, calpestare i letti del tuo giardino. Usando una VPN, la tua casa si trasforma in una fortezza inespugnabile, che sarà semplicemente impossibile da rompere.

Come funziona?

Il principio di funzionamento della VPN è semplice e trasparente per l'utente finale. Nel momento in cui vai online, viene creato un "tunnel" virtuale tra il tuo dispositivo e il resto di Internet, bloccando qualsiasi tentativo dall'esterno di entrare. Il funzionamento della VPN rimane completamente trasparente e invisibile per te. La tua corrispondenza personale, aziendale, Skype o le conversazioni telefoniche non possono essere in alcun modo intercettate o ascoltate. Tutti i tuoi dati vengono crittografati utilizzando uno speciale algoritmo di crittografia, che è quasi impossibile da decifrare.

Oltre alla protezione contro le intrusioni dall'esterno, VPN offre l'opportunità di visitare virtualmente temporaneamente qualsiasi paese del mondo e utilizzare le risorse di rete di questi paesi, guardare canali TV che prima non erano disponibili. La VPN sostituirà il tuo indirizzo IP con qualsiasi altro. Per fare ciò, devi solo selezionare un paese dall'elenco proposto, ad esempio i Paesi Bassi e tutti i siti e i servizi a cui andrai "penseranno" automaticamente di trovarti in questo particolare paese.

Perché non un anonimo o un proxy?

La domanda sorge spontanea: perché non utilizzare semplicemente una sorta di anonymizer o server proxy sulla rete, perché falsificano anche l'indirizzo IP? Tutto è molto semplice: nessuno dei suddetti servizi fornisce protezione, sei ancora "visibile" agli intrusi e quindi a tutti i dati che scambi su Internet. Inoltre, lavorare con i server proxy richiede una certa abilità da parte tua per impostare impostazioni precise. La VPN funziona secondo il seguente principio: "Connetti e lavora", non richiede alcuna impostazione aggiuntiva. L'intero processo di connessione richiede un paio di minuti ed è molto semplice.

Informazioni sulle VPN gratuite

Quando scegli, tieni presente che le VPN gratuite hanno quasi sempre restrizioni sulla quantità di traffico e sulla velocità di trasferimento dei dati. Ciò significa che potrebbe esserci una situazione in cui semplicemente non puoi continuare a utilizzare la VPN gratuita. Non dimenticare che le VPN gratuite non sono sempre stabili e sono spesso sovraccariche. Anche se il tuo limite non viene superato, il trasferimento dei dati può essere ritardato per un lungo periodo di tempo a causa dell'elevato carico sul server VPN. I servizi VPN a pagamento si distinguono per un'elevata larghezza di banda, nessuna restrizione sia sul traffico che sulla velocità e il livello di sicurezza è superiore a quello di quelli gratuiti.

Da dove cominciare?

La maggior parte dei servizi VPN offre l'opportunità di testare la qualità gratuitamente per un breve periodo. Il periodo di prova può variare da alcune ore a diversi giorni. Durante i test, di solito ottieni pieno accesso a tutte le funzionalità del servizio VPN. Il nostro servizio consente di trovare tali servizi VPN tramite il collegamento:

VPN (Virtual Private Network) o in traduzione in russo rete privata virtuale è una tecnologia che consente di combinare dispositivi informatici in reti sicure per fornire ai propri utenti un canale crittografato e un accesso anonimo alle risorse su Internet.

Nelle aziende, la VPN viene utilizzata principalmente per combinare diverse filiali situate in diverse città o addirittura in parti del mondo in un'unica rete locale. I dipendenti di tali aziende, utilizzando VPN, possono utilizzare tutte le risorse che si trovano in ciascuna filiale come il proprio locale, situato al loro fianco. Ad esempio, puoi stampare un documento su una stampante situata in un altro ramo con un solo clic.

Per i normali utenti di Internet, VPN è utile quando:

  • il sito è stato bloccato dal provider, ma è necessario entrare;
  • spesso devono utilizzare sistemi bancari e di pagamento online e vogliono proteggere i dati da possibili furti;
  • il servizio funziona solo per l'Europa, e tu in Russia non ti dispiace ascoltare musica su LastFm;
  • non vuoi che i siti che visiti tengano traccia dei tuoi dati;
  • non è presente un router, ma è possibile collegare due computer a una rete locale per fornire entrambi l'accesso a Internet.

Come funziona la VPN

Le VPN funzionano attraverso un tunnel che stabiliscono tra il tuo computer e un server remoto. Tutti i dati trasmessi attraverso questo tunnel sono crittografati.

Può essere pensato come un normale tunnel, che si trova sulle autostrade, solo attraverso Internet tra due punti: un computer e un server. In questo tunnel, i dati, come le automobili, passano da un punto all'altro alla massima velocità possibile. All'ingresso (sul computer dell'utente), questi dati vengono crittografati e vanno in questa forma al destinatario (al server), a questo punto vengono decrittografati e interpretati: il file viene scaricato, viene inviata una richiesta al sito, ecc. Dopodiché i dati ricevuti vengono nuovamente crittografati sul server e attraverso il tunnel vengono rispediti al computer dell'utente.

Per l'accesso anonimo a siti e servizi è sufficiente una rete composta da un computer (tablet, smartphone) e da un server.

In generale, lo scambio di dati tramite VPN si presenta così:

  1. Viene creato un tunnel tra il computer dell'utente e il server con il software di creazione VPN installato. Ad esempio OpenVPN.
  2. In questi programmi viene generata una chiave (password) sul server e sul computer per crittografare/decrittografare i dati.
  3. La richiesta viene generata sul computer e crittografata utilizzando la chiave creata in precedenza.
  4. I dati crittografati vengono trasmessi attraverso il tunnel al server.
  5. I dati che arrivano dal tunnel al server vengono decifrati e la richiesta viene eseguita: invio di un file, accesso al sito, avvio del servizio.
  6. Il server prepara la risposta, la crittografa prima di inviarla e la rimanda all'utente.
  7. Il computer dell'utente riceve i dati e li decrittografa con la chiave generata in precedenza.

I dispositivi inclusi nella VPN non sono vincolati geograficamente e possono essere posizionati a qualsiasi distanza l'uno dall'altro.

Per un normale utente di servizi di rete privata virtuale, è sufficiente capire che l'accesso a Internet tramite una VPN è completo anonimato e accesso illimitato a qualsiasi risorsa, comprese quelle bloccate dal provider o inaccessibili per il proprio paese.

