Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Programet
  • Për çfarë përdoret rrjeti privat virtual vpn. Çfarë është VPN dhe pse është e nevojshme

Për çfarë përdoret rrjeti privat virtual vpn. Çfarë është VPN dhe pse është e nevojshme

12.08.2019 Programet

VPN (Virtual Private Network) është një rrjet privat virtual.

Në terma të përgjithshëm, një VPN është një kanal plotësisht i sigurt që lidh pajisjen tuaj me akses në internet me çdo tjetër në rrjetin global. Nëse është edhe më e thjeshtë, mund ta imagjinoni më figurativisht: pa u lidhur me një shërbim VPN, kompjuteri juaj (laptop, telefon, TV apo ndonjë pajisje tjetër) kur hyn në internet është si një shtëpi private e pa rrethuar. Në çdo kohë, të gjithë mund të thyejnë me dashje ose aksidentalisht pemë, të shkelin shtretërit në kopshtin tuaj. Duke përdorur një VPN, shtëpia juaj kthehet në një kështjellë të pathyeshme, e cila do të jetë thjesht e pamundur të thyhet.

Si punon?

Parimi i funksionimit të VPN është i thjeshtë dhe transparent për përdoruesin përfundimtar. Në momentin që hyni në internet, krijohet një "tunel" virtual midis pajisjes tuaj dhe pjesës tjetër të internetit, duke bllokuar çdo përpjekje nga jashtë për të hyrë brenda. Operacioni VPN mbetet plotësisht transparent dhe i padukshëm për ju. Korrespondenca juaj personale, e biznesit, Skype ose bisedat telefonike nuk mund të përgjohen ose dëgjohen në asnjë mënyrë. Të gjitha të dhënat tuaja janë të koduara duke përdorur një algoritëm të veçantë enkriptimi, i cili është pothuajse i pamundur të thyhet.

Përveç mbrojtjes nga ndërhyrjet nga jashtë, VPN ofron mundësinë për të vizituar praktikisht përkohësisht çdo vend në botë dhe për të përdorur burimet e rrjetit të këtyre vendeve, për të parë kanale televizive që më parë nuk ishin të disponueshme. VPN do të zëvendësojë adresën tuaj IP me ndonjë tjetër. Për ta bërë këtë, ju vetëm duhet të zgjidhni një vend nga lista e propozuar, për shembull Holandën dhe të gjitha faqet dhe shërbimet në të cilat do të shkoni do të "mendojnë" automatikisht se jeni në këtë vend të caktuar.

Pse jo anonimizues apo përfaqësues?

Shtrohet pyetja: pse të mos përdorni vetëm një lloj anonimizuesi ose serveri proxy në rrjet, sepse ata gjithashtu mashtrojnë adresën IP? Gjithçka është shumë e thjeshtë - asnjë nga shërbimet e lartpërmendura nuk ofron mbrojtje, ju jeni ende "të dukshëm" për ndërhyrës, dhe për rrjedhojë të gjitha të dhënat që shkëmbeni në internet. Dhe, përveç kësaj, puna me serverët proxy kërkon një aftësi të caktuar nga ju për të vendosur cilësime të sakta. VPN funksionon sipas parimit të mëposhtëm: "Lidhu dhe puno", nuk kërkon ndonjë cilësim shtesë. I gjithë procesi i lidhjes zgjat disa minuta dhe është shumë i thjeshtë.

Rreth VPN-ve falas

Kur zgjidhni, mbani në mend se VPN-të falas pothuajse gjithmonë kanë kufizime në sasinë e trafikut dhe shkallën e transferimit të të dhënave. Kjo do të thotë që mund të ketë një situatë ku thjesht nuk mund të vazhdoni të përdorni VPN falas. Mos harroni se VPN-të falas nuk janë gjithmonë të qëndrueshme dhe shpesh mbingarkohen. Edhe nëse kufiri juaj nuk tejkalohet, transferimi i të dhënave mund të vonohet për një periudhë të gjatë kohore për shkak të ngarkesës së lartë në serverin VPN. Shërbimet me pagesë VPN dallohen nga gjerësia e lartë e brezit, pa kufizime si në trafik ashtu edhe në shpejtësi, dhe niveli i sigurisë është më i lartë se ai i atyre falas.

Ku të fillojë?

Shumica e shërbimeve VPN ofrojnë një mundësi për të testuar cilësinë falas për një periudhë të shkurtër. Periudha e testimit mund të jetë nga disa orë në disa ditë. Gjatë testimit, zakonisht merrni akses të plotë në të gjitha funksionalitetet e shërbimit VPN. Shërbimi ynë bën të mundur gjetjen e shërbimeve të tilla VPN nga lidhja:

VPN (Rrjeti Virtual Privat) ose në përkthim në rrjetin privat virtual rus është një teknologji që ju lejon të kombinoni pajisjet kompjuterike në rrjete të sigurta për t'u siguruar përdoruesve të tyre një kanal të koduar dhe qasje anonime në burimet në internet.

Në kompani, VPN përdoret kryesisht për të kombinuar disa degë të vendosura në qytete të ndryshme apo edhe pjesë të botës në një rrjet lokal. Punonjësit e kompanive të tilla, duke përdorur VPN, mund të përdorin të gjitha burimet që janë në çdo degë si lokalin e tyre, të vendosur në krah të tyre. Për shembull, mund të printoni një dokument në një printer të vendosur në një degë tjetër me vetëm një klikim.

Për përdoruesit e zakonshëm të Internetit, VPN është i dobishëm kur:

  • faqja u bllokua nga ofruesi, por ju duhet të hyni;
  • shpesh duhet të përdorin sisteme bankare dhe pagesash në internet dhe duan të mbrojnë të dhënat nga vjedhjet e mundshme;
  • shërbimi funksionon vetëm për Evropën, dhe ju në Rusi nuk e keni problem të dëgjoni muzikë në LastFm;
  • nuk dëshironi që faqet që vizitoni të gjurmojnë të dhënat tuaja;
  • nuk ka ruter, por është e mundur të lidhni dy kompjuterë me një rrjet lokal për t'u siguruar të dyve akses në internet.

Si funksionon VPN

VPN-të funksionojnë përmes një tuneli që ata krijojnë midis kompjuterit tuaj dhe një serveri të largët. Të gjitha të dhënat e transmetuara përmes këtij tuneli janë të koduara.

Mund të mendohet si një tunel i zakonshëm, i cili gjendet në autostrada, i vendosur vetëm përmes internetit midis dy pikave - një kompjuteri dhe një serveri. Në këtë tunel, të dhënat, si makinat, lëvizin midis pikave me shpejtësinë më të lartë të mundshme. Në hyrje (në kompjuterin e përdoruesit), këto të dhëna janë të koduara dhe shkojnë në këtë formë te adresuesi (në server), në këtë pikë ato deshifrohen dhe interpretohen: skedari shkarkohet, një kërkesë dërgohet në sit, etj. Pas së cilës të dhënat e marra përsëri kodohen në server dhe përmes tunelit dërgohen përsëri në kompjuterin e përdoruesit.

Për qasje anonime në faqet dhe shërbimet, mjafton një rrjet i përbërë nga një kompjuter (tabletë, smartphone) dhe një server.

Në përgjithësi, shkëmbimi i të dhënave përmes VPN duket kështu:

  1. Një tunel krijohet midis kompjuterit të përdoruesit dhe serverit me softuerin e krijimit VPN të instaluar. Për shembull OpenVPN.
  2. Në këto programe, një çelës (fjalëkalim) gjenerohet në server dhe në kompjuter për të kriptuar / deshifruar të dhënat.
  3. Kërkesa gjenerohet në kompjuter dhe kodohet duke përdorur çelësin e krijuar më parë.
  4. Të dhënat e koduara transmetohen përmes tunelit në server.
  5. Të dhënat që erdhën nga tuneli në server deshifrohen dhe kërkesa ekzekutohet - dërgimi i një skedari, hyrja në faqe, fillimi i shërbimit.
  6. Serveri përgatit përgjigjen, e kodon atë përpara se ta dërgojë dhe ia dërgon përsëri përdoruesit.
  7. Kompjuteri i përdoruesit i merr të dhënat dhe i deshifron ato me çelësin që është krijuar më parë.

