Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Hekuri
  • Çfarë është shërbimi vpn. Nëse përdoruesi është punonjës i kompanisë

Çfarë është shërbimi vpn. Nëse përdoruesi është punonjës i kompanisë

02.08.2019 Hekuri

Le të njohim pak VPN-në, të zbulojmë pyetjet bazë dhe t'i përdorim këto tre shkronja në avantazhin tonë.

VPN çfarë është?

Shihni se si kalon informacioni midis laptopit tim dhe telefonit inteligjent që ndodhet pranë tij, i ashtuquajturi gjurmimi i rrugës. Dhe ka gjithmonë një lidhje të dobët ku të dhënat mund të përgjohen.

Për çfarë është një VPN?

Organizimi i rrjeteve brenda rrjeteve dhe mbrojtja e tyre. Le të kuptojmë që VPN është e mirë. Pse? Sepse të dhënat tuaja do të jenë më të sigurta. Ne po ndërtojmë rrjet i sigurt nëpërmjet internetit ose rrjeteve të tjera. Është si një makinë e blinduar për të transportuar para në rrugë nga një bankë në një bankë tjetër. Ju mund të dërgoni para në një makinë të zakonshme, ose në një makinë të blinduar. Në çdo rrugë, paratë janë më të sigurta në një makinë të blinduar. Në mënyrë figurative VPN është një makinë e blinduar për informacionin tuaj. Dhe serveri VPN është një agjenci që ofron makina të blinduara. Shkurtimisht, VPN është e mirë.

Për sigurinë e të dhënave:

Përdorni një rrjet privat virtual (lidhje VPN)
Me një lidhje VPN, kur lidheni me një rrjet publik Wi-Fi, mund të përdorni në mënyrë efektive teknologjitë e enkriptimit për të dhënat që kalojnë përmes rrjetit. Kjo mund të parandalojë kriminelët kibernetikë që monitorojnë rrjetin tuaj nga përgjimi i të dhënave tuaja.

Ende nuk jeni të bindur? Këtu, për shembull, është titulli i një prej tenderëve:

Ofrimi i shërbimeve për ofrimin e kanaleve të komunikimit duke përdorur teknologjinë VPN për organizimin e transferimit të të dhënave midis departamenteve të Departamentit të Ministrisë së Punëve të Brendshme të Rusisë në Kazan

Policia kujdeset për sigurinë e tyre, kompanitë dhe korporatat shtetërore janë të shqetësuara për këtë dhe kërkojnë ekzistencën e kanaleve të tilla, por pse jemi më keq? Jemi akoma më mirë, sepse nuk do të shpenzojmë fonde buxhetore, por do të vendosim gjithçka shpejt, thjesht dhe pa pagesë.

Pra, le të shkojmë. Ne mbrojmë llogaritë, fjalëkalimet duke përdorur VPN kur përdorim rrjete të hapura Wi-Fi. Kjo është zakonisht lidhja më e dobët. Sigurisht, agjencitë e inteligjencës në mbarë botën, bandat kriminale mund të përballojnë pajisje që zëvendësojnë dhe përgjojnë trafikun jo vetëm nga rrjetet Wi-Fi, por edhe nga rrjetet e komunikimit satelitor dhe celular. Ky është një nivel tjetër dhe përtej qëllimit të këtij postimi.
Opsioni më i mirë është kur keni serverin tuaj VPN. Nëse jo, atëherë duhet të mbështeteni në ndershmërinë e atyre që ju ofrojnë këto shërbime. Pra, ka versione VPN me pagesë dhe ato falas. Le të kalojmë të dytën. Po, një server VPN mund të konfigurohet në një kompjuter shtëpiak, por më shumë për këtë në një postim të veçantë.

Si të vendosni një VPN

Merrni parasysh VPN falas për Android në shembullin e Opera VPN - VPN e pakufizuar.

Shkarkoni një klient falas VPN. Cilësimet janë minimale dhe përfundojnë në aktivizimin e VPN, zgjedhjen e një shteti, parazgjedhjen është afër dhe një bllok testimi të rrjetit. Ekzistojnë gjithashtu cilësime për të mbajtur VPN-në aktive.

Pas instalimit të aplikacionit, artikulli VPN shfaqet në menynë e cilësimeve të Android. Ky ndërprerës sjell ekranin kryesor të Opera VPN (nëse keni vetëm një mënyrë për të lidhur VPN).

Për të kontrolluar çaktivizimin dhe aktivizimin e VPN-së, mund të aktivizoni ikonat e aplikacioneve në cilësimet e Android.

Cilësimet-> Shiriti i njoftimeve dhe statusit -> njoftimet e aplikacionit-> Opera VPN

Jini të përgatitur për faktin se disa aplikacione në modalitetin e komunikimit të tunelit VPN do t'ju kërkojnë të konfirmoni statusin tuaj. Pra, aplikacioni VKontakte, me VPN të ndezur, do të kërkojë numrin tuaj të telefonit, pasi konsideron se një sulmues nga Gjermania ose Holanda po përpiqet të hyjë në llogarinë tuaj, në të cilën zakonisht hyni nga Moska. Futni numrin dhe vazhdoni të përdorni.

Këtu është mënyra më e lehtë për të përdorur një VPN në pajisjen tuaj Android. Ju gjithashtu mund të konfiguroni një rrjet privat virtual bazuar në ruterin tuaj dhe të lidheni me kompjuterin tuaj të shtëpisë nga kudo në botë nëpërmjet një kanali të sigurt, duke shkëmbyer lirshëm të dhëna private. Por unë do të flas për këtë metodë më të ndërlikuar, si dhe për cilësimet e aplikacioneve dhe shërbimeve me pagesë, në postime të tjera.


(8 vlerësime, mesatare: 4,75 nga 5)
Anton Tretiak Anton Tretiak [email i mbrojtur] Administratori faqja - rishikime, udhëzime, hakime të jetës

Teknologjia që krijon një rrjet logjik në një rrjet tjetër ka marrë shkurtesën "VPN", e cila fjalë për fjalë do të thotë "Virtual Private Network" në anglisht. Me fjalë të thjeshta, VPN përfshin metoda të ndryshme komunikimi midis pajisjeve brenda një rrjeti tjetër dhe ofron mundësinë e aplikimit të metodave të ndryshme të mbrojtjes, gjë që rrit ndjeshëm sigurinë e informacionit të shkëmbyer ndërmjet kompjuterëve.

Dhe kjo është shumë e rëndësishme në botën moderne, për shembull, për rrjetet e korporatave të mëdha tregtare dhe, natyrisht, bankat. Më poshtë janë udhëzues të detajuar se si të krijoni një VPN, udhëzime për procedurën e krijimit të një lidhjeje VPN dhe si të konfiguroni siç duhet lidhjen e krijuar VPN.

Përkufizimi

Për të kuptuar më mirë se çfarë është një VPN, thjesht duhet të dini se çfarë mund të bëjë. Lidhja VPN alokon një sektor të caktuar në një rrjet ekzistues dhe të gjithë kompjuterët dhe pajisjet dixhitale të vendosura në të janë në komunikim të vazhdueshëm me njëri-tjetrin. Por më e rëndësishmja, ky sektor është plotësisht i mbyllur dhe i mbrojtur për të gjitha pajisjet e tjera të vendosura në një rrjet të madh.

Si të lidhni një VPN

Pavarësisht kompleksitetit fillestar në dukje të përcaktimit të një VPN, krijimi i tij në kompjuterët Windows dhe madje edhe vetë konfigurimi i VPN nuk do të jetë i vështirë nëse keni një udhëzues të detajuar. Kërkesa kryesore është të ndiqni me përpikëri sekuencën strikte të hapave të mëposhtëm:


Më tej, kryhet konfigurimi i VPN, duke marrë parasysh nuancat e ndryshme shoqëruese.

Si të vendosni një VPN?

Është e nevojshme të konfigurohet duke marrë parasysh karakteristikat individuale jo vetëm të sistemit operativ, por edhe të operatorit që ofron shërbime komunikimi.

Windows XP

Në mënyrë që VPN në sistemin operativ Windows XP të kryejë me sukses punën e tij, kërkohen hapat vijues të mëposhtëm:


Më pas, gjatë funksionimit në mjedisin e krijuar, mund të përdorni disa funksione të përshtatshme. Për ta bërë këtë, bëni sa më poshtë:

Shënim: parametrat futen gjithmonë në mënyra të ndryshme, pasi ato varen jo vetëm nga serveri, por edhe nga ofruesi i shërbimit të komunikimit.

Windows 8

Në këtë OS, pyetja se si të vendosni një VPN nuk duhet të shkaktojë shumë vështirësi, sepse këtu është pothuajse i automatizuar.

Algoritmi i sekuencës së veprimeve përbëhet nga hapat e mëposhtëm:

Tjetra, duhet të specifikoni opsionet e rrjetit. Për këtë qëllim, bëni sa më poshtë:


Shënim: Futja e cilësimeve mund të ndryshojë ndjeshëm në varësi të konfigurimit të rrjetit.

Windows 7

Procesi i bërjes së cilësimeve në Windows 7 është i thjeshtë dhe i arritshëm edhe për përdoruesit e papërvojë të kompjuterit.

