Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Lajme
  • Transferimi i të dhënave VPN. Numri i lidhjeve të njëkohshme

Transferimi i të dhënave VPN. Numri i lidhjeve të njëkohshme

24.06.2019 Lajme

Interneti po përdoret gjithnjë e më shumë si mjet komunikimi ndërmjet kompjuterëve sepse ofron komunikim efikas dhe të lirë. Sidoqoftë, Interneti është një rrjet publik dhe për të siguruar komunikim të sigurt përmes tij, nevojitet një mekanizëm i caktuar që plotëson të paktën detyrat e mëposhtme:

    konfidencialiteti i informacionit;

    integriteti i të dhënave;

    disponueshmëria e informacionit;

Këto kërkesa plotësohen nga një mekanizëm i quajtur VPN (Virtual Private Network) - një emër i përgjithësuar për teknologjitë që lejojnë një ose më shumë lidhje rrjeti (rrjet logjik) të ofrohen përmes një rrjeti tjetër (për shembull, Interneti) duke përdorur kriptografinë (enkriptim, vërtetim). , çelësat publikë të infrastrukturës, mjetet për mbrojtje nga përsëritjet dhe ndryshimet e mesazheve të transmetuara në rrjetin logjik).

Krijimi i një VPN nuk kërkon investime shtesë dhe ju lejon të braktisni përdorimin e linjave me qira. Në varësi të protokolleve të përdorura dhe qëllimit, VPN mund të sigurojë lidhje të tre llojeve: host-host, host-net dhe net-net.

Për qartësi, le të imagjinojmë shembullin e mëposhtëm: një ndërmarrje ka disa degë të largëta gjeografikisht dhe punonjës "lëvizës" që punojnë në shtëpi ose në rrugë. Është e nevojshme të bashkohen të gjithë punonjësit e ndërmarrjes në një rrjet të vetëm. Mënyra më e lehtë është të vendosni modem në çdo degë dhe të rregulloni komunikimet sipas nevojës. Sidoqoftë, një zgjidhje e tillë nuk është gjithmonë e përshtatshme dhe fitimprurëse - ndonjëherë keni nevojë për një lidhje të vazhdueshme dhe një gjerësi bande të lartë. Për ta bërë këtë, ose do të duhet të vendosni një vijë të veçantë midis degëve, ose t'i merrni me qira. Të dyja janë mjaft të shtrenjta. Dhe këtu, si një alternativë kur ndërtoni një rrjet të vetëm të sigurt, mund të përdorni lidhjet VPN të të gjitha degëve të kompanisë përmes Internetit dhe të konfiguroni mjetet VPN në hostet e rrjetit.

Oriz. 6.4. Lidhja VPN nga faqja në vend

Oriz. 6.5. VPN nga Host-to-Network

Në këtë rast, shumë probleme zgjidhen - degët mund të vendosen kudo në botë.

Rreziku këtu qëndron në faktin se, së pari, një rrjet i hapur është i disponueshëm për sulmet nga sulmuesit në mbarë botën. Së dyti, të gjitha të dhënat transmetohen në internet në mënyrë të qartë, dhe sulmuesit, pasi kanë hakuar rrjetin, do të kenë të gjithë informacionin e transmetuar përmes rrjetit. Dhe së treti, të dhënat jo vetëm që mund të përgjohen, por edhe të zëvendësohen gjatë transmetimit përmes rrjetit. Një sulmues mund, për shembull, të rrezikojë integritetin e bazave të të dhënave duke vepruar në emër të klientëve të një prej degëve të besuara.

Për të parandaluar që kjo të ndodhë, zgjidhjet VPN përdorin mjete të tilla si kriptimi i të dhënave për të siguruar integritetin dhe konfidencialitetin, vërtetimin dhe autorizimin për të vërtetuar të drejtat e përdoruesit dhe lejimin e aksesit në VPN.

Një lidhje VPN përbëhet gjithmonë nga një lidhje pikë-për-pikë, e njohur gjithashtu si një tunel. Tuneli është krijuar në një rrjet të pasigurt, i cili më së shpeshti është interneti.

Tuneli ose kapsulimi është një mënyrë për të transmetuar informacione të dobishme përmes një rrjeti të ndërmjetëm. Një informacion i tillë mund të jetë korniza (ose paketa) e një protokolli tjetër. Me kapsulimin, korniza nuk transmetohet në formën në të cilën është krijuar nga hosti dërgues, por pajiset me një kokë shtesë që përmban informacione të rrugës që lejon paketat e kapsuluara të kalojnë përmes rrjetit të ndërmjetëm (Internet). Në fund të tunelit, kornizat de-kapsulohen dhe dërgohen te marrësi. Në mënyrë tipike, tuneli krijohet nga dy pajisje skajore të vendosura në pikat e hyrjes në rrjetin publik. Një nga avantazhet e qarta të tunelit është se kjo teknologji ju lejon të kriptoni të gjithë paketën origjinale, duke përfshirë kokën, e cila mund të përmbajë të dhëna që përmbajnë informacion që sulmuesit përdorin për të hakuar rrjetin (për shembull, adresat IP, numrin e nënrrjeteve, etj. )...

Megjithëse një tunel VPN është krijuar midis dy pikave, çdo nyje mund të krijojë tunele shtesë me nyje të tjera. Për shembull, kur tre stacione të largëta duhet të komunikojnë me të njëjtën zyrë, në atë zyrë do të krijohen tre tunele të veçanta VPN. Për të gjitha tunelet, nyja nga ana e zyrës mund të jetë e njëjtë. Kjo është e mundur sepse hosti mund të enkriptojë dhe deshifrojë të dhënat në emër të të gjithë rrjetit, siç tregohet në figurë:

Oriz. 6.6. Krijoni tunele VPN për shumë vendndodhje të largëta

Përdoruesi krijon një lidhje me portën VPN, pas së cilës përdoruesit i jepet akses në rrjetin e brendshëm.