Pajisjet e përfshira në VPN nuk janë të lidhura gjeografikisht dhe mund të vendosen në çdo distancë nga njëra-tjetra.

Për një përdorues të zakonshëm të shërbimeve të rrjetit privat virtual, mjafton të kuptojë se qasja në internet përmes një VPN është anonimitet i plotë dhe akses i pakufizuar në çdo burim, përfshirë ato që janë të bllokuara nga ofruesi ose janë të paarritshme për vendin tuaj.

Kush ka nevojë për një VPN dhe pse

Ekspertët rekomandojnë përdorimin e një VPN për të transferuar çdo të dhënë që nuk duhet të përfundojë në duart e palëve të treta - hyrje, fjalëkalime, korrespondencë private dhe biznesi dhe punë me banking në internet. Kjo është veçanërisht e vërtetë kur përdorni pika të hapura aksesi - WiFi në aeroporte, kafene, parqe, etj.

Teknologjia do të jetë gjithashtu e dobishme për ata që duan të përdorin lirisht çdo faqe dhe shërbim, duke përfshirë ato të bllokuara nga ofruesi ose të hapura vetëm për një rreth të caktuar njerëzish. Për shembull, Last.fm është në dispozicion falas vetëm për banorët e Shteteve të Bashkuara, Anglisë dhe disa vendeve të tjera evropiane. Përdorimi i një shërbimi muzikor nga Rusia do të lejojë një lidhje VPN.

Dallimet midis VPN dhe TOR, përfaqësuesit dhe anonimizuesve

VPN funksionon globalisht në kompjuter dhe ridrejton punën e të gjithë softuerit të instaluar në kompjuter përmes tunelit. Çdo kërkesë - përmes chat-it, shfletuesit, klientit të ruajtjes së cloud (dropbox), etj., përpara se të arrijë tek adresuesi, kalon përmes tunelit dhe kodohet. Pajisjet e ndërmjetme "ngatërrojnë gjurmët" përmes enkriptimit të kërkesave dhe deshifrojnë ato vetëm përpara se t'ia dërgojnë marrësit përfundimtar. Marrësi përfundimtar i kërkesës, për shembull, një faqe interneti, nuk regjistron të dhënat e përdoruesit - vendndodhjen gjeografike, etj., por të dhënat e serverit VPN. Kjo do të thotë, është teorikisht e pamundur të gjurmosh se cilat faqe vizitoi përdoruesi dhe çfarë kërkesash dërgoi përmes një lidhjeje të sigurt.

Në një farë mase, anonimizuesit, përfaqësuesit dhe TOR mund të konsiderohen analoge të VPN-ve, por të gjithë ata janë disi inferiorë ndaj rrjeteve private virtuale.

Si ndryshon VPN nga TOR

Ashtu si VPN, teknologjia TOR supozon enkriptimin e kërkesave dhe transferimin e tyre nga përdoruesi në server dhe anasjelltas. Vetëm TOR nuk krijon tunele të përhershme, mënyrat e marrjes/transmetimit të të dhënave ndryshojnë me çdo akses, gjë që zvogëlon shanset e përgjimit të paketave të të dhënave, por nuk ka efektin më të mirë në shpejtësi. TOR është teknologji falas dhe mbështetet nga entuziastë, ndaj nuk duhet të prisni punë të qëndrueshme. E thënë thjesht, do të mund të hyni në një faqe interneti të bllokuar nga ofruesi juaj, por do të duhen disa orë apo edhe ditë për të shkarkuar video HD prej saj.

Si ndryshon VPN nga proxy

Proxies, në analogji me VPN-të, ridrejtojnë kërkesën në sajt, duke e kaluar atë përmes serverëve ndërmjetës. Përgjimi i kërkesave të tilla është vetëm i lehtë, sepse shkëmbimi i informacionit ndodh pa asnjë enkriptim.

Si ndryshon VPN nga anonimizuesi

Anonimizuesi është një version i zhveshur i një përfaqësuesi që mund të funksionojë vetëm brenda një skede të hapur të shfletuesit. Nëpërmjet saj do të mund të hyni në faqe, por nuk do të mund të përfitoni nga shumica e mundësive dhe nuk ofrohet asnjë enkriptim.

Për sa i përket shpejtësisë, përfaqësuesi do të fitojë nga metodat e shkëmbimit të të dhënave indirekte, pasi nuk parashikon kriptim të kanalit të komunikimit. Në vend të dytë është VPN, e cila ofron jo vetëm anonimitet, por edhe mbrojtje. Vendi i tretë është për anonimizuesin e kufizuar për të punuar në një dritare të hapur të shfletuesit. TOR është i përshtatshëm kur nuk ka kohë dhe mundësi për t'u lidhur me një VPN, por nuk duhet të mbështeteni në përpunimin me shpejtësi të lartë të kërkesave të mëdha. Ky gradim vlen për rastin kur përdoren serverë të shkarkuar, të cilët janë në të njëjtën distancë nga ai i testuar.

Si të lidheni me internetin me një VPN

Dhjetra shërbime ofrojnë shërbime të aksesit VPN në RuNet. Epo, në mbarë botën ka ndoshta qindra. Në thelb, të gjitha shërbimet paguhen. Kostoja varion nga disa dollarë në disa dhjetëra dollarë në muaj. Ekspertët që kanë një kuptim të mirë të TI-së krijojnë vetë një server VPN për vete, duke përdorur serverë për këto qëllime, të cilët ofrohen nga ofrues të ndryshëm pritës. Kostoja e një serveri të tillë është zakonisht rreth 5 dollarë në muaj.

Nëse preferoni një zgjidhje me pagesë ose falas, varet nga kërkesat dhe pritshmëritë tuaja. Të dyja opsionet do të funksionojnë - fshihni vendndodhjen, ndryshoni IP-në, kodoni të dhënat gjatë transmetimit, etj. - por problemet me shpejtësinë dhe aksesin në shërbimet me pagesë janë shumë më pak të zakonshme dhe zgjidhen shumë më shpejt.

Tweet

Plus

Ju lutemi aktivizoni JavaScript për të parë

Teknologjia që krijon një rrjet logjik në një rrjet tjetër ka marrë shkurtesën "VPN", e cila fjalë për fjalë do të thotë "Virtual Private Network" në anglisht. Me fjalë të thjeshta, VPN përfshin metoda të ndryshme komunikimi midis pajisjeve brenda një rrjeti tjetër dhe ofron mundësinë e aplikimit të metodave të ndryshme të mbrojtjes, gjë që rrit ndjeshëm sigurinë e informacionit të shkëmbyer ndërmjet kompjuterëve.

Dhe kjo është shumë e rëndësishme në botën moderne, për shembull, për rrjetet e korporatave të mëdha tregtare dhe, natyrisht, bankat. Më poshtë janë udhëzues të detajuar se si të krijoni një VPN, udhëzime për procedurën e krijimit të një lidhjeje VPN dhe si të konfiguroni siç duhet lidhjen e krijuar VPN.

Përkufizimi

Për të kuptuar më lehtë se çfarë është një VPN, thjesht duhet të dini se çfarë mund të bëjë. Lidhja VPN alokon një sektor të caktuar në rrjetin ekzistues dhe të gjithë kompjuterët dhe pajisjet digjitale të vendosura në të janë në komunikim të vazhdueshëm me njëri-tjetrin. Por gjëja më e rëndësishme është se ky sektor është plotësisht i mbyllur dhe i mbrojtur për të gjitha pajisjet e tjera në rrjetin e madh.