Chi ha bisogno di una VPN e perché

Gli esperti consigliano di utilizzare una VPN per trasferire tutti i dati che non dovrebbero finire nelle mani di terzi: accessi, password, corrispondenza privata e aziendale e lavorare con l'Internet banking. Ciò è particolarmente vero quando si utilizzano punti di accesso aperti: Wi-Fi in aeroporti, caffè, parchi, ecc.

La tecnologia tornerà utile anche per chi vorrà accedere liberamente a qualsiasi sito e servizio, compresi quelli bloccati dal provider o aperti solo a una determinata cerchia di persone. Ad esempio, Last.fm è disponibile gratuitamente solo per i residenti negli Stati Uniti, in Inghilterra e in molti altri paesi europei. L'utilizzo di un servizio musicale dalla Russia consentirà una connessione VPN.

Differenze tra VPN e TOR, proxy e anonymizer

La VPN funziona a livello globale sul computer e reindirizza il lavoro di tutto il software installato sul computer attraverso il tunnel. Qualsiasi richiesta - tramite chat, browser, client di archiviazione cloud (dropbox), ecc., Prima di raggiungere il destinatario, passa attraverso il tunnel e viene crittografata. I dispositivi intermedi "confondono le tracce" attraverso la crittografia delle richieste e le decrittografano solo prima di inviarle al destinatario finale. Il destinatario finale della richiesta, ad esempio un sito web, non registra i dati dell'utente - posizione geografica, ecc., ma i dati del server VPN. Cioè, è teoricamente impossibile tenere traccia di quali siti l'utente ha visitato e quali richieste ha inviato tramite una connessione sicura.

In una certa misura, anonymizer, proxy e TOR possono essere considerati analoghi delle VPN, ma tutti sono in qualche modo inferiori alle reti private virtuali.

In che modo la VPN differisce da TOR

Come VPN, la tecnologia TOR presuppone la crittografia delle richieste e il loro trasferimento dall'utente al server e viceversa. Solo TOR non crea tunnel permanenti, le modalità di ricezione/trasmissione dati cambiano ad ogni accesso, il che riduce le possibilità di intercettazione dei pacchetti dati, ma non ha il miglior effetto sulla velocità. TOR è una tecnologia gratuita ed è supportata da appassionati, quindi non dovresti aspettarti un lavoro stabile. In poche parole, sarai in grado di accedere a un sito Web bloccato dal tuo provider, ma ci vorranno diverse ore o addirittura giorni per scaricare video HD da esso.

In che modo la VPN differisce dal proxy?

I proxy, per analogia con le VPN, reindirizzano la richiesta al sito, passandola attraverso server intermedi. È solo facile intercettare tali richieste, perché lo scambio di informazioni avviene senza alcuna crittografia.

In che modo la VPN differisce dall'anonimizzatore

Anonymizer è una versione ridotta di un proxy che può funzionare solo all'interno di una scheda del browser aperta. Potrai accedere alla pagina attraverso di essa, ma non potrai sfruttare la maggior parte delle possibilità e non viene fornita alcuna crittografia.

In termini di velocità, il proxy vincerà sulle modalità di scambio indiretto dei dati, poiché non prevede la crittografia del canale di comunicazione. Al secondo posto c'è la VPN, che fornisce non solo anonimato, ma anche protezione. Il terzo posto è per l'anonimizzatore limitato a funzionare in una finestra del browser aperta. TOR è adatto quando non c'è tempo e opportunità per connettersi a una VPN, ma non dovresti contare sull'elaborazione ad alta velocità di richieste di grandi dimensioni. Questa gradazione è valida nel caso in cui si utilizzino server non caricati, che si trovano alla stessa distanza da quello testato.

Come connettersi a Internet con una VPN

Decine di servizi offrono servizi di accesso VPN su RuNet. Ebbene, nel mondo ce ne sono probabilmente centinaia. Fondamentalmente, tutti i servizi sono a pagamento. Il costo varia da pochi dollari a diverse decine di dollari al mese. Gli esperti che hanno una buona conoscenza dell'IT creano da soli un server VPN, utilizzando server per questi scopi, forniti da vari provider di hosting. Il costo di un tale server è solitamente di circa $ 5 al mese.

Se preferisci una soluzione a pagamento o gratuita dipende dalle tue esigenze e aspettative. Entrambe le opzioni funzioneranno - nascondere la posizione, cambiare ip, crittografare i dati durante la trasmissione, ecc. - ma i problemi di velocità e accesso ai servizi a pagamento sono molto meno comuni e vengono risolti molto più velocemente.

Tweet

Più

Si prega di abilitare JavaScript per visualizzare il

La tecnologia che crea una rete logica in un'altra rete ha ricevuto l'abbreviazione "VPN", che letteralmente sta per "Virtual Private Network" in inglese. In parole povere, VPN include diversi metodi di comunicazione tra dispositivi all'interno di un'altra rete e offre la possibilità di applicare vari metodi di protezione, il che aumenta significativamente la sicurezza delle informazioni scambiate tra computer.

E questo è molto importante nel mondo moderno, ad esempio, per le reti di grandi società commerciali e, naturalmente, per le banche. Di seguito sono riportate guide dettagliate su come creare una VPN, istruzioni sulla procedura per effettuare una connessione VPN e su come configurare correttamente la connessione VPN creata.

Definizione

Per capire più facilmente cos'è una VPN, devi solo sapere cosa può fare. La connessione VPN assegna un determinato settore nella rete esistente e tutti i computer e le apparecchiature digitali che si trovano al suo interno sono in costante comunicazione tra loro. Ma la cosa più importante è che questo settore sia completamente chiuso e protetto per tutti gli altri dispositivi della grande rete.

Come connettere VPN

Nonostante l'apparente complessità della definizione della VPN, la sua creazione su computer Windows e persino la configurazione stessa della VPN non presenteranno molte difficoltà se è disponibile una guida dettagliata. Il requisito principale è seguire rigorosamente la sequenza rigorosa dei seguenti passaggi:


Inoltre, viene eseguita la configurazione della VPN, tenendo conto delle varie sfumature di accompagnamento.

Come si configura una VPN?

È necessario configurarlo tenendo conto delle caratteristiche individuali non solo del sistema operativo, ma anche dell'operatore che fornisce servizi di comunicazione.

Windows XP

Affinché la VPN nel sistema operativo Windows XP possa svolgere correttamente il proprio lavoro, sono necessari i seguenti passaggi sequenziali:


Quindi, quando si opera nell'ambiente creato, è possibile utilizzare alcune comode funzioni. Per fare ciò, devi fare quanto segue:

Nota: i parametri vengono sempre inseriti in modo diverso, poiché dipendono non solo dal server, ma anche dal fornitore di servizi.