Për t'i prodhuar ato, një përdorues i Windows 7 duhet të ndërmarrë hapat vijues të mëposhtëm:

Shënim: për funksionimin e duhur, është e nevojshme një përzgjedhje e kujdesshme individuale e të gjithë parametrave.

Android

Për të konfiguruar funksionimin normal të një vegël me OS Android në mjedisin VPN, duhet të bëni disa gjëra:

Karakteristikat e lidhjes

Kjo teknologji përfshin lloje të ndryshme të vonesave në procedurat e transferimit të të dhënave. Vonesat ndodhin për shkak të faktorëve të mëposhtëm:

  1. Duhet pak kohë për të krijuar një lidhje;
  2. Ekziston një proces i vazhdueshëm i kodimit të informacionit të transmetuar;
  3. blloqe informacioni të transmetuar.

Dallimet më domethënëse janë të pranishme në vetë teknologjinë, për shembull, ruterat dhe linjat e veçanta nuk nevojiten për VPN. Për të funksionuar në mënyrë efektive, ju nevojitet vetëm akses në World Wide Web dhe aplikacione që ofrojnë kodim informacioni.

Zhvillimi i teknologjive të Internetit celular ka bërë të mundur përdorimin e plotë të telefonave dhe tabletëve për shfletimin në ueb. Pajisjet celulare përdoren jo vetëm për të gjetur informacionin e nevojshëm, por me ndihmën e tyre: ata komunikojnë në komunitetet sociale, bëjnë blerje, kryejnë transaksione financiare dhe punojnë në rrjetet e korporatave.

Por ç'të themi për një lidhje interneti të besueshme, të sigurt dhe anonime? Përgjigja është e thjeshtë - përdorni një VPN, për shembull https://colander.pro/servers.

Çfarë është një VPN dhe pse nevojitet në telefon

Teknologjitë që ju lejojnë të krijoni një rrjet logjik me një ose shumë lidhje janë quajtur së bashku Virtual Private Network (shkurt VPN). Përkthyer fjalë për fjalë, kjo shprehje tingëllon si një rrjet privat virtual.

Thelbi i tij është të krijojë një lidhje të sigurt (një lloj tuneli) mbi ose brenda një rrjeti tjetër përmes të cilit, falë aplikacionit të instaluar në vegël, klienti mund të hyjë në serverin VPN. Brenda një lidhjeje të tillë, të gjitha të dhënat e transmetuara modifikohen, kodohen dhe mbrohen.

Pse janë bërë kaq të njohura shërbimet që ofrojnë mundësinë e përdorimit të rrjeteve të tilla virtuale dhe a është e nevojshme t'i keni ato në një tablet apo smartphone?

Në udhëtimet turistike dhe të biznesit, shpesh është e nevojshme të përdorni internetin: të hyni në një zyrë celulare, korrespondencë biznesi, porosisni dhe paguani biletat dhe komunikoni përmes Skype, etj. Është i përshtatshëm me ndihmën e një pajisjeje në dispozicion për të kontrolluar postën, për të analizuar kuotat, për të studiuar lajmet. Por për këtë ju duhet t'i drejtoheni shërbimeve Wi-Fi, të cilat tani janë falas në shumë stacione, aeroporte, kafene dhe hotele.

Sigurisht, aftësia për të hyrë në internet kudo është një gjë e dobishme dhe e përshtatshme, por sa e sigurt është ajo. Ekspertët e sigurisë së informacionit pohojnë se përmes një lidhjeje të pasigurt Wi-Fi, ju mund të përdorni lehtësisht dhe lehtësisht të gjitha të dhënat në vegël.

Në këtë rast, zgjedhja e shërbimeve VPN do të jetë mundësia më e mirë për të mbrojtur përdoruesin nga vjedhja e informacionit të tij konfidencial. Megjithatë, ju mund t'i përdorni këto rrjete virtuale për më shumë sesa thjesht siguri. Përdorimi i tyre ju lejon të merrni mundësinë për të shkuar në një burim në internet që nuk është i disponueshëm në një rajon të caktuar, të anashkaloni kufizimet e rrjetit të korporatave, etj.

Karakteristikat e teknologjisë celulare

Në mënyrë që pronarët e pajisjeve mobile të përfitojnë nga këto teknologji cloud, shumë serverë VPN janë përshtatur për të punuar me pajisje të tilla. Kanalet e komunikimit të përdorura nga telefonat inteligjentë dhe tabletët për të hyrë në ueb shpesh ndryshojnë, mund të jetë Wi-Fi dhe më pas një lidhje 3G ose 4G. Kjo e ndërlikon shumë aftësinë e një serveri të rregullt VPN për të mbajtur një lidhje të qëndrueshme në një kanal të dedikuar.

Kjo për faktin se ai sheh pajisje që i qasen atij nga nënrrjeta dhe adresa IP të ndryshme, gjë që çon në humbjen e një lidhjeje aktive nga aplikacionet e instaluara në pajisje. Për të shmangur këtë, serverët e përshtatur posaçërisht të pajisur me teknologji VPN filluan të përdorin metoda speciale autorizimi. Të cilat bëjnë të mundur kryerjen e transferimit të dyanshëm të të dhënave nga serveri në pajisjet e veshura, ku pajisja ndryshon periodikisht cilësimet e rrjetit.

Si të përdorni siç duhet veçoritë VPN në telefonin tuaj

Ekzistojnë shërbime të serverëve VPN me pagesë dhe homologët e tyre falas. Çfarë është më mirë për të zgjedhur varet nga secili përdorues individualisht. Nëse keni arritur të vendosni për zgjedhjen e shërbimit dhe serverit, duhet të vazhdoni te cilësimet. Tani pajisjet më të njohura celulare janë pajisjet në iPhone dhe Android.

Aktivizimi i VPN në iPhone

Ka dy mënyra për të konfiguruar përdorimin e këtyre teknologjive në iPhone. E para është të zgjidhni aplikacionin më të përshtatshëm për këtë nga App Store dhe ta instaloni atë. Pastaj bëni sa vijon:

  • Vizitoni seksionin e cilësimeve.
  • Hapni skedën VPN dhe aktivizoni atë me rrëshqitësin.
  • Pastaj zgjidhni shërbimin e instaluar.

E dyta është konfigurimi manual i VPN. Për ta bërë këtë, duhet të kryeni manipulimet e mëposhtme:

  • Pasi të keni hyrë në seksionin e cilësimeve në pajisje, aktivizoni VPN-në dhe klikoni në ikonën "shto konfigurimin".
  • Pastaj zgjidhni llojin e mbrojtjes: L2TP, IPSec ose IKEv2 dhe aktivizoni konfigurimin e kërkuar.
  • Pas kësaj, duhet të plotësoni informacione në lidhje me cilësimet e rrjetit privat: një përshkrim të identifikuesit të largët, serverit dhe të plotësoni informacionin e nevojshëm për regjistrim - pseudonimin, fjalëkalimin.
  • Nëse keni një server proxy, duhet të zgjidhni, bazuar në preferencat tuaja, përdorimin e tij: automatik ose manual.
  • Duke klikuar butonin "Finish" dhe duke kaluar rrëshqitësin e statusit në pozicionin e dëshiruar, mund të filloni të lundroni në internet.

Tani i gjithë trafiku nga iPhone do të kalojë përmes VPN.

Vendosja e një VPN në Android

Këtu është shumë më e lehtë të lidhni shërbimin e zgjedhur VPN. Për këtë ju duhet:

  • Aktivizoni seksionin "Cilësimet", ku në rreshtin "Rrjetet pa tel", klikoni mbi mbishkrimin: "Advanced".
  • Pas kësaj, pasi hapni nënseksionin "VPN" dhe klikoni në shenjën +, do të sigurohen të dhëna për protokollet e disponueshme për lidhjen e shërbimeve të tilla.
  • Pasi të keni zgjedhur dhe ruajtur lidhjen e kërkuar, mbetet vetëm të futni dhe krijoni kredencialet e nevojshme për punë: hyrjen dhe fjalëkalimin.

Sigurisht, cilësimet për smartfonë të ndryshëm mund të ndryshojnë, por hapat bazë janë kryesisht të ngjashëm.

konkluzioni

Është e vështirë të argumentohet se përdorimi i VPN në pajisjet celulare po bëhet një shërbim gjithnjë e më popullor. Falë shërbimeve të tilla, shumë mundësi hapen për përdoruesit: kur shkojnë në një udhëtim, të jenë në gjendje të mos shkëputen nga procesi i punës, duke ditur që të gjitha të dhënat e tij mbrohen vazhdimisht, duke qenë në një rajon tjetër për të pasur akses në burimet e nevojshme dhe preferencat e tjera.

Kohët e fundit, bota e telekomunikacionit ka parë një interes të shtuar për rrjetet private virtuale (Virtual Private Network - VPN). Kjo është për shkak të nevojës për të ulur koston e mirëmbajtjes së rrjeteve të korporatave për shkak të lidhjes më të lirë të zyrave në distancë dhe përdoruesve të largët nëpërmjet internetit. Në të vërtetë, kur krahasojmë koston e shërbimeve për lidhjen e disa rrjeteve përmes Internetit, për shembull, me rrjetet Frame Relay, mund të vërehet një ndryshim i rëndësishëm në kosto. Megjithatë, duhet theksuar se kur rrjetet lidhen nëpërmjet internetit, çështja e sigurisë së transmetimit të të dhënave lind menjëherë, ndaj u bë e nevojshme krijimi i mekanizmave për të garantuar konfidencialitetin dhe integritetin e informacionit të transmetuar. Rrjetet e ndërtuara në bazë të mekanizmave të tillë quhen VPN.