Si të lidhni VPN

Pavarësisht kompleksitetit fillimisht në dukje të përkufizimit të VPN, krijimi i tij në kompjuterët Windows dhe madje edhe vetë konfigurimi i VPN nuk do të paraqesë shumë vështirësi nëse ka një udhëzues të detajuar. Kërkesa kryesore është të ndiqni me përpikëri sekuencën strikte të hapave të mëposhtëm:


Më tej, konfigurimi i VPN kryhet, duke marrë parasysh nuancat e ndryshme shoqëruese.

Si mund të konfiguroj një VPN?

Është e nevojshme ta konfiguroni atë duke marrë parasysh karakteristikat individuale jo vetëm të sistemit operativ, por edhe të operatorit që ofron shërbime komunikimi.

Windows XP

Në mënyrë që VPN në sistemin operativ Windows XP të kryejë me sukses punën e tij, kërkohen hapat vijues të mëposhtëm:


Pastaj, kur veproni në mjedisin e krijuar, mund të përdorni disa funksione të përshtatshme. Për ta bërë këtë, duhet të bëni sa më poshtë:

Shënim: Parametrat futen gjithmonë ndryshe, pasi varen jo vetëm nga serveri, por edhe nga ofruesi i shërbimit.

Windows 8

Në këtë OS, pyetja se si të vendosni një VPN nuk duhet të shkaktojë ndonjë vështirësi të veçantë, sepse këtu është pothuajse i automatizuar.

Sekuenca e veprimeve përbëhet nga hapat e mëposhtëm:

Tjetra, duhet të specifikoni opsionet e rrjetit. Për këtë qëllim, kryeni veprimet e mëposhtme:


Shënim: Futja e cilësimeve mund të ndryshojë ndjeshëm në varësi të konfigurimit të rrjetit.

Windows 7

Procesi i bërjes së cilësimeve në Windows 7 është i thjeshtë dhe i arritshëm edhe për përdoruesit e papërvojë të kompjuterit.

Për t'i prodhuar ato, një përdorues i Windows 7 duhet të ndërmarrë hapat vijues të mëposhtëm:

Shënim: për të punuar si duhet, kërkohet një përzgjedhje e kujdesshme individuale e të gjithë parametrave.

Android

Për të konfiguruar funksionimin normal të një vegël Android në një mjedis VPN, duhet të bëni disa hapa:

Karakteristikat e lidhjes

Kjo teknologji përfshin lloje të ndryshme të vonesave në procedurat e transmetimit të të dhënave. Vonesat ndodhin për shkak të faktorëve të mëposhtëm:

  1. Duhet pak kohë për të krijuar një lidhje;
  2. Ekziston një proces i vazhdueshëm i kodimit të informacionit të transmetuar;
  3. blloqe informacioni të transmetuar.

Dallimet më domethënëse janë të pranishme në vetë teknologjinë, për shembull, për VPN nuk keni nevojë për ruterë dhe linja të veçanta. Për të funksionuar në mënyrë efektive, ju nevojitet vetëm akses në World Wide Web dhe aplikacione që ofrojnë kodim informacioni.

Interneti po përdoret gjithnjë e më shumë si mjet komunikimi ndërmjet kompjuterëve sepse ofron komunikim efikas dhe të lirë. Sidoqoftë, Interneti është një rrjet publik dhe për të siguruar komunikim të sigurt përmes tij, nevojitet një mekanizëm i caktuar që plotëson të paktën detyrat e mëposhtme:

    konfidencialiteti i informacionit;

    integriteti i të dhënave;

    disponueshmëria e informacionit;

Këto kërkesa plotësohen nga një mekanizëm i quajtur VPN (Virtual Private Network) - një emër i përgjithësuar për teknologjitë që lejojnë një ose më shumë lidhje rrjeti (rrjet logjik) të ofrohen përmes një rrjeti tjetër (për shembull, Interneti) duke përdorur kriptografinë (enkriptim, vërtetim). , çelësat publikë të infrastrukturës, mjetet për mbrojtje nga përsëritjet dhe ndryshimet e mesazheve të transmetuara në rrjetin logjik).

Krijimi i një VPN nuk kërkon investime shtesë dhe ju lejon të braktisni përdorimin e linjave me qira. Në varësi të protokolleve të përdorura dhe qëllimit, VPN mund të sigurojë lidhje të tre llojeve: host-host, host-net dhe net-net.

Për qartësi, le të imagjinojmë shembullin e mëposhtëm: një ndërmarrje ka disa degë të largëta gjeografikisht dhe punonjës "lëvizës" që punojnë në shtëpi ose në rrugë. Është e nevojshme të bashkohen të gjithë punonjësit e ndërmarrjes në një rrjet të vetëm. Mënyra më e lehtë është të vendosni modem në çdo degë dhe të rregulloni komunikimet sipas nevojës. Sidoqoftë, një zgjidhje e tillë nuk është gjithmonë e përshtatshme dhe fitimprurëse - ndonjëherë keni nevojë për një lidhje të vazhdueshme dhe një gjerësi bande të lartë. Për ta bërë këtë, ose do të duhet të vendosni një vijë të veçantë midis degëve, ose t'i merrni me qira. Të dyja janë mjaft të shtrenjta. Dhe këtu, si një alternativë kur ndërtoni një rrjet të vetëm të sigurt, mund të përdorni lidhjet VPN të të gjitha degëve të kompanisë përmes Internetit dhe të konfiguroni mjetet VPN në hostet e rrjetit.

Oriz. 6.4. Lidhja VPN nga faqja në vend

Oriz. 6.5. VPN nga Host-to-Network

Në këtë rast, shumë probleme zgjidhen - degët mund të vendosen kudo në botë.

Rreziku këtu qëndron në faktin se, së pari, një rrjet i hapur është i disponueshëm për sulmet nga sulmuesit në mbarë botën. Së dyti, të gjitha të dhënat transmetohen në internet në mënyrë të qartë, dhe sulmuesit, pasi kanë hakuar rrjetin, do të kenë të gjithë informacionin e transmetuar përmes rrjetit. Dhe së treti, të dhënat jo vetëm që mund të përgjohen, por edhe të zëvendësohen gjatë transmetimit përmes rrjetit. Një sulmues mund, për shembull, të rrezikojë integritetin e bazave të të dhënave duke vepruar në emër të klientëve të një prej degëve të besuara.

Për të parandaluar që kjo të ndodhë, zgjidhjet VPN përdorin mjete të tilla si kriptimi i të dhënave për të siguruar integritetin dhe konfidencialitetin, vërtetimin dhe autorizimin për të vërtetuar të drejtat e përdoruesit dhe për të lejuar aksesin në VPN.

Një lidhje VPN përbëhet gjithmonë nga një lidhje pikë-për-pikë, e njohur gjithashtu si një tunel. Tuneli është krijuar në një rrjet të pasigurt, i cili më së shpeshti është interneti.

Tuneli ose kapsulimi është një mënyrë për të transmetuar informacione të dobishme përmes një rrjeti të ndërmjetëm. Një informacion i tillë mund të jetë korniza (ose paketa) e një protokolli tjetër. Me kapsulimin, korniza nuk transmetohet në formën në të cilën është krijuar nga hosti dërgues, por pajiset me një kokë shtesë që përmban informacione të rrugës që lejon paketat e kapsuluara të kalojnë përmes rrjetit të ndërmjetëm (Internet). Në fund të tunelit, kornizat de-kapsulohen dhe dërgohen te marrësi. Në mënyrë tipike, tuneli krijohet nga dy pajisje skajore të vendosura në pikat e hyrjes në rrjetin publik. Një nga avantazhet e qarta të tunelit është se kjo teknologji ju lejon të kriptoni të gjithë paketën origjinale, duke përfshirë kokën, e cila mund të përmbajë të dhëna që përmbajnë informacion që sulmuesit përdorin për të hakuar rrjetin (për shembull, adresat IP, numrin e nënrrjeteve, etj. )...