Windows 8

In questo sistema operativo, la domanda su come configurare una VPN non dovrebbe causare particolari difficoltà, perché qui è quasi automatizzata.

La sequenza di azioni consiste nei seguenti passaggi:

Successivamente, è necessario specificare le opzioni di rete. A tal fine, eseguire le seguenti azioni:


Nota: l'immissione delle impostazioni può variare notevolmente a seconda della configurazione di rete.

Windows 7

Il processo di creazione delle impostazioni in Windows 7 è semplice e accessibile anche agli utenti di computer inesperti.

Per produrli, un utente di Windows 7 deve eseguire i seguenti passaggi sequenziali:

Nota: per funzionare correttamente, è necessaria un'attenta selezione individuale di tutti i parametri.

Android

Per configurare il normale funzionamento di un gadget Android in ambiente VPN, è necessario eseguire alcuni passaggi:

Caratteristiche di connessione

Questa tecnologia include diversi tipi di ritardi nelle procedure di trasmissione dei dati. I ritardi si verificano a causa dei seguenti fattori:

  1. Ci vuole del tempo per stabilire una connessione;
  2. C'è un processo costante di codifica delle informazioni trasmesse;
  3. blocchi di informazioni trasmesse.

Le differenze più significative sono presenti nella tecnologia stessa, ad esempio per VPN non sono necessari router e linee separate. Per funzionare in modo efficace, è necessario solo l'accesso al World Wide Web e alle applicazioni che forniscono la codifica delle informazioni.

Internet è sempre più utilizzato come mezzo di comunicazione tra computer perché offre una comunicazione efficiente ed economica. Tuttavia, Internet è una rete pubblica e per garantire una comunicazione sicura attraverso di essa è necessario un certo meccanismo che soddisfi almeno i seguenti compiti:

    riservatezza delle informazioni;

    l'integrità dei dati;

    disponibilità di informazioni;

Questi requisiti sono soddisfatti da un meccanismo chiamato VPN (Virtual Private Network) - un nome generico per le tecnologie che consentono di fornire una o più connessioni di rete (rete logica) su un'altra rete (ad esempio Internet) utilizzando la crittografia (crittografia, autenticazione , chiavi pubbliche di infrastruttura, mezzi di protezione da ripetizioni e modifiche dei messaggi trasmessi sulla rete logica).

La creazione di una VPN non richiede investimenti aggiuntivi e consente di abbandonare l'utilizzo di linee affittate. A seconda dei protocolli utilizzati e dello scopo, VPN può fornire connessioni di tre tipi: host-host, host-net e net-net.

Per chiarezza, immaginiamo il seguente esempio: un'impresa ha più filiali geograficamente distanti e dipendenti "mobili" che lavorano a casa o in viaggio. È necessario unire tutti i dipendenti dell'impresa in un'unica rete. Il modo più semplice è inserire i modem in ogni ramo e organizzare le comunicazioni secondo necessità. Tale soluzione, tuttavia, non è sempre conveniente e redditizia: a volte è necessaria una connessione costante e un'elevata larghezza di banda. Per fare ciò, dovrai posare una linea dedicata tra i rami o noleggiarli. Entrambi sono piuttosto costosi. E qui, in alternativa alla creazione di un'unica rete sicura, è possibile utilizzare le connessioni VPN di tutte le filiali dell'azienda via Internet e configurare gli strumenti VPN sugli host di rete.

Riso. 6.4. Connessione VPN da sito a sito

Riso. 6.5. VPN da host a rete

In questo caso, vengono risolti molti problemi: le filiali possono essere localizzate in qualsiasi parte del mondo.

Il pericolo qui risiede nel fatto che, in primo luogo, è disponibile una rete aperta per gli attacchi di aggressori in tutto il mondo. In secondo luogo, tutti i dati vengono trasmessi su Internet in modo chiaro e gli aggressori, dopo aver violato la rete, avranno tutte le informazioni trasmesse sulla rete. E in terzo luogo, i dati non solo possono essere intercettati, ma anche sostituiti durante la trasmissione sulla rete. Un utente malintenzionato potrebbe, ad esempio, compromettere l'integrità dei database agendo per conto dei clienti di una delle filiali di fiducia.

Per evitare che ciò accada, le soluzioni VPN utilizzano strumenti come la crittografia dei dati per garantire l'integrità e la riservatezza, l'autenticazione e l'autorizzazione per convalidare i diritti utente e consentire l'accesso VPN.

Una connessione VPN è sempre costituita da un collegamento punto-punto, noto anche come tunnel. Il tunnel viene creato su una rete non protetta, che molto spesso è Internet.

Il tunneling o incapsulamento è un modo per trasmettere informazioni utili su una rete intermedia. Tali informazioni possono essere frame (o pacchetti) di un altro protocollo. Con l'incapsulamento, il frame non viene trasmesso nella forma in cui è stato generato dall'host mittente, ma è dotato di un'intestazione aggiuntiva contenente informazioni sul percorso che consente ai pacchetti incapsulati di passare attraverso la rete intermedia (Internet). Alla fine del tunnel, i frame vengono de-incapsulati e inviati al destinatario. Tipicamente, il tunnel è creato da due dispositivi perimetrali situati nei punti di ingresso nella rete pubblica. Uno dei chiari vantaggi del tunneling è che questa tecnologia consente di crittografare l'intero pacchetto originale, inclusa l'intestazione, che può contenere dati contenenti informazioni che gli aggressori utilizzano per hackerare la rete (ad esempio indirizzi IP, numero di sottoreti, ecc. ) ...

Sebbene sia stabilito un tunnel VPN tra due punti, ogni nodo può stabilire ulteriori tunnel con altri nodi. Ad esempio, quando tre stazioni remote devono comunicare con lo stesso ufficio, verranno creati tre tunnel VPN separati per quell'ufficio. Per tutti i tunnel, il nodo lato ufficio può essere lo stesso. Ciò è possibile perché l'host può crittografare e decrittografare i dati per conto dell'intera rete, come mostrato nella figura:

Riso. 6.6. Crea tunnel VPN per più sedi remote

L'utente stabilisce una connessione al gateway VPN, dopo di che gli viene concesso l'accesso alla rete interna.

