Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Programe
  • Pentru ce este folosită rețeaua privată virtuală vpn. Ce este VPN și de ce este necesar

Pentru ce este folosită rețeaua privată virtuală vpn. Ce este VPN și de ce este necesar

12.08.2019 Programe

VPN (Virtual Private Network) este o rețea privată virtuală.

În termeni generali, un VPN este un canal complet securizat care conectează dispozitivul tău cu acces la Internet la orice alt canal din rețeaua globală. Dacă este și mai simplu, îți poți imagina mai figurat: fără a te conecta la un serviciu VPN, computerul tău (laptop, telefon, televizor sau orice alt dispozitiv) atunci când intră online este ca o casă privată neîmprejmuită. Oricând, oricine poate sparge intenționat sau accidental copaci, călca în picioare paturile din grădina ta. Folosind un VPN, casa ta se transformă într-o fortăreață inexpugnabilă, care va fi pur și simplu imposibil de spart.

Cum functioneaza?

Principiul funcționării VPN este simplu și transparent pentru utilizatorul final. În momentul în care intri online, se creează un „tunel” virtual între dispozitivul tău și restul internetului, blocând orice încercare din exterior de a intra în interior. Operarea VPN rămâne complet transparentă și invizibilă pentru dvs. Corespondența dvs. personală, de afaceri, Skype sau conversațiile telefonice nu pot fi în niciun fel interceptate sau auzite. Toate datele dumneavoastră sunt criptate folosind un algoritm de criptare special, care este aproape imposibil de spart.

Pe lângă protecția împotriva intruziunilor din exterior, VPN oferă posibilitatea de a vizita temporar orice țară din lume și de a utiliza resursele de rețea ale acestor țări, de a viziona canale TV care anterior nu erau disponibile. VPN-ul vă va înlocui adresa IP cu oricare alta. Pentru a face acest lucru, trebuie doar să selectați o țară din lista propusă, de exemplu Țările de Jos și toate site-urile și serviciile la care veți merge vor „crede” automat că vă aflați în această țară.

De ce nu anonimizator sau proxy?

Se pune întrebarea: de ce să nu folosiți pur și simplu un fel de anonimizat sau server proxy în rețea, pentru că falsifică și adresa IP? Totul este foarte simplu - niciunul dintre serviciile menționate mai sus nu oferă protecție, sunteți încă „vizibil” pentru intruși și, prin urmare, toate datele pe care le schimbați pe Internet. Și, în plus, lucrul cu servere proxy necesită o anumită abilitate din partea dvs. pentru a seta setări precise. VPN funcționează după următorul principiu: „Conectează-te și lucrează”, nu necesită setări suplimentare. Întregul proces de conectare durează câteva minute și este foarte simplu.

Despre VPN-urile gratuite

Când alegeți, rețineți că VPN-urile gratuite au aproape întotdeauna restricții privind cantitatea de trafic și rata de transfer de date. Aceasta înseamnă că poate exista o situație în care pur și simplu nu puteți continua să utilizați VPN-ul gratuit. Nu uitați că VPN-urile gratuite nu sunt întotdeauna stabile și sunt adesea supraîncărcate. Chiar dacă limita dvs. nu este depășită, transferul de date poate fi amânat pentru o perioadă lungă de timp din cauza încărcării mari a serverului VPN. Serviciile VPN plătite se disting prin lățime de bandă mare, fără restricții atât asupra traficului, cât și asupra vitezei, iar nivelul de securitate este mai ridicat decât cel al celor gratuite.

Unde sa încep?

Majoritatea serviciilor VPN oferă o oportunitate de a testa calitatea gratuit pentru o perioadă scurtă. Perioada de testare poate fi de la câteva ore la câteva zile. În timpul testării, de obicei obțineți acces complet la toate funcționalitățile serviciului VPN. Serviciul nostru face posibilă găsirea unor astfel de servicii VPN prin linkul:

VPN (Virtual Private Network) sau în traducere în limba rusă rețeaua privată virtuală este o tehnologie care vă permite să combinați dispozitivele computerizate în rețele securizate pentru a oferi utilizatorilor lor un canal criptat și acces anonim la resursele de pe Internet.

În companii, VPN este folosit în principal pentru a combina mai multe sucursale situate în diferite orașe sau chiar părți ale lumii într-o singură rețea locală. Angajații unor astfel de companii, folosind VPN, pot folosi toate resursele care se află în fiecare ramură ca local propriu, situat lângă ei. De exemplu, puteți imprima un document pe o imprimantă situată într-o altă sucursală cu un singur clic.

Pentru utilizatorii obișnuiți de internet, VPN-ul este util atunci când:

  • site-ul a fost blocat de furnizor, dar trebuie să intri;
  • de multe ori trebuie să utilizeze sisteme bancare și de plată online și doresc să protejeze datele de eventuale furturi;
  • serviciul funcționează doar pentru Europa, iar tu în Rusia nu te deranjează să asculți muzică pe LastFm;
  • nu doriți ca site-urile pe care le vizitați să vă urmărească datele;
  • nu există router, dar este posibil să conectați două computere la o rețea locală pentru a oferi ambelor acces la Internet.