Vetë kriptimi nuk ndodh brenda rrjetit privat. Arsyeja është se kjo pjesë e rrjetit konsiderohet e sigurt dhe nën kontroll të drejtpërdrejtë, në krahasim me internetin. E njëjta gjë është e vërtetë kur lidhni zyra duke përdorur portat VPN. Kështu, enkriptimi garantohet vetëm për informacionin që transmetohet përmes një kanali të pasigurt ndërmjet zyrave.

Ka shumë zgjidhje të ndryshme për ndërtimin e rrjeteve private virtuale. Protokollet më të famshme dhe më të përdorura janë:

    PPTP (Point-to-Point Tunneling Protocol) - ky protokoll është bërë mjaft i popullarizuar për shkak të përfshirjes së tij në sistemet operative të Microsoft.

    L2TP (Layer-2 Tunneling Protocol) - kombinon protokollin L2F (Layer 2 Forwarding) dhe protokollin PPTP. Zakonisht përdoret në lidhje me IPSec.

    IPSec (Siguria e Protokollit të Internetit) është një standard zyrtar i Internetit i zhvilluar nga komuniteti i Task Forcës së Inxhinierisë së Internetit (IETF).

Protokollet e listuara mbështeten nga pajisjet D-Link.

PPTP është menduar kryesisht për rrjete private virtuale dial-up. Protokolli lejon akses në distancë, duke i lejuar përdoruesit të krijojnë lidhje dial-up me ISP-të dhe të krijojnë një tunel të sigurt në rrjetet e tyre të korporatave. Ndryshe nga IPSec, PPTP nuk ishte projektuar fillimisht për tunele LAN-to-LAN. PPTP zgjeron aftësitë e PPP, një protokoll i lidhjes së të dhënave që u zhvillua fillimisht për të përmbledhur të dhënat dhe për t'i shpërndarë ato përmes lidhjeve pikë-për-pikë.

PPTP ju lejon të krijoni kanale të sigurta për shkëmbimin e të dhënave duke përdorur protokolle të ndryshme - IP, IPX, NetBEUI, etj. Të dhënat e këtyre protokolleve janë të paketuara në korniza PPP, të kapsuluara duke përdorur PPTP në paketa IP. Më pas ato transferohen duke përdorur IP në formë të koduar mbi çdo rrjet TCP / IP. Nyja marrëse nxjerr kornizat PPP nga paketat IP dhe më pas i përpunon ato në mënyrë standarde, d.m.th. nxjerr një paketë IP, IPX ose NetBEUI nga një kornizë PPP dhe e dërgon atë përmes rrjetit lokal. Kështu, PPTP krijon një lidhje pikë-për-pikë në rrjet dhe transmeton të dhëna mbi kanalin e krijuar të sigurt. Avantazhi kryesor i inkapsulimit të protokolleve si PPTP është se ato janë me shumë protokolle. ato. mbrojtja e të dhënave në shtresën e lidhjes së të dhënave është transparente për protokollet e rrjetit dhe shtresave të aplikacionit. Prandaj, brenda rrjetit, mund të përdorni si protokollin IP (si në rastin e një VPN të bazuar në IPSec) dhe çdo protokoll tjetër si transport.

Në ditët e sotme, për shkak të lehtësisë së zbatimit, PPTP përdoret gjerësisht si për të marrë akses të sigurt të besueshëm në rrjetin e korporatës ashtu edhe për të hyrë në rrjetet e ISP-ve kur një klient duhet të krijojë një lidhje PPTP me një ISP për të hyrë në internet.

Metoda e enkriptimit e përdorur në PPTP specifikohet në nivelin PPP. Në mënyrë tipike, klienti PPP është një desktop i Microsoft, dhe protokolli i enkriptimit është Kriptimi pikë-për-pikë i Microsoft (MPPE). Ky protokoll bazohet në standardin RSA RC4 dhe mbështet enkriptimin 40 ose 128-bit. Për shumë aplikacione të këtij niveli të kriptimit, përdorimi i këtij algoritmi është mjaft i mjaftueshëm, megjithëse konsiderohet më pak i besueshëm se një numër i algoritmeve të tjera të enkriptimit të ofruara nga IPSec, në veçanti, standardi 168-bit i Kriptimit të të Dhënave Triple (3DES) .

Si vendoset lidhjaPPTP?

PPTP përmbledh paketat IP për transmetim përmes një rrjeti IP. Klientët PPTP krijojnë një lidhje të kontrollit të tunelit për të mbajtur lidhjen gjallë. Ky proces kryhet në shtresën e transportit të modelit OSI. Pasi të krijohet tuneli, kompjuteri i klientit dhe serveri fillojnë të shkëmbejnë paketat e shërbimit.

Përveç lidhjes së kontrollit PPTP, krijohet një lidhje e të dhënave tunel. Mbyllja e të dhënave përpara dërgimit të tyre në tunel përfshin dy hapa. Së pari, krijohet pjesa e informacionit e kornizës PPP. Të dhënat rrjedhin nga lart poshtë, nga shtresa e aplikacionit OSI në shtresën e lidhjes së të dhënave. Të dhënat e marra dërgohen më pas në modelin OSI dhe kapsulohen nga protokollet e shtresës së sipërme.