Megjithëse një tunel VPN është krijuar midis dy pikave, çdo nyje mund të krijojë tunele shtesë me nyje të tjera. Për shembull, kur tre stacione të largëta duhet të komunikojnë me të njëjtën zyrë, në atë zyrë do të krijohen tre tunele të veçanta VPN. Për të gjitha tunelet, nyja nga ana e zyrës mund të jetë e njëjtë. Kjo është e mundur sepse hosti mund të enkriptojë dhe deshifrojë të dhënat në emër të të gjithë rrjetit, siç tregohet në figurë:

Oriz. 6.6. Krijoni tunele VPN për shumë vendndodhje të largëta

Përdoruesi krijon një lidhje me portën VPN, pas së cilës përdoruesit i jepet akses në rrjetin e brendshëm.

Vetë kriptimi nuk ndodh brenda rrjetit privat. Arsyeja është se kjo pjesë e rrjetit konsiderohet e sigurt dhe nën kontroll të drejtpërdrejtë, në krahasim me internetin. E njëjta gjë është e vërtetë kur lidhni zyra duke përdorur portat VPN. Kështu, enkriptimi garantohet vetëm për informacionin që transmetohet përmes një kanali të pasigurt ndërmjet zyrave.

Ka shumë zgjidhje të ndryshme për ndërtimin e rrjeteve private virtuale. Protokollet më të famshme dhe më të përdorura janë:

    PPTP (Point-to-Point Tunneling Protocol) - ky protokoll është bërë mjaft i popullarizuar për shkak të përfshirjes së tij në sistemet operative të Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - kombinon protokollin L2F (Layer 2 Forwarding) dhe protokollin PPTP. Zakonisht përdoret në lidhje me IPSec.

    IPSec (Siguria e Protokollit të Internetit) është një standard zyrtar i Internetit i zhvilluar nga komuniteti i Task Forcës së Inxhinierisë së Internetit (IETF).

Protokollet e listuara mbështeten nga pajisjet D-Link.

PPTP është menduar kryesisht për rrjete private virtuale dial-up. Protokolli lejon akses në distancë, duke i lejuar përdoruesit të krijojnë lidhje dial-up me ISP-të dhe të krijojnë një tunel të sigurt në rrjetet e tyre të korporatave. Ndryshe nga IPSec, PPTP nuk ishte projektuar fillimisht për tunele LAN-to-LAN. PPTP zgjeron aftësitë e PPP, një protokoll i lidhjes së të dhënave që u zhvillua fillimisht për të përmbledhur të dhënat dhe për t'i shpërndarë ato përmes lidhjeve pikë-për-pikë.

PPTP ju lejon të krijoni kanale të sigurta për shkëmbimin e të dhënave duke përdorur protokolle të ndryshme - IP, IPX, NetBEUI, etj. Të dhënat e këtyre protokolleve janë të paketuara në korniza PPP, të kapsuluara duke përdorur PPTP në paketa IP. Më pas ato transferohen duke përdorur IP në formë të koduar mbi çdo rrjet TCP / IP. Nyja marrëse nxjerr kornizat PPP nga paketat IP dhe më pas i përpunon ato në mënyrë standarde, d.m.th. nxjerr një paketë IP, IPX ose NetBEUI nga një kornizë PPP dhe e dërgon atë përmes rrjetit lokal. Kështu, PPTP krijon një lidhje pikë-për-pikë në rrjet dhe transmeton të dhëna mbi kanalin e krijuar të sigurt. Avantazhi kryesor i inkapsulimit të protokolleve si PPTP është se ato janë me shumë protokolle. ato. mbrojtja e të dhënave në shtresën e lidhjes së të dhënave është transparente për protokollet e rrjetit dhe shtresave të aplikacionit. Prandaj, brenda rrjetit, mund të përdorni si protokollin IP (si në rastin e një VPN të bazuar në IPSec) dhe çdo protokoll tjetër si transport.

Në ditët e sotme, për shkak të lehtësisë së zbatimit, PPTP përdoret gjerësisht si për të marrë akses të sigurt të besueshëm në rrjetin e korporatës ashtu edhe për të hyrë në rrjetet e ISP-ve kur një klient duhet të krijojë një lidhje PPTP me një ISP për të hyrë në internet.

Metoda e enkriptimit e përdorur në PPTP specifikohet në nivelin PPP. Në mënyrë tipike, klienti PPP është një desktop i Microsoft, dhe protokolli i enkriptimit është Kriptimi pikë-për-pikë i Microsoft (MPPE). Ky protokoll bazohet në standardin RSA RC4 dhe mbështet enkriptimin 40 ose 128-bit. Për shumë aplikacione të këtij niveli të kriptimit, përdorimi i këtij algoritmi është mjaft i mjaftueshëm, megjithëse konsiderohet më pak i besueshëm se një numër i algoritmeve të tjera të enkriptimit të ofruara nga IPSec, në veçanti, standardi 168-bit i Kriptimit të të Dhënave Triple (3DES) .

Si vendoset lidhjaPPTP?

PPTP përmbledh paketat IP për transmetim përmes një rrjeti IP. Klientët PPTP krijojnë një lidhje të kontrollit të tunelit për të mbajtur lidhjen gjallë. Ky proces kryhet në shtresën e transportit të modelit OSI. Pasi të krijohet tuneli, kompjuteri i klientit dhe serveri fillojnë të shkëmbejnë paketat e shërbimit.

Përveç lidhjes së kontrollit PPTP, krijohet një lidhje e të dhënave tunel. Mbyllja e të dhënave përpara dërgimit të tyre në tunel përfshin dy hapa. Së pari, krijohet pjesa e informacionit e kornizës PPP. Të dhënat rrjedhin nga lart poshtë, nga shtresa e aplikacionit OSI në shtresën e lidhjes së të dhënave. Të dhënat e marra dërgohen më pas në modelin OSI dhe kapsulohen nga protokollet e shtresës së sipërme.

Të dhënat nga shtresa e lidhjes arrijnë në shtresën e transportit. Sidoqoftë, informacioni nuk mund të dërgohet në destinacionin e tij, pasi shtresa e lidhjes së të dhënave OSI është përgjegjëse për këtë. Prandaj, PPTP kodon fushën e ngarkesës së paketës dhe merr përsipër funksionet e Shtresës 2 të lidhura normalisht me PPP, domethënë shton një titull PPP dhe një rimorkio në paketën PPTP. Kjo përfundon krijimin e kornizës së shtresës së lidhjes. Më pas, PPTP e kapsulon kornizën PPP në një paketë Generic Routing Encapsulation (GRE) që i përket shtresës së rrjetit. GRE përmbledh protokollet e shtresave të rrjetit si IP, IPX për të mundësuar që ato të transportohen përmes rrjeteve IP. Megjithatë, përdorimi vetëm i protokollit GRE nuk do të sigurojë krijimin e sesionit dhe sigurinë e të dhënave. Ai përdor aftësinë e PPTP për të krijuar një lidhje për të menaxhuar tunelin. Përdorimi i GRE si një metodë kapsulimi kufizon fushën e veprimit PPTP vetëm në rrjetet IP.