Cum funcționează VPN

VPN-urile funcționează printr-un tunel pe care îl stabilesc între computerul dvs. și un server la distanță. Toate datele transmise prin acest tunel sunt criptate.

Poate fi gândit ca un tunel obișnuit, care se găsește pe autostrăzi, așezat doar prin Internet între două puncte - un computer și un server. În acest tunel, datele, cum ar fi mașinile, trec între puncte cu cea mai mare viteză posibilă. La intrare (pe computerul utilizatorului), aceste date sunt criptate și merg în această formă către destinatar (la server), în acest moment sunt decriptate și interpretate: fișierul este descărcat, se trimite o solicitare către site, etc. După care datele primite sunt din nou criptate pe server și prin tunel sunt trimise înapoi la computerul utilizatorului.

Pentru accesul anonim la site-uri și servicii este suficientă o rețea formată dintr-un computer (tabletă, smartphone) și un server.

În general, schimbul de date prin VPN arată astfel:

  1. Se creează un tunel între computerul utilizatorului și server cu software-ul de creare VPN instalat. De exemplu, OpenVPN.
  2. În aceste programe, o cheie (parolă) este generată pe server și pe computer pentru a cripta/decripta datele.
  3. Solicitarea este generată pe computer și criptată folosind cheia creată anterior.
  4. Datele criptate sunt transmise prin tunel către server.
  5. Datele care au venit din tunel către server sunt decriptate și solicitarea este executată - trimiterea unui fișier, intrarea pe site, pornirea serviciului.
  6. Serverul pregătește răspunsul, îl criptează înainte de a-l trimite și îl trimite înapoi utilizatorului.
  7. Computerul utilizatorului primește datele și le decriptează cu cheia care a fost generată anterior.

Dispozitivele incluse în VPN nu sunt legate geografic și pot fi localizate la orice distanță unele de altele.

Pentru un utilizator obișnuit al serviciilor de rețea privată virtuală, este suficient să înțeleagă că accesarea Internetului printr-un VPN reprezintă anonimat complet și acces nelimitat la orice resurse, inclusiv la cele care sunt blocate de furnizor sau sunt inaccesibile pentru țara ta.

Cine are nevoie de un VPN și de ce

Experții recomandă utilizarea unui VPN pentru a transfera orice date care nu ar trebui să ajungă în mâinile unor terțe părți - autentificări, parole, corespondență privată și de afaceri și lucrul cu Internet banking. Acest lucru este valabil mai ales atunci când utilizați puncte de acces deschise - WiFi în aeroporturi, cafenele, parcuri etc.

Tehnologia va fi de folos și celor care doresc să acceseze liber orice site și servicii, inclusiv cele blocate de furnizor sau deschise doar unui anumit cerc de persoane. De exemplu, Last.fm este disponibil gratuit numai pentru rezidenții din Statele Unite, Anglia și alte câteva țări europene. Utilizarea unui serviciu de muzică din Rusia va permite o conexiune VPN.

Diferențele dintre VPN și TOR, proxy și anonimizatori

VPN funcționează la nivel global pe computer și redirecționează activitatea tuturor software-ului instalat pe computer prin tunel. Orice solicitare – prin chat, browser, client de stocare în cloud (dropbox) etc., înainte de a ajunge la destinatar, trece prin tunel și este criptată. Dispozitivele intermediare „încurcă urmele” prin criptarea solicitărilor și le decriptează doar înainte de a le trimite destinatarului final. Destinatarul final al cererii, de exemplu, un site web, nu înregistrează datele utilizatorului - locația geografică etc., ci datele serverului VPN. Adică, teoretic este imposibil de urmărit ce site-uri a vizitat utilizatorul și ce solicitări a trimis printr-o conexiune sigură.

Într-o oarecare măsură, anonimizatorii, proxy-urile și TOR pot fi considerate analogi ale VPN-urilor, dar toate sunt oarecum inferioare rețelelor private virtuale.

Cum diferă VPN-ul de TOR

La fel ca VPN, tehnologia TOR presupune criptarea cererilor și transferul acestora de la utilizator la server și invers. Doar TOR nu creează tuneluri permanente, modalitățile de primire/transmitere a datelor se modifică cu fiecare acces, ceea ce reduce șansele de interceptare a pachetelor de date, dar nu are cel mai bun efect asupra vitezei. TOR este tehnologie gratuită și este susținută de entuziaști, așa că nu ar trebui să vă așteptați la o muncă stabilă. Mai simplu spus, vei putea accesa un site web blocat de furnizorul tău, dar va dura câteva ore sau chiar zile pentru a descărca video HD de pe acesta.