Për më tepër, shumë shpesh një person modern, duke zhvilluar biznesin e tij, duhet të udhëtojë shumë. Mund të jenë udhëtime në qoshe të largëta të vendit tonë ose në vende të huaja. Nuk është e pazakontë që njerëzit të kenë nevojë për akses në informacionin e tyre të ruajtur në kompjuterin e shtëpisë ose të kompanisë. Ky problem mund të zgjidhet duke rregulluar qasje në distancë në të duke përdorur një modem dhe një linjë. Përdorimi i linjës telefonike ka karakteristikat e veta. Disavantazhet e kësaj zgjidhjeje janë se një telefonatë nga një vend tjetër kushton shumë para. Ekziston një zgjidhje tjetër e quajtur VPN. Përparësitë e teknologjisë VPN janë se organizimi i aksesit në distancë nuk bëhet përmes linjës telefonike, por përmes internetit, e cila është shumë më e lirë dhe më e mirë. Sipas mendimit tim, teknologjia. VPN ka perspektivën për t'u miratuar gjerësisht në të gjithë botën.

1. Koncepti dhe klasifikimi i rrjeteve VPN, ndërtimi i tyre

1.1 Çfarë është VPN

VPN(Eng. Virtual Private Network - rrjet privat virtual) - një rrjet logjik i krijuar në krye të një rrjeti tjetër, siç është Interneti. Përkundër faktit se komunikimet kryhen përmes rrjeteve publike duke përdorur protokolle të pasigurta, kriptimi krijon kanale shkëmbimi informacioni të mbyllura nga të huajt. VPN ju lejon të kombinoni, për shembull, disa zyra të një organizate në një rrjet të vetëm duke përdorur kanale të pakontrolluara për komunikim ndërmjet tyre.

Në thelbin e tij, një VPN ka shumë nga vetitë e një linje me qira, por ajo është e vendosur brenda një rrjeti publik, si p.sh. Me teknikën e tunelit, paketat e të dhënave transmetohen në rrjetin publik sikur të ishin një lidhje normale pikë-për-pikë. Midis çdo çifti "dërguesi-marrës të të dhënave" krijohet një lloj tuneli - një lidhje e sigurt logjike që ju lejon të kapsuloni të dhënat e një protokolli në paketat e një tjetri. Përbërësit kryesorë të tunelit janë:

  • iniciator;
  • rrjet i drejtuar;
  • ndërprerës tuneli;
  • një ose më shumë terminatorë të tunelit.

Në vetvete, parimi i funksionimit të VPN nuk bie ndesh me teknologjitë dhe protokollet kryesore të rrjetit. Për shembull, kur krijon një lidhje dial-up, klienti dërgon një rrymë paketash standarde PPP në server. Në rastin e organizimit të linjave virtuale me qira ndërmjet rrjeteve lokale, ruterët e tyre shkëmbejnë gjithashtu paketa PPP. Megjithatë, një pikë thelbësisht e re është përcjellja e paketave përmes një tuneli të sigurt të organizuar brenda rrjetit publik.

Tuneli ju lejon të organizoni transmetimin e paketave të një protokoll në një mjedis logjik që përdor një protokoll tjetër. Si rezultat, bëhet e mundur zgjidhja e problemeve të ndërveprimit midis disa rrjeteve heterogjene, duke filluar nga nevoja për të siguruar integritetin dhe konfidencialitetin e të dhënave të transmetuara dhe duke përfunduar me tejkalimin e mospërputhjeve në protokollet e jashtme ose skemat e adresimit.

Infrastruktura ekzistuese e rrjetit të një korporate mund të sigurohet për përdorim VPN ose përmes softuerit ose harduerit. Organizimi i një rrjeti privat virtual mund të krahasohet me vendosjen e një kablloje përmes një rrjeti global. Në mënyrë tipike, një lidhje e drejtpërdrejtë midis një përdoruesi të largët dhe një pajisjeje fundore të tunelit krijohet duke përdorur protokollin PPP.

Metoda më e zakonshme për krijimin e tuneleve VPN është inkapsulimi i protokolleve të rrjetit (IP, IPX, AppleTalk, etj.) në PPP dhe më pas kapsulimi i paketave që rezultojnë në një protokoll tunelimi. Zakonisht kjo e fundit është IP ose (shumë më rrallë) ATM dhe Frame Relay. Kjo qasje quhet tunelizimi i shtresës 2, sepse "pasagjeri" këtu është protokolli i shtresës 2.

Një qasje alternative - inkapsulimi i paketave të protokollit të rrjetit direkt në një protokoll tunelizimi (p.sh. VTP) quhet tunelizimi i shtresës 3.

Pavarësisht se çfarë protokolle përdoren apo çfarë qëllimesh të përndjekur në organizimin e tunelit, teknika bazë mbetetpraktikisht i pandryshuar. Në mënyrë tipike, një protokoll përdoret për të krijuar një lidhje me një host të largët, dhe tjetri përdoret për të përmbledhur të dhënat dhe informacionin e shërbimit për transmetim përmes një tuneli.

1.2 Klasifikimi i rrjeteve VPN

Zgjidhjet VPN mund të klasifikohen sipas disa parametrave kryesorë:

1. Sipas llojit të mediumit të përdorur:

  • Rrjete të sigurta VPN. Varianti më i zakonshëm i rrjeteve private. Me ndihmën e tij, është e mundur të krijohet një nënrrjet i besueshëm dhe i sigurt i bazuar në një rrjet jo të besueshëm, zakonisht në internet. Shembuj të VPN-ve të sigurta janë: IPSec, OpenVPN dhe PPTP.
  • Rrjete të besuara VPN. Ato përdoren në rastet kur mediumi i transmetimit mund të konsiderohet i besueshëm dhe është e nevojshme vetëm të zgjidhet problemi i krijimit të një nënrrjeti virtual brenda një rrjeti më të madh. Çështjet e sigurisë bëhen të parëndësishme. Shembuj të zgjidhjeve të tilla VPN janë: MPLS dhe L2TP. Është më e saktë të thuhet se këto protokolle zhvendosin detyrën e sigurimit të sigurisë te të tjerët, për shembull L2TP, si rregull, përdoret së bashku me IPSec.

2. Sipas mënyrës së zbatimit:

  • Rrjetet VPN në formën e softuerit dhe harduerit special. Zbatimi i rrjetit VPN kryhet duke përdorur një grup të veçantë softueri dhe hardueri. Ky zbatim siguron performancë të lartë dhe, si rregull, një shkallë të lartë sigurie.
  • Rrjetet VPN si një zgjidhje softuerike. Ata përdorin një kompjuter personal me softuer të veçantë që ofron funksionalitet VPN.
  • Rrjetet VPN me një zgjidhje të integruar. Funksionaliteti VPN ofrohet nga një kompleks që zgjidh gjithashtu problemet e filtrimit të trafikut të rrjetit, organizimit të një muri zjarri dhe sigurimit të cilësisë së shërbimit.

3. Me takim:

  • Intranet VPN. Ato përdoren për të kombinuar disa degë të shpërndara të një organizate në një rrjet të vetëm të sigurt, duke shkëmbyer të dhëna nëpërmjet kanaleve të hapura të komunikimit.
  • VPN me qasje në distancë. Ato përdoren për të krijuar një kanal të sigurt midis një segmenti të rrjetit të korporatës (zyra qendrore ose degë) dhe një përdoruesi të vetëm, i cili, ndërsa punon në shtëpi, lidhet me burimet e korporatës nga një kompjuter shtëpiak ose, gjatë një udhëtimi pune, lidhet me një korporatë. burime duke përdorur një laptop.
  • VPN ekstranet. Përdoret për rrjetet me të cilat lidhen përdoruesit "të jashtëm" (për shembull, klientët ose klientët). Niveli i besimit ndaj tyre është shumë më i ulët se sa tek punonjësit e kompanisë, prandaj është e nevojshme të sigurohen "kufijtë" e veçantë të mbrojtjes që pengojnë ose kufizojnë aksesin e këtyre të fundit në informacione veçanërisht të vlefshme, konfidenciale.

4. Sipas llojit të protokollit:

  • Ekzistojnë implementime të rrjeteve private virtuale nën TCP/IP, IPX dhe AppleTalk. Por sot ka një prirje drejt një kalimi të përgjithshëm në protokollin TCP / IP, dhe shumica dërrmuese e zgjidhjeve VPN e mbështesin atë.

5. Sipas nivelit të protokollit të rrjetit:

  • Sipas shtresës së protokollit të rrjetit, bazuar në një hartë me shtresat e modelit të referencës së rrjetit ISO/OSI.