Pasi korniza PPP të jetë inkapsuluar në një kornizë të kokës GRE, ajo inkapsulohet në një kornizë të kokës IP. Kreu i IP-së përmban adresat e dërguesit dhe marrësit të paketës. Së fundi, PPTP shton një kokë PPP dhe një fund.

oriz. 6.7 tregon strukturën e të dhënave për dërgimin përmes tunelit PPTP:

Oriz. 6.7. Struktura e të dhënave të tunelit PPTP

Organizimi i një VPN të bazuar në PPTP nuk kërkon kosto të mëdha dhe cilësime komplekse: mjafton të instaloni një server PPTP në zyrën qendrore (zgjidhjet PPTP ekzistojnë si për platformat Windows ashtu edhe për Linux) dhe konfiguroni cilësimet e nevojshme në kompjuterët e klientit. Nëse keni nevojë të kombinoni disa degë, atëherë në vend që të konfiguroni PPTP në të gjitha stacionet e klientit, është më mirë të përdorni një ruter interneti ose mur zjarri me mbështetje PPTP: cilësimet bëhen vetëm në ruterin kufitar (firewall) të lidhur në internet, gjithçka është absolutisht transparente për përdoruesit. Ruterët multifunksionalë të internetit të serisë DIR / DSR dhe muret e zjarrit të serisë DFL janë shembuj të pajisjeve të tilla.

GRE- tunele

Generic Routing Encapsulation (GRE) është një protokoll i kapsulimit të paketave të rrjetit që tunelezon trafikun mbi rrjete pa enkriptim. Shembuj të përdorimit të GRE:

    transmetimi i trafikut (përfshirë transmetimin) përmes pajisjeve që nuk mbështesin një protokoll specifik;

    tunelizimi i trafikut IPv6 mbi një rrjet IPv4;

    transmetimi i të dhënave përmes rrjeteve publike për të zbatuar një lidhje të sigurt VPN.

Oriz. 6.8. Një shembull i një tuneli GRE

Midis dy ruterave A dhe B ( oriz. 6.8) ka shumë ruter, tuneli GRE lejon lidhjen midis rrjeteve lokale 192.168.1.0/24 dhe 192.168.3.0/24 sikur ruterat A dhe B të ishin të lidhur drejtpërdrejt.

L2 TP

L2TP është rezultat i kombinimit të PPTP dhe L2F. Avantazhi kryesor i L2TP është se ju lejon të krijoni një tunel jo vetëm në rrjetet IP, por edhe në rrjetet ATM, X.25 dhe Frame relay. L2TP përdor UDP si transportin e tij dhe përdor të njëjtin format mesazhi për menaxhimin e tunelit dhe transferimin e të dhënave.

Ashtu si me PPTP, L2TP fillon të montojë paketën për transmetim në tunel duke shtuar fillimisht kokën PPP, pastaj kokën L2TP në fushën e të dhënave të informacionit PPP. Paketa që rezulton është e kapsuluar me UDP. Në varësi të llojit të zgjedhur të politikës së sigurisë IPSec, L2TP mund të enkriptojë mesazhet UDP dhe të shtojë një titull dhe përfundim të ngarkesave të sigurisë përmbledhëse (ESP), si dhe një përfundim Autentifikimi IPSec (shih "L2TP mbi IPSec"). Pastaj kapsulohet në IP. Shtohet një kokë IP që përmban adresat e dërguesit dhe të marrësit. Së fundi, L2TP kryen një kapsulim të dytë PPP për të përgatitur të dhënat për transmetim. Në oriz. 6.9 tregon strukturën e të dhënave për përcjelljen mbi një tunel L2TP.

Oriz. 6.9. Struktura e të dhënave për përcjelljen mbi një tunel L2TP

Kompjuteri marrës merr të dhënat, përpunon titullin PPP dhe përfundimin, dhe heq kokën e IP-së. IPSec Authentication vërteton fushën e informacionit IP dhe titulli IPSec ESP ndihmon në dekriptimin e paketës.

Kompjuteri më pas përpunon kokën UDP dhe përdor kokën L2TP për të identifikuar tunelin. Paketa PPP tani përmban vetëm ngarkesë, e cila përpunohet ose përcillet te marrësi i specifikuar.

IPsec (shkurt për IP Security) është një grup protokollesh për sigurimin e të dhënave të transmetuara përmes Protokollit të Internetit (IP), duke lejuar vërtetimin dhe / ose enkriptimin e paketave IP. IPsec përfshin gjithashtu protokolle për shkëmbimin e sigurt të çelësave përmes Internetit.

Siguria IPSec arrihet përmes protokolleve shtesë që shtojnë kokat e tyre në paketën IP - enkapsulimet. Sepse IPSec është një standard interneti, atëherë ka dokumente RFC për të:

    RFC 2401 (Arkitektura e Sigurisë për Protokollin e Internetit) - Arkitektura e sigurisë për Protokollin e Internetit.

    RFC 2402 (koka e vërtetimit IP) - Titulli i vërtetimit IP.

    RFC 2404 (Përdorimi i HMAC-SHA-1-96 brenda ESP dhe AH) - Përdorimi i algoritmit hash SHA-1 për të krijuar një titull vërtetimi.

    RFC 2405 (ESP DES-CBC Shipher Algorithm With Explicit IV) - përdorimi i algoritmit të enkriptimit DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - kriptimi i të dhënave.

    RFC 2407 (Domeni i Interpretimit të Sigurisë IP të Internetit për ISAKMP) është objekti i protokollit të menaxhimit të çelësave.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Menaxhimi i çelësave dhe autentifikuesve për lidhje të sigurta.

    RFC 2409 (The Internet Key Exchange (IKE)) - Shkëmbimi i çelësave.

    RFC 2410 (Algoritmi i enkriptimit NULL dhe përdorimi i tij me IPsec) - algoritmi i enkriptimit null dhe përdorimi i tij.

    RFC 2411 (IP Security Document Map) është një zhvillim i mëtejshëm i standardit.

    RFC 2412 (Protokolli i përcaktimit të çelësit OAKLEY) - Kontrollimi i autenticitetit të një çelësi.

IPsec është një pjesë integrale e Protokollit të Internetit IPv6 dhe është një shtesë opsionale për versionin IPv4 të Protokollit të Internetit.

Mekanizmi IPSec zgjidh detyrat e mëposhtme:

    vërtetimi i përdoruesve ose kompjuterëve gjatë inicializimit të një kanali të sigurt;

    kriptimi dhe vërtetimi i të dhënave të transmetuara ndërmjet pikave fundore të një kanali të sigurt;

    Siguroni automatikisht pikat fundore të kanalit me çelësat sekretë të kërkuar për vërtetimin dhe protokollet e enkriptimit të të dhënave.

Komponentët IPSec

Protokolli AH (Authentication Header) është një protokoll i kokës së vërtetimit. Siguron integritet duke verifikuar që asnjë bit në pjesën e mbrojtur të paketës nuk është ndryshuar gjatë transmetimit. Por përdorimi i AH mund të shkaktojë probleme, për shembull, kur paketa po kalon një pajisje NAT. NAT ndryshon adresën IP të paketës për të lejuar hyrjen në internet nga një adresë lokale private. Sepse Në këtë rast, paketa do të ndryshojë, atëherë shuma e kontrollit AH do të bëhet e pasaktë (për të eliminuar këtë problem, është zhvilluar protokolli NAT-Traversal (NAT-T), i cili siguron transmetimin ESP mbi UDP dhe përdor portin UDP 4500 në punën e tij ). Vlen gjithashtu të theksohet se AH është krijuar vetëm për integritet. Nuk garanton konfidencialitet duke enkriptuar përmbajtjen e paketës.

Protokolli ESP (Encapsulation Security Payload) siguron jo vetëm integritetin dhe vërtetimin e të dhënave të transmetuara, por edhe enkriptimin e të dhënave, si dhe mbrojtjen kundër riprodhimit mashtrues të paketave.

ESP është një protokoll sigurie përmbledhëse që ofron integritet dhe konfidencialitet. Në modalitetin e transportit, titulli ESP është midis kokës origjinale të IP-së dhe titullit TCP ose UDP. Në modalitetin e tunelit, titulli ESP vendoset midis kokës së re të IP-së dhe paketës origjinale IP të koduar plotësisht.

