Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:
confidențialitatea informațiilor;
integritatea datelor;
disponibilitatea informațiilor;
Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network - virtual private network) - un nume generalizat pentru tehnologii care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (de exemplu, Internet) folosind criptografia instrumente (criptare, autentificare, chei publice de infrastructură, mijloace de protecție împotriva repetății și modificării mesajelor transmise prin rețeaua logică).
Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii închiriate. În funcție de protocoalele utilizate și de scop, un VPN poate oferi trei tipuri de conexiuni: gazdă-gazdă, gazdă-rețea și rețea-rețea.
Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate teritorial și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să puneți modemuri în fiecare ramură și să organizați comunicarea după cum este necesar. O astfel de soluție, însă, nu este întotdeauna convenabilă și profitabilă - uneori aveți nevoie de o conexiune constantă și de o lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiunile VPN ale tuturor sucursalelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.
Orez. 6.4. conexiune VPN de la site la site
Orez. 6.5. Conexiune VPN gazdă la rețea
În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.
Pericolul aici este că, în primul rând, rețeaua deschisă este deschisă atacurilor de la intruși din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în mod clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și, în al treilea rând, datele pot fi nu numai interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator poate, de exemplu, să compromită integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.
Pentru a preveni acest lucru, soluțiile VPN folosesc instrumente precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la o rețea privată virtuală.
O conexiune VPN constă întotdeauna într-o legătură punct la punct, cunoscută și sub numele de tunel. Tunelul este creat într-o rețea nesigură, care este cel mai adesea Internet.
Tunnelarea sau încapsularea este o modalitate de a transfera informații utile printr-o rețea intermediară. Astfel de informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda de trimitere, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine situate la punctele de intrare în rețeaua publică. Unul dintre avantajele clare ale tunelului este că această tehnologie vă permite să criptați întregul pachet original, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).
Deși un tunel VPN este stabilit între două puncte, fiecare gazdă poate stabili tuneluri suplimentare cu alte gazde. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acest birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil datorită faptului că nodul poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:
Orez. 6.6. Creați tuneluri VPN pentru mai multe locații la distanță
Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.
În cadrul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Astfel, criptarea este garantată doar pentru informațiile care sunt transmise pe un canal nesecurizat între birouri.
Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:
PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în sistemele de operare Microsoft.
L2TP (Layer-2 Tunneling Protocol) - combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.
IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).
Protocoalele enumerate sunt acceptate de dispozitivele D-Link.
Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul permite accesul de la distanță, astfel încât utilizatorii să poată stabili conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, protocolul PPTP nu a fost inițial destinat să organizeze tuneluri între rețelele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.
Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date folosind diferite protocoale - IP, IPX, NetBEUI etc. Datele acestor protocoale sunt împachetate în cadre PPP, încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transportate utilizând IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadrele PPP din pachetele IP și apoi le procesează în modul standard, adică. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca în cazul unui VPN bazat pe IPSec), cât și orice alt protocol poate fi folosit ca transport.
În prezent, datorită ușurinței implementării, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la o rețea corporativă, cât și pentru accesarea rețelelor ISP atunci când un client trebuie să stabilească o conexiune PPTP cu un ISP pentru a accesa Internetul.
Metoda de criptare utilizată în PPTP este specificată la nivelul PPP. De obicei, clientul PPP este un computer desktop care rulează un sistem de operare Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este suficientă, deși este considerat mai puțin sigur decât o serie de alți algoritmi de criptare oferiti de IPSec, în special, Standardul de criptare a datelor triple pe 168 de biți (3DES).
Cum se stabilește legăturaPPTP?
PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține legătura vie. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.
Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a trimite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea de informații a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.
Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de nivel al doilea care aparțin de obicei PPP, adică adaugă un antet PPP (antet) și o sfârșit (trailer) pachetului PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE) care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP doar la rețelele IP.
După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, acesta este încapsulat într-un cadru cu antet IP. Antetul IP conține adresele expeditorului și destinatarului pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.
Pe orez. 6.7 arată structura de date pentru redirecționarea printr-un tunel PPTP:
Orez. 6.7. Structura de date pentru redirecționarea printr-un tunel PPTP
Configurarea unui VPN bazat pe PPTP nu necesită cheltuieli mari și setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să faceți setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de Internet sau un firewall cu suport PPTP: setările se fac numai pe un router de frontieră (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de Internet multifuncționale DIR/DSR și firewall-urile din seria DFL.
GRE-tunele
Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă trafic tunel prin rețele fără criptare. Exemple de utilizare a GRE:
transmiterea traficului (inclusiv broadcast) prin echipamente care nu suportă un protocol anume;
tunelarea traficului IPv6 printr-o rețea IPv4;
transmiterea datelor prin rețele publice pentru a implementa o conexiune VPN sigură.
Orez. 6.8. Un exemplu de tunel GRE
Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.
L2 TP
Protocolul L2TP a apărut ca urmare a fuziunii protocoalelor PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru gestionarea tunelului, cât și pentru redirecționarea datelor.
Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmiterea către tunel adăugând mai întâi antetul PPP, apoi antetul L2TP, la câmpul de date de informații PPP. Pachetul astfel primit este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec aleasă, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Este adăugat un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date care trebuie trimisă printr-un tunel L2TP.
Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP
Calculatorul care primește datele, prelucrează antetul și finalul PPP și dezactivează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.
Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar sarcina utilă care este procesată sau redirecționată către destinatarul specificat.
IPsec (prescurtare pentru IP Security) este un set de protocoale pentru securizarea datelor transmise prin IP Internet Protocol, permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei pe Internet.
Securitatea IPSec este realizată prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. pentru că IPSec este un standard de internet, apoi există documente RFC pentru el:
RFC 2401 (Arhitectura de securitate pentru protocolul Internet) este arhitectura de securitate pentru protocolul IP.
RFC 2402 (antet de autentificare IP) - antet de autentificare IP.
RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) - Utilizarea algoritmului hash SHA-1 pentru a crea un antet de autentificare.
RFC 2405 (Algoritmul de criptare ESP DES-CBC cu IV explicit) - Utilizarea algoritmului de criptare DES.
RFC 2406 (IP Encapsulating Security Payload (ESP)) - Criptarea datelor.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de management al cheilor.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Managementul cheilor și a autentificatorului pentru conexiuni sigure.
RFC 2409 (Internet Key Exchange (IKE)) - Schimb de chei.
RFC 2410 (Algoritmul de criptare NULL și utilizarea acestuia cu IPsec) - Algoritmul de criptare NULL și utilizarea acestuia.
RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.