1.3. Ndërtimi i një VPN

Ekzistojnë opsione të ndryshme për ndërtimin e një VPN. Kur zgjidhni një zgjidhje, duhet të merrni parasysh faktorët e performancës së ndërtuesve të VPN. Për shembull, nëse një ruter tashmë po punon në kufirin e fuqisë së tij, atëherë shtimi i tuneleve VPN dhe aplikimi i kriptimit / deshifrimit të informacionit mund të ndalojë të gjithë rrjetin të funksionojë për shkak të faktit se ky ruter nuk do të jetë në gjendje të përballojë trafikun e thjeshtë. , për të mos përmendur VPN. Përvoja tregon se është më mirë të përdorni pajisje të specializuara për të ndërtuar një VPN, por nëse ka një kufizim në fonde, atëherë mund t'i kushtoni vëmendje një zgjidhjeje thjesht softuerike. Konsideroni disa opsione për ndërtimin e një VPN.

  • VPN e bazuar në mur zjarri. Shumica e prodhuesve të mureve të zjarrit mbështesin tunelizimin dhe enkriptimin e të dhënave. Të gjitha produktet e tilla bazohen në faktin se trafiku që kalon nëpër murin e zjarrit është i koduar. Një modul enkriptimi i shtohet vetë softuerit të murit të zjarrit. Disavantazhi i kësaj metode është varësia e performancës nga hardueri në të cilin funksionon muri i zjarrit. Kur përdorni mure zjarri të bazuara në PC, mbani në mend se një zgjidhje e tillë mund të përdoret vetëm për rrjete të vogla me një sasi të vogël informacioni të transmetuar.
  • VPN e bazuar në ruter. Një mënyrë tjetër për të ndërtuar një VPN është përdorimi i ruterave për të krijuar kanale të sigurta. Meqenëse i gjithë informacioni që vjen nga rrjeti lokal kalon përmes ruterit, këshillohet që edhe këtij ruteri t'i caktohen detyra enkriptimi.Një shembull i pajisjeve për ndërtimin e VPN në ruterë janë pajisjet nga Cisco Systems. Duke filluar me lëshimin e softuerit IOS 11.3, ruterët Cisco mbështesin protokollet L2TP dhe IPSec. Përveç enkriptimit të thjeshtë të trafikut në tranzit, Cisco mbështet veçori të tjera VPN, të tilla si vërtetimi i tunelit dhe shkëmbimi i çelësave.Një modul opsional i enkriptimit ESA mund të përdoret për të përmirësuar performancën e ruterit. Përveç kësaj, Cisco System ka lëshuar një pajisje të dedikuar VPN të quajtur Cisco 1720 VPN Access Router për instalim në biznese të vogla dhe të mesme dhe në degë të mëdha.
  • VPN e bazuar në softuer. Qasja tjetër për ndërtimin e një VPN është thjesht e bazuar në softuer. Kur zbatohet një zgjidhje e tillë, përdoret softuer i specializuar që funksionon në një kompjuter të dedikuar dhe në shumicën e rasteve vepron si një server proxy. Kompjuteri që drejton këtë softuer mund të jetë i vendosur pas një muri zjarri.
  • Sistemi operativ i rrjetit të bazuar në VPN.Ne do të shqyrtojmë zgjidhjet e bazuara në sistemin operativ të rrjetit duke përdorur shembullin e Windows OS të Microsoft. Për të krijuar një VPN, Microsoft përdor protokollin PPTP, i cili është i integruar në sistemin Windows. Kjo zgjidhje është shumë tërheqëse për organizatat që përdorin Windows si sistemin e tyre operativ të korporatës. Duhet të theksohet se kostoja e një zgjidhjeje të tillë është shumë më e ulët se kostoja e zgjidhjeve të tjera. VPN e bazuar në Windows përdor një bazë përdoruesi të ruajtur në Kontrolluesin Primar të Domenit (PDC). Kur lidhet me një server PPTP, përdoruesi vërtetohet duke përdorur protokollet PAP, CHAP ose MS-CHAP. Paketat e transmetuara janë të kapsuluara në pako GRE/PPTP. Për të enkriptuar paketat, përdoret një protokoll jo standard nga Microsoft Point-to-Point Encryption me një çelës 40 ose 128 bit të marrë në momentin e krijimit të lidhjes. Disavantazhet e këtij sistemi janë mungesa e kontrolleve të integritetit të të dhënave dhe pamundësia e ndryshimit të çelësave gjatë lidhjes. Aspektet pozitive janë lehtësia e integrimit me Windows dhe kostoja e ulët.
  • VPN e bazuar në harduer. Opsioni i ndërtimit të një VPN në pajisje speciale mund të përdoret në rrjete që kërkojnë performancë të lartë. Një shembull i një zgjidhjeje të tillë është produkti IPro-VPN i Radguard. Ky produkt përdor kriptim të bazuar në harduer të informacionit të transmetuar, i aftë për të kaluar një rrymë prej 100 Mbps. IPro-VPN mbështet protokollin IPSec dhe mekanizmin e menaxhimit të çelësave ISAKMP/Oakley. Ndër të tjera, kjo pajisje mbështet përkthimin e adresave të rrjetit dhe mund të plotësohet me një tabelë të veçantë që shton funksionet e murit të zjarrit

2. Protokollet e rrjeteve VPN

Rrjetet VPN ndërtohen duke përdorur protokollet e tunelit të të dhënave mbi rrjetin publik të komunikimit të internetit, me protokolle tunelesh që enkriptojnë të dhënat dhe i transmetojnë ato nga skaji në skaj midis përdoruesve. Si rregull, sot protokollet e mëposhtme përdoren për të ndërtuar rrjete VPN:

  • Shtresa e lidhjes
  • shtresa e rrjetit
  • shtresa e transportit.

2.1 Shtresa e lidhjes

Në shtresën e lidhjes së të dhënave, mund të përdoren protokollet e tunelit të të dhënave L2TP dhe PPTP, të cilat përdorin autorizimin dhe vërtetimin.

PPTP.

Aktualisht, protokolli më i zakonshëm VPN është Protokolli i Tunnelimit Point-to-Point - PPTP. Ai u zhvillua nga 3Com dhe Microsoft për të siguruar akses të sigurt në distancë në rrjetet e korporatave nëpërmjet internetit. PPTP përdor standardet ekzistuese të hapura TCP/IP dhe mbështetet shumë në protokollin e vjetër PPP pikë-për-pikë. Në praktikë, PPP mbetet protokolli i komunikimit të një sesioni lidhjeje PPP. PPTP krijon një tunel përmes rrjetit në serverin NT të marrësit dhe dërgon paketat PPP të përdoruesit në distancë përmes tij. Serveri dhe stacioni i punës përdorin një rrjet privat virtual dhe nuk u intereson se sa i sigurt ose i aksesueshëm është rrjeti global ndërmjet tyre. Përfundimi i një sesioni lidhjeje nga serveri, ndryshe nga serverët e specializuar të aksesit në distancë, i lejon administratorët e rrjetit lokal të mos lejojnë përdoruesit e largët të kalojnë sistemin e sigurisë së Windows Server.

Ndërsa PPTP është i kufizuar në pajisjet me Windows, ai u jep kompanive mundësinë për të ndërvepruar me infrastrukturat ekzistuese të rrjetit pa kompromentuar sigurinë e tyre. Kështu, një përdorues i largët mund të lidhet me internetin duke përdorur një ISP lokal përmes një linje telefonike analoge ose kanali ISDN dhe të krijojë një lidhje me serverin NT. Në të njëjtën kohë, kompania nuk duhet të shpenzojë shuma të mëdha për organizimin dhe mirëmbajtjen e një pishinë modem që ofron shërbime të aksesit në distancë.

Puna e RRTR-së diskutohet në vijim. PPTP përmbledh paketat IP për transmetim përmes një rrjeti IP. Klientët PPTP përdorin portën e destinacionit për të krijuar një lidhje të kontrollit të tunelit. Ky proces ndodh në shtresën e transportit të modelit OSI. Pasi të krijohet tuneli, kompjuteri i klientit dhe serveri fillojnë të shkëmbejnë paketat e shërbimit. Përveç lidhjes së kontrollit PPTP që mban lidhjen gjallë, krijohet një lidhje për të përcjellë tunelin e të dhënave. Të dhënat inkapsulohen përpara se të dërgohen përmes tunelit në një mënyrë paksa të ndryshme sesa gjatë transmetimit normal. Përmbledhja e të dhënave përpara dërgimit të tyre në tunel përfshin dy hapa:

  1. Së pari, krijohet pjesa e informacionit PPP. Të dhënat rrjedhin nga lart poshtë, nga shtresa e aplikacionit OSI në shtresën e lidhjes.
  2. Të dhënat e marra dërgohen më pas në modelin OSI dhe kapsulohen nga protokollet e shtresës së sipërme.

Kështu, gjatë kalimit të dytë, të dhënat arrijnë në shtresën e transportit. Sidoqoftë, informacioni nuk mund të dërgohet në destinacionin e tij, pasi shtresa e lidhjes OSI është përgjegjëse për këtë. Prandaj, PPTP kodon fushën e ngarkesës së paketës dhe merr përsipër funksionet e shtresës së dytë që normalisht lidhen me PPP, d.m.th. shton një kokë PPP dhe përfundon në një paketë PPTP. Kjo përfundon krijimin e kornizës së shtresës së lidhjes.