La crittografia stessa non avviene all'interno della rete privata. Il motivo è che questa parte della rete è considerata sicura e sotto controllo diretto, al contrario di Internet. Lo stesso vale quando si collegano gli uffici utilizzando i gateway VPN. Pertanto, la crittografia è garantita solo per le informazioni trasmesse su un canale non sicuro tra gli uffici.

Esistono molte soluzioni diverse per la creazione di reti private virtuali. I protocolli più famosi e diffusi sono:

    PPTP (Point-to-Point Tunneling Protocol): questo protocollo è diventato molto popolare grazie alla sua inclusione nei sistemi operativi Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - combina il protocollo L2F (Layer 2 Forwarding) e il protocollo PPTP. Tipicamente utilizzato in combinazione con IPSec.

    IPSec (Internet Protocol Security) è uno standard Internet ufficiale sviluppato dalla comunità Internet Engineering Task Force (IETF).

I protocolli elencati sono supportati dai dispositivi D-Link.

PPTP è principalmente destinato alle reti private virtuali dial-up. Il protocollo consente l'accesso remoto, consentendo agli utenti di stabilire connessioni dial-up con gli ISP e creare un tunnel sicuro verso le proprie reti aziendali. A differenza di IPSec, PPTP non è stato originariamente progettato per i tunnel LAN-to-LAN. PPTP estende le capacità di PPP, un protocollo di collegamento dati originariamente sviluppato per incapsulare i dati e distribuirli su connessioni punto-punto.

PPTP consente di creare canali sicuri per lo scambio di dati utilizzando vari protocolli: IP, IPX, NetBEUI, ecc. I dati di questi protocolli sono impacchettati in frame PPP, incapsulati utilizzando PPTP in pacchetti IP. Vengono quindi trasferiti tramite IP in forma crittografata su qualsiasi rete TCP/IP. Il nodo ricevente estrae i frame PPP dai pacchetti IP e quindi li elabora in modo standard, ad es. estrae un pacchetto IP, IPX o NetBEUI da un frame PPP e lo invia sulla rete locale. Pertanto, PPTP crea una connessione punto-punto nella rete e trasmette i dati sul canale protetto creato. Il vantaggio principale dei protocolli di incapsulamento come PPTP è che sono multiprotocollo. Quelli. la protezione dei dati a livello di collegamento dati è trasparente ai protocolli della rete e ai livelli dell'applicazione. Pertanto, all'interno della rete, è possibile utilizzare sia il protocollo IP (come nel caso di una VPN basata su IPSec) che qualsiasi altro protocollo come trasporto.

Oggigiorno, grazie alla sua facilità di implementazione, il PPTP è ampiamente utilizzato sia per ottenere un accesso sicuro affidabile alla rete aziendale sia per accedere alle reti degli ISP quando un cliente ha bisogno di stabilire una connessione PPTP con un ISP per accedere a Internet.

Il metodo di crittografia utilizzato in PPTP è specificato a livello di PPP. In genere, il client PPP è un desktop Microsoft e il protocollo di crittografia è Microsoft Point-to-Point Encryption (MPPE). Questo protocollo si basa sullo standard RSA RC4 e supporta la crittografia a 40 o 128 bit. Per molte applicazioni di questo livello di crittografia, l'uso di questo algoritmo è sufficiente, sebbene sia considerato meno affidabile di una serie di altri algoritmi di crittografia offerti da IPSec, in particolare il Triple-Data Encryption Standard (3DES) a 168 bit.

Come viene stabilita la connessionePPTP?

PPTP incapsula i pacchetti IP per la trasmissione su una rete IP. I client PPTP creano una connessione di controllo del tunnel per mantenere attivo il collegamento. Questo processo viene eseguito nel livello di trasporto del modello OSI. Dopo la creazione del tunnel, il computer client e il server iniziano a scambiare pacchetti di servizi.

Oltre alla connessione di controllo PPTP, viene creata una connessione dati tunnel. L'incapsulamento dei dati prima di inviarli nel tunnel prevede due passaggi. Innanzitutto, viene creata la parte informativa del frame PPP. I dati fluiscono dall'alto verso il basso, dal livello dell'applicazione OSI al livello del collegamento dati. I dati ricevuti vengono quindi inviati al modello OSI e incapsulati da protocolli di livello superiore.

I dati dal livello di collegamento raggiungono il livello di trasporto. Tuttavia, le informazioni non possono essere inviate a destinazione, poiché il livello di collegamento dati OSI è responsabile di ciò. Pertanto, PPTP crittografa il campo payload del pacchetto e assume le funzioni di livello 2 normalmente associate a PPP, ovvero aggiunge un'intestazione e un trailer PPP al pacchetto PPTP. Questo completa la creazione del frame del livello di collegamento. Successivamente, PPTP incapsula il frame PPP in un pacchetto Generic Routing Encapsulation (GRE) che appartiene al livello di rete. GRE incapsula protocolli di livello di rete come IP, IPX per consentirne il trasporto su reti IP. Tuttavia, l'utilizzo del solo protocollo GRE non garantisce l'instaurazione della sessione e la sicurezza dei dati. Utilizza la capacità di PPTP di creare una connessione per gestire il tunnel. L'uso di GRE come metodo di incapsulamento limita il campo d'azione del PPTP solo alle reti IP.

Dopo che il frame PPP è stato incapsulato in un frame di intestazione GRE, viene incapsulato in un frame di intestazione IP. L'intestazione IP contiene gli indirizzi del mittente e del destinatario del pacchetto. Infine, PPTP aggiunge un'intestazione e un finale PPP.

Sopra Riso. 6.7 mostra la struttura dei dati per l'invio tramite il tunnel PPTP:

Riso. 6.7. Struttura dei dati del tunnel PPTP

Organizzare una VPN basata su PPTP non richiede grandi costi e impostazioni complesse: è sufficiente installare un server PPTP nella sede centrale (esistono soluzioni PPTP sia per piattaforme Windows che Linux) e configurare le impostazioni necessarie sui computer client. Se è necessario combinare più rami, invece di configurare PPTP su tutte le stazioni client, è meglio utilizzare un router Internet o un firewall con supporto PPTP: le impostazioni vengono eseguite solo sul router di confine (firewall) connesso a Internet, tutto è assolutamente trasparente per gli utenti. I router Internet multifunzione della serie DIR / DSR e i firewall della serie DFL sono esempi di tali dispositivi.