Cum diferă VPN-ul de proxy

Proxy-urile, prin analogie cu VPN-urile, redirecționează cererea către site, trecând-o prin servere intermediare. Este ușor să interceptați astfel de solicitări, deoarece schimbul de informații are loc fără nicio criptare.

Cum diferă VPN-ul de anonimizat

Anonymizer este o versiune simplificată a unui proxy care poate funcționa numai într-o filă deschisă de browser. Veți putea intra în pagină prin intermediul acesteia, dar nu veți putea profita de majoritatea posibilităților și nu este furnizată nicio criptare.

În ceea ce privește viteza, proxy-ul va câștiga din metodele de schimb indirect de date, deoarece nu prevede criptarea canalului de comunicație. Pe locul doi se află VPN, care oferă nu numai anonimat, ci și protecție. Al treilea loc este pentru anonimizatorul limitat să funcționeze într-o fereastră deschisă de browser. TOR este potrivit atunci când nu există timp și oportunitatea de a vă conecta la un VPN, dar nu ar trebui să contați pe procesarea de mare viteză a cererilor mari. Această gradație este valabilă pentru cazul în care se folosesc servere descărcate, care se află la aceeași distanță de cel testat.

Cum să vă conectați la internet cu un VPN

Zeci de servicii oferă servicii de acces VPN pe RuNet. Ei bine, în întreaga lume sunt probabil sute. Practic, toate serviciile sunt plătite. Costul variază de la câțiva dolari la câteva zeci de dolari pe lună. Experții care au o bună înțelegere a IT își creează singuri un server VPN, folosind servere în aceste scopuri, care sunt furnizate de diverși furnizori de găzduire. Costul unui astfel de server este de obicei de aproximativ 5 USD pe lună.

Dacă preferați o soluție plătită sau gratuită, depinde de cerințele și așteptările dumneavoastră. Ambele opțiuni vor funcționa - ascunde locația, schimbă ip, criptează datele în timpul transmisiei etc. - dar problemele cu viteza și accesul în serviciile plătite apar mult mai rar și se rezolvă mult mai rapid.

Tweet

Plus

Vă rugăm să activați JavaScript pentru a vizualiza

Tehnologia care creează o rețea logică într-o altă rețea a primit abrevierea „VPN”, care înseamnă literalmente „Virtual Private Network” în engleză. În termeni simpli, VPN include diferite metode de comunicare între dispozitive din cadrul unei alte rețele și oferă posibilitatea de a aplica diverse metode de protecție, ceea ce mărește semnificativ siguranța informațiilor schimbate între computere.

Și acest lucru este foarte important în lumea modernă, de exemplu, pentru rețelele marilor corporații comerciale și, desigur, pentru bănci. Mai jos sunt ghiduri detaliate despre cum să creați un VPN, instrucțiuni despre procedura de realizare a unei conexiuni VPN și cum să configurați corect conexiunea VPN creată.

Definiție

Pentru a înțelege mai ușor ce este un VPN, trebuie doar să știi ce poate face. Conexiunea VPN alocă un anumit sector în rețeaua existentă și toate calculatoarele și echipamentele digitale aflate în acesta sunt în comunicare constantă între ele. Dar cel mai important lucru este că acest sector este complet închis și protejat pentru toate celelalte dispozitive din rețeaua mare.

Cum să vă conectați VPN

În ciuda complexității inițial aparente a definiției VPN, crearea acesteia pe computere Windows și chiar și configurarea VPN în sine nu va prezenta prea multe dificultăți dacă există un ghid detaliat. Cerința principală este să urmați cu strictețe secvența strictă a următorilor pași:


În plus, se realizează configurarea VPN, ținând cont de diferitele nuanțe însoțitoare.

Cum configurez un VPN?

Este necesar să îl configurați ținând cont de caracteristicile individuale nu numai ale sistemului de operare, ci și ale operatorului care furnizează servicii de comunicații.

Windows XP

Pentru ca VPN din sistemul de operare Windows XP să își desfășoare activitatea cu succes, sunt necesari următorii pași secvențiali:


Apoi, atunci când operezi în mediul creat, poți folosi câteva funcții convenabile. Pentru a face acest lucru, trebuie să faceți următoarele:

Notă: Parametrii sunt introduși întotdeauna diferit, deoarece depind nu numai de server, ci și de furnizorul de servicii.

Windows 8

În acest sistem de operare, întrebarea cum să configurați un VPN nu ar trebui să cauzeze dificultăți deosebite, deoarece aici este aproape automatizat.

Secvența de acțiuni constă din următorii pași:

Apoi, trebuie să specificați opțiunile de rețea. În acest scop, efectuați următoarele acțiuni:


Notă: Introducerea setărilor poate varia semnificativ în funcție de configurația rețelei.

Windows 7

Procesul de realizare a setărilor în Windows 7 este simplu și accesibil chiar și pentru utilizatorii de computere fără experiență.