Më pas, PPTP e kapsulon kornizën PPP në një paketë Generic Routing Encapsulation (GRE) që i përket shtresës së rrjetit. GRE përmbledh protokollet e shtresave të rrjetit si IPX, AppleTalk, DECnet për të mundësuar që ato të transportohen përmes rrjeteve IP. Sidoqoftë, GRE nuk ka aftësinë të krijojë seanca dhe të sigurojë mbrojtje të të dhënave nga ndërhyrës. Kjo përdor aftësinë e PPTP për të krijuar një lidhje të kontrollit të tunelit. Përdorimi i GRE si një metodë kapsulimi kufizon shtrirjen e PPTP vetëm në rrjetet IP.

Pasi korniza PPP të jetë inkapsuluar në një kornizë me një kokë GRE, ajo inkapsulohet në një kornizë me një kokë IP. Kreu i IP-së përmban adresat e dërguesit dhe marrësit të paketës. Së fundi, PPTP shton një kokë PPP dhe një fund.

Sistemi dërgues dërgon të dhëna përmes tunelit. Sistemi marrës heq të gjitha titujt e shërbimit, duke lënë vetëm të dhënat PPP.

L2TP

Në të ardhmen e afërt, pritet një rritje e numrit të VPN-ve të vendosura bazuar në Protokollin e ri të Tunelit të Layer 2 - L2TP.

L2TP u shfaq si rezultat i bashkimit të protokolleve PPTP dhe L2F (Layer 2 Forwarding). PPTP lejon që paketat PPP të transmetohen përmes tunelit, dhe paketat SLIP dhe PPP L2F. Për të shmangur konfuzionin dhe problemet e ndërveprimit në tregun e telekomunikacionit, komiteti i Task Forcës së Inxhinierisë së Internetit (IETF) rekomandoi që Cisco Systems të kombinonte PPTP dhe L2F. Nga të gjitha llogaritë, protokolli L2TP ka përfshirë veçoritë më të mira të PPTP dhe L2F. Avantazhi kryesor i L2TP është se ky protokoll ju lejon të krijoni një tunel jo vetëm në rrjetet IP, por edhe në rrjete të tilla si ATM, X.25 dhe Frame Relay. Fatkeqësisht, implementimi i L2TP në Windows 2000 mbështet vetëm IP.

L2TP përdor UDP si një transport dhe përdor të njëjtin format mesazhi si për menaxhimin e tunelit ashtu edhe për përcjelljen e të dhënave. Implementimi i L2TP nga Microsoft përdor si mesazhe kontrolli pako UDP që përmbajnë pako të koduara PPP. Besueshmëria e dorëzimit garantohet nga kontrolli i sekuencës së paketave.

Funksionaliteti i PPTP dhe L2TP është i ndryshëm. L2TP mund të përdoret jo vetëm në rrjetet IP, por mesazhet e shërbimit për krijimin e një tuneli dhe dërgimin e të dhënave përmes tij përdorin të njëjtin format dhe protokolle. PPTP mund të përdoret vetëm përmes rrjeteve IP dhe ka nevojë për një lidhje të veçantë TCP për të krijuar dhe përdorur tunelin. L2TP mbi IPSec ofron më shumë shtresa sigurie sesa PPTP dhe mund të garantojë afërsisht 100% siguri të të dhënave kritike për biznesin. Karakteristikat e L2TP e bëjnë atë një protokoll shumë premtues për ndërtimin e rrjeteve virtuale.

Protokollet L2TP dhe PPTP ndryshojnë nga protokollet e tunelit të shtresës 3 në disa mënyra:

  1. Duke u dhënë korporatave mundësinë për të zgjedhur se si të vërtetojnë përdoruesit dhe të verifikojnë kredencialet e tyre - në "territorin" e tyre ose me një ofrues shërbimi interneti. Duke përpunuar paketat PPP të tunelizuara, serverët e rrjetit të korporatave marrin të gjithë informacionin që u nevojitet për të identifikuar përdoruesit.
  2. Mbështetje për ndërrimin e tunelit - përfundimi i një tuneli dhe fillimi i një tjetri në një nga shumë terminatorët e mundshëm. Ndërrimi i tuneleve lejon, si të thuash, zgjerimin e lidhjes PPP në pikën përfundimtare të kërkuar.
  3. Mundësimi i administratorëve të sistemit të rrjetit të korporatës për të zbatuar strategji për caktimin e të drejtave të aksesit për përdoruesit drejtpërdrejt në murin e zjarrit dhe serverët e brendshëm. Për shkak se terminatorët e tunelit marrin pako PPP që përmbajnë informacione të përdoruesit, ata janë në gjendje të aplikojnë politika sigurie të përcaktuara nga administratori për trafikun individual të përdoruesve. (Tuneli i shtresës 3 nuk bën të mundur dallimin e paketave që vijnë nga ofruesi, kështu që filtrat e politikës së sigurisë duhet të aplikohen në stacionet e punës fundore dhe pajisjet e rrjetit.) Përveç kësaj, nëse përdoret një ndërprerës tuneli, bëhet e mundur të organizohet një "vazhdim " të tunelit niveli i dytë për përkthimin e drejtpërdrejtë të trafikut të individitpërdoruesit në serverët përkatës të brendshëm. Serverë të tillë mund të ngarkohen me filtrim shtesë të paketave.

MPLS

Gjithashtu në shtresën e lidhjes, teknologjia MPLS mund të përdoret për të organizuar tunele ( Nga anglishtja Multiprotocol Label Switching - multiprotocol label switching - një mekanizëm i transferimit të të dhënave që imiton vetitë e ndryshme të rrjeteve me komutim qarku mbi rrjetet me komutim të paketave). MPLS operon në një shtresë që mund të vendoset midis shtresës së lidhjes së të dhënave dhe shtresës së tretë të rrjetit të modelit OSI dhe për këtë arsye zakonisht quhet protokoll i shtresës së lidhjes së rrjetit. Ai u krijua për të ofruar një shërbim të gjithanshëm të të dhënave si për klientët e rrjetit me komutim qarku ashtu edhe për klientët me komutim të paketave. Me MPLS, ju mund të mbani një shumëllojshmëri të gjerë trafiku, të tilla si pako IP, ATM, SONET dhe korniza Ethernet.

Zgjidhjet VPN në nivelin e lidhjes kanë një shtrirje mjaft të kufizuar, zakonisht brenda domenit të ofruesit.

2.2 Shtresa e rrjetit

Shtresa e rrjetit (shtresa IP). Përdoret protokolli IPSec, i cili zbaton enkriptimin dhe konfidencialitetin e të dhënave, si dhe vërtetimin e abonentëve. Përdorimi i protokollit IPSec ju lejon të implementoni akses me funksione të plota ekuivalente me një lidhje fizike me një rrjet të korporatës. Për të krijuar një VPN, çdo pjesëmarrës duhet të konfigurojë disa parametra IPSec, d.m.th. çdo klient duhet të ketë softuer që implementon IPSec.

IPSec

Natyrisht, asnjë kompani nuk do të dëshironte të transferonte hapur Informacion financiar ose informacion tjetër konfidencial në internet. Kanalet VPN mbrohen nga algoritme të fuqishme të enkriptimit të ngulitura në standardet e protokollit të sigurisë IPsec. IPSec ose Internet Protocol Security - standardi i zgjedhur nga komuniteti ndërkombëtar, IETF - Internet Engineering Task Force, krijon bazën e sigurisë për Protokollin e Internetit (protokolli IP / IPSec siguron mbrojtje në nivel rrjeti dhe kërkon mbështetje për standardin IPSec vetëm nga pajisjet që komunikojnë me njëra-tjetrën në të dyja pajisjet e tjera në mes, thjesht sigurojnë trafikun e paketave IP.

Metoda e ndërveprimit ndërmjet personave që përdorin teknologjinë IPSec zakonisht përkufizohet me termin "shoqatë e sigurt" - Shoqata e Sigurisë (SA). Një shoqatë e sigurt funksionon në bazë të një marrëveshjeje të lidhur nga palët që përdorin IPSec për të mbrojtur informacionin e transmetuar njëra-tjetrës. Kjo marrëveshje rregullon disa parametra: adresat IP të dërguesit dhe të marrësit, algoritmi kriptografik, renditja e shkëmbimit të çelësave, madhësitë e çelësave, jetëgjatësia e çelësit, algoritmi i vërtetimit.

IPSec është një grup konsensus standardesh të hapura që ka një bërthamë që mund të zgjerohet lehtësisht me veçori dhe protokolle të reja. Thelbi i IPSec përbëhet nga tre protokolle:

· AN ose Authentication Header - titulli i vërtetimit - garanton integritetin dhe autenticitetin e të dhënave. Qëllimi kryesor i protokollit AH është të lejojë palën marrëse të sigurohet që:

  • pakoja është dërguar nga një palë me të cilën është krijuar një shoqatë e sigurt;
  • përmbajtja e paketës nuk është shtrembëruar gjatë transmetimit të saj në rrjet;
  • paketa nuk është dublikatë e një pakete të marrë tashmë.