RFC 2412 (Protocolul de determinare a cheii OAKLEY) - Verificarea autenticității unei chei.
IPsec este o parte integrantă a protocolului de internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului de internet.
Mecanismul IPSec îndeplinește următoarele sarcini:
autentificarea utilizatorilor sau a computerelor în timpul inițializării canalului securizat;
criptarea și autentificarea datelor transmise între punctele finale ale unui canal securizat;
furnizarea automată a punctelor finale de canal cu chei secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.
Componente IPSec
Protocolul AH (Authentication Header) este un protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din partea protejată a pachetului nu a fost modificat în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. pentru că în acest caz, pachetul se modifică, apoi suma de control AH devine incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în activitatea sa). De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.
Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva falsificării pachetelor.
Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP se află între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.
pentru că ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), prin care puteți determina ce va urma antetul IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese al Internetului), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, este foarte important atunci când lucrați printr-un firewall să configurați filtrele astfel încât să permită trecerea pachetelor cu ID de protocol AH și/sau ESP. .
ID-ul protocolului 51 este setat pentru a indica faptul că AH este prezent în antetul IP și 50 pentru ESP.
ATENŢIE: ID-ul protocolului nu este același cu numărul portului.
Protocolul IKE (Internet Key Exchange) este un protocol IPsec standard utilizat pentru a securiza comunicațiile în rețelele private virtuale. Scopul IKE este negocierea și livrarea în siguranță a materialului identificat către o asociație de securitate (SA).
SA este termenul IPSec pentru o conexiune. Un SA stabilit (un canal securizat numit „asociere sigură” sau „asociere de securitate” - Asociația de securitate, SA) include o cheie secretă partajată și un set de algoritmi criptografici.
Protocolul IKE îndeplinește trei sarcini principale:
oferă un mijloc de autentificare între două puncte finale VPN;
stabilește noi legături IPSec (creează o pereche de SA);
gestionează relațiile existente.
IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.
Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează asociația SA IKE. În același timp, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi algoritmul de criptare, cheia de sesiune etc.
În a doua fază, SA IKE este utilizat pentru negocierea protocolului (de obicei IPSec).
Cu un tunel VPN configurat, este creată o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, ca fiecare SA este o conexiune unidirecțională, iar datele trebuie trimise în două direcții. Perechile SA primite sunt stocate pe fiecare nod.
Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index) sau Security Parameter Index.
SA stocat într-o bază de date (DB) TRIST(Baza de date Asociația de Securitate).
Fiecare nod IPSec are, de asemenea, un al doilea DB − SPD(Security Policy Database) - Baza de date cu politici de securitate. Conține politica de gazdă configurată. Majoritatea soluțiilor VPN vă permit să creați mai multe politici cu combinații de algoritmi adecvați pentru fiecare gazdă la care doriți să vă conectați.
Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe moduri de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. Cu toate acestea, grupul de lucru IETF a definit un set de bază de funcții și algoritmi acceptați care trebuie implementați uniform în toate produsele IPSec activate. Mecanismele AH și ESP pot fi utilizate cu diverse scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie funcția unidirecțională MD5, fie funcția unidirecțională SHA-1, iar criptarea se face folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.
Orice algoritm de criptare simetrică care utilizează chei secrete poate fi utilizat pentru a cripta datele în IPSec.
Protocoalele de protecție a fluxului (AH și ESP) pot funcționa în două moduri - în mod de transport si in modul tunel. Când operează în modul de transport, IPsec se ocupă doar de informațiile din stratul de transport; numai câmpul de date al pachetului care conține protocoalele TCP / UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili o conexiune între gazde.
Modul de tunel criptează întregul pachet IP, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, acesta este un tunel IP securizat. Modul tunel poate fi utilizat pentru a conecta computere de la distanță la o rețea privată virtuală (schemă de conexiune „rețea gazdă”) sau pentru a organiza transferul securizat de date prin canale de comunicație deschise (de exemplu, Internet) între gateway-uri pentru a combina diferite părți ale unui privat virtual. rețea („schemă de conexiune la rețea”). -net”).
Modurile IPsec nu se exclud reciproc. Pe aceeași gazdă, unele SA pot folosi modul de transport, în timp ce altele pot folosi modul tunel.
În timpul fazei de autentificare, se calculează suma de control ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să compare cu rezultatul trimis de expeditor. Dacă compararea ICV are succes, expeditorul pachetului este considerat autentificat.
În modul transportAH
întregul pachet IP, cu excepția unor câmpuri din antetul IP, care pot fi modificate în tranzit. Aceste câmpuri, ale căror valori pentru calculul ICV sunt 0, pot face parte din serviciu (Type of Service, TOS), flag-uri, fragment offset, time to live (TTL), precum și un antet de sumă de control;
toate câmpurile din AH;
sarcina utilă de pachete IP.
AH în modul de transport protejează antetul IP (cu excepția câmpurilor care pot fi modificate) și sarcina utilă din pachetul IP original (Figura 3.39).
În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transferul de date este efectuat pe baza antetului noului pachet IP.
Pentru modul tunelAH la efectuarea unui calcul, următoarele componente sunt incluse în suma de control ICV:
toate câmpurile din antetul IP exterior, cu excepția unor câmpuri din antetul IP, care pot fi modificate în timpul transmisiei. Aceste câmpuri, ale căror valori pentru calculul ICV sunt 0, pot face parte din serviciu (Type of Service, TOS), flag-uri, fragment offset, time to live (TTL), precum și un antet de sumă de control;
toate câmpurile AH;
pachetul IP original.
După cum puteți vedea în următoarea ilustrație, modul tunel AH protejează întregul pachet IP sursă cu un antet exterior suplimentar pe care modul de transport AH nu îl folosește:
Orez. 6.10. Modurile de operare în tunel și transport ale protocolului AN
În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar finalul ESP (Trailer ESP) este adăugat după date în consecință.
Modul de transport ESP criptează următoarele părți ale pachetului:
sarcină utilă IP;
Un algoritm de criptare care utilizează modul de criptare Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC, care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate de a decripta partea criptată a pachetului fără cheia de criptare. Pentru a preveni atacatorii să schimbe vectorul de inițializare, acesta este protejat de suma de control ICV. În acest caz, ICV efectuează următoarele calcule:
toate câmpurile din antetul ESP;
sarcină utilă inclusiv text clar IV;
toate câmpurile din remorca ESP, cu excepția câmpului de date de autentificare.