Pentru a le produce, un utilizator de Windows 7 trebuie să parcurgă următorii pași secvențiali:

Notă: pentru a funcționa corect, este necesară o selecție atentă individuală a tuturor parametrilor.

Android

Pentru a configura funcționarea normală a unui gadget Android într-un mediu VPN, trebuie să faceți câțiva pași:

Caracteristicile conexiunii

Această tehnologie include diferite tipuri de întârzieri în procedurile de transmitere a datelor. Întârzierile apar din cauza următorilor factori:

  1. Este nevoie de ceva timp pentru a stabili o conexiune;
  2. Există un proces constant de codificare a informațiilor transmise;
  3. blocuri de informații transmise.

Cele mai semnificative diferențe sunt prezente în tehnologia în sine, de exemplu, pentru VPN nu aveți nevoie de routere și linii separate. Pentru a funcționa eficient, aveți nevoie doar de acces la World Wide Web și la aplicațiile care oferă codificarea informațiilor.

Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un anumit mecanism care să satisfacă cel puțin următoarele sarcini:

    confidențialitatea informațiilor;

    integritatea datelor;

    disponibilitatea informațiilor;

Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network) - un nume generalizat pentru tehnologii care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (de exemplu, Internet) folosind criptarea (criptare, autentificare). , chei publice de infrastructură, mijloace de protecție împotriva repetărilor și modificărilor mesajelor transmise prin rețeaua logică).

Crearea unui VPN nu necesită investiții suplimentare și vă permite să renunțați la utilizarea liniilor închiriate. În funcție de protocoalele utilizate și de scop, VPN poate oferi conexiuni de trei tipuri: gazdă-gazdă, gazdă-net și net-net.

Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate geografic și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să puneți modemuri în fiecare ramură și să aranjați comunicațiile după cum este necesar. O astfel de soluție, totuși, nu este întotdeauna convenabilă și profitabilă - uneori aveți nevoie de o conexiune constantă și lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă la construirea unei singure rețele securizate, puteți utiliza conexiunile VPN ale tuturor filialelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.

Orez. 6.4. Conexiune VPN de la site la site

Orez. 6.5. VPN de la gazdă la rețea

În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.

Pericolul aici constă în faptul că, în primul rând, este disponibilă o rețea deschisă pentru atacurile atacatorilor din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în mod clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și în al treilea rând, datele nu pot fi doar interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator ar putea, de exemplu, să compromită integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.

Pentru a preveni acest lucru, soluțiile VPN folosesc instrumente precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a valida drepturile utilizatorului și a permite accesul VPN.

O conexiune VPN constă întotdeauna într-o legătură punct la punct, cunoscută și sub numele de tunel. Tunelul este creat într-o rețea nesecurizată, care este cel mai adesea Internet.

Tunnelarea sau încapsularea este o modalitate de transmitere a informațiilor utile printr-o rețea intermediară. Astfel de informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis în forma în care a fost generat de gazda expeditoare, ci este prevăzut cu un antet suplimentar care conține informații de rută care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt de-încapsulate și trimise destinatarului. De obicei, tunelul este creat de două dispozitive de margine situate la punctele de intrare în rețeaua publică. Unul dintre avantajele clare ale tunelului este că această tehnologie vă permite să criptați întregul pachet original, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ) ...

Deși un tunel VPN este stabilit între două puncte, fiecare nod poate stabili tuneluri suplimentare cu alte noduri. De exemplu, atunci când trei stații la distanță trebuie să comunice cu același birou, trei tuneluri VPN separate vor fi create pentru acel birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil deoarece gazda poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:

Orez. 6.6. Creați tuneluri VPN pentru mai multe locații la distanță

Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorului i se acordă acces la rețeaua internă.

Criptarea în sine nu are loc în interiorul rețelei private. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Același lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Astfel, criptarea este garantată doar pentru informațiile care sunt transmise pe un canal nesecurizat între birouri.

Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:

    PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în sistemele de operare Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.

    IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea Internet Engineering Task Force (IETF).

Protocoalele enumerate sunt acceptate de dispozitivele D-Link.

PPTP este destinat în primul rând rețelelor private virtuale dial-up. Protocolul permite accesul de la distanță, permițând utilizatorilor să stabilească conexiuni dial-up cu ISP-urile și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, PPTP nu a fost proiectat inițial pentru tuneluri LAN-to-LAN. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost dezvoltat inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.

PPTP vă permite să creați canale securizate pentru schimbul de date folosind diferite protocoale - IP, IPX, NetBEUI etc. Datele acestor protocoale sunt împachetate în cadre PPP, încapsulate folosind PPTP în pachete IP. Acestea sunt apoi transferate utilizând IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadre PPP din pachetele IP și apoi le procesează într-un mod standard, de exemplu. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este că sunt multi-protocoale. Acestea. protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele straturilor de rețea și aplicație. Prin urmare, în cadrul rețelei, puteți utiliza atât protocolul IP (ca și în cazul unui VPN bazat pe IPSec), cât și orice alt protocol ca transport.