Të dhënat nga shtresa e lidhjes arrijnë në shtresën e transportit. Sidoqoftë, informacioni nuk mund të dërgohet në destinacionin e tij, pasi shtresa e lidhjes së të dhënave OSI është përgjegjëse për këtë. Prandaj, PPTP kodon fushën e ngarkesës së paketës dhe merr përsipër funksionet e Shtresës 2 të lidhura normalisht me PPP, domethënë shton një titull PPP dhe një rimorkio në paketën PPTP. Kjo përfundon krijimin e kornizës së shtresës së lidhjes. Më pas, PPTP e kapsulon kornizën PPP në një paketë Generic Routing Encapsulation (GRE) që i përket shtresës së rrjetit. GRE përmbledh protokollet e shtresave të rrjetit si IP, IPX për të mundësuar që ato të transportohen përmes rrjeteve IP. Megjithatë, përdorimi vetëm i protokollit GRE nuk do të sigurojë krijimin e sesionit dhe sigurinë e të dhënave. Ai përdor aftësinë e PPTP për të krijuar një lidhje për të menaxhuar tunelin. Përdorimi i GRE si një metodë kapsulimi kufizon fushën e veprimit PPTP vetëm në rrjetet IP.

Pasi korniza PPP të jetë inkapsuluar në një kornizë të kokës GRE, ajo inkapsulohet në një kornizë të kokës IP. Kreu i IP-së përmban adresat e dërguesit dhe marrësit të paketës. Së fundi, PPTP shton një kokë PPP dhe një fund.

oriz. 6.7 tregon strukturën e të dhënave për dërgimin përmes tunelit PPTP:

Oriz. 6.7. Struktura e të dhënave të tunelit PPTP

Organizimi i një VPN të bazuar në PPTP nuk kërkon kosto të mëdha dhe cilësime komplekse: mjafton të instaloni një server PPTP në zyrën qendrore (zgjidhjet PPTP ekzistojnë si për platformat Windows ashtu edhe për Linux) dhe konfiguroni cilësimet e nevojshme në kompjuterët e klientit. Nëse keni nevojë të kombinoni disa degë, atëherë në vend që të konfiguroni PPTP në të gjitha stacionet e klientit, është më mirë të përdorni një ruter interneti ose mur zjarri me mbështetje PPTP: cilësimet bëhen vetëm në ruterin kufitar (firewall) të lidhur në internet, gjithçka është absolutisht transparente për përdoruesit. Ruterët multifunksionalë të internetit të serisë DIR / DSR dhe muret e zjarrit të serisë DFL janë shembuj të pajisjeve të tilla.

GRE- tunele

Generic Routing Encapsulation (GRE) është një protokoll i kapsulimit të paketave të rrjetit që tunelezon trafikun mbi rrjete pa enkriptim. Shembuj të përdorimit të GRE:

    transmetimi i trafikut (përfshirë transmetimin) përmes pajisjeve që nuk mbështesin një protokoll specifik;

    tunelizimi i trafikut IPv6 mbi një rrjet IPv4;

    transmetimi i të dhënave përmes rrjeteve publike për të zbatuar një lidhje të sigurt VPN.

Oriz. 6.8. Një shembull i një tuneli GRE

Midis dy ruterave A dhe B ( oriz. 6.8) ka shumë ruter, tuneli GRE lejon lidhjen midis rrjeteve lokale 192.168.1.0/24 dhe 192.168.3.0/24 sikur ruterat A dhe B të ishin të lidhur drejtpërdrejt.

L2 TP

L2TP është rezultat i kombinimit të PPTP dhe L2F. Avantazhi kryesor i L2TP është se ju lejon të krijoni një tunel jo vetëm në rrjetet IP, por edhe në rrjetet ATM, X.25 dhe Frame relay. L2TP përdor UDP si transportin e tij dhe përdor të njëjtin format mesazhi për menaxhimin e tunelit dhe transferimin e të dhënave.

Ashtu si me PPTP, L2TP fillon të montojë paketën për transmetim në tunel duke shtuar fillimisht kokën PPP, pastaj kokën L2TP në fushën e të dhënave të informacionit PPP. Paketa që rezulton është e kapsuluar me UDP. Në varësi të llojit të zgjedhur të politikës së sigurisë IPSec, L2TP mund të enkriptojë mesazhet UDP dhe të shtojë një titull dhe përfundim të ngarkesave të sigurisë përmbledhëse (ESP), si dhe një përfundim Autentifikimi IPSec (shih "L2TP mbi IPSec"). Pastaj kapsulohet në IP. Shtohet një kokë IP që përmban adresat e dërguesit dhe të marrësit. Së fundi, L2TP kryen një kapsulim të dytë PPP për të përgatitur të dhënat për transmetim. Në oriz. 6.9 tregon strukturën e të dhënave për përcjelljen mbi një tunel L2TP.

Oriz. 6.9. Struktura e të dhënave për përcjelljen mbi një tunel L2TP

Kompjuteri marrës merr të dhënat, përpunon titullin PPP dhe përfundimin, dhe heq kokën e IP-së. IPSec Authentication vërteton fushën e informacionit IP dhe titulli IPSec ESP ndihmon në dekriptimin e paketës.

Kompjuteri më pas përpunon kokën UDP dhe përdor kokën L2TP për të identifikuar tunelin. Paketa PPP tani përmban vetëm ngarkesë, e cila përpunohet ose përcillet te marrësi i specifikuar.

IPsec (shkurt për IP Security) është një grup protokollesh për sigurimin e të dhënave të transmetuara përmes Protokollit të Internetit (IP), duke lejuar vërtetimin dhe / ose enkriptimin e paketave IP. IPsec përfshin gjithashtu protokolle për shkëmbimin e sigurt të çelësave përmes Internetit.

Siguria IPSec arrihet përmes protokolleve shtesë që shtojnë kokat e tyre në paketën IP - enkapsulimet. Sepse IPSec është një standard interneti, atëherë ka dokumente RFC për të:

    RFC 2401 (Arkitektura e Sigurisë për Protokollin e Internetit) - Arkitektura e sigurisë për Protokollin e Internetit.

    RFC 2402 (koka e vërtetimit IP) - Titulli i vërtetimit IP.