GRE-tunnel

Generic Routing Encapsulation (GRE) è un protocollo di incapsulamento dei pacchetti di rete che incanala il traffico sulle reti senza crittografia. Esempi di utilizzo di GRE:

    trasmissione del traffico (inclusa la trasmissione) attraverso apparecchiature che non supportano un protocollo specifico;

    tunneling del traffico IPv6 su una rete IPv4;

    trasmissione di dati su reti pubbliche per implementare una connessione VPN sicura.

Riso. 6.8. Un esempio di tunnel GRE

Tra due router A e B ( Riso. 6.8) sono presenti più router, il tunnel GRE consente la connessione tra le reti locali 192.168.1.0/24 e 192.168.3.0/24 come se i router A e B fossero collegati direttamente.

l2 TP

L2TP è il risultato della combinazione di PPTP e L2F. Il vantaggio principale di L2TP è che consente di creare un tunnel non solo nelle reti IP, ma anche nelle reti ATM, X.25 e Frame relay. L2TP utilizza UDP come trasporto e utilizza lo stesso formato di messaggio sia per la gestione del tunnel che per il trasferimento dei dati.

Come con PPTP, L2TP inizia ad assemblare il pacchetto per la trasmissione al tunnel aggiungendo prima l'intestazione PPP, quindi l'intestazione L2TP al campo dati delle informazioni PPP. Il pacchetto risultante è incapsulato in UDP. A seconda del tipo di politica di sicurezza IPSec selezionato, L2TP può crittografare i messaggi UDP e aggiungere un'intestazione e un'estremità Encapsulating Security Payload (ESP), nonché un'autenticazione IPSec (consultare "L2TP su IPSec"). Quindi è incapsulato in IP. Viene aggiunta un'intestazione IP contenente gli indirizzi del mittente e del destinatario. Infine, L2TP esegue un secondo incapsulamento PPP per preparare i dati per la trasmissione. Sopra Riso. 6.9 mostra la struttura dei dati per l'inoltro su un tunnel L2TP.

Riso. 6.9. Struttura dati per l'inoltro su un tunnel L2TP

Il computer ricevente riceve i dati, elabora l'intestazione e la terminazione PPP ed elimina l'intestazione IP. L'autenticazione IPSec autentica il campo delle informazioni IP e l'intestazione ESP IPSec aiuta a decrittografare il pacchetto.

Il computer quindi elabora l'intestazione UDP e utilizza l'intestazione L2TP per identificare il tunnel. Il pacchetto PPP ora contiene solo il payload, che viene elaborato o inoltrato al destinatario specificato.

IPsec (abbreviazione di IP Security) è un insieme di protocolli per la protezione dei dati trasmessi su Internet Protocol (IP), che consente l'autenticazione e/o la crittografia dei pacchetti IP. IPsec include anche protocolli per lo scambio di chiavi sicuro su Internet.

La sicurezza IPSec è ottenuta tramite protocolli aggiuntivi che aggiungono le proprie intestazioni al pacchetto IP - incapsulamenti. Perché IPSec è uno standard Internet, quindi ci sono documenti RFC per questo:

    RFC 2401 (Architettura di sicurezza per il protocollo Internet) - Architettura di sicurezza per il protocollo Internet.

    RFC 2402 (intestazione di autenticazione IP) - Intestazione di autenticazione IP.

    RFC 2404 (l'uso di HMAC-SHA-1-96 all'interno di ESP e AH) - Utilizzo dell'algoritmo di hashing SHA-1 per creare un'intestazione di autenticazione.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - l'uso dell'algoritmo di crittografia DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - crittografia dei dati.

    RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) è l'ambito del protocollo di gestione delle chiavi.

    RFC 2408 (Internet Security Association e Key Management Protocol (ISAKMP)) - Gestione di chiavi e autenticatori per connessioni sicure.

    RFC 2409 (Internet Key Exchange (IKE)) - Scambio di chiavi.

    RFC 2410 (l'algoritmo di crittografia NULL e il suo utilizzo con IPsec) - l'algoritmo di crittografia null e il suo utilizzo.

    RFC 2411 (IP Security Document Roadmap) è un ulteriore sviluppo dello standard.

    RFC 2412 (The OAKLEY Key Determination Protocol) - Verifica dell'autenticità di una chiave.

IPsec è parte integrante del protocollo Internet IPv6 ed è un'estensione opzionale della versione IPv4 del protocollo Internet.

Il meccanismo IPSec risolve i seguenti compiti:

    autenticazione di utenti o computer durante l'inizializzazione di un canale protetto;

    crittografia e autenticazione dei dati trasmessi tra gli endpoint di un canale sicuro;

    Fornisci automaticamente agli endpoint del canale le chiavi segrete necessarie per i protocolli di autenticazione e crittografia dei dati.

Componenti IPSec

Il protocollo AH (Authentication Header) è un protocollo di intestazione di autenticazione. Garantisce l'integrità verificando che nessun bit nella parte protetta del pacchetto sia stato modificato durante la trasmissione. Tuttavia, l'utilizzo di AH può causare problemi, ad esempio, quando il pacchetto attraversa un dispositivo NAT. NAT modifica l'indirizzo IP del pacchetto per consentire l'accesso a Internet da un indirizzo locale privato. Perché In questo caso, il pacchetto cambierà, quindi il checksum AH diventerà errato (per eliminare questo problema, è stato sviluppato il protocollo NAT-Traversal (NAT-T), che fornisce la trasmissione ESP su UDP e utilizza la porta UDP 4500 nel suo lavoro ). Vale anche la pena notare che AH è stato progettato solo per l'integrità. Non garantisce la riservatezza crittografando il contenuto del pacchetto.

Il protocollo ESP (Encapsulation Security Payload) fornisce non solo l'integrità e l'autenticazione dei dati trasmessi, ma anche la crittografia dei dati, nonché la protezione contro la riproduzione fraudolenta dei pacchetti.

ESP è un protocollo di sicurezza incapsulante che fornisce integrità e riservatezza. In modalità di trasporto, l'intestazione ESP si trova tra l'intestazione IP originale e l'intestazione TCP o UDP. In modalità tunnel, l'intestazione ESP è posizionata tra la nuova intestazione IP e il pacchetto IP originale completamente crittografato.

Perché sia AH che ESP aggiungono le proprie intestazioni IP, ciascuna con il proprio numero di protocollo (ID), che può essere utilizzato per determinare cosa segue l'intestazione IP. Ogni protocollo, secondo la IANA (Internet Assigned Numbers Authority - l'organizzazione responsabile dello spazio degli indirizzi di Internet), ha il proprio numero (ID). Ad esempio, per TCP questo numero è 6 e per UDP - 17. Pertanto, è molto importante quando si lavora attraverso un firewall configurare i filtri in modo tale da consentire pacchetti con ID di protocollo AH e/o ESP.