Sepse si AH ashtu edhe ESP shtojnë kokat e tyre IP, secila me numrin e vet të protokollit (ID), i cili mund të përdoret për të përcaktuar se çfarë pason kokën e IP-së. Çdo protokoll, sipas IANA (Internet Assigned Numbers Authority - organizata përgjegjëse për hapësirën e adresave të internetit), ka numrin e vet (ID). Për shembull, për TCP ky numër është 6, dhe për UDP - 17. Prandaj, është shumë e rëndësishme kur punoni përmes një muri zjarri të konfiguroni filtrat në atë mënyrë që të lejojnë paketat me ID të protokollit AH dhe/ose ESP.

Protokolli ID 51 është vendosur të tregojë AH në kokën e IP-së dhe 50 për ESP.

KUJDES: ID-ja e protokollit nuk është e njëjtë me numrin e portit.

Shkëmbimi i çelësave të Internetit (IKE) është një protokoll standard IPsec që përdoret për të siguruar komunikimet në rrjetet private virtuale. Qëllimi i IKE është të negociojë dhe të japë në mënyrë të sigurt materiale të identifikuara për një Shoqatë Sigurie (SA).

SA është një term IPSec për një lidhje. Një SA e krijuar (një kanal i sigurt i quajtur "shoqatë e sigurt" ose "shoqatë sigurie" - SA) përfshin një çelës sekret të përbashkët dhe një grup algoritmesh kriptografike.

IKE shërben për tre qëllime kryesore:

    Ofron mjete të vërtetimit ndërmjet dy pikave fundore të VPN;

    vendos lidhje të reja IPSec (krijon një çift SA);

    menaxhon lidhjet ekzistuese.

IKE përdor portën UDP 500. Kur përdor NAT Traversal, siç u përmend më herët, IKE përdor portën UDP 4500.

Shkëmbimi i të dhënave në IKE ndodh në 2 faza. Në fazën e parë krijohet një IKE SA. Në këtë rast, pikat fundore të kanalit vërtetohen dhe zgjidhen parametrat e mbrojtjes së të dhënave, si algoritmi i enkriptimit, çelësi i sesionit, etj.

Në fazën e dytë të SA, IKE përdoret për negocimin e protokollit (zakonisht IPSec).

Kur konfigurohet një tunel VPN, krijohet një palë SA për secilin protokoll të përdorur. SA-të krijohen në çifte sepse çdo SA është një lidhje e njëanshme dhe të dhënat duhet të dërgohen në dy drejtime. Çiftet SA që rezultojnë ruhen në secilën nyje.

Meqenëse çdo nyje është në gjendje të krijojë tunele të shumta me nyje të tjera, çdo SA ka një numër unik për të përcaktuar se cilës nyje i përket. Ky numër quhet SPI (Security Parameter Index) ose indeksi i parametrave të sigurisë.

SA e ruajtur në një bazë të dhënash (DB) E TRISHTUAR(Baza e të dhënave të Shoqatës së Sigurisë).

Çdo nyje IPSec ka gjithashtu një DB të dytë - SPD(Security Policy Database) - databazë e politikave të sigurisë. Ai përmban politikën e konfiguruar të faqes. Shumica e zgjidhjeve VPN lejojnë krijimin e politikave të shumta me kombinime të algoritmeve të përshtatshme për secilën nyje me të cilën dëshironi të lidheni.

Fleksibiliteti i IPSec qëndron në faktin se për secilën detyrë ka disa mënyra për ta zgjidhur atë, dhe metodat e zgjedhura për një detyrë zakonisht nuk varen nga metodat për zbatimin e detyrave të tjera. Në të njëjtën kohë, grupi i punës IETF ka përcaktuar një grup bazë funksionesh dhe algoritmesh të mbështetura që duhet të zbatohen vazhdimisht në të gjitha produktet që mbështesin IPSec. Mekanizmat AH dhe ESP mund të përdoren me një sërë skemash vërtetimi dhe kriptimi, disa prej të cilave kërkohen. Për shembull, IPSec specifikon që paketat vërtetohen duke përdorur MD5 njëkahëshe ose SHA-1 të njëanshme, dhe kriptimi bëhet duke përdorur DES. Prodhuesit e produkteve që përdorin IPSec mund të shtojnë algoritme të tjera vërtetimi dhe kriptimi. Për shembull, disa produkte mbështesin algoritme enkriptimi si 3DES, Blowfish, Cast, RC5, etj.

Çdo algoritëm simetrik i enkriptimit që përdor çelësa sekret mund të përdoret për të enkriptuar të dhënat në IPSec.

Protokollet e mbrojtjes së rrjedhës (AH dhe ESP) mund të funksionojnë në dy mënyra - in mënyra e transportit dhe ne modaliteti i tunelit... Kur vepron në modalitetin e transportit, IPsec punon vetëm me informacionin e shtresës së transportit, d.m.th. vetëm fusha e të dhënave e paketës që përmban protokollet TCP / UDP është e koduar (titulli i paketës IP nuk është ndryshuar (jo i koduar)). Mënyra e transportit përdoret zakonisht për të krijuar një lidhje midis hosteve.

Modaliteti i tunelit kodon të gjithë paketën IP, duke përfshirë kokën e shtresës së rrjetit. Në mënyrë që ai të transmetohet përmes rrjetit, ai vendoset në një paketë tjetër IP. Në thelb është një tunel i sigurt IP. Modaliteti i tunelit mund të përdoret për të lidhur kompjuterë në distancë me një rrjet privat virtual (skema e lidhjes "host-network") ose për të organizuar transmetim të sigurt të të dhënave përmes kanaleve të hapura të komunikimit (për shembull, Interneti) midis portave për të kombinuar pjesë të ndryshme të një private virtuale. rrjeti ("rrjet -rrjet").

Mënyrat IPsec nuk janë reciprokisht ekskluzive. Në të njëjtën nyje, disa SA mund të përdorin modalitetin e transportit ndërsa të tjerët përdorin modalitetin e tunelit.

Gjatë fazës së vërtetimit, llogaritet shuma e kontrollit ICV (Vlera e Kontrollit të Integritetit) të paketës. Kjo supozon se të dy nyjet e dinë çelësin sekret, i cili lejon marrësin të llogarisë ICV dhe ta krahasojë atë me rezultatin e dërguar nga dërguesi. Nëse krahasimi ICV është i suksesshëm, dërguesi i paketës konsiderohet i vërtetuar.

Në modalitetin transportiAH

    të gjithë paketën IP, me përjashtim të disa fushave në kokën e IP-së që mund të ndryshohen në tranzit. Këto fusha, të cilat janë 0 për llogaritjen e ICV, mund të jenë Lloji i Shërbimit (TOS), flamuj, kompensim i pjesës, koha për të jetuar (TTL) dhe titulli i shumës së kontrollit;

    të gjitha fushat në AH;

    ngarkesë e paketave IP.

AH në modalitetin e transportit mbron kokën IP (me përjashtim të fushave që lejohen të modifikohen) dhe ngarkesën në paketën origjinale IP (Figura 3.39).

Në modalitetin tunel, paketa origjinale vendoset në një paketë të re IP dhe transmetimi i të dhënave kryhet bazuar në kokën e paketës së re IP.

Për modaliteti i tunelitAH Gjatë llogaritjes, shuma e kontrollit ICV përfshin komponentët e mëposhtëm:

    të gjitha fushat në kokën e jashtme të IP-së, me përjashtim të disa fushave në kokën e IP-së, të cilat mund të ndryshohen gjatë transitit. Këto fusha, të cilat janë 0 për llogaritjen e ICV, mund të jenë Lloji i Shërbimit (TOS), flamuj, kompensim i pjesës, koha për të jetuar (TTL) dhe titulli i shumës së kontrollit;

    të gjitha fushat e hixhretit;

    paketë IP origjinale.