    RFC 2404 (Përdorimi i HMAC-SHA-1-96 brenda ESP dhe AH) - Përdorimi i algoritmit hash SHA-1 për të krijuar një titull vërtetimi.

    RFC 2405 (The ESP DES-CBC Shipher Algorithm With Explicit IV) - përdorimi i algoritmit të enkriptimit DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) - kriptimi i të dhënave.

    RFC 2407 (Domeni i Interpretimit të Sigurisë IP të Internetit për ISAKMP) është objekti i protokollit të menaxhimit të çelësave.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Menaxhimi i çelësave dhe autentifikuesve për lidhje të sigurta.

    RFC 2409 (The Internet Key Exchange (IKE)) - Shkëmbimi i çelësave.

    RFC 2410 (Algoritmi i enkriptimit NULL dhe përdorimi i tij me IPsec) - algoritmi i enkriptimit null dhe përdorimi i tij.

    RFC 2411 (IP Security Document Map) është një zhvillim i mëtejshëm i standardit.

    RFC 2412 (Protokolli i përcaktimit të çelësit OAKLEY) - Kontrollimi i autenticitetit të një çelësi.

IPsec është një pjesë integrale e Protokollit të Internetit IPv6 dhe është një shtesë opsionale për versionin IPv4 të Protokollit të Internetit.

Mekanizmi IPSec zgjidh detyrat e mëposhtme:

    vërtetimi i përdoruesve ose kompjuterëve gjatë inicializimit të një kanali të sigurt;

    kriptimi dhe vërtetimi i të dhënave të transmetuara ndërmjet pikave fundore të një kanali të sigurt;

    Siguroni automatikisht pikat fundore të kanalit me çelësat sekretë të kërkuar për vërtetimin dhe protokollet e enkriptimit të të dhënave.

Komponentët IPSec

Protokolli AH (Authentication Header) është një protokoll i kokës së vërtetimit. Siguron integritet duke verifikuar që asnjë bit në pjesën e mbrojtur të paketës nuk është ndryshuar gjatë transmetimit. Por përdorimi i AH mund të shkaktojë probleme, për shembull, kur paketa po kalon një pajisje NAT. NAT ndryshon adresën IP të paketës për të lejuar hyrjen në internet nga një adresë lokale private. Sepse Në këtë rast, paketa do të ndryshojë, atëherë shuma e kontrollit AH do të bëhet e pasaktë (për të eliminuar këtë problem, është zhvilluar protokolli NAT-Traversal (NAT-T), i cili siguron transmetimin ESP mbi UDP dhe përdor portin UDP 4500 në punën e tij ). Vlen gjithashtu të theksohet se AH është krijuar vetëm për integritet. Nuk garanton konfidencialitet duke enkriptuar përmbajtjen e paketës.

Protokolli ESP (Encapsulation Security Payload) siguron jo vetëm integritetin dhe vërtetimin e të dhënave të transmetuara, por edhe enkriptimin e të dhënave, si dhe mbrojtjen kundër riprodhimit mashtrues të paketave.

ESP është një protokoll sigurie përmbledhëse që ofron integritet dhe konfidencialitet. Në modalitetin e transportit, titulli ESP është midis kokës origjinale të IP-së dhe titullit TCP ose UDP. Në modalitetin e tunelit, titulli ESP vendoset midis kokës së re të IP-së dhe paketës origjinale IP të koduar plotësisht.

Sepse si AH ashtu edhe ESP shtojnë kokat e tyre IP, secila me numrin e vet të protokollit (ID), i cili mund të përdoret për të përcaktuar se çfarë pason kokën e IP-së. Çdo protokoll, sipas IANA (Internet Assigned Numbers Authority - organizata përgjegjëse për hapësirën e adresave të internetit), ka numrin e vet (ID). Për shembull, për TCP ky numër është 6, dhe për UDP - 17. Prandaj, është shumë e rëndësishme kur punoni përmes një muri zjarri të konfiguroni filtrat në atë mënyrë që të lejojnë paketat me ID të protokollit AH dhe/ose ESP.

Protokolli ID 51 është vendosur të tregojë AH në kokën e IP-së dhe 50 për ESP.

KUJDES: ID-ja e protokollit nuk është e njëjtë me numrin e portit.

Shkëmbimi i çelësave të Internetit (IKE) është një protokoll standard IPsec që përdoret për të siguruar komunikimet në rrjetet private virtuale. Qëllimi i IKE është të negociojë dhe të japë në mënyrë të sigurt materiale të identifikuara për një Shoqatë Sigurie (SA).

SA është një term IPSec për një lidhje. Një SA e krijuar (një kanal i sigurt i quajtur "shoqatë e sigurt" ose "shoqatë sigurie" - SA) përfshin një çelës sekret të përbashkët dhe një grup algoritmesh kriptografike.

IKE shërben për tre qëllime kryesore:

    Ofron mjete të vërtetimit ndërmjet dy pikave fundore të VPN;

    vendos lidhje të reja IPSec (krijon një çift SA);

    menaxhon lidhjet ekzistuese.

IKE përdor portën UDP 500. Kur përdor NAT Traversal, siç u përmend më herët, IKE përdor portën UDP 4500.

Shkëmbimi i të dhënave në IKE ndodh në 2 faza. Në fazën e parë krijohet një IKE SA. Në këtë rast, pikat fundore të kanalit vërtetohen dhe zgjidhen parametrat e mbrojtjes së të dhënave, si algoritmi i enkriptimit, çelësi i sesionit, etj.

Në fazën e dytë të SA, IKE përdoret për negocimin e protokollit (zakonisht IPSec).

Kur konfigurohet një tunel VPN, krijohet një palë SA për secilin protokoll të përdorur. SA-të krijohen në çifte sepse çdo SA është një lidhje e njëanshme dhe të dhënat duhet të dërgohen në dy drejtime. Çiftet SA që rezultojnë ruhen në secilën nyje.