Modul tunel ESP încapsulează întregul pachet IP original într-un nou antet IP, un antet ESP și un Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul utilizării modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost făcută semnătura, atestând integritatea și autenticitatea acesteia, iar partea criptată arată că informația este protejată și confidențială. Antetul original este plasat după antetul ESP. După ce partea criptată este încapsulată într-un nou antet de tunel care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, un astfel de pachet este direcționat către adresa IP a gateway-ului rețelei de recepție, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer situat pe rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:
Pentru modul tunel ESP, ICV se calculează după cum urmează:
toate câmpurile din antetul ESP;
pachetul IP original, inclusiv textul simplu IV;
toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.
pachetul IP original;
Orez. 6.11. Tunel și mod de transport al protocolului ESP
Orez. 6.12. Compararea protocoalelor ESP și AH
Rezumatul modurilor de aplicareIPSec:
Protocol - ESP (AH).
Mod - tunel (transport).
Metoda de schimb de chei - IKE (manual).
Modul IKE - principal (agresiv).
Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.
Autentificare - SHA1 (SHA, MD5).
Criptare - DES (3DES, Blowfish, AES).
Când se creează o politică, este de obicei posibil să se creeze o listă ordonată de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, va fi folosită prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să vă permită să obțineți această coincidență. Dacă totul se potrivește, cu excepția unei părți a politicii, gazdele nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică dintre toate posibile.
Principalele setări pe care le include politica de securitate:
Algoritmi simetrici pentru criptarea/decriptarea datelor.
Sume de control criptografice pentru a verifica integritatea datelor.
Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.
Dacă folosiți modul tunel sau modul de transport.
Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).
Dacă folosiți AH, ESP sau ambele.
Dacă să utilizați PFS.
O limitare a IPSec este că acceptă doar transferul de date la nivelul de protocol IP.
Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.
În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează gazda care rulează:
Orez. 6.13. Creați un canal securizat între două puncte finale
În a doua schemă, se stabilește un canal securizat între două Gateway-uri de securitate. Aceste gateway-uri primesc date de la gazdele terminale conectate la rețelele din spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec, traficul direcționat către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în nume propriu.
Orez. 6.14. Crearea unui canal securizat între două gateway-uri
Pentru gazdele care acceptă IPSec, pot fi utilizate atât modul de transport, cât și modul tunel. Pentru gateway-uri, este permis doar modul tunel.
Instalare si suportVPN
După cum sa menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), cele două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică unul pe altul. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Principal modul).
În modul principal, este posibil să se negocieze toți parametrii de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv acest lucru nu este posibil, iar unii parametri (grup Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie să fie prealabile. -configurat în același mod pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai puține, rezultând mai puțin timp pentru stabilirea unei sesiuni IPSec.
Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).
Presupunând că operațiunea s-a încheiat cu succes, se creează o primă fază SA − Fază 1 SA(numit si IKESA) iar procesul trece la a doua fază.
În a doua etapă, se generează datele cheie, nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de Faza 1 prin faptul că poate fi stabilit numai după Faza 1, când toate pachetele din Faza 2 sunt criptate. Finalizarea corectă a celei de-a doua faze duce la apariție Fază 2 SA sau IPSecSA iar pe aceasta se consideră finalizată instalarea tunelului.
Mai întâi, un pachet ajunge la nodul cu o adresă de destinație pe o altă rețea, iar nodul inițiază prima fază cu nodul care este responsabil pentru cealaltă rețea. Să presupunem că tunelul dintre noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește durata de viață Phase One sau durata de viață IKE SA.
Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp numită Faza a doua sau durata de viață IPSec SA.
Durata de viață a fazei a doua este mai scurtă decât prima fază, deoarece cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă acest lucru nu se face, atunci este posibil ca inițial tunelul să fie stabilit cu succes, dar după prima perioadă inconsecventă de viață, conexiunea să fie întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă tunelul configurat anterior nu mai funcționează, atunci primul lucru de verificat este durata de viață pe ambele noduri.
De asemenea, trebuie remarcat faptul că, dacă modificați politica pe unul dintre noduri, modificările vor intra în vigoare doar la următorul început al primei faze. Pentru ca modificările să intre în vigoare imediat, trebuie să eliminați SA pentru acest tunel din baza de date SAD. Acest lucru va forța o revizuire a acordului dintre noduri cu noile setări ale politicii de securitate.
Uneori, la înființarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți asociate cu coordonarea parametrilor în timpul stabilirii primei faze. Ar trebui să acordați atenție unui astfel de parametru, cum ar fi Local ID - acesta este un identificator unic pentru punctul final al tunelului (expeditor și destinatar). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.
Mortegaldetectare
În timpul funcționării VPN, dacă nu există trafic între punctele terminale ale tunelului sau dacă datele inițiale ale nodului la distanță se modifică (de exemplu, modificarea adresei IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență așa. , devenind, parcă, un tunel fantomă . Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să controlați prezența traficului de la nodul de la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall-uri D-Link trimite mesajul „DPD-RU-THERE”). Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link setate de setările „DPD Expire Time”, tunelul este demontat. Firewall-uri D-Link după aceea, folosind setările „DPD Keep Time” ( orez. 6.18) încearcă automat să restabilească tunelul.
ProtocolNATTraversare
Traficul IPsec poate fi rutat după aceleași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, este imposibil ca IPsec să treacă prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).
Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP obișnuit în întreaga rețea și gazda destinatarului să nu efectueze nicio verificare de integritate. După ce pachetul ajunge la destinație, antetul UDP este eliminat, iar pachetul de date își continuă drumul ca un pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibil să se stabilească comunicarea între clienții IPSec din rețelele securizate și gazdele publice IPSec prin firewall-uri.
Există două puncte de reținut atunci când configurați firewall-urile D-Link pe dispozitivul receptor:
în câmpurile Remote Network și Remote Endpoint, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (emițătorului) folosind tehnologia NAT (Figura 3.48).
Când utilizați chei partajate cu mai multe tuneluri conectate la același firewall la distanță care au fost conectate NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.
Local ID poate fi unul dintre:
- Protejarea datelor. Potrivit în special pentru acei utilizatori cărora le place să se conecteze la conexiunea Wi-Fi a unui vecin „gratuit” și apoi constată că datele cardului lor au fost furate. Astfel de situații includ adunări în cafenele și, în general, în orice puncte cu Wi-Fi gratuit.
- Anonimat total. Când deschideți o filă nouă cu un site, această acțiune va fi afișată pe serverul furnizorului, astfel încât orice angajat al companiei să vă poată urmări călătoria pe internet. Prin activarea unui VPN, veți ascunde navigarea sau istoricul de navigare deoarece utilizați o adresă IP diferită.
- Abilitatea de a naviga pe internet fără obstacole. Case de pariuri, cazinouri online, torrente, forumuri, site-uri pentru adulți - tot „undergroundul” internetului vă este din nou la dispoziție, totul, ca pe vremuri.