În zilele noastre, datorită ușurinței sale de implementare, PPTP este utilizat pe scară largă atât pentru a obține un acces sigur și sigur la rețeaua corporativă, cât și pentru a accesa rețelele ISP-urilor atunci când un client trebuie să stabilească o conexiune PPTP cu un ISP pentru a accesa Internetul.

Metoda de criptare utilizată în PPTP este specificată la nivel PPP. De obicei, clientul PPP este un desktop Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este suficientă, deși este considerat mai puțin fiabil decât o serie de alți algoritmi de criptare oferiți de IPSec, în special, Standardul de criptare a datelor triple pe 168 de biți (3DES).

Cum se stabilește legăturaPPTP?

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control al tunelului pentru a menține legătura vie. Acest proces este realizat în stratul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.

Pe lângă conexiunea de control PPTP, este creată o conexiune de date tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea de informații a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de Layer 2 asociate în mod normal cu PPP, adică adaugă un antet PPP și un trailer la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE) care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Utilizează capacitatea PPTP de a crea o conexiune pentru a gestiona tunelul. Utilizarea GRE ca metodă de încapsulare restricționează câmpul de acțiune PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru antet GRE, acesta este încapsulat într-un cadru antet IP. Antetul IP conține adresele expeditorului și destinatarului pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Pe orez. 6.7 arată structura datelor pentru trimiterea prin tunelul PPTP:

Orez. 6.7. Structura de date tunel PPTP

Pentru a organiza un VPN bazat pe PPTP nu necesită costuri mari și setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să configurați setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de Internet sau un firewall cu suport PPTP: setările se fac numai pe routerul de frontieră (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Routerele de Internet multifuncționale din seria DIR / DSR și firewall-urile din seria DFL sunt exemple de astfel de dispozitive.

GRE-tunele

Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care tunelizează traficul prin rețele fără criptare. Exemple de utilizare a GRE:

    transmiterea traficului (inclusiv broadcast) prin echipamente care nu suportă un protocol anume;

    tunelarea traficului IPv6 printr-o rețea IPv4;

    transmiterea datelor prin rețele publice pentru a implementa o conexiune VPN sigură.

Orez. 6.8. Un exemplu de tunel GRE

Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE permite conectarea între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.

L2 TP

L2TP este rezultatul combinației dintre PPTP și L2F. Principalul avantaj al L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru gestionarea tunelului, cât și pentru transferul de date.

Ca și în cazul PPTP, L2TP începe asamblarea pachetului pentru transmiterea către tunel adăugând mai întâi antetul PPP, apoi antetul L2TP la câmpul de date de informații PPP. Pachetul rezultat este încapsulat UDP. În funcție de tipul de politică de securitate IPSec selectat, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați „L2TP peste IPSec”). Apoi este încapsulat în IP. Este adăugat un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date pentru redirecționarea printr-un tunel L2TP.

Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP

Calculatorul care primește datele, prelucrează antetul PPP și terminarea și dezactivează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.

Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar sarcina utilă, care este procesată sau redirecționată către destinatarul specificat.

IPsec (prescurtare de la IP Security) este un set de protocoale pentru securizarea datelor transmise prin Internet Protocol (IP), permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei prin Internet.

Securitatea IPSec este realizată prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulări. pentru că IPSec este un standard de internet, apoi există documente RFC pentru el:

    RFC 2401 (Arhitectura de securitate pentru Protocolul Internet) - Arhitectura de securitate pentru Protocolul Internet.

    RFC 2402 (antet de autentificare IP) - antet de autentificare IP.

    RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) - Utilizarea algoritmului de hashing SHA-1 pentru a crea un antet de autentificare.

    RFC 2405 (Algoritmul de criptare ESP DES-CBC cu explicit IV) - utilizarea algoritmului de criptare DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - criptarea datelor.

    RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de management al cheilor.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Gestionarea cheilor și a autentificatoarelor pentru conexiuni securizate.

    RFC 2409 (The Internet Key Exchange (IKE)) - Schimb de chei.

    RFC 2410 (Algoritmul de criptare NULL și utilizarea sa cu IPsec) - algoritmul de criptare nul și utilizarea acestuia.

    RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.

    RFC 2412 (Protocolul de determinare a cheii OAKLEY) - Verificarea autenticității unei chei.

IPsec este o parte integrantă a protocolului de internet IPv6 și este o extensie opțională a versiunii IPv4 a protocolului de internet.

Mecanismul IPSec rezolvă următoarele sarcini:

    autentificarea utilizatorilor sau computerelor la inițializarea unui canal securizat;

    criptarea și autentificarea datelor transmise între punctele finale ale unui canal securizat;

    Furnizați automat punctele finale de canal cu cheile secrete necesare pentru autentificare și protocoale de criptare a datelor.

componente IPSec

Protocolul AH (Authentication Header) este un protocol de antet de autentificare. Asigură integritatea prin verificarea faptului că niciun bit din porțiunea protejată a pachetului nu a fost modificat în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când pachetul traversează un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. pentru că În acest caz, pachetul se va schimba, apoi suma de control AH va deveni incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în activitatea sa ). De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.

Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva redării frauduloase a pachetelor.

ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP se află între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.

pentru că atât AH, cât și ESP își adaugă propriile anteturi IP, fiecare cu propriul număr de protocol (ID), care poate fi folosit pentru a determina ce urmează antetului IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă de spațiul de adrese al Internetului), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP - 17. Prin urmare, este foarte important atunci când lucrați printr-un firewall să configurați filtrele astfel încât să permită pachete cu ID-uri de protocol AH și/sau ESP.

ID-ul protocolului 51 este setat să indice AH în antetul IP și 50 pentru ESP.

ATENŢIE: ID-ul protocolului nu este același cu numărul portului.

Internet Key Exchange (IKE) este un protocol IPsec standard folosit pentru a securiza comunicațiile în rețelele private virtuale. Scopul IKE este de a negocia și de a livra în siguranță materiale identificate pentru o Asociație de Securitate (SA).

SA este un termen IPSec pentru o conexiune. Un SA stabilit (un canal securizat numit „asociere sigură” sau „asociere de securitate” - SA) include o cheie secretă partajată și un set de algoritmi criptografici.

IKE servește trei scopuri principale:

    Oferă mijloace de autentificare între două puncte finale VPN;

    stabilește noi legături IPSec (creează o pereche SA);

    gestionează legăturile existente.

IKE folosește portul UDP 500. Când utilizați NAT Traversal, așa cum sa menționat mai devreme, IKE folosește portul UDP 4500.

Schimbul de date în IKE are loc în 2 faze. In prima faza se infiinteaza o IKE SA. În acest caz, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi algoritmul de criptare, cheia de sesiune etc.

În a doua fază a SA, IKE este utilizat pentru negocierea protocolului (de obicei IPSec).

Când este configurat un tunel VPN, este creată o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi deoarece fiecare SA este o conexiune unidirecțională, iar datele trebuie trimise în două direcții. Perechile SA rezultate sunt stocate pe fiecare nod.

Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a determina nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index) sau indexul parametrilor de securitate.

SA stocat într-o bază de date (DB) TRIST(Baza de date Asociația de Securitate).

Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) - baza de date a politicii de securitate. Conține politica de site configurată. Majoritatea soluțiilor VPN permit crearea de politici multiple cu combinații de algoritmi adecvați pentru fiecare nod la care doriți să vă conectați.

Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe moduri de a o rezolva, iar metodele alese pentru o sarcină de obicei nu depind de metodele de implementare a altor sarcini. În același timp, grupul de lucru IETF a definit un set de bază de funcții și algoritmi suportați care ar trebui implementați în mod consecvent în toate produsele care acceptă IPSec. Mecanismele AH și ESP pot fi utilizate cu o varietate de scheme de autentificare și criptare, dintre care unele sunt necesare. De exemplu, IPSec specifică că pachetele sunt autentificate folosind fie MD5 unidirecțional, fie SHA-1 unidirecțional, iar criptarea se face folosind DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.

Orice algoritm de criptare simetrică care utilizează chei secrete poate fi utilizat pentru a cripta datele în IPSec.

Protocoalele de protecție a fluxului (AH și ESP) pot funcționa în două moduri - în mod de transport si in modul de tunel... Când funcționează în modul de transport, IPsec funcționează numai cu informații despre stratul de transport, de exemplu. numai câmpul de date al pachetului care conține protocoalele TCP / UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili o conexiune între gazde.

Modul de tunel criptează întregul pachet IP, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. Este în esență un tunel IP securizat. Modul tunel poate fi folosit pentru a conecta computere la distanță la o rețea privată virtuală (schema de conexiune „rețea gazdă”) sau pentru a organiza transmisia securizată de date prin canale de comunicație deschise (de exemplu, Internet) între gateway-uri pentru a combina diferite părți ale unui privat virtual. rețea ("network -net").

Modurile IPsec nu se exclud reciproc. Pe același nod, unele SA pot folosi modul de transport, în timp ce altele folosesc modul tunel.

În timpul fazei de autentificare, se calculează suma de control ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite receptorului să calculeze ICV și să o compare cu rezultatul trimis de expeditor. Dacă compararea ICV are succes, expeditorul pachetului este considerat autentificat.

În modul transportAH

    întregul pachet IP, cu excepția unor câmpuri din antetul IP care pot fi modificate în tranzit. Aceste câmpuri, care sunt 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, offset-ul fragmentelor, timpul de viață (TTL) și antetul sumei de control;

    toate câmpurile din AH;

    sarcina utilă de pachete IP.