L'ID protocollo 51 è impostato per indicare AH nell'intestazione IP e 50 per ESP.

ATTENZIONE: L'ID protocollo non è lo stesso del numero di porta.

Internet Key Exchange (IKE) è un protocollo IPsec standard utilizzato per proteggere le comunicazioni nelle reti private virtuali. Lo scopo di IKE è negoziare e consegnare in modo sicuro materiale identificato per una Security Association (SA).

SA è un termine IPSec per una connessione. Una SA stabilita (un canale sicuro chiamato "associazione sicura" o "associazione di sicurezza" - SA) include una chiave segreta condivisa e un insieme di algoritmi crittografici.

IKE ha tre scopi principali:

    Fornisce mezzi di autenticazione tra due endpoint VPN;

    stabilisce nuovi collegamenti IPSec (crea una coppia SA);

    gestisce i collegamenti esistenti.

IKE utilizza la porta UDP 500. Quando si utilizza NAT Traversal, come accennato in precedenza, IKE utilizza la porta UDP 4500.

Lo scambio di dati in IKE avviene in 2 fasi. Nella prima fase viene costituita una IKE SA. In questo caso, gli endpoint del canale vengono autenticati e vengono selezionati i parametri di protezione dei dati, come l'algoritmo di crittografia, la chiave di sessione, ecc.

Nella seconda fase della SA, IKE viene utilizzato per la negoziazione del protocollo (solitamente IPSec).

Quando viene configurato un tunnel VPN, viene creata una coppia SA per ogni protocollo utilizzato. Le SA sono create in coppia perché ogni SA è una connessione unidirezionale e i dati devono essere inviati in due direzioni. Le coppie SA risultanti vengono archiviate su ciascun nodo.

Poiché ogni nodo è in grado di stabilire più tunnel con altri nodi, ogni SA ha un numero univoco per determinare a quale nodo appartiene. Questo numero è chiamato SPI (Security Parameter Index) o indice dei parametri di sicurezza.

SA archiviata in un database (DB) TRISTE(Banca dati dell'Associazione per la sicurezza).

Ogni nodo IPSec ha anche un secondo DB - SPD(Security Policy Database) - database della politica di sicurezza. Contiene il criterio del sito configurato. La maggior parte delle soluzioni VPN consente la creazione di più policy con combinazioni di algoritmi idonei per ogni nodo a cui ci si vuole connettere.

La flessibilità di IPSec risiede nel fatto che per ogni attività esistono diversi modi per risolverla e i metodi scelti per un'attività di solito non dipendono dai metodi per l'implementazione di altre attività. Allo stesso tempo, il gruppo di lavoro IETF ha definito un set di base di funzioni e algoritmi supportati che dovrebbero essere implementati in modo coerente in tutti i prodotti che supportano IPSec. I meccanismi AH ed ESP possono essere utilizzati con una varietà di schemi di autenticazione e crittografia, alcuni dei quali sono obbligatori. Ad esempio, IPSec specifica che i pacchetti vengono autenticati utilizzando MD5 unidirezionale o SHA-1 unidirezionale e che la crittografia viene eseguita utilizzando DES. I produttori di prodotti che eseguono IPSec possono aggiungere altri algoritmi di autenticazione e crittografia. Ad esempio, alcuni prodotti supportano algoritmi di crittografia come 3DES, Blowfish, Cast, RC5, ecc.

Qualsiasi algoritmo di crittografia simmetrica che utilizza chiavi segrete può essere utilizzato per crittografare i dati in IPSec.

I protocolli di protezione del flusso (AH ed ESP) possono funzionare in due modalità: in modalità di trasporto e in modalità tunnel... Quando si opera in modalità di trasporto, IPsec funziona solo con le informazioni del livello di trasporto, ad es. viene crittografato solo il campo dati del pacchetto contenente i protocolli TCP/UDP (l'intestazione del pacchetto IP non viene modificata (non crittografata)). La modalità di trasporto viene in genere utilizzata per stabilire una connessione tra host.

La modalità di tunneling crittografa l'intero pacchetto IP, inclusa l'intestazione del livello di rete. Per essere trasmesso in rete, viene inserito in un altro pacchetto IP. È essenzialmente un tunnel IP sicuro. La modalità tunnel può essere utilizzata per connettere computer remoti a una rete privata virtuale (schema di connessione "rete-host") o per organizzare la trasmissione sicura dei dati attraverso canali di comunicazione aperti (ad esempio Internet) tra gateway per combinare diverse parti di un privato virtuale rete ("rete -rete").

Le modalità IPsec non si escludono a vicenda. Sullo stesso nodo, alcune SA possono utilizzare la modalità di trasporto mentre altre utilizzano la modalità tunnel.

Durante la fase di autenticazione viene calcolato il checksum ICV (Integrity Check Value) del pacchetto. Ciò presuppone che entrambi i nodi conoscano la chiave segreta, che consente al destinatario di calcolare l'ICV e confrontarlo con il risultato inviato dal mittente. Se il confronto ICV ha esito positivo, il mittente del pacchetto è considerato autenticato.

Nella modalità trasportoAH

    l'intero pacchetto IP, ad eccezione di alcuni campi nell'intestazione IP che possono essere modificati durante il transito. Questi campi, che sono 0 per il calcolo ICV, possono essere Type of Service (TOS), flag, chunk offset, time to live (TTL) e intestazione checksum;

    tutti i campi in AH;

    payload di pacchetti IP.

AH in modalità di trasporto protegge l'intestazione IP (ad eccezione dei campi che possono essere modificati) e il payload nel pacchetto IP originale (Figura 3.39).

In modalità tunnel, il pacchetto originale viene inserito in un nuovo pacchetto IP e la trasmissione dei dati viene eseguita in base all'intestazione del nuovo pacchetto IP.

Per modalità tunnelAH Durante il calcolo, il checksum ICV include i seguenti componenti:

    tutti i campi nell'intestazione IP esterna, ad eccezione di alcuni campi nell'intestazione IP, che possono essere modificati durante il transito. Questi campi, che sono 0 per il calcolo ICV, possono essere Type of Service (TOS), flag, chunk offset, time to live (TTL) e intestazione checksum;

    tutti i campi AH;

    pacchetto IP originale.