- Utilizarea resurselor străine. Desigur, este puțin probabil să utilizați servicii în limba engleză, cum ar fi hulu.com, dar, totuși, vi se oferă acces deplin la toate site-urile populare din întreaga lume.
- instalați un client (program) VPN pe un computer;
- adăugați extensia de browser prin intermediul magazinului web.
- PPTP este un protocol învechit. Majoritatea sistemelor de operare moderne l-au exclus din lista celor acceptate. Contra PPTP - stabilitate scăzută a conexiunii. Conexiunea se poate întrerupe și datele nesecurizate se pot scurge pe Internet.
- Conexiunea L2TP (IPSec) este mai fiabilă. De asemenea, integrat în majoritatea sistemelor de operare (Windows, Mac OS, Linux, iOS, Android, Windows Phone și multe altele). Are o fiabilitate mai bună decât conexiunea PPTP.
- Conexiunea SSTP a fost dezvoltată relativ recent. Este acceptat doar pe Windows, deci nu este utilizat pe scară largă.
- IKEv2 este un protocol modern bazat pe IPSec. Acest protocol a înlocuit protocolul PPTP și este acceptat de toate sistemele de operare populare.
- Conexiunea OpenVPN este considerată cea mai fiabilă. Această tehnologie poate fi configurată flexibil, iar atunci când conexiunea scade, OpenVPN blochează trimiterea de date neprotejate către Internet.
- Protocol UDP - operare rapidă (recomandat pentru telefonie VoiP, Skype, jocuri online)
- Protocolul TCP - caracterizat prin fiabilitatea datelor transmise (necesită confirmarea primirii pachetului). Funcționează puțin mai lent decât UDP.
- la departamentul de poliție din Germania
- sau la departamentul de poliție de pe insulele din Antigua Barbuda
- site-ul a fost blocat de furnizor, dar trebuie să mergeți;
- de multe ori trebuie să utilizați sisteme bancare și de plată online și doriți să protejați datele de eventuale furturi;
- serviciul funcționează doar pentru Europa, iar tu ești în Rusia și nu te deranjează să asculți muzică pe LastFm;
- doriți ca site-urile pe care le vizitați să nu vă urmărească datele;
- nu există router, dar este posibil să conectați două computere la o rețea locală pentru a oferi ambelor acces la Internet.
- Se creează un tunel între computerul utilizatorului și server cu software-ul VPN instalat. De exemplu, OpenVPN.
- În aceste programe, o cheie (parolă) este generată pe server și computer pentru a cripta/decripta datele.
- O solicitare este creată pe computer și criptată folosind cheia generată anterior.
- Datele criptate sunt transmise prin tunel către server.
- Datele care au venit din tunel către server sunt decriptate și solicitarea este executată - trimiterea fișierului, intrarea pe site, pornirea serviciului.
- Serverul pregătește răspunsul, îl criptează înainte de a-l trimite și îl trimite înapoi utilizatorului.
- Computerul utilizatorului primește datele și le decriptează cu cheia care a fost generată anterior.
Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.
IP– adresa IP a portului WAN al firewall-ului de la distanță
DNS– adresa DNS
Anterior, statul avea o înțelegere destul de mediocră a internetului, așa că nu a interferat legal cu utilizatorii. Astăzi, mergând pe World Wide Web, puteți întâlni din ce în ce mai mult expresia: „Acest site este inclus în registrul de interzise” sau „Furnizorul dvs. a blocat accesul”.
Deci, dacă doriți să returnați libertatea completă de acțiune pe Internet și să obțineți un alt nivel de protecție, atunci trebuie neapărat să vă familiarizați cu tehnologia rețelelor private virtuale - VPN.
VPN: termen și principiu de funcționare
Virtual Private Network (VPN) este numele unei tehnologii care asigură crearea și suprapunerea uneia sau mai multor rețele peste rețeaua oricărui alt utilizator.
Și acum, cum funcționează exact un VPN. Computerul dvs. are o adresă IP specifică care blochează accesul la anumite site-uri. Activați tehnologia VPN printr-un program sau extensie. Un VPN vă schimbă adresa cu o adresă de pe un server din altă țară (de exemplu, Olanda sau Germania).
În continuare, se creează o conexiune securizată, care nu poate fi blocată de furnizor. Drept urmare, obțineți un protocol securizat prin care puteți vizita liber orice site de internet și complet anonim.
Structura și tipurile de tehnologie
Întreaga tehnologie funcționează în două straturi. Prima este rețeaua internă, a doua este rețeaua externă. Când vă conectați la tehnologie, sistemul vă va identifica rețeaua și apoi va trimite o cerere de autentificare. Această tehnologie este foarte asemănătoare cu autorizarea în unele rețele de socializare, doar că aici totul se realizează prin protocoale securizate și fără participarea furnizorului.
Rețelele virtuale în sine sunt, de asemenea, împărțite în mai multe categorii. Clasificarea principală se bazează pe gradul de protecție, adică utilizatorul poate folosi atât VPN-uri plătite, cât și gratuite.
Diferența dintre cele două este conexiunea securizată. De exemplu, sistemele de abonament vă vor oferi protocoale sigure precum PPTP, IPSec și altele. În timp ce VPN-urile gratuite oferă adesea doar canale „de încredere”. Adică, rețeaua în sine ar trebui să fie foarte sigură, iar un VPN nu va face decât să crească nivelul de protecție.
Sincer să fiu, cel mai mare dezavantaj al serviciilor VPN gratuite nu este nici măcar securitatea, ci stabilitatea și viteza conexiunii. Printr-un VPN gratuit, internetul va funcționa foarte lent și nu întotdeauna stabil.
Un abonament la VPN-uri plătite nu depășește 10 USD pe lună, dar nu toți utilizatorii au nevoie de el. Pentru sarcini obișnuite, nu are sens să achiziționați conturi Premium, caracteristicile standard sunt destul de suficiente.
Motive pentru a utiliza un VPN
Fiecare utilizator trebuie să utilizeze tehnologia VPN și iată de ce:
Cum se utilizează un VPN pe un computer?
Luați în considerare o situație în care folosim un browser obișnuit și dorim să vizităm site-uri blocate. În această situație, puteți merge în două moduri:
Care este prima, care este a doua opțiune - sunt ușor de implementat, dar pentru imaginea completă, le vom lua în considerare pe ambele.
De asemenea, puteți folosi gratuit.