AH în modul de transport protejează antetul IP (cu excepția câmpurilor care pot fi modificate) și sarcina utilă din pachetul IP original (Figura 3.39).

În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transmisia datelor se realizează pe baza antetului noului pachet IP.

Pentru modul tunelAH La calcul, suma de control ICV include următoarele componente:

    toate câmpurile din antetul IP exterior, cu excepția unor câmpuri din antetul IP, care pot fi modificate în tranzit. Aceste câmpuri, care sunt 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, offset-ul fragmentelor, timpul de viață (TTL) și antetul sumei de control;

    toate câmpurile AH;

    pachetul IP original.

După cum puteți vedea în următoarea ilustrație, modul de tunel AH protejează întregul pachet IP original cu un antet exterior suplimentar care nu este utilizat în modul de transport AH:

Orez. 6.10. Tunel și moduri de transport ale protocolului AN

În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar finalul ESP (Trailer ESP) este adăugat după date.

Modul de transport ESP criptează următoarele părți ale pachetului:

    sarcină utilă IP;

Un algoritm de criptare care utilizează modul Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește Vector de Inițializare (IV) pentru calculul CBC care este efectuat la receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. În ciuda faptului că atacatorul are capacitatea de a vizualiza IV-ul, el nu va putea decripta partea criptată a pachetului fără cheia de criptare. Pentru a preveni intrușii să schimbe vectorul de inițializare, acesta este protejat de suma de control ICV. În acest caz, ICV efectuează următoarele calcule:

    toate câmpurile din antetul ESP;

    sarcină utilă, inclusiv text simplu IV;

    toate câmpurile din ESP Trailer, cu excepția câmpului de date de autentificare.

Modul tunel ESP încapsulează întregul pachet IP original în noul antet IP, antet ESP și Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul utilizării modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost semnată semnătura, confirmând integritatea și autenticitatea acesteia, iar partea criptată indică faptul că informația este sigură și confidențială. Antetul original este plasat după antetul ESP. După ce porțiunea criptată este încapsulată într-un nou antet de tunel care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, un astfel de pachet este direcționat către adresa IP a gateway-ului rețelei de primire, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa pachetul către un computer pe sistemul intern. reţea. Modul tunel ESP criptează următoarele părți ale pachetului:

    pachetul IP original;

  • Pentru modul tunel ESP, ICV se calculează după cum urmează:

    toate câmpurile din antetul ESP;

    pachetul IP original, inclusiv text simplu IV;

    toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.

Orez. 6.11. Tunelul ESP și modul de transport

Orez. 6.12. Compararea protocoalelor ESP și AH

Modul Rezumat al aplicațieiIPSec:

    Protocol - ESP (AH).

    Mod - tunel (transport).

    Metoda de schimb de chei - IKE (manual).

    Modul IKE - principal (agresiv).

    Tasta DH - grupul 5 (grupul 2, grupul 1) - numărul grupului pentru a selecta cheile de sesiune generate dinamic, lungimea grupului.

    Autentificare - SHA1 (SHA, MD5).

    Criptare - DES (3DES, Blowfish, AES).

Când se creează o politică, este de obicei posibil să se creeze o listă ordonată de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, va fi folosită prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să permită această suprapunere. Dacă, cu excepția unei părți a politicii, totul se potrivește, colegii nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică posibilă.

Principalele setări pe care le include politica de securitate:

    Algoritmi simetrici pentru criptarea/decriptarea datelor.

    Sume de control criptografice pentru verificarea integrității datelor.

    Metoda de identificare a gazdei. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.

    Dacă folosiți modul tunel sau modul de transport.

    Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).

    Dacă folosiți AH, ESP sau ambele.

    Dacă să utilizați PFS.

Limitarea IPSec este că acceptă doar transferul de date la nivelul de protocol IP.

Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.

În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, IPSec protejează gazda care rulează:

Orez. 6.13. Creați un canal securizat între două puncte finale

În a doua schemă, se stabilește un canal securizat între două Gateway-uri de securitate. Aceste gateway-uri primesc date de la gazdele terminale conectate la rețelele din spatele gateway-urilor. În acest caz, gazdele finale nu acceptă protocolul IPSec, traficul direcționat către rețeaua publică trece prin Security Gateway, care protejează în nume propriu.

Orez. 6.14. Crearea unui canal securizat între două gateway-uri

Pentru gazdele care acceptă IPSec, pot fi utilizate atât modurile de transport, cât și cele de tunel. Pentru gateway-uri, este permis doar modul tunel.

Instalare si suportVPN

După cum am menționat mai sus, configurarea și întreținerea unui tunel VPN este un proces în doi pași. În prima fază (fază), cele două noduri convin asupra unei metode de identificare, algoritm de criptare, algoritm hash și grup Diffie-Hellman. De asemenea, se identifică reciproc. Toate acestea pot avea loc ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Principal modul).