Meqenëse çdo nyje është në gjendje të krijojë tunele të shumta me nyje të tjera, çdo SA ka një numër unik për të përcaktuar se cilës nyje i përket. Ky numër quhet SPI (Security Parameter Index) ose indeksi i parametrave të sigurisë.

SA e ruajtur në një bazë të dhënash (DB) E TRISHTUAR(Baza e të dhënave të Shoqatës së Sigurisë).

Çdo nyje IPSec ka gjithashtu një DB të dytë - SPD(Security Policy Database) - databazë e politikave të sigurisë. Ai përmban politikën e konfiguruar të faqes. Shumica e zgjidhjeve VPN lejojnë krijimin e politikave të shumta me kombinime të algoritmeve të përshtatshme për secilën nyje me të cilën dëshironi të lidheni.

Fleksibiliteti i IPSec qëndron në faktin se për secilën detyrë ka disa mënyra për ta zgjidhur atë, dhe metodat e zgjedhura për një detyrë zakonisht nuk varen nga metodat për zbatimin e detyrave të tjera. Në të njëjtën kohë, grupi i punës IETF ka përcaktuar një grup bazë funksionesh dhe algoritmesh të mbështetura që duhet të zbatohen vazhdimisht në të gjitha produktet që mbështesin IPSec. Mekanizmat AH dhe ESP mund të përdoren me një sërë skemash vërtetimi dhe kriptimi, disa prej të cilave kërkohen. Për shembull, IPSec specifikon që paketat vërtetohen duke përdorur MD5 njëkahëshe ose SHA-1 të njëanshme, dhe kriptimi bëhet duke përdorur DES. Prodhuesit e produkteve që përdorin IPSec mund të shtojnë algoritme të tjera vërtetimi dhe kriptimi. Për shembull, disa produkte mbështesin algoritme enkriptimi si 3DES, Blowfish, Cast, RC5, etj.

Çdo algoritëm simetrik i enkriptimit që përdor çelësa sekret mund të përdoret për të enkriptuar të dhënat në IPSec.

Protokollet e mbrojtjes së rrjedhës (AH dhe ESP) mund të funksionojnë në dy mënyra - in mënyra e transportit dhe ne modaliteti i tunelit... Kur vepron në modalitetin e transportit, IPsec punon vetëm me informacionin e shtresës së transportit, d.m.th. vetëm fusha e të dhënave e paketës që përmban protokollet TCP / UDP është e koduar (titulli i paketës IP nuk është ndryshuar (jo i koduar)). Mënyra e transportit zakonisht përdoret për të krijuar një lidhje midis hosteve.

Modaliteti i tunelit kodon të gjithë paketën IP, duke përfshirë kokën e shtresës së rrjetit. Në mënyrë që ai të transmetohet përmes rrjetit, ai vendoset në një paketë tjetër IP. Në thelb është një tunel i sigurt IP. Modaliteti i tunelit mund të përdoret për të lidhur kompjuterë në distancë me një rrjet privat virtual (skema e lidhjes "host-network") ose për të organizuar transmetim të sigurt të të dhënave përmes kanaleve të hapura të komunikimit (për shembull, Interneti) midis portave për të kombinuar pjesë të ndryshme të një private virtuale. rrjeti ("rrjet -rrjet").

Mënyrat IPsec nuk janë reciprokisht ekskluzive. Në të njëjtën nyje, disa SA mund të përdorin modalitetin e transportit ndërsa të tjerët përdorin modalitetin e tunelit.

Gjatë fazës së vërtetimit, llogaritet shuma e kontrollit ICV (Vlera e Kontrollit të Integritetit) të paketës. Kjo supozon se të dy nyjet e dinë çelësin sekret, i cili lejon marrësin të llogarisë ICV dhe ta krahasojë atë me rezultatin e dërguar nga dërguesi. Nëse krahasimi ICV është i suksesshëm, dërguesi i paketës konsiderohet i vërtetuar.

Në modalitetin transportiAH

    të gjithë paketën IP, me përjashtim të disa fushave në kokën e IP-së që mund të ndryshohen në tranzit. Këto fusha, të cilat janë 0 për llogaritjen e ICV, mund të jenë Lloji i Shërbimit (TOS), flamuj, kompensim i pjesës, koha për të jetuar (TTL) dhe titulli i shumës së kontrollit;

    të gjitha fushat në AH;

    ngarkesë e paketave IP.

AH në modalitetin e transportit mbron kokën IP (me përjashtim të fushave që lejohen të modifikohen) dhe ngarkesën në paketën origjinale IP (Figura 3.39).

Në modalitetin tunel, paketa origjinale vendoset në një paketë të re IP dhe transmetimi i të dhënave kryhet bazuar në kokën e paketës së re IP.

Për modaliteti i tunelitAH Gjatë llogaritjes, shuma e kontrollit ICV përfshin komponentët e mëposhtëm:

    të gjitha fushat në kokën e jashtme të IP-së, me përjashtim të disa fushave në kokën e IP-së, të cilat mund të ndryshohen gjatë transitit. Këto fusha, të cilat janë 0 për llogaritjen e ICV, mund të jenë Lloji i Shërbimit (TOS), flamuj, kompensim i pjesës, koha për të jetuar (TTL) dhe titulli i shumës së kontrollit;

    të gjitha fushat e hixhretit;

    paketë IP origjinale.

Siç mund ta shihni në ilustrimin e mëposhtëm, modaliteti i tunelit AH mbron të gjithë paketën origjinale IP me një kokë shtesë të jashtme që nuk përdoret në modalitetin e transportit AH:

Oriz. 6.10. Tuneli dhe mënyrat e transportit të protokollit AN

Në modalitetin transportiESP nuk e vërteton të gjithë paketën, por vetëm mbron ngarkesën IP. Titulli ESP në modalitetin e transportit ESP shtohet në paketën IP menjëherë pas titullit IP dhe mbarimi ESP (ESP Trailer) shtohet pas të dhënave.