Pentru a instala un client VPN, trebuie să descărcați un program de pe Internet, de exemplu, „Betternet”. Rulați fișierul de instalare și instalați clientul. Îl lansăm, facem clic pe: „Conectează-te” și gata. Problema este că programul ne oferă automat o adresă IP aleatoare și nu putem selecta o țară, dar apăsând doar un buton, folosim deja VPN. Și încă un minus este necesitatea de a rula constant programul, totuși, unii clienți au capacitatea de a rula simultan cu sistemul de operare.
A doua modalitate este să adăugați o extensie. Aici minusul este că, de cele mai multe ori, înregistrarea este necesară pentru utilizare, în plus, extensiile au proprietățile de a „zbura”. Dar extensia este mult mai ușor de utilizat - faceți clic pe pictograma din browser, selectați țara și profitați. În acest moment, există mii de astfel de programe, puteți alege oricare dintre ele, de exemplu, „Hotspot Shield”. Adăugați extensia în browser, treceți prin înregistrare și nu vor mai fi probleme tehnice.
De exemplu, așa funcționează extensia ZenMate VPN în browser:
Am scris despre extensiile VPN pentru diferite browsere în articolul:.
Cum se utilizează VPN pe dispozitivele mobile?
Vom lua în considerare acele dispozitive care au sisteme de operare populare la bord, de exemplu, iOS sau Android.
Utilizarea unui VPN pe smartphone-uri sau tablete este, de asemenea, destul de simplă, și anume prin intermediul aplicațiilor mobile. Problema este că unele programe necesită drepturi de root, iar acestea sunt probleme suplimentare, plus capacitatea de a transforma telefonul într-o „cărămidă”. Așa că căutați acele programe care nu necesită drepturi de root. Pe Android, de exemplu, acesta este OpenVPN, iar pe iOS, acesta este Cloak. De asemenea, îl puteți folosi pe cel gratuit și dovedit pe iPhone și iPad. Îl folosesc și eu uneori, funcționează grozav.
Tehnologia de descărcare este foarte simplă: descărcați aplicația de pe Play Market sau AppStore, instalați-o pe dispozitivul dvs. Apoi, activăm VPN-ul, selectăm profilul (de unde, obținem adresa IP), apoi se face conexiunea și gata. Acum navigați pe internet prin VPN, care vă va fi raportat de aplicația pe care o utilizați.
Acum înțelegeți cum este implementată tehnologia conexiunilor VPN, iar acum experiența dvs. online va deveni mai sigură, anonimă și, cel mai important, accesibilă și nelimitată.
În acest articol, vom răspunde la cele mai frecvente întrebări despre ce este un server VPN, vă vom spune dacă un VPN vă poate crește securitatea, dacă trebuie să utilizați Double VPN și cum să verificați dacă un serviciu VPN păstrează jurnalele și ce tehnologii moderne există pentru a proteja informațiile personale.
VPN este o rețea privată virtuală care oferă criptare între client și serverul VPN.
Scopul principal al unui VPN este de a cripta traficul și de a schimba adresa IP.
Să vedem de ce și când este nevoie.
Pentru ce este un VPN?
Toți furnizorii de servicii de internet înregistrează activitățile clienților lor pe Internet. Adică, furnizorul de internet știe ce site-uri ați vizitat. Acest lucru este necesar pentru a oferi toate informațiile despre infractor în cazul solicitărilor din partea poliției, precum și pentru a elimina orice responsabilitate legală pentru acțiunile utilizatorului.
Există multe situații în care un utilizator trebuie să își protejeze datele personale pe Internet și să câștige libertatea de comunicare.
Exemplul 1. Există o afacere și este necesar să transferați date confidențiale prin Internet pentru ca nimeni să nu o poată intercepta. Majoritatea companiilor folosesc tehnologia VPN pentru a transfera informații între sucursalele companiei.
Exemplul 2. Multe servicii de pe Internet funcționează pe principiul geo-referinței la locație și interzic accesul utilizatorilor din alte țări.
De exemplu, serviciul Yandex Music funcționează numai pentru adrese IP din Rusia și țările fostului CSI. În consecință, întreaga populație de limbă rusă care trăiește în alte țări nu are acces la acest serviciu.
Exemplul 3. Blocarea anumitor site-uri din birou și din țară. Adesea, birourile blochează accesul la rețelele sociale, astfel încât angajații să nu petreacă timpul de lucru comunicând.
De exemplu, multe servicii Google sunt blocate în China. Dacă un rezident al Chinei lucrează cu o companie din Europa, atunci este nevoie să folosești servicii precum Google Disk.
Exemplul 4. Ascundeți site-urile vizitate de la ISP. Există momente când trebuie să ascundeți lista de site-uri vizitate de la furnizorul de internet. Tot traficul va fi criptat.
Prin criptarea traficului, ISP-ul dumneavoastră nu va ști ce site-uri ați vizitat pe Internet. În acest caz, adresa dvs. IP de pe Internet va aparține țării serverului VPN.
Când vă conectați la un VPN, se creează un canal securizat între computerul dvs. și serverul VPN. Toate datele din acest canal sunt criptate.
Datorită unui VPN, veți avea libertatea de a comunica și de a vă proteja datele personale.
Va exista un set de caractere diferite în jurnalele ISP. Imaginea de mai jos prezintă analiza datelor obținute printr-un program special.
În antetul HTTP, puteți vedea imediat ce site vă conectați. Aceste date sunt înregistrate de furnizorii de servicii de internet.
Următoarea imagine arată antetul HTTP atunci când utilizați un VPN. Datele sunt criptate și este imposibil să știi ce site-uri ai vizitat.
Cum să vă conectați la un VPN
Există mai multe moduri de a vă conecta la o rețea VPN.
Există 2 protocoale de transfer de date pentru tehnologia OpenVPN:
Cum să configurați un VPN
Configurarea unei conexiuni VPN durează câteva minute și diferă în metoda de conectare VPN.
În serviciul nostru folosim conexiuni PPTP și OpenVPN.
Securitate VPN
Vom vorbi întotdeauna despre o abordare cuprinzătoare a securității. Securitatea utilizatorului nu constă numai în conexiunea VPN în sine. Este important ce program folosiți pentru a vă conecta la serverul VPN.
În prezent, serviciile oferă clienți VPN convenabil - acestea sunt programe care facilitează configurarea unei conexiuni VPN. Noi înșine oferim un client VPN convenabil. Datorită unor astfel de programe, configurarea unei conexiuni VPN nu durează mai mult de 1 minut.
Când am început să furnizăm servicii VPN în 2006, toți utilizatorii noștri au configurat aplicația oficială OpenVPN. Este open source. Desigur, configurarea clientului oficial OpenVPN necesită mai mult timp. Dar haideți să vedem ce este mai bine să folosiți în ceea ce privește anonimatul.