Come puoi vedere nella seguente illustrazione, la modalità di tunneling AH protegge l'intero pacchetto IP originale con un'intestazione esterna aggiuntiva che non viene utilizzata nella modalità di trasporto AH:

Riso. 6.10. Tunnel e modalità di trasporto del protocollo AN

Nella modalità trasportoESP non autentica l'intero pacchetto, ma protegge solo il payload IP. L'intestazione ESP in modalità di trasporto ESP viene aggiunta al pacchetto IP immediatamente dopo l'intestazione IP e l'estremità ESP (ESP Trailer) viene aggiunta dopo i dati.

La modalità di trasporto ESP crittografa le seguenti parti del pacchetto:

    carico utile IP;

Un algoritmo di crittografia che utilizza Cipher Block Chaining (CBC) ha un campo non crittografato tra l'intestazione ESP e il payload. Questo campo è chiamato il vettore di inizializzazione (IV) per il calcolo CBC che viene eseguito sul ricevitore. Poiché questo campo viene utilizzato per avviare il processo di decrittazione, non può essere crittografato. Nonostante il fatto che l'attaccante abbia la capacità di visualizzare l'IV, non sarà in grado di decifrare la parte crittografata del pacchetto senza la chiave di crittografia. Per impedire agli intrusi di modificare il vettore di inizializzazione, è protetto dal checksum ICV. In questo caso, ICV esegue i seguenti calcoli:

    tutti i campi nell'intestazione ESP;

    carico utile incluso testo in chiaro IV;

    tutti i campi in ESP Trailer tranne il campo dei dati di autenticazione.

La modalità tunnel ESP incapsula l'intero pacchetto IP originale nella nuova intestazione IP, intestazione ESP e trailer ESP. Per indicare che ESP è presente nell'intestazione IP, l'identificatore del protocollo IP è impostato su 50, lasciando invariati l'intestazione IP originale e il payload. Come con la modalità tunnel AH, l'intestazione IP esterna si basa sulla configurazione del tunnel IPSec. Nel caso di utilizzo della modalità tunnel ESP, l'area di autenticazione del pacchetto IP mostra dove è stata firmata la firma, confermandone l'integrità e l'autenticità, e la parte crittografata indica che l'informazione è sicura e riservata. L'intestazione originale è posizionata dopo l'intestazione ESP. Dopo che la parte crittografata è stata incapsulata in una nuova intestazione del tunnel non crittografata, il pacchetto IP viene trasmesso. Quando viene inviato su una rete pubblica, tale pacchetto viene instradato all'indirizzo IP del gateway della rete ricevente e il gateway decodifica il pacchetto e scarta l'intestazione ESP utilizzando l'intestazione IP originale per instradare il pacchetto a un computer sulla rete interna Rete. La modalità tunnel ESP crittografa le seguenti parti del pacchetto:

    pacchetto IP originale;

  • Per la modalità tunnel ESP, l'ICV viene calcolato come segue:

    tutti i campi nell'intestazione ESP;

    pacchetto IP originale con testo in chiaro IV;

    tutti i campi di intestazione ESP ad eccezione del campo dei dati di autenticazione.

Riso. 6.11. Tunnel ESP e modalità di trasporto

Riso. 6.12. Confronto tra i protocolli ESP e AH

Riepilogo applicazione modalitàIPsec:

    Protocollo - ESP (AH).

    Modalità - tunnel (trasporto).

    Metodo di scambio delle chiavi - IKE (manuale).

    Modalità IKE - principale (aggressiva).

    Tasto DH - gruppo 5 (gruppo 2, gruppo 1) - numero di gruppo per selezionare chiavi di sessione generate dinamicamente, lunghezza del gruppo.

    Autenticazione - SHA1 (SHA, MD5).

    Crittografia - DES (3DES, Blowfish, AES).

Quando si crea una policy, di solito è possibile creare un elenco ordinato di algoritmi e gruppi Diffie-Hellman. Diffie-Hellman (DH) è un protocollo di crittografia utilizzato per stabilire chiavi segrete condivise per IKE, IPSec e PFS (Perfect Forward Secrecy). In questo caso, verrà utilizzata la prima posizione che corrisponde su entrambi i nodi. È molto importante che tutto nella politica di sicurezza consenta questa sovrapposizione. Se, ad eccezione di una parte della politica, tutto il resto corrisponde, i peer non saranno comunque in grado di stabilire una connessione VPN. Quando si configura un tunnel VPN tra sistemi diversi, è necessario scoprire quali algoritmi sono supportati da ciascuna parte in modo da poter scegliere la politica più sicura possibile.

Le principali impostazioni che la policy di sicurezza include:

    Algoritmi simmetrici per cifrare/decifrare dati.

    Checksum crittografici per il controllo dell'integrità dei dati.

    Metodo di identificazione dell'ospite. I metodi più comuni sono i segreti pre-condivisi oi certificati CA.

    Se utilizzare la modalità tunnel o la modalità di trasporto.

    Quale gruppo Diffie-Hellman utilizzare (gruppo DH 1 (768 bit); gruppo DH 2 (1024 bit); gruppo DH 5 (1536 bit)).

    Se utilizzare AH, ESP o entrambi.

    Se usare PFS.

Il limite di IPSec è che supporta solo il trasferimento di dati a livello di protocollo IP.

Esistono due schemi principali per l'utilizzo di IPSec, che differiscono per il ruolo dei nodi che formano il canale protetto.

Nel primo schema, viene formato un canale sicuro tra gli host finali della rete. In questo schema, IPSec protegge l'host in esecuzione:

Riso. 6.13. Crea un canale sicuro tra due endpoint

Nel secondo schema, viene stabilito un canale sicuro tra due Security Gateway. Questi gateway ricevono dati dagli host finali connessi alle reti dietro i gateway. In questo caso gli host finali non supportano il protocollo IPSec, il traffico diretto alla rete pubblica passa attraverso il Security Gateway, che protegge per proprio conto.

Riso. 6.14. Creazione di un canale sicuro tra due gateway

Per gli host che supportano IPSec, è possibile utilizzare sia la modalità di trasporto che quella di tunnel. Per i gateway è consentita solo la modalità tunnel.

Installazione e supportoVPN

Come accennato in precedenza, l'impostazione e la manutenzione di un tunnel VPN è un processo in due fasi. Nella prima fase (fase), i due nodi concordano un metodo di identificazione, algoritmo di crittografia, algoritmo di hash e gruppo Diffie-Hellman. Si identificano anche a vicenda. Tutto ciò può avvenire a seguito dello scambio di tre messaggi in chiaro (la cosiddetta modalità aggressiva, Aggressivo modalità) o sei messaggi, con scambio di informazioni di identificazione crittografate (modalità standard, Principale modalità).