În modul principal, este posibil să se convină asupra tuturor parametrilor de configurare ai dispozitivelor expeditor și receptor, în timp ce în modul agresiv acest lucru nu este posibil, iar unii parametri (grupul Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie preconfigurați în modul principal. același mod pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise în același timp sunt mai mici, drept urmare este nevoie de mai puțin timp pentru a stabili o sesiune IPSec.

Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).

Presupunând că operațiunea s-a încheiat cu succes, se creează prima fază SA - Fază 1 SA(numit si IKESA) iar procesul trece la a doua fază.

În a doua etapă, sunt generate datele cheie, nodurile convin asupra politicii care urmează să fie utilizate. Acest mod, numit și modul rapid, diferă de prima fază prin faptul că poate fi stabilit doar după prima fază, când toate pachetele din a doua fază sunt criptate. Finalizarea corectă a celei de-a doua faze duce la apariție Fază 2 SA sau IPSecSA iar asta finalizează instalarea tunelului.

Mai întâi, un pachet ajunge la un nod cu o adresă de destinație într-o altă rețea, iar nodul inițiază prima fază cu nodul care este responsabil pentru cealaltă rețea. Să presupunem că un tunel între noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile pe o perioadă de timp. Această perioadă se numește durata de viață Phase One sau durata de viață IKE SA.

Nodurile trebuie, de asemenea, să-și schimbe cheia de criptare pe o perioadă de timp numită durata de viață a fazei a doua sau durata de viață IPSec SA.

Durata de viață a fazei a doua este mai scurtă decât cea a primei faze, deoarece cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca tunelul să fie stabilit inițial cu succes, dar după prima perioadă inconsecventă de timp de viață, conexiunea va fi întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă un tunel configurat anterior nu mai funcționează, atunci primul lucru care trebuie verificat este durata de viață pe ambele noduri.

De asemenea, trebuie remarcat faptul că atunci când modificați politica pe unul dintre noduri, modificările vor intra în vigoare numai la următorul început al primei faze. Pentru ca modificările să intre în vigoare imediat, SA pentru acest tunel trebuie eliminat din baza de date SAD. Acest lucru va forța o renegociere a acordului dintre noduri cu noile setări ale politicii de securitate.

Uneori, la configurarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți asociate cu negocierea parametrilor la stabilirea primei faze. Ar trebui să acordați atenție unui astfel de parametru precum Local ID - acesta este un identificator unic al punctului final al tunelului (emițător și receptor). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.

MortPeerDetectare

În timpul funcționării VPN, în absența traficului între punctele terminale ale tunelului sau atunci când datele originale ale nodului la distanță se modifică (de exemplu, modificarea adresei IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență așa. , devenind ca un tunel fantomă... Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să controlați prezența traficului de la nodul tunelului de la distanță, iar dacă acesta este absent pentru un timp specificat, un salut. mesajul este trimis (în firewall-uri D-Link trimite mesajul „DPD-RU-THERE”). Dacă nu există niciun răspuns la acest mesaj pentru un anumit timp, în firewall-urile D-Link specificate de setările „DPD Expire Time”, tunelul este demontat. Firewall-urile D-Link utilizând apoi „DPD Keep Time” ( orez. 6.18) încearcă automat să restaureze tunelul.

ProtocolNATTraversare

Traficul IPsec poate fi rutat în conformitate cu aceleași reguli ca și alte protocoale IP, dar din moment ce un router nu poate prelua întotdeauna informații specifice protocoalelor stratului de transport, IPsec nu poate trece prin gateway-uri NAT. După cum am menționat mai devreme, pentru a aborda această problemă, IETF a definit o modalitate de a încapsula ESP în UDP numită NAT-T (NAT Traversal).

NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar în fața pachetului IPSec, astfel încât acesta să fie procesat ca un pachet UDP obișnuit în întreaga rețea și gazda destinatarului să nu efectueze verificări de integritate. Odată ce pachetul ajunge la destinație, antetul UDP este eliminat, iar pachetul de date își continuă drumul ca un pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibil să se stabilească comunicarea între clienții IPSec pe rețelele securizate și gazdele publice IPSec prin firewall-uri.

Când configurați firewall-urile D-Link în dispozitivul destinatar, trebuie remarcate două elemente:

    în câmpurile Rețea la distanță și Punct final la distanță, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (emițătorului) folosind tehnologia NAT (Figura 3.48).

    Când utilizați chei partajate cu mai multe tuneluri conectate la același firewall de la distanță care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.

Local ID poate fi unul dintre:

    Auto- adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.

    IP- Adresa IP a portului WAN al firewall-ului de la distanță

    DNS- adresa DNS

Top articole similare

Cele mai bune programe pentru crearea muzicii de bază și electronice
Cele mai bune programe pentru crearea muzicii de bază și electronice
Structura generală a fișierelor teme
Structura generală a fișierelor teme
Principii de bază ale utilizării culorii în design web
Principii de bază ale utilizării culorii în design web
Categorii:
© 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.