Anonimitatea clientului VPN
Vedem pericolul în utilizarea unor astfel de programe. Chestia este că codul sursă al unor astfel de programe este proprietatea companiei și pentru a păstra unicitatea programului său, nimeni nu îl publică.
Utilizatorii nu pot afla ce date colectează programul despre tine în absența codului sursă deschisă.
Programul VPN vă poate identifica ca un anumit utilizator chiar și atunci când jurnalele sunt dezactivate pe server.
Orice program poate avea functionalitatea de a inregistra site-urile pe care le-ai vizitat, adresa ta IP reala. Și din moment ce dvs. introduceți datele de conectare în program, este în general imposibil să vorbiți despre anonimatul utilizării programului.
Dacă activitatea dvs. necesită un nivel ridicat de anonimat, vă recomandăm să renunțați la aceste programe VPN și să utilizați versiunea oficială open source a OpenVPN.
La început, veți găsi acest lucru inconfortabil. Dar cu timpul, te vei obișnui cu asta dacă factorul de securitate și anonimat este pe primul loc pentru tine.
Vă garantăm că Secure Kit nu salvează date despre dvs. Dar trebuie să vă avertizăm că astfel de programe vă pot spiona.
O altă idee despre cum să vă creșteți securitatea a venit din punctul de vedere al locației geografice a serverelor. Pe Internet, se numește VPN offshore.
Ce este un VPN offshore
Diferite țări au niveluri diferite de legislație. Sunt state puternice cu legi puternice. Și există țări mici al căror nivel de dezvoltare nu permite protecția informațiilor a datelor în țara lor.
Inițial, conceptul de offshore a fost folosit pentru a face referire la o țară în care politica fiscală este relaxată. Astfel de țări au taxe foarte mici pe afaceri. Companiile globale au devenit interesate de evaziunea fiscală legală în țara lor, iar conturile bancare offshore din Insulele Cayman au devenit foarte populare.
În prezent, în multe țări ale lumii există deja interdicții privind utilizarea conturilor bancare în țările offshore.
Majoritatea țărilor offshore sunt state mici situate în colțuri îndepărtate ale planetei. Serverele din astfel de țări sunt mai greu de găsit și sunt mai scumpe din cauza lipsei unei infrastructuri de internet dezvoltate. Serverele VPN din astfel de țări au început să fie numite offshore.
Se pare că cuvântul VPN offshore nu înseamnă VPN anonim, ci vorbește doar despre apartenența teritorială la un stat offshore.
Ar trebui să utilizați un VPN offshore?
Un VPN offshore prezintă beneficii suplimentare în ceea ce privește anonimatul.
Crezi că este mult mai ușor să scrii o cerere oficială:
Un VPN offshore este un strat suplimentar de protecție. Este bine să folosiți un server offshore ca parte a lanțului Double VPN.
Nu este nevoie să utilizați doar 1 server VPN offshore și să credeți că este complet sigur. Trebuie să vă abordați securitatea și anonimatul pe Internet din diferite unghiuri.
Utilizați un VPN offshore ca link către anonimatul dvs.
Și este timpul să răspundem la cea mai frecventă întrebare. Poate un serviciu VPN anonim să păstreze jurnalele? Și cum să determinați dacă serviciul păstrează jurnalele?
Serviciu VPN anonim și jurnalele. Cum să fii?
Un serviciu VPN anonim nu ar trebui să păstreze jurnalele. Altfel, nu mai poate fi numit anonim.
Am întocmit o listă de întrebări, datorită căreia puteți determina cu exactitate dacă serviciul păstrează jurnalele.
Acum aveți informații complete despre conexiunile VPN. Aceste cunoștințe sunt suficiente pentru a vă face anonim pe Internet și pentru a face transferul de date cu caracter personal în siguranță.
Noi tehnologii VPN
Există noi tendințe în domeniul VPN?
Am vorbit deja despre avantajele și dezavantajele cascadării în serie a serverelor VPN (Duble, Triple, Quad VPN).
Pentru a evita dezavantajele tehnologiei Double VPN, puteți face o cascadă paralelă de lanțuri. L-am numit Parallel VPN.
Ce este Parallel VPN
Esența VPN paralelă este direcționarea traficului către un canal de date paralel.
Dezavantajul tehnologiei în cascadă secvenţială (Duble, Triple, Quad VPN) este că fiecare server decriptează canalul şi îl criptează în următorul canal. Datele sunt criptate secvenţial.
Nu există o astfel de problemă în tehnologia Parallel VPN, deoarece toate datele sunt criptate dublu paralel. Adică, imaginați-vă o ceapă care are mai multe coji. În același mod, datele trec pe un canal care este dublu criptat.
Astăzi, utilizatorii de internet folosesc din ce în ce mai mult termenul VPN. Unii recomandă să îl folosiți mai des, în timp ce alții recomandă să îl evitați. Să luăm în considerare mai detaliat ce se ascunde în spatele acestui termen.
Conexiune VPN, ce este
VPN(Virtual Private Network) este tehnologie, care asigură comunicarea închisă de la acces extern în prezența unei viteze mari de conectare. O astfel de conexiune se realizează conform principiului punct - punct". În știință, această metodă de conectare se numește tunel. Vă puteți alătura tunelului la PC cu orice sistem de operare, în care Client VPN instalat. Acest program „redirecționează” un port virtual folosind TCP/IP la o altă rețea.
Pentru a implementa o astfel de conexiune, aveți nevoie de o platformă care să se scaleze rapid, să asigure integritatea și confidențialitatea datelor.
Pentru ca PC-ul să adresa ip 192.168.1.1-100 conectat prin gateway la rețeaua externă, trebuie să înregistrați regulile de conectare pe router. Când se realizează o conexiune VPN, adresa PC-ului la distanță este transmisă în antetul mesajului. Mesajul este criptat de expeditor și decriptat de destinatar folosind o cheie partajată. Se stabilește apoi o conexiune sigură între cele două rețele.
Cum se conectează un VPN
Anterior, a fost descrisă o scurtă schemă a protocolului. Acum vom învăța cum să conectăm clientul pe un anumit dispozitiv.
Pe computer și laptop
Înainte de a configura VPN conexiune activată PC Windows 7, urmează verifica adresa IP sau numele serverului. Pentru aceasta, in Centrul de control al rețelei" pe " Panouri de control" necesar " Creați o nouă conexiune».
Selectați elementul "" - " (VPN)».
Următorul pas este de a specifica NumeȘi adresa serverului.
Trebuie să așteptați finalizarea conexiunii.