Modaliteti i transportit ESP kodon pjesët e mëposhtme të paketës:

    ngarkesë IP;

Një algoritëm enkriptimi që përdor modalitetin e zinxhirit të bllokut të kodit (CBC) ka një fushë të pakriptuar midis kokës së ESP dhe ngarkesës. Kjo fushë quhet Vektori i Inicializimit (IV) për llogaritjen CBC që kryhet në marrës. Meqenëse kjo fushë përdoret për të filluar procesin e deshifrimit, ajo nuk mund të kodohet. Përkundër faktit se sulmuesi ka aftësinë për të parë IV, ai nuk do të jetë në gjendje të deshifrojë pjesën e koduar të paketës pa çelësin e enkriptimit. Për të parandaluar ndërhyrës nga ndryshimi i vektorit të inicializimit, ai ruhet nga shuma e kontrollit ICV. Në këtë rast, ICV kryen llogaritjet e mëposhtme:

    të gjitha fushat në kokën ESP;

    ngarkesë duke përfshirë tekstin e thjeshtë IV;

    të gjitha fushat në ESP Trailer përveç fushës së të dhënave të vërtetimit.

Modaliteti i tunelit ESP përmbledh të gjithë paketën origjinale IP në kokën e re të IP-së, kokën ESP dhe Trailer ESP. Për të treguar që ESP është i pranishëm në kokën e IP-së, identifikuesi i protokollit IP vendoset në 50, duke lënë kokën origjinale të IP-së dhe ngarkesën e pandryshuar. Ashtu si me modalitetin e tunelit AH, kreu i jashtëm i IP-së bazohet në konfigurimin e tunelit IPSec. Në rastin e përdorimit të modalitetit të tunelit ESP, zona e vërtetimit të paketës IP tregon se ku është nënshkruar nënshkrimi, duke konfirmuar integritetin dhe vërtetësinë e tij, dhe pjesa e koduar tregon që informacioni është i sigurt dhe konfidencial. Titulli origjinal vendoset pas titullit ESP. Pasi pjesa e koduar të inkapsulohet në një kokë të re tuneli që nuk është e koduar, paketa IP transmetohet. Kur dërgohet përmes një rrjeti publik, një paketë e tillë drejtohet në adresën IP të portës së rrjetit marrës, dhe porta deshifron paketën dhe hedh poshtë kokën ESP duke përdorur kokën origjinale të IP-së për të drejtuar paketën në një kompjuter në pjesën e brendshme. rrjeti. Modaliteti i tunelit ESP kodon pjesët e mëposhtme të paketës:

    paketë IP origjinale;

  • Për modalitetin e tunelit ESP, ICV llogaritet si më poshtë:

    të gjitha fushat në kokën ESP;

    paketë IP origjinale duke përfshirë tekst të thjeshtë IV;

    të gjitha fushat e kokës ESP përveç fushës së të dhënave të vërtetimit.

Oriz. 6.11. Tuneli ESP dhe mënyra e transportit

Oriz. 6.12. Krahasimi i protokolleve ESP dhe AH

Përmbledhja e aplikacionit të modalitetitIPSec:

    Protokolli - ESP (AH).

    Mënyra - tunel (transport).

    Metoda e shkëmbimit të çelësave - IKE (manual).

    Modaliteti IKE - kryesor (agresiv).

    Tasti DH - grupi 5 (grupi 2, grupi 1) - numri i grupit për të zgjedhur çelësat e sesionit të gjeneruar në mënyrë dinamike, gjatësia e grupit.

    Vërtetimi - SHA1 (SHA, MD5).

    Kriptimi - DES (3DES, Blowfish, AES).

Kur krijoni një politikë, zakonisht është e mundur të krijoni një listë të renditur të algoritmeve dhe grupeve Diffie-Hellman. Diffie-Hellman (DH) është një protokoll enkriptimi që përdoret për të vendosur çelësa sekretë të përbashkët për IKE, IPSec dhe PFS (Perfect Forward Secrecy). Në këtë rast, do të përdoret pozicioni i parë që përputhet në të dy nyjet. Është shumë e rëndësishme që gjithçka në politikën e sigurisë të lejojë këtë mbivendosje. Nëse, përveç një pjese të politikës, gjithçka tjetër përputhet, kolegët nuk do të jenë ende në gjendje të krijojnë një lidhje VPN. Kur vendosni një tunel VPN midis sistemeve të ndryshme, duhet të zbuloni se cilët algoritme mbështeten nga secila anë, në mënyrë që të zgjidhni politikën më të sigurt të mundshme.

Cilësimet kryesore që përfshin politika e sigurisë:

    Algoritme simetrike për enkriptimin / deshifrimin e të dhënave.

    Shumat kontrolluese kriptografike për kontrollin e integritetit të të dhënave.

    Metoda e identifikimit të hostit. Metodat më të zakonshme janë sekretet e para-ndara ose certifikatat CA.

    Nëse do të përdoret mënyra e tunelit ose mënyra e transportit.

    Cilin grup Diffie-Hellman të përdoret (grupi DH 1 (768-bit); grupi DH 2 (1024-bit); grupi DH 5 (1536-bit)).

    Nëse do të përdorni AH, ESP ose të dyja.

    Nëse duhet përdorur PFS.

Kufizimi i IPSec është se ai mbështet vetëm transferimin e të dhënave në shtresën e protokollit IP.

Ekzistojnë dy skema kryesore për përdorimin e IPSec, të cilat ndryshojnë në rolin e nyjeve që formojnë kanalin e sigurt.