Siç mund ta shihni në ilustrimin e mëposhtëm, modaliteti i tunelit AH mbron të gjithë paketën origjinale IP me një kokë shtesë të jashtme që nuk përdoret në modalitetin e transportit AH:

Oriz. 6.10. Tuneli dhe mënyrat e transportit të protokollit AN

Në modalitetin transportiESP nuk e vërteton të gjithë paketën, por vetëm mbron ngarkesën IP. Titulli ESP në modalitetin e transportit ESP shtohet në paketën IP menjëherë pas titullit IP dhe mbarimi ESP (ESP Trailer) shtohet pas të dhënave.

Modaliteti i transportit ESP kodon pjesët e mëposhtme të paketës:

    ngarkesë IP;

Një algoritëm enkriptimi që përdor modalitetin e zinxhirit të bllokut të kodit (CBC) ka një fushë të pakriptuar midis kokës së ESP dhe ngarkesës. Kjo fushë quhet Vektori i Inicializimit (IV) për llogaritjen CBC që kryhet në marrës. Meqenëse kjo fushë përdoret për të filluar procesin e deshifrimit, ajo nuk mund të kodohet. Përkundër faktit se sulmuesi ka aftësinë për të parë IV, ai nuk do të jetë në gjendje të deshifrojë pjesën e koduar të paketës pa çelësin e enkriptimit. Për të parandaluar ndërhyrës nga ndryshimi i vektorit të inicializimit, ai ruhet nga shuma e kontrollit ICV. Në këtë rast, ICV kryen llogaritjet e mëposhtme:

    të gjitha fushat në kokën ESP;

    ngarkesë duke përfshirë tekstin e thjeshtë IV;

    të gjitha fushat në ESP Trailer përveç fushës së të dhënave të vërtetimit.

Modaliteti i tunelit ESP përmbledh të gjithë paketën origjinale IP në kokën e re të IP-së, kokën ESP dhe Trailer ESP. Për të treguar që ESP është i pranishëm në kokën e IP-së, identifikuesi i protokollit IP vendoset në 50, duke lënë kokën origjinale të IP-së dhe ngarkesën e pandryshuar. Ashtu si me modalitetin e tunelit AH, kreu i jashtëm i IP-së bazohet në konfigurimin e tunelit IPSec. Në rastin e përdorimit të modalitetit të tunelit ESP, zona e vërtetimit të paketës IP tregon se ku është nënshkruar nënshkrimi, duke konfirmuar integritetin dhe vërtetësinë e tij, dhe pjesa e koduar tregon që informacioni është i sigurt dhe konfidencial. Titulli origjinal vendoset pas titullit ESP. Pasi pjesa e koduar të inkapsulohet në një kokë të re tuneli që nuk është e koduar, paketa IP transmetohet. Kur dërgohet përmes një rrjeti publik, një paketë e tillë drejtohet në adresën IP të portës së rrjetit marrës, dhe porta deshifron paketën dhe hedh poshtë kokën ESP duke përdorur kokën origjinale të IP-së për të drejtuar paketën në një kompjuter në pjesën e brendshme. rrjeti. Modaliteti i tunelit ESP kodon pjesët e mëposhtme të paketës:

    paketë IP origjinale;

  • Për modalitetin e tunelit ESP, ICV llogaritet si më poshtë:

    të gjitha fushat në kokën ESP;

    paketë IP origjinale duke përfshirë tekst të thjeshtë IV;

    të gjitha fushat e kokës ESP përveç fushës së të dhënave të vërtetimit.

Oriz. 6.11. Tuneli ESP dhe mënyra e transportit

Oriz. 6.12. Krahasimi i protokolleve ESP dhe AH

Përmbledhja e aplikacionit të modalitetitIPSec:

    Protokolli - ESP (AH).

    Mënyra - tunel (transport).

    Metoda e shkëmbimit të çelësave - IKE (manual).

    Modaliteti IKE - kryesor (agresiv).

    Tasti DH - grupi 5 (grupi 2, grupi 1) - numri i grupit për të zgjedhur çelësat e sesionit të gjeneruar në mënyrë dinamike, gjatësia e grupit.

    Vërtetimi - SHA1 (SHA, MD5).

    Kriptimi - DES (3DES, Blowfish, AES).

Kur krijoni një politikë, zakonisht është e mundur të krijoni një listë të renditur të algoritmeve dhe grupeve Diffie-Hellman. Diffie-Hellman (DH) është një protokoll kriptimi që përdoret për të vendosur çelësa sekretë të përbashkët për IKE, IPSec dhe PFS (Perfect Forward Secrecy). Në këtë rast, do të përdoret pozicioni i parë që përputhet në të dy nyjet. Është shumë e rëndësishme që gjithçka në politikën e sigurisë të lejojë këtë mbivendosje. Nëse, përveç një pjese të politikës, gjithçka tjetër përputhet, kolegët nuk do të jenë ende në gjendje të krijojnë një lidhje VPN. Kur vendosni një tunel VPN midis sistemeve të ndryshme, duhet të zbuloni se cilët algoritme mbështeten nga secila anë, në mënyrë që të zgjidhni politikën më të sigurt të mundshme.

Cilësimet kryesore që përfshin politika e sigurisë:

    Algoritme simetrike për enkriptimin / deshifrimin e të dhënave.

    Shumat kontrolluese kriptografike për kontrollin e integritetit të të dhënave.

    Metoda e identifikimit të hostit. Metodat më të zakonshme janë sekretet e para-ndara ose certifikatat CA.

    Nëse do të përdoret mënyra e tunelit ose mënyra e transportit.

    Cilin grup Diffie-Hellman të përdoret (grupi DH 1 (768-bit); grupi DH 2 (1024-bit); grupi DH 5 (1536-bit)).

    Nëse do të përdorni AH, ESP ose të dyja.

    Nëse duhet përdorur PFS.

Kufizimi i IPSec është se ai mbështet vetëm transferimin e të dhënave në shtresën e protokollit IP.

Ekzistojnë dy skema kryesore për përdorimin e IPSec, të cilat ndryshojnë në rolin e nyjeve që formojnë kanalin e sigurt.

Në skemën e parë, një kanal i sigurt formohet midis hosteve fundorë të rrjetit. Në këtë skemë, IPSec mbron hostin që funksionon:

Oriz. 6.13. Krijoni një kanal të sigurt midis dy pikave fundore

Në skemën e dytë, një kanal i sigurt krijohet midis dy Portave të Sigurisë. Këto porta marrin të dhëna nga hostet fundorë të lidhur me rrjetet prapa portave. Në këtë rast, hostet fundorë nuk e mbështesin protokollin IPSec, trafiku i drejtuar në rrjetin publik kalon përmes portës së sigurisë, e cila mbron në emër të vet.

Oriz. 6.14. Krijimi i një kanali të sigurt midis dy portave

Për hostet që mbështesin IPSec, mund të përdoren të dyja mënyrat e transportit dhe të tunelit. Për portat, lejohet vetëm modaliteti i tunelit.

Instalimi dhe mbështetjaVPN

Siç u përmend më lart, vendosja dhe mirëmbajtja e një tuneli VPN është një proces me dy hapa. Në fazën e parë (fazën), të dy nyjet bien dakord për një metodë identifikimi, algoritmin e enkriptimit, algoritmin hash dhe grupin Diffie-Hellman. Ata gjithashtu identifikojnë njëri-tjetrin. E gjithë kjo mund të ndodhë si rezultat i shkëmbimit të tre mesazheve të pakriptuara (e ashtuquajtura mënyra agresive, Agresive modaliteti) ose gjashtë mesazhe, me shkëmbimin e informacionit të koduar të identifikimit (modaliteti standard, Kryesor modaliteti).