Dy funksionet e para janë të detyrueshme për protokollin AH dhe i fundit është opsional kur krijohet një shoqatë. Për të kryer këto funksione, protokolli AH përdor një kokë të veçantë. Struktura e saj konsiderohet si më poshtë:

  1. Fusha tjetër e kokës tregon kodin e protokollit të nivelit më të lartë, domethënë protokollin, mesazhi i të cilit vendoset në fushën e të dhënave të paketës IP.
  2. Fusha e gjatësisë së ngarkesës përmban gjatësinë e kokës AH.
  3. Indeksi i Parametrave të Sigurisë (SPI) përdoret për të lidhur një paketë me lidhjen e synuar të saj të sigurt.
  4. Fusha e numrit të sekuencës (SN) tregon numrin e sekuencës së paketës dhe përdoret për të mbrojtur kundër mashtrimit (kur një palë e tretë përpiqet të ripërdorë paketat e sigurta të përgjuara të dërguara nga një dërgues vërtet i vërtetuar).
  5. Fusha e të dhënave të vërtetimit, e cila përmban të ashtuquajturën Vlera e Kontrollit të Integritetit (ICV), përdoret për të vërtetuar dhe kontrolluar integritetin e paketës. Kjo vlerë, e quajtur edhe digest, llogaritet duke përdorur një nga dy funksionet e pakthyeshme llogaritëse MD5 ose SAH-1 të kërkuara nga protokolli AH, por çdo funksion tjetër mund të përdoret.

· ESP ose Kapsulimi i ngarkesës së sigurisë- kapsulimi i të dhënave të koduara - kodon të dhënat e transmetuara, duke siguruar konfidencialitet, gjithashtu mund të ruajë vërtetimin dhe integritetin e të dhënave;

Protokolli ESP zgjidh dy grupe problemesh.

  1. E para përfshin detyra të ngjashme me ato të protokollit AH - kjo është sigurimi i vërtetimit dhe integritetit të të dhënave bazuar në digest,
  2. Tek e dyta - të dhënat transmetohen duke i koduar ato nga shikimi i paautorizuar.

Kreu ndahet në dy pjesë të ndara nga një fushë të dhënash.

  1. Pjesa e parë, e quajtur vetë titulli ESP, formohet nga dy fusha (SPI dhe SN), qëllimi i të cilave është i ngjashëm me fushat me të njëjtin emër në protokollin AH dhe vendoset përpara fushës së të dhënave.
  2. Fushat e mbetura të shërbimit të protokollit ESP, të quajtura rimorkio ESP, ndodhen në fund të paketës.

Dy fushat e rimorkios - titulli tjetër dhe të dhënat e vërtetimit - janë të ngjashme me fushat e titullit AH. Fusha e të dhënave të vërtetimit hiqet nëse është marrë një vendim për të mos përdorur aftësitë e integritetit të protokollit ESP kur krijoni një lidhje të sigurt. Përveç këtyre fushave, rimorkio përmban dy fusha shtesë - mbushësi dhe gjatësia e mbushësit.

Protokollet AH dhe ESP mund të mbrojnë të dhënat në dy mënyra:

  1. në transport - transmetimi kryhet me kokë origjinale IP;
  2. në një tunel - paketa origjinale vendoset në një paketë të re IP dhe transmetimi kryhet me tituj të rinj.

Përdorimi i një ose një tjetër mode varet nga kërkesat për mbrojtjen e të dhënave, si dhe nga roli i luajtur në rrjet nga nyja që përfundon kanalin e sigurt. Kështu, një nyje mund të jetë një host (nyje fundore) ose një portë (nyje e ndërmjetme).

Prandaj, ekzistojnë tre skema për përdorimin e protokollit IPSec:

  1. pritës pritës;
  2. gateway-gateway;
  3. portë pritës.

Aftësitë e protokolleve AH dhe ESP mbivendosen pjesërisht: protokolli AH është përgjegjës vetëm për sigurimin e integritetit dhe vërtetimit të të dhënave, protokolli ESP mund të enkriptojë të dhënat dhe, përveç kësaj, të kryejë funksionet e protokollit AH (në një formë të cunguar) . ESP mund të mbështesë funksionet e kriptimit dhe autentikimit/integritetit në çdo kombinim, d.m.th., ose të gjithë grupin e funksioneve, ose vetëm vërtetimin/integritetin, ose vetëm enkriptimin.

· IKE ose Internet Key Exchange - Shkëmbimi i çelësave në Internet - zgjidh detyrën ndihmëse të sigurimit automatik të pikave fundore të sigurta të kanalit me çelësa sekretë të nevojshëm për funksionimin e protokolleve të vërtetimit dhe enkriptimit të të dhënave.

2.3 Shtresa e transportit

Shtresa e transportit përdor protokollin SSL/TLS ose Secure Socket Layer/Transport Layer Security, i cili zbaton enkriptimin dhe vërtetimin midis shtresave të transportit të marrësit dhe transmetuesit. SSL/TLS mund të përdoret për të siguruar trafikun TCP, nuk mund të përdoret për të siguruar trafikun UDP. Nuk ka nevojë të implementoni softuer special për funksionimin e SSL/TLS VPN, pasi çdo shfletues dhe klient email është i pajisur me këto protokolle. Për shkak të faktit se SSL/TLS zbatohet në shtresën e transportit, krijohet një lidhje e sigurt nga fundi në fund.

Protokolli TLS bazohet në versionin 3.0 të protokollit Netscape SSL dhe përbëhet nga dy pjesë - TLS Record Protocol dhe TLS Handshake Protocol. Dallimi midis SSL 3.0 dhe TLS 1.0 është i vogël.

SSL/TLS përfshin tre faza kryesore:

  1. Dialog ndërmjet palëve, qëllimi i të cilit është zgjedhja e një algoritmi kriptimi;
  2. Shkëmbimi i çelësave bazuar në kriptosistemet e çelësit publik ose vërtetimin e bazuar në certifikatë;
  3. Transferimi i të dhënave i koduar duke përdorur algoritme simetrike të kriptimit.

2.4 Zbatimi i VPN: IPSec apo SSL/TLS?

Shpesh, drejtuesit e departamenteve të IT-së përballen me pyetjen: cilin nga protokollet të zgjedhin për ndërtimin e një rrjeti VPN të korporatës? Përgjigja nuk është e qartë, pasi secila qasje ka të mirat dhe të këqijat. Ne do të përpiqemi të bëjmë dhe identifikojmë kur është e nevojshme të përdoret IPSec, dhe kur SSL / TLS. Siç shihet nga analiza e karakteristikave të këtyre protokolleve, ato nuk janë të këmbyeshme dhe mund të funksionojnë si veçmas ashtu edhe paralelisht, duke përcaktuar veçoritë funksionale të secilit prej VPN-ve të implementuara.

Zgjedhja e protokollit për ndërtimin e një rrjeti VPN të korporatës mund të kryhet sipas kritereve të mëposhtme:

· Lloji i aksesit që kërkohet për përdoruesit e VPN.

  1. Lidhje e përhershme plotësisht funksionale me rrjetin e korporatës. Zgjedhja e rekomanduar është IPSec.
  2. Një lidhje e përkohshme, si p.sh. një përdorues celular ose një përdorues që përdor një kompjuter publik, për të fituar akses në shërbime të caktuara, të tilla si e-mail ose një bazë të dhënash. Zgjedhja e rekomanduar është protokolli SSL/TLS, i cili ju lejon të organizoni një VPN për çdo shërbim individual.

· Nëse përdoruesi është punonjës i kompanisë.

  1. Nëse përdoruesi është një punonjës i kompanisë, pajisja që përdorin për të hyrë në rrjetin e korporatës nëpërmjet IPSec VPN mund të konfigurohet në një mënyrë specifike.
  2. Nëse përdoruesi nuk është punonjës i kompanisë, rrjeti korporativ i së cilës po aksesohet, rekomandohet përdorimi i SSL/TLS. Kjo do të kufizojë aksesin e vizitorëve vetëm në disa shërbime.

· Cili është niveli i sigurisë së rrjetit të korporatës.

  1. Lartë. Zgjedhja e rekomanduar është IPSec. Në të vërtetë, niveli i sigurisë i ofruar nga IPSec është shumë më i lartë se niveli i sigurisë i ofruar nga protokolli SSL / TLS për shkak të përdorimit të softuerit të konfigurueshëm në anën e përdoruesit dhe një porte sigurie në anën e rrjetit të korporatës.
  2. Mesatare. Zgjedhja e rekomanduar është protokolli SSL/TLS që lejon aksesin nga çdo terminal.

· Niveli i sigurisë së të dhënave të transmetuara nga përdoruesi.

  1. E lartë, për shembull, menaxhimi i kompanisë. Zgjedhja e rekomanduar është IPSec.
  2. E mesme, për shembull, partneri. Zgjedhja e rekomanduar është protokolli SSL/TLS.

Në varësi të shërbimit - nga mesatarja në të lartë. Zgjedhja e rekomanduar është një kombinim i IPSec (për shërbimet që kërkojnë një nivel të lartë sigurie) dhe SSL/TLS (për shërbimet që kërkojnë një nivel të mesëm sigurie).