Să verificăm conexiunea VPN. Pentru aceasta, in Panou de control" in sectiune " Conexiuni de retea»Apelați meniul contextual făcând dublu clic pe comandă rapidă.
Pe fila " Detalii„trebuie să verific adresa IPv4. Trebuie să fie în intervalul IP specificat în setările VPN.
Pe telefon, iPhone sau tabletă
Acum să vedem cum să creați o conexiune VPN și să o configurați pe gadgeturi cu sistem de operare Android.
Pentru asta ai nevoie de:
- smartphone, tabletă; autentificare, parolă de rețea; adresa serverului.
Pentru a configura o conexiune VPN, trebuie să selectați elementul „” din setările telefonului și să creați una nouă.
O pictogramă cu o nouă conexiune va fi afișată pe ecran.
Sistemul necesită un nume de utilizator și o parolă. Trebuie să introduceți parametrii și să selectați opțiunea „”. Apoi, la următoarea sesiune nu va trebui să confirmați din nou aceste date.
După activarea conexiunii VPN, pe bara de instrumente va apărea o pictogramă caracteristică.
Dacă dați clic pe pictogramă, vor apărea detaliile conexiunii.
Cum să configurați un VPN pentru a funcționa corect
Să aruncăm o privire mai atentă asupra modului de configurare automată VPN pe computere cu OS Windows 10.
Accesați setările PC-ului.
In sectiune " Parametrii„mergi la subsecțiunea””.
... și adăugați o nouă conexiune VPN.
Pe pagina următoare, specificați setările de conexiune VPN:
- Furnizor de servicii - Windows; Nume conexiune; Adresă server; Tip VPN; Nume de utilizator și parolă.
După ce conexiunea este stabilită, trebuie să vă conectați la ea.
Cum se creează un server VPN
Toți furnizorii înregistrează activitățile clienților lor. În cazul unei solicitări din partea agențiilor de aplicare a legii, acestea vor furniza informații complete despre site-urile vizitate de infractor. Astfel, furnizorul își declină orice responsabilitate legală. Dar uneori există situații în care utilizatorul trebuie să își protejeze datele:
- Companiile își transmit datele prin Internet printr-un canal criptat. Multe servicii de pe Internet funcționează într-o locație geo-referință. De exemplu, serviciul Yandex.Music operează numai pe IP din Federația Rusă și țările CSI. Un rus, aflat în Europa, nu va putea asculta muzica lui preferată Accesul la rețelele de socializare este adesea blocat în birouri.
Apoi, trebuie să creați un utilizator și să-i acordați drepturi limitate numai la VPN. De asemenea, va trebui să veniți cu o nouă parolă lungă. Selectați un utilizator din listă. Următorul pas este să selectați opțiunea de conectare " Prin intermediul internetului". Apoi, trebuie să specificați setările de conexiune. Dacă, atunci când lucrați cu VPN, nu aveți nevoie de acces la fișiere și foldere, atunci puteți debifa toate casetele și faceți clic pe butonul „”.
Cum să utilizați un VPN
După ce a fost creată o nouă conexiune, este suficient să deschideți un browser și să încărcați orice pagină.Începătorii pot să nu creeze o conexiune, ci să descarce imediat un client VPN de pe Internet sau să instaleze o extensie specială de browser. După descărcarea programului, trebuie să îl rulați și să faceți clic pe „ Conectați". Clientul se va alătura unei alte rețele și utilizatorul va putea vizualiza site-uri interzise în regiunea sa.Dezavantajul acestei metode este că IP-ul este emis automat. Utilizatorul nu poate selecta o țară. Dar conexiunea se configurează foarte rapid, prin apăsarea unui singur buton. Opțiunea de a adăuga o extensie are și dezavantaje. În primul rând, utilizatorul trebuie să fie înregistrat pe site-ul oficial al programului, iar în al doilea rând, extensia se blochează adesea. Însă utilizatorul poate alege țara prin care se va face conexiunea la rețeaua externă. Procesul de conectare în sine, de asemenea, nu ridică întrebări. Doar apăsați butonul " start” și browserul se va reîncărca pe noua rețea. Luați în considerare cum să instalați extensia folosind un exemplu ZenMate VPN.Descarcă programul de pe site-ul oficial. După instalare, în browser va apărea o pictogramă:Faceți clic pe pictogramă. Va fi afișată fereastra de extensie:
Dacă mutați cursorul mouse-ului la Pictograma steagului rusesc, apoi se va afișa ecranul IP curent. Dacă mutați cursorul peste pictograma cu steagul României, va apărea IP-ul serverului selectat. Dacă se dorește, țara de conectare poate fi schimbată. Pentru a face acest lucru, faceți clic pe glob și selectați una dintre adresele automate.
Dezavantajul versiunii gratuite a programului este numărul mic de servere disponibile și impunerea publicității.
Cele mai frecvente greșeli
Diverse programe antivirus, precum și firewall-uri pot bloca conexiunea. În acest caz, pe ecran este afișat un cod de eroare. Să analizăm cele mai populare probleme și cum să le rezolvăm.| Greşeală | Cauză | Soluţie |
|---|---|---|
| 678 | Sistemul de operare nu permite criptarea. | Trebuie să deschideți un prompt de comandă și să verificați parametrul „ProhibitIpSec” în registrul „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ Parameters”. Ar trebui să fie egal cu 0. Dacă furnizorul însuși folosește un canal de criptare pentru a furniza servicii, atunci modificarea acestei setări va afecta accesul la Internet. |
| 691 | Nume de utilizator/parolă introdus nevalid | Trebuie să vă autentificați din nou |
| 692 | Eroare firewall | Opriți firewall-ul |
| 720/738 | Utilizator deja conectat | Eroarea 720 apare numai pe Windows 7. Codul 738 se reflectă pe toate celelalte sisteme de operare. Dacă trebuie să lucrați de pe diferite PC-uri printr-un singur client, atunci trebuie să creați mai multe nume de utilizator. |
| 734 | VPN automat | Este necesar să schimbați tipul „Automat” în „L2TP IPSec VPN” în proprietățile conexiunii. Dacă eroarea persistă, atunci trebuie să recreezi conexiunea. |
| 766/781 | Cheia nu a fost salvată/introdusă | Deschideți proprietățile VPN, în fila „Securitate”, selectați elementul „Opțiuni avansate” și în fereastra nouă introduceți cheia |
| 768/789 (Windows 7, Vista, XP) | IPSec nu funcționează | RMB pe eticheta „Computerul meu” - „Management”. În secțiunea „Servicii”, selectați „IPSec”. Setați tipul de conexiune la Auto. |
VPN (Virtual Private Network) sau tradus în rusă rețeaua privată virtuală este o tehnologie care vă permite să combinați dispozitivele computerizate în rețele securizate pentru a oferi utilizatorilor lor un canal criptat și acces anonim la resursele de pe Internet.