Në skemën e parë, një kanal i sigurt formohet midis hosteve fundorë të rrjetit. Në këtë skemë, IPSec mbron hostin që funksionon:

Oriz. 6.13. Krijoni një kanal të sigurt midis dy pikave fundore

Në skemën e dytë, një kanal i sigurt krijohet midis dy Portave të Sigurisë. Këto porta marrin të dhëna nga hostet fundorë të lidhur me rrjetet prapa portave. Në këtë rast, hostet fundorë nuk e mbështesin protokollin IPSec, trafiku i drejtuar në rrjetin publik kalon përmes portës së sigurisë, e cila mbron në emër të vet.

Oriz. 6.14. Krijimi i një kanali të sigurt midis dy portave

Për hostet që mbështesin IPSec, mund të përdoren të dyja mënyrat e transportit dhe të tunelit. Për portat, lejohet vetëm modaliteti i tunelit.

Instalimi dhe mbështetjaVPN

Siç u përmend më lart, vendosja dhe mirëmbajtja e një tuneli VPN është një proces me dy hapa. Në fazën e parë (fazën), të dy nyjet bien dakord për një metodë identifikimi, algoritmin e enkriptimit, algoritmin hash dhe grupin Diffie-Hellman. Ata gjithashtu identifikojnë njëri-tjetrin. E gjithë kjo mund të ndodhë si rezultat i shkëmbimit të tre mesazheve të pakriptuara (e ashtuquajtura mënyra agresive, Agresive modaliteti) ose gjashtë mesazhe, me shkëmbimin e informacionit të koduar të identifikimit (modaliteti standard, Kryesor modaliteti).

Në modalitetin kryesor, është e mundur të bini dakord për të gjithë parametrat e konfigurimit të pajisjeve të dërguesit dhe marrësit, ndërsa në modalitetin agresiv kjo nuk është e mundur dhe disa parametra (grupi Diffie-Hellman, algoritmet e enkriptimit dhe vërtetimit, PFS) duhet të konfigurohen paraprakisht në në të njëjtën mënyrë në çdo pajisje. Sidoqoftë, në këtë mënyrë, si numri i shkëmbimeve ashtu edhe numri i paketave të dërguara në të njëjtën kohë janë më të vogla, si rezultat i së cilës kërkon më pak kohë për të krijuar një sesion IPSec.

Oriz. 6.15. Mesazhimi në modalitetin standard (a) dhe agresiv (b).

Duke supozuar që operacioni të përfundojë me sukses, krijohet faza e parë SA - Faza 1 SA(e quajtur edhe IKESA) dhe procesi kalon në fazën e dytë.

Në hapin e dytë, gjenerohen të dhënat kryesore, nyjet bien dakord për politikën që do të përdoret. Kjo mënyrë, e quajtur edhe Quick mode, ndryshon nga faza e parë në atë që mund të vendoset vetëm pas fazës së parë, kur të gjitha paketat në fazën e dytë janë të koduara. Përfundimi i saktë i fazës së dytë çon në shfaqje Faza 2 SA ose IPSecSA dhe kjo përfundon instalimin e tunelit.

Së pari, një paketë arrin në një nyje me një adresë destinacioni në një rrjet tjetër, dhe nyja fillon fazën e parë me nyjen që është përgjegjëse për rrjetin tjetër. Le të themi se një tunel midis nyjeve u krijua me sukses dhe po pret për paketat. Megjithatë, nyjet duhet të riidentifikojnë njëra-tjetrën dhe të krahasojnë politikat gjatë një periudhe kohore. Kjo periudhë quhet jetëgjatësia e fazës së parë ose jeta e IKE SA.

Nyjet duhet gjithashtu të ndryshojnë çelësin e tyre të enkriptimit gjatë një periudhe kohore të quajtur jetëgjatësia e fazës së dytë ose jetëgjatësia IPSec SA.

Jetëgjatësia e fazës së dytë është më e shkurtër se ajo e fazës së parë, sepse çelësi duhet të ndërrohet më shpesh. Ju duhet të vendosni të njëjtat parametra të jetëgjatësisë për të dy nyjet. Nëse nuk e bëni këtë, atëherë ka mundësi që fillimisht tuneli të vendoset me sukses, por pas skadimit të periudhës së parë të paqëndrueshme të jetës, lidhja do të ndërpritet. Problemet mund të lindin edhe kur jetëgjatësia e fazës së parë është më e vogël se ajo e fazës së dytë. Nëse një tunel i konfiguruar më parë ndalon së punuari, atëherë gjëja e parë që duhet të kontrollohet është jetëgjatësia në të dy nyjet.

Duhet gjithashtu të theksohet se kur ndryshoni politikën në një nga nyjet, ndryshimet do të hyjnë në fuqi vetëm në fillimin tjetër të fazës së parë. Që ndryshimet të hyjnë në fuqi menjëherë, SA për këtë tunel duhet të hiqet nga baza e të dhënave SAD. Kjo do të detyrojë një rinegocim të marrëveshjes midis nyjeve me cilësimet e reja të politikës së sigurisë.

Ndonjëherë, kur vendosni një tunel IPSec midis pajisjeve nga prodhues të ndryshëm, ka vështirësi që lidhen me negocimin e parametrave gjatë vendosjes së fazës së parë. Ju duhet t'i kushtoni vëmendje një parametri të tillë si Local ID - ky është një identifikues unik i pikës fundore të tunelit (dërguesi dhe marrësi). Kjo është veçanërisht e rëndësishme kur krijoni tunele të shumta dhe përdorni protokollin NAT Traversal.