· Çfarë është më e rëndësishme, vendosja e shpejtë e VPN ose shkallëzueshmëria e zgjidhjes në të ardhmen.

  1. Vendosni shpejt një rrjet VPN me kosto minimale. Zgjedhja e rekomanduar është protokolli SSL/TLS. Në këtë rast, nuk ka nevojë të implementoni softuer të veçantë nga ana e përdoruesit, si në rastin e IPSec.
  2. Shkallueshmëria e rrjetit VPN - shtimi i aksesit në shërbime të ndryshme. Zgjedhja e rekomanduar është protokolli IPSec që lejon aksesin në të gjitha shërbimet dhe burimet e rrjetit të korporatës.
  3. Vendosja e shpejtë dhe shkallëzueshmëria. Zgjedhja e rekomanduar është një kombinim i IPSec dhe SSL/TLS: përdorni SSL/TLS në fazën e parë për të aksesuar shërbimet e kërkuara, e ndjekur nga implementimi i IPSec.

3. Metodat për zbatimin e rrjeteve VPN

Një rrjet privat virtual bazohet në tre metoda zbatimi:

· Tunelizim;

· Kriptimi;

· Autentifikimi.

3.1 Tuneli

Tuneli siguron transferimin e të dhënave midis dy pikave - skajeve të tunelit - në mënyrë të tillë që e gjithë infrastruktura e rrjetit që shtrihet midis tyre të fshihet nga burimi dhe destinacioni i të dhënave.

Mjeti i transportit të tunelit, si një traget, merr paketat e protokollit të rrjetit të përdorura në hyrje të tunelit dhe i dërgon ato të pandryshuara në dalje. Ndërtimi i një tuneli është i mjaftueshëm për të lidhur dy nyje rrjeti në mënyrë që, nga pikëpamja e softuerit që funksionon në to, ato të duken të lidhura me të njëjtin rrjet (lokal). Megjithatë, nuk duhet të harrojmë se në fakt "traget" me të dhëna kalon nëpër shumë nyje të ndërmjetme (rutera) të një rrjeti të hapur publik.

Kjo gjendje ka dy probleme. E para është se informacioni i transmetuar përmes tunelit mund të përgjohet nga ndërhyrës. Nëse është konfidencial (numrat e kartave bankare, pasqyrat financiare, informacioni personal), atëherë kërcënimi i kompromisit të tij është mjaft real, gjë që është e pakëndshme në vetvete. Më keq, sulmuesit kanë aftësinë të modifikojnë të dhënat e transmetuara përmes tunelit në mënyrë që marrësi të mos mund të verifikojë vërtetësinë e tyre. Pasojat mund të jenë më të mjerueshmet. Nisur nga sa më sipër, arrijmë në përfundimin se tuneli në formën e tij të pastër është i përshtatshëm vetëm për disa lloje lojërash kompjuterike në rrjet dhe nuk mund të pretendojë se është më serioz. Të dy problemet zgjidhen me mjete moderne të mbrojtjes së informacionit kriptografik. Për të parandaluar ndryshime të paautorizuara në paketën e të dhënave gjatë rrugës së saj përmes tunelit, përdoret metoda e nënshkrimit elektronik dixhital (). Thelbi i metodës është që çdo paketë e transmetuar të furnizohet me një bllok informacioni shtesë, i cili gjenerohet në përputhje me një algoritëm kriptografik asimetrik dhe është unik për përmbajtjen e paketës dhe çelësin sekret të EDS-së së dërguesit. Ky bllok informacioni është EDS e paketës dhe ju lejon të vërtetoni të dhënat nga marrësi, i cili njeh çelësin publik të EDS të dërguesit. Mbrojtja e të dhënave të transmetuara përmes tunelit nga shikimi i paautorizuar arrihet duke përdorur algoritme të forta të kriptimit.

3.2 Autentifikimi

Siguria është funksioni kryesor i një VPN. Të gjitha të dhënat nga kompjuterët e klientit kalojnë përmes Internetit në serverin VPN. Një server i tillë mund të jetë i vendosur në një distancë të madhe nga kompjuteri i klientit, dhe të dhënat në rrugën drejt rrjetit të organizatës kalojnë përmes pajisjeve të shumë ofruesve. Si të sigurohemi që të dhënat nuk janë lexuar apo ndryshuar? Për ta bërë këtë, përdoren metoda të ndryshme të vërtetimit dhe kriptimit.

PPTP mund të përdorë cilindo nga protokollet e përdorur për PPP për të vërtetuar përdoruesit.

  • EAP ose Protokolli i Autentifikimit të Zgjerueshëm;
  • MSCHAP ose Microsoft Challenge Handshake Authentication Protocol (versionet 1 dhe 2);
  • CHAP ose Challenge Handshake Authentication Protocol;
  • SPAP ose Protokolli i Autentifikimit të Fjalëkalimit Shiva;
  • PAP ose Protokolli i Autentifikimit të Fjalëkalimit.

Versioni MSCHAP 2 dhe Transporti Layer Security (EAP-TLS) konsiderohen më të mirat sepse ato ofrojnë vërtetim të ndërsjellë, d.m.th. Serveri VPN dhe klienti identifikojnë njëri-tjetrin. Në të gjitha protokollet e tjera, vetëm serveri vërteton klientët.

Megjithëse PPTP ofron një shkallë të mjaftueshme sigurie, L2TP mbi IPSec është akoma më i besueshëm. L2TP mbi IPSec ofron vërtetim në nivel të përdoruesit dhe kompjuterit, si dhe vërtetim dhe kriptim të të dhënave.

Autentifikimi kryhet ose nga një test i hapur (fjalëkalim i pastër teksti) ose nga një skemë kërkese / përgjigjeje (sfidë / përgjigje). Me tekst të drejtpërdrejtë, gjithçka është e qartë. Klienti dërgon fjalëkalimin në server. Serveri e krahason këtë me standardin dhe ose mohon aksesin ose thotë "mirë se erdhe". Autentifikimi i hapur praktikisht nuk ekziston.

Skema e kërkesë/përgjigje është shumë më e avancuar. Në përgjithësi, duket kështu:

  • klienti dërgon një kërkesë në server për vërtetim;
  • serveri kthen një përgjigje të rastësishme (sfidë);
  • klienti heq një hash nga fjalëkalimi i tij (një hash është rezultat i një funksioni hash që konverton një grup të dhënash hyrëse me gjatësi arbitrare në një varg bit-sh dalës me një gjatësi fikse), kodon përgjigjen me të dhe ia dërgon serverit;
  • serveri bën të njëjtën gjë, duke krahasuar rezultatin me përgjigjen e klientit;
  • nëse përgjigja e koduar përputhet, vërtetimi konsiderohet i suksesshëm;

Në hapin e parë të vërtetimit të klientëve dhe serverëve VPN, L2TP mbi IPSec përdor certifikatat lokale të marra nga një autoritet certifikimi. Klienti dhe serveri shkëmbejnë certifikatat dhe krijojnë një lidhje të sigurt ESP SA (shoqatë sigurie). Pasi L2TP (mbi IPSec) të përfundojë procesin e vërtetimit të kompjuterit, kryhet vërtetimi në nivel përdoruesi. Çdo protokoll mund të përdoret për vërtetim, madje edhe PAP, i cili transmeton emrin e përdoruesit dhe fjalëkalimin në tekst të qartë. Kjo është mjaft e sigurt pasi L2TP mbi IPSec kodon të gjithë seancën. Megjithatë, vërtetimi i përdoruesit me MSCHAP, i cili përdor çelësa të ndryshëm të enkriptimit për të vërtetuar kompjuterin dhe përdoruesin, mund të rrisë sigurinë.

3.3. Enkriptimi

Kriptimi me PPTP siguron që askush nuk mund të ketë akses në të dhënat ndërsa ato dërgohen përmes Internetit. Aktualisht mbështeten dy metoda të kriptimit:

  • MPPE ose Kriptimi i Microsoft Point-to-Point është i pajtueshëm vetëm me MSCHAP (versionet 1 dhe 2);
  • EAP-TLS dhe është në gjendje të zgjedhë automatikisht gjatësinë e çelësit të enkriptimit kur negocion parametrat midis klientit dhe serverit.

MPPE mbështet çelësat 40, 56 ose 128 bit. Sistemet e vjetra operative Windows mbështesin vetëm enkriptimin me një gjatësi çelësi prej 40 bit, kështu që në një mjedis të përzier Windows, zgjidhni gjatësinë minimale të çelësit.

PPTP ndryshon vlerën e çelësit të enkriptimit pas çdo pakete të marrë. Protokolli MMPE është krijuar për lidhje pikë-për-pikë ku paketat transmetohen në mënyrë sekuenciale dhe ka shumë pak humbje të të dhënave. Në këtë situatë, vlera kryesore për paketën e ardhshme varet nga rezultatet e deshifrimit të paketës së mëparshme. Gjatë ndërtimit të rrjeteve virtuale përmes rrjeteve publike, këto kushte nuk mund të plotësohen, pasi paketat e të dhënave shpesh arrijnë te marrësi në rendin e gabuar në të cilin janë dërguar. Prandaj, PPTP përdor numrat e sekuencës së paketave për të ndryshuar çelësin e enkriptimit. Kjo lejon që deshifrimi të kryhet në mënyrë të pavarur nga paketat e mëparshme të marra.