In Main Mode è possibile concordare tutti i parametri di configurazione dei dispositivi mittente e ricevitore, mentre in Aggressive Mode ciò non è possibile e alcuni parametri (gruppo Diffie-Hellman, algoritmi di crittografia e autenticazione, PFS) devono essere preconfigurati nella stesso modo su ogni dispositivo. Tuttavia, in questa modalità, sia il numero di scambi che il numero di pacchetti inviati contemporaneamente sono inferiori, per cui è necessario meno tempo per stabilire una sessione IPSec.

Riso. 6.15. Messaggistica in modalità standard (a) e aggressiva (b)

Supponendo che l'operazione venga completata con successo, viene creata la prima fase SA - Fase 1 SA(chiamato anche IKESA) e il processo passa alla seconda fase.

Nella seconda fase, vengono generati i dati chiave, i nodi concordano sulla politica da utilizzare. Questa modalità, chiamata anche modalità Quick, differisce dalla prima fase in quanto può essere stabilita solo dopo la prima fase, quando tutti i pacchetti della seconda fase sono crittografati. Il corretto completamento della seconda fase porta alla comparsa Fase 2 SA o IPsecSA e questo completa l'installazione del tunnel.

Innanzitutto, un pacchetto arriva a un nodo con un indirizzo di destinazione in un'altra rete e il nodo avvia la prima fase con il nodo responsabile dell'altra rete. Diciamo che un tunnel tra i nodi è stato stabilito con successo ed è in attesa di pacchetti. Tuttavia, i nodi devono identificarsi nuovamente e confrontare le politiche per un periodo di tempo. Questo periodo è chiamato durata della Fase Uno o durata di IKE SA.

I nodi devono inoltre modificare la propria chiave di crittografia in un periodo di tempo denominato durata della fase due o durata di IPSec SA.

La durata della fase due è più breve di quella della prima fase, perché la chiave deve essere cambiata più spesso. È necessario impostare gli stessi parametri di durata per entrambi i nodi. Se non lo fai, è possibile che il tunnel venga inizialmente stabilito con successo, ma dopo la scadenza del primo periodo di tempo incoerente per vivere, la connessione verrà interrotta. Possono sorgere problemi anche quando la durata della prima fase è inferiore a quella della seconda fase. Se un tunnel precedentemente configurato smette di funzionare, la prima cosa da controllare è la durata di entrambi i nodi.

Va inoltre notato che quando si modifica la policy su uno dei nodi, le modifiche avranno effetto solo al successivo inizio della prima fase. Affinché le modifiche abbiano effetto immediato, la SA per questo tunnel deve essere rimossa dal database SAD. Ciò forzerà una rinegoziazione dell'accordo tra i nodi con le nuove impostazioni dei criteri di sicurezza.

A volte, quando si configura un tunnel IPSec tra apparecchiature di produttori diversi, si verificano difficoltà associate alla negoziazione dei parametri quando si stabilisce la prima fase. Dovresti prestare attenzione a un parametro come Local ID - questo è un identificatore univoco dell'endpoint del tunnel (mittente e destinatario). Ciò è particolarmente importante quando si creano più tunnel e si utilizza il protocollo NAT Traversal.

MortoParirilevamento

Durante il funzionamento della VPN, in assenza di traffico tra gli endpoint del tunnel, o quando i dati originali del nodo remoto cambiano (ad esempio, cambiando l'indirizzo IP assegnato dinamicamente), può verificarsi una situazione in cui il tunnel sostanzialmente non è più tale , diventando come un tunnel fantasma... Al fine di mantenere una disponibilità costante per lo scambio di dati nel tunnel IPSec creato, il meccanismo IKE (descritto in RFC 3706) consente di controllare la presenza di traffico dal nodo del tunnel remoto e, se è assente per un tempo specificato, un saluto messaggio viene inviato (nei firewall D-Link invia il messaggio "DPD-RU-THERE"). Se non c'è risposta a questo messaggio per un certo tempo, nei firewall D-Link specificati dalle impostazioni "DPD Expire Time", il tunnel viene smantellato. Firewall D-Link quindi utilizzando il "DPD Keep Time" ( Riso. 6.18) tenta automaticamente di ripristinare il tunnel.

ProtocolloNATtraversata

Il traffico IPsec può essere instradato secondo le stesse regole degli altri protocolli IP, ma poiché un router non può sempre recuperare informazioni specifiche per i protocolli del livello di trasporto, IPsec non può passare attraverso i gateway NAT. Come accennato in precedenza, per risolvere questo problema, l'IETF ha definito un modo per incapsulare ESP in UDP chiamato NAT-T (NAT Traversal).

NAT Traversal incapsula il traffico IPSec e contemporaneamente crea pacchetti UDP che NAT inoltra correttamente. Per fare ciò, NAT-T inserisce un'intestazione UDP aggiuntiva davanti al pacchetto IPSec in modo che venga trattato come un normale pacchetto UDP in tutta la rete e l'host destinatario non esegua alcun controllo di integrità. Una volta che il pacchetto arriva a destinazione, l'intestazione UDP viene rimossa e il pacchetto di dati continua il suo percorso come pacchetto IPSec incapsulato. Pertanto, utilizzando il meccanismo NAT-T, è possibile stabilire la comunicazione tra client IPSec su reti sicure e host IPSec pubblici tramite firewall.

Quando si configurano i firewall D-Link nel dispositivo destinatario, è necessario notare due elementi:

    nei campi Rete remota ed Endpoint remoto, specificare la rete e l'indirizzo IP del dispositivo di invio remoto. È necessario consentire la traduzione dell'indirizzo IP dell'iniziatore (mittente) utilizzando la tecnologia NAT (Figura 3.48).

    Quando si utilizzano chiavi condivise con più tunnel connessi allo stesso firewall remoto che sono stati NAT allo stesso indirizzo, è importante assicurarsi che l'ID locale sia univoco per ciascun tunnel.

Locale ID può essere uno tra:

    Auto- l'indirizzo IP dell'interfaccia di traffico in uscita viene utilizzato come identificatore locale.

    IP- Indirizzo IP della porta WAN del firewall remoto

    DNS- Indirizzo DNS

Principali articoli correlati

I migliori programmi per creare musica di base ed elettronica
I migliori programmi per creare musica di base ed elettronica
Struttura generale dei file del tema
Struttura generale dei file del tema
Principi di base dell'uso del colore nel web design
Principi di base dell'uso del colore nel web design
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.