În companii, VPN este folosit în principal pentru a combina mai multe sucursale situate în diferite orașe sau chiar părți ale lumii într-o singură rețea locală. Angajații unor astfel de companii, folosind un VPN, pot folosi toate resursele care se află în fiecare sucursală ca local, situat lângă ei. De exemplu, imprimați un document pe o imprimantă situată într-o altă sucursală cu un singur clic.
Pentru utilizatorii obișnuiți de internet, un VPN va fi util atunci când:
Cum funcționează un VPN
VPN-urile funcționează printr-un tunel pe care îl stabilesc între computerul dvs. și un server la distanță. Toate datele transmise prin acest tunel sunt criptate.
Poate fi imaginat ca un tunel obișnuit, care se găsește pe autostrăzi, așezat doar prin Internet între două puncte - un computer și un server. Prin acest tunel, datele, precum mașinile, se repetă între puncte cu cea mai mare viteză posibilă. La intrare (pe computerul utilizatorului), aceste date sunt criptate și trimise în acest formular către destinatar (la server), în acest moment sunt decriptate și interpretate: fișierul este descărcat, se trimite o solicitare către site, etc. După aceea, datele primite sunt din nou criptate pe server și prin tunel sunt trimise înapoi la computerul utilizatorului.
Pentru accesul anonim la site-uri și servicii este suficientă o rețea formată dintr-un computer (tabletă, smartphone) și un server.
În general, schimbul de date prin VPN arată astfel:
Dispozitivele incluse într-o rețea privată virtuală nu sunt legate geografic și pot fi localizate la orice distanță unele de altele.
Pentru un utilizator obișnuit al serviciilor de rețea privată virtuală, este suficient să înțeleagă că accesarea Internetului prin VPN înseamnă anonimat complet și acces nelimitat la orice resurse, inclusiv la cele care sunt blocate de furnizor sau nu sunt disponibile pentru țara ta.
Cine are nevoie de un VPN și de ce
Experții recomandă utilizarea unui VPN pentru a transfera orice date care nu ar trebui să fie în mâinile terților - autentificări, parole, corespondență privată și de serviciu, lucru cu Internet banking. Acest lucru este valabil mai ales atunci când utilizați puncte de acces deschise - WiFi în aeroporturi, cafenele, parcuri etc.
Tehnologia va fi de folos și celor care doresc să acceseze liber orice site și servicii, inclusiv cele blocate de furnizor sau deschise doar unui anumit cerc de persoane. De exemplu, Last.fm este disponibil gratuit numai pentru rezidenții din SUA, Anglia și o serie de alte țări europene. Utilizarea serviciilor muzicale din Rusia va permite conectarea prin VPN.
Diferențele dintre VPN și TOR, proxy și anonimizatori
VPN funcționează la nivel global pe computer și redirecționează tot software-ul instalat pe computer prin tunel. Orice solicitare - prin chat, browser, client de stocare în cloud (dropbox), etc înainte de a ajunge la destinatar trece prin tunel și este criptată. Dispozitivele intermediare „încurcă traseul” prin criptarea solicitărilor și o decriptează doar înainte de a o trimite la destinația finală. Destinația finală a solicitării, de exemplu, un site web, nu captează datele utilizatorului - locația geografică etc., ci datele serverului VPN. Adică, teoretic este imposibil de urmărit ce site-uri a vizitat utilizatorul și ce solicitări au fost transmise printr-o conexiune sigură.
Într-o oarecare măsură, anonimizatorii, proxy-urile și TOR pot fi considerate analogi ale VPN-urilor, dar toate pierd într-un fel în fața rețelelor private virtuale.
Care este diferența dintre VPN și TOR
La fel ca un VPN, tehnologia TOR presupune criptarea cererilor și transferul acestora de la utilizator la server și invers. Doar TOR nu creează tuneluri permanente, modalitățile de primire/transmitere a datelor se modifică cu fiecare acces, ceea ce reduce șansele de interceptare a pachetelor de date, dar nu are cel mai bun efect asupra vitezei. TOR este o tehnologie gratuită și susținută de entuziaști, așa că nu vă puteți aștepta la o muncă stabilă. Mai simplu spus, va funcționa să mergi pe un site blocat de furnizor, dar videoclipul la calitate HD va fi încărcat de pe acesta timp de câteva ore sau chiar zile.
Care este diferența dintre un VPN și un proxy
Proxy-urile, prin analogie cu VPN-urile, redirecționează cererea către site, trecând-o prin servere intermediare. Numai că nu este dificil de interceptat astfel de solicitări, deoarece schimbul de informații are loc fără nicio criptare.
Care este diferența dintre un VPN și un anonimizator
Anonymizer este o versiune simplificată a unui proxy care poate funcționa numai într-o filă deschisă de browser. Prin intermediul acestuia, puteți intra în pagină, dar nu veți putea folosi majoritatea funcțiilor și nu este furnizată nicio criptare.
În ceea ce privește viteza, proxy-ul va câștiga din metodele de schimb indirect de date, deoarece nu prevede criptarea canalului de comunicație. Pe locul doi se află VPN, care oferă nu numai anonimat, ci și protecție. Al treilea loc aparține anonimizatorului, care se limitează la lucrul într-o fereastră deschisă de browser. TOR este potrivit atunci când nu există timp și oportunitatea de a vă conecta la un VPN, dar nu trebuie să contați pe procesarea de mare viteză a cererilor în bloc. Această gradație este valabilă pentru cazul în care se folosesc servere descărcate, situate la aceeași distanță de cel testat.
Cum să vă conectați la internet cu un VPN
Zeci de servicii oferă servicii de acces VPN pe RuNet. Ei bine, probabil că sunt sute în întreaga lume. Practic, toate serviciile sunt platite. Costul variază de la câțiva dolari la câteva zeci de dolari pe lună. Specialiștii care au o bună înțelegere a IT își creează singuri un server VPN, folosind servere furnizate de diverși furnizori de găzduire în acest scop. Costul unui astfel de server este de obicei de aproximativ 5 USD pe lună.
Dacă preferați o soluție plătită sau gratuită, depinde de cerințele și așteptările dumneavoastră. Ambele opțiuni vor funcționa - ascunde locația, înlocuiește ip, criptează datele în timpul transmisiei etc. - dar problemele cu viteza și accesul în serviciile plătite apar mult mai rar și se rezolvă mult mai rapid.
tweet
plus
Vă rugăm să activați JavaScript pentru a vizualiza