Të dy protokollet zbatohen si në Microsoft Windows ashtu edhe jashtë tij (për shembull, në BSD), algoritmet e funksionimit VPN mund të ndryshojnë ndjeshëm.

Kështu, paketa "tunelizim + vërtetim + kriptim" ju lejon të transferoni të dhëna midis dy pikave përmes një rrjeti publik, duke simuluar funksionimin e një rrjeti privat (lokal). Me fjalë të tjera, mjetet e konsideruara ju lejojnë të ndërtoni një rrjet privat virtual.

Një efekt shtesë i këndshëm i një lidhjeje VPN është aftësia (dhe madje nevoja) për të përdorur sistemin e adresimit të miratuar në rrjetin lokal.

Zbatimi i një rrjeti privat virtual në praktikë është si më poshtë. Një server VPN është instaluar në rrjetin lokal kompjuterik të zyrës së kompanisë. Përdoruesi në distancë (ose ruteri, nëse janë të lidhura dy zyra) duke përdorur softuerin e klientit VPN fillon procedurën e lidhjes me serverin. Ndodh vërtetimi i përdoruesit - faza e parë e krijimit të një lidhjeje VPN. Në rastin e konfirmimit të autoritetit, fillon faza e dytë - ndërmjet klientit dhe serverit, negociohen detajet e sigurimit të sigurisë së lidhjes. Pas kësaj, organizohet një lidhje VPN, e cila siguron shkëmbimin e informacionit midis klientit dhe serverit në formën kur secila paketë e të dhënave kalon nëpër procedurat e kriptimit / deshifrimit dhe kontrollit të integritetit - vërtetimi i të dhënave.

Problemi kryesor i rrjeteve VPN është mungesa e standardeve të vendosura për autentifikimin dhe shkëmbimin e informacionit të koduar. Këto standarde janë ende në zhvillim dhe për këtë arsye produktet nga prodhues të ndryshëm nuk mund të krijojnë lidhje VPN dhe të shkëmbejnë automatikisht çelësat. Ky problem sjell një ngadalësim të përhapjes së VPN-ve, pasi është e vështirë të detyrosh kompani të ndryshme të përdorin produktet e një prodhuesi, dhe për këtë arsye procesi i kombinimit të rrjeteve të kompanive partnere në të ashtuquajturat rrjete ekstranet është i vështirë.

Përparësitë e teknologjisë VPN janë se organizimi i aksesit në distancë nuk bëhet përmes linjës telefonike, por përmes internetit, e cila është shumë më e lirë dhe më e mirë. Disavantazhi i teknologjisë VPN është se mjetet për ndërtimin e VPN-ve nuk janë mjete të plota për zbulimin dhe bllokimin e sulmeve. Ato mund të parandalojnë një sërë veprimesh të paautorizuara, por jo të gjitha mundësitë që mund të përdoren për të depërtuar në një rrjet të korporatës. Por, përkundër gjithë kësaj, teknologjia VPN ka perspektiva për zhvillim të mëtejshëm.

Çfarë mund të presim në drejtim të zhvillimit të teknologjive VPN në të ardhmen? Pa asnjë dyshim, një standard i vetëm për ndërtimin e rrjeteve të tilla do të zhvillohet dhe miratohet. Me shumë mundësi, baza e këtij standardi do të jetë protokolli tashmë i provuar IPSec. Më pas, prodhuesit do të fokusohen në përmirësimin e performancës së produkteve të tyre dhe krijimin e kontrolleve të përshtatshme VPN. Me shumë mundësi, zhvillimi i mjeteve të ndërtimit të VPN do të shkojë në drejtimin e VPN bazuar në ruterat, pasi kjo zgjidhje kombinon performancë mjaft të lartë, integrimin VPN dhe rrugëzimin në një pajisje. Megjithatë, do të zhvillohen gjithashtu zgjidhje me kosto të ulët për organizatat më të vogla. Si përfundim, duhet thënë se, pavarësisht se teknologjia VPN është ende shumë e re, ajo ka një të ardhme të madhe përpara.

Lini komentin tuaj!

VPN (Virtual Private Network) është një rrjet privat virtual.

Në terma laikë, një VPN është një kanal plotësisht i sigurt që lidh pajisjen tuaj të aktivizuar me internet me çdo pajisje tjetër në rrjetin botëror. Nëse është edhe më e thjeshtë, atëherë mund ta imagjinoni më figurativisht: pa u lidhur me një shërbim VPN, kompjuteri juaj (laptop, telefon, TV apo ndonjë pajisje tjetër) kur hyni në rrjet është si një shtëpi private pa gardh. Në çdo moment, çdokush mund të thyejë me dashje ose aksidentalisht pemë, të shkelë shtretërit në kopshtin tuaj. Me përdorimin e një VPN, shtëpia juaj kthehet në një kështjellë të padepërtueshme, mbrojtja e së cilës do të jetë thjesht e pamundur të thyhet.

Si punon?

Parimi i funksionimit të VPN-së është i thjeshtë dhe “transparent” për përdoruesin përfundimtar. Në momentin që hyni në internet, krijohet një "tunel" virtual midis pajisjes tuaj dhe pjesës tjetër të internetit, duke bllokuar çdo përpjekje nga jashtë për të hyrë brenda. Për ju, puna e VPN mbetet absolutisht “transparente” dhe e padukshme. Korrespondenca juaj personale, e biznesit, Skype ose bisedat telefonike nuk do të mund të përgjohen ose dëgjohen në asnjë mënyrë. Të gjitha të dhënat tuaja janë të koduara duke përdorur një algoritëm të veçantë enkriptimi, i cili është pothuajse i pamundur të thyhet.

Përveç mbrojtjes kundër ndërhyrjeve nga jashtë, një VPN ofron një mundësi për të vizituar praktikisht përkohësisht çdo vend në botë dhe për të përdorur burimet e rrjetit të këtyre vendeve, për të parë kanalet televizive që më parë nuk ishin të disponueshme. VPN do të zëvendësojë adresën tuaj IP me ndonjë tjetër. Për ta bërë këtë, do të jetë e mjaftueshme që ju të zgjidhni një vend nga lista e propozuar, për shembull, Holandën, dhe të gjitha faqet dhe shërbimet që vizitoni do të "mendojnë" automatikisht se jeni në këtë vend të caktuar.

Pse jo anonimizues apo përfaqësues?

Shtrohet pyetja: pse të mos përdorni vetëm një lloj anonimizuesi ose serveri proxy në rrjet, sepse ato zëvendësojnë gjithashtu adresën IP? Po, gjithçka është shumë e thjeshtë - asnjë nga shërbimet e mësipërme nuk ofron mbrojtje, ju ende mbeteni "të dukshëm" për ndërhyrës, dhe për rrjedhojë të gjitha të dhënat që shkëmbeni në internet. Dhe, përveç kësaj, puna me serverët proxy kërkon që ju të keni një aftësi të caktuar për të vendosur cilësimet e sakta. VPN funksionon sipas parimit të mëposhtëm: "Lidhu dhe puno", nuk kërkon ndonjë cilësim shtesë. I gjithë procesi i lidhjes zgjat disa minuta dhe është shumë i thjeshtë.

Rreth VPN-ve Falas

Kur zgjidhni, duhet të mbani mend se VPN-të falas pothuajse gjithmonë kanë kufizime në sasinë e trafikut dhe shpejtësinë e transferimit të të dhënave. Kjo do të thotë që mund të lindë një situatë kur thjesht nuk mund të vazhdoni të përdorni një VPN falas. Mos harroni se VPN-të falas nuk janë gjithmonë të qëndrueshme dhe shpesh mbingarkohen. Edhe nëse kufiri juaj nuk tejkalohet, transferimi i të dhënave mund të zgjasë shumë për shkak të ngarkesës së lartë në serverin VPN. Shërbimet me pagesë VPN dallohen nga gjerësia e madhe e brezit, pa kufizime, si në trafik ashtu edhe në shpejtësi, dhe niveli i sigurisë është më i lartë se ai i atyre falas.

Ku të fillojë?

Shumica e shërbimeve VPN ofrojnë mundësinë për të testuar cilësinë për një periudhë të shkurtër kohore falas. Periudha e testimit mund të jetë nga disa orë në disa ditë. Gjatë testimit, zakonisht merrni akses të plotë në të gjithë funksionalitetin e shërbimit VPN. Shërbimi ynë bën të mundur gjetjen e shërbimeve të tilla VPN në lidhjen:

Artikujt kryesorë të lidhur

Programe falas për Windows shkarko pa pagesë
Programe falas për Windows shkarko pa pagesë
Printeri me lazer dhe me bojë përshkrimi i memorjes virtuale të printerit me madhësi RAM
Printeri me lazer dhe me bojë përshkrimi i memorjes virtuale të printerit me madhësi RAM
Kompjuteri i lojërave në një çantë shpine: një përmbledhje e kanionit të Intel NUC Hades
Kompjuteri i lojërave në një çantë shpine: një përmbledhje e kanionit të Intel NUC Hades
Kategoritë:
© 2022 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.