Në modalitetin kryesor, është e mundur të bini dakord për të gjithë parametrat e konfigurimit të pajisjeve të dërguesit dhe marrësit, ndërsa në modalitetin agresiv kjo nuk është e mundur dhe disa parametra (grupi Diffie-Hellman, algoritmet e enkriptimit dhe vërtetimit, PFS) duhet të konfigurohen paraprakisht në në të njëjtën mënyrë në çdo pajisje. Sidoqoftë, në këtë mënyrë, si numri i shkëmbimeve ashtu edhe numri i paketave të dërguara në të njëjtën kohë janë më të vogla, si rezultat i së cilës kërkon më pak kohë për të krijuar një sesion IPSec.

Oriz. 6.15. Mesazhimi në modalitetin standard (a) dhe agresiv (b).

Duke supozuar që operacioni të përfundojë me sukses, krijohet faza e parë SA - Faza 1 SA(e quajtur edhe IKESA) dhe procesi kalon në fazën e dytë.

Në hapin e dytë, gjenerohen të dhënat kryesore, nyjet bien dakord për politikën që do të përdoret. Kjo mënyrë, e quajtur edhe Quick mode, ndryshon nga faza e parë në atë që mund të vendoset vetëm pas fazës së parë, kur të gjitha paketat në fazën e dytë janë të koduara. Përfundimi i saktë i fazës së dytë çon në shfaqje Faza 2 SA ose IPSecSA dhe kjo përfundon instalimin e tunelit.

Së pari, një paketë arrin në një nyje me një adresë destinacioni në një rrjet tjetër, dhe nyja fillon fazën e parë me nyjen që është përgjegjëse për rrjetin tjetër. Le të themi se një tunel midis nyjeve u krijua me sukses dhe po pret për paketat. Megjithatë, nyjet duhet të riidentifikojnë njëra-tjetrën dhe të krahasojnë politikat gjatë një periudhe kohore. Kjo periudhë quhet jetëgjatësia e fazës së parë ose jeta e IKE SA.

Nyjet duhet gjithashtu të ndryshojnë çelësin e tyre të enkriptimit gjatë një periudhe kohore të quajtur jetëgjatësia e fazës së dytë ose jetëgjatësia IPSec SA.

Jetëgjatësia e fazës së dytë është më e shkurtër se ajo e fazës së parë, sepse çelësi duhet të ndërrohet më shpesh. Ju duhet të vendosni të njëjtat parametra të jetëgjatësisë për të dy nyjet. Nëse nuk e bëni këtë, atëherë ka mundësi që fillimisht tuneli të vendoset me sukses, por pas skadimit të periudhës së parë të paqëndrueshme të jetës, lidhja do të ndërpritet. Problemet mund të lindin edhe kur jetëgjatësia e fazës së parë është më e vogël se ajo e fazës së dytë. Nëse një tunel i konfiguruar më parë ndalon së punuari, atëherë gjëja e parë që duhet të kontrollohet është jetëgjatësia në të dy nyjet.

Duhet gjithashtu të theksohet se kur ndryshoni politikën në një nga nyjet, ndryshimet do të hyjnë në fuqi vetëm në fillimin tjetër të fazës së parë. Që ndryshimet të hyjnë në fuqi menjëherë, SA për këtë tunel duhet të hiqet nga baza e të dhënave SAD. Kjo do të detyrojë një rinegocim të marrëveshjes midis nyjeve me cilësimet e reja të politikës së sigurisë.

Ndonjëherë, kur vendosni një tunel IPSec midis pajisjeve nga prodhues të ndryshëm, ka vështirësi që lidhen me negocimin e parametrave gjatë vendosjes së fazës së parë. Ju duhet t'i kushtoni vëmendje një parametri të tillë si Local ID - ky është një identifikues unik i pikës fundore të tunelit (dërguesi dhe marrësi). Kjo është veçanërisht e rëndësishme kur krijoni tunele të shumta dhe përdorni protokollin NAT Traversal.

I vdekurbashkëmoshatarZbulim

Gjatë funksionimit të VPN, në mungesë të trafikut midis pikave fundore të tunelit, ose kur të dhënat origjinale të nyjes së largët ndryshojnë (për shembull, ndryshimi i adresës IP të caktuar dinamikisht), mund të lindë një situatë kur tuneli në thelb nuk është më i tillë. , duke u bërë si një tunel fantazmë ... Për të ruajtur gatishmërinë e vazhdueshme për shkëmbimin e të dhënave në tunelin e krijuar IPSec, mekanizmi IKE (i përshkruar në RFC 3706) ju lejon të kontrolloni praninë e trafikut nga nyja e largët e tunelit, dhe nëse ai mungon për një kohë të caktuar, një përshëndetje mesazhi dërgohet (në muret e zjarrit D-Link dërgon mesazhin "DPD-RU-THERE"). Nëse nuk ka përgjigje për këtë mesazh për një kohë të caktuar, në muret e zjarrit D-Link të specifikuara nga cilësimet "DPD Expire Time", tuneli çmontohet. Muret e zjarrit të D-Link më pas duke përdorur "DPD Keep Time" ( oriz. 6.18) provoni automatikisht të rivendosni tunelin.

ProtokolliNATKalimi

Trafiku IPsec mund të drejtohet sipas të njëjtave rregulla si protokollet e tjera IP, por meqenëse ruteri nuk mund të marrë gjithmonë informacione specifike për protokollet e shtresave të transportit, IPsec nuk mund të kalojë nëpër portat NAT. Siç u përmend më herët, për të adresuar këtë çështje, IETF ka përcaktuar një mënyrë për të inkapsuluar ESP në UDP të quajtur NAT-T (NAT Traversal).

NAT Traversal përmbledh trafikun IPSec dhe njëkohësisht krijon pako UDP që NAT i përcjell saktë. Për ta bërë këtë, NAT-T vendos një kokë shtesë UDP përpara paketës IPSec në mënyrë që ajo të trajtohet si një paketë e rregullt UDP në të gjithë rrjetin dhe pritësi i marrësit nuk kryen asnjë kontroll të integritetit. Pasi paketa të arrijë në destinacionin e saj, titulli UDP hiqet dhe paketa e të dhënave vazhdon rrugën e saj si një paketë IPSec e kapsuluar. Kështu, duke përdorur mekanizmin NAT-T, është e mundur të vendoset komunikimi midis klientëve IPSec në rrjete të sigurta dhe hosteve publike IPSec përmes mureve të zjarrit.

Kur konfiguroni muret e zjarrit D-Link në pajisjen marrës, duhet të vihen re dy pika:

    në fushat Remote Network dhe Remote Endpoint, specifikoni rrjetin dhe adresën IP të pajisjes dërguese në distancë. Është e nevojshme të lejohet përkthimi i adresës IP të iniciatorit (dërguesit) duke përdorur teknologjinë NAT (Figura 3.48).

    Kur përdorni çelësa të përbashkët me tunele të shumta të lidhura me të njëjtin mur zjarri në distancë që janë NAT në të njëjtën adresë, është e rëndësishme të siguroheni që ID-ja lokale të jetë unike për çdo tunel.

Lokal ID mund të jetë një nga:

    Auto- adresa IP e ndërfaqes së trafikut në dalje përdoret si identifikues lokal.

    IP- Adresa IP e portit WAN të murit të zjarrit në distancë

    DNS- Adresa DNS

Artikujt kryesorë të lidhur

Lëvizje të ndryshme të miut vertikalisht dhe horizontalisht
Lëvizje të ndryshme të miut vertikalisht dhe horizontalisht
Si të kompresoni teksturat në fallout 4
Si të kompresoni teksturat në fallout 4
Mbetet vetëm për të kuptuar nivelin e kërkuar
Mbetet vetëm për të kuptuar nivelin e kërkuar
Kategoritë:
© 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.