I vdekurbashkëmoshatarZbulim

Gjatë funksionimit të VPN, në mungesë të trafikut midis pikave fundore të tunelit, ose kur të dhënat origjinale të nyjes së largët ndryshojnë (për shembull, ndryshimi i adresës IP të caktuar dinamikisht), mund të lindë një situatë kur tuneli në thelb nuk është më i tillë. , duke u bërë si një tunel fantazmë ... Për të ruajtur gatishmërinë e vazhdueshme për shkëmbimin e të dhënave në tunelin e krijuar IPSec, mekanizmi IKE (i përshkruar në RFC 3706) ju lejon të kontrolloni praninë e trafikut nga nyja e largët e tunelit, dhe nëse ai mungon për një kohë të caktuar, një përshëndetje mesazhi dërgohet (në muret e zjarrit D-Link dërgon mesazhin "DPD-RU-THERE"). Nëse nuk ka përgjigje për këtë mesazh për një kohë të caktuar, në muret e zjarrit D-Link të specifikuara nga cilësimet "DPD Expire Time", tuneli çmontohet. Muret e zjarrit të D-Link më pas duke përdorur "DPD Keep Time" ( oriz. 6.18) provoni automatikisht të rivendosni tunelin.

ProtokolliNATKalimi

Trafiku IPsec mund të drejtohet sipas të njëjtave rregulla si protokollet e tjera IP, por meqenëse ruteri nuk mund të marrë gjithmonë informacione specifike për protokollet e shtresave të transportit, IPsec nuk mund të kalojë nëpër portat NAT. Siç u përmend më herët, për të adresuar këtë çështje, IETF ka përcaktuar një mënyrë për të inkapsuluar ESP në UDP të quajtur NAT-T (NAT Traversal).

NAT Traversal përmbledh trafikun IPSec dhe njëkohësisht krijon pako UDP që NAT i përcjell saktë. Për ta bërë këtë, NAT-T vendos një kokë shtesë UDP përpara paketës IPSec në mënyrë që të trajtohet si një paketë e rregullt UDP në të gjithë rrjetin dhe pritësi i marrësit nuk kryen asnjë kontroll të integritetit. Pasi paketa të arrijë në destinacionin e saj, titulli UDP hiqet dhe paketa e të dhënave vazhdon rrugën e saj si një paketë IPSec e kapsuluar. Kështu, duke përdorur mekanizmin NAT-T, është e mundur të vendoset komunikimi midis klientëve IPSec në rrjete të sigurta dhe hosteve publike IPSec përmes mureve të zjarrit.

Kur konfiguroni muret e zjarrit D-Link në pajisjen marrës, duhet të vihen re dy pika:

    në fushat Remote Network dhe Remote Endpoint, specifikoni rrjetin dhe adresën IP të pajisjes dërguese në distancë. Është e nevojshme të lejohet përkthimi i adresës IP të iniciatorit (dërguesit) duke përdorur teknologjinë NAT (Figura 3.48).

    Kur përdorni çelësa të përbashkët me tunele të shumta të lidhura me të njëjtin mur zjarri në distancë që janë NAT në të njëjtën adresë, është e rëndësishme të siguroheni që ID-ja lokale të jetë unike për çdo tunel.

Lokal ID mund të jetë një nga:

    Auto- adresa IP e ndërfaqes së trafikut në dalje përdoret si identifikues lokal.

    IP- Adresa IP e portit WAN të murit të zjarrit në distancë

    DNS- Adresa DNS

    Më parë, shteti kishte një kuptim mjaft mediokër të internetit, kështu që ai nuk ndërhynte ligjërisht me përdoruesit. Sot, duke ecur në rrjetin botëror, gjithnjë e më shpesh mund të hasni shprehjen: "Kjo faqe është përfshirë në regjistrin e të ndaluarve" ose "Ofruesi juaj ka bllokuar aksesin".

    Pra, nëse doni të ktheni lirinë e plotë të veprimit në internet dhe të fitoni një nivel tjetër mbrojtjeje, atëherë sigurisht që duhet të njiheni me teknologjinë e rrjeteve private virtuale - VPN.

    VPN: afati dhe parimi i funksionimit

    Rrjeti Virtual Privat (VPN) është emri i një teknologjie që siguron krijimin dhe mbivendosjen e një ose më shumë rrjeteve në krye të çdo rrjeti tjetër përdoruesi.

    Tani, si funksionon saktësisht VPN. Kompjuteri juaj ka një adresë IP specifike që bllokon aksesin në sajte specifike. Ju aktivizoni teknologjinë VPN përmes një programi ose shtesë. VPN ndryshon adresën tuaj në një adresë nga një server në një vend tjetër (për shembull, Holandë ose Gjermani).

    Më pas, krijohet një lidhje e sigurt, e cila nuk mund të bllokohet nga ofruesi. Si rezultat, ju merrni një protokoll të sigurt me të cilin mund të vizitoni lirisht çdo faqe interneti, dhe plotësisht në mënyrë anonime.

    Struktura dhe varietetet e teknologjisë

    E gjithë teknologjia funksionon në dy shtresa. E para është rrjeti i brendshëm, i dyti është i jashtëm. Kur lidheni me teknologjinë, sistemi identifikon rrjetin tuaj dhe pas kësaj ai do të dërgojë një kërkesë vërtetimi. Kjo teknologji është shumë e ngjashme me autorizimin në ndonjë rrjet social, vetëm këtu gjithçka kryhet përmes protokolleve të sigurta dhe pa pjesëmarrjen e një ofruesi.

    Vetë rrjetet virtuale ndahen gjithashtu në disa kategori. Klasifikimi kryesor është sipas shkallës së mbrojtjes, domethënë përdoruesi mund të përdorë si VPN me pagesë ashtu edhe ato falas.

    Dallimi midis të dyve është lidhja e sigurt. Për shembull, sistemet e abonimit do t'ju japin protokolle të sigurta si PPTP, IPSec dhe të tjera. Ndërsa VPN-të falas shpesh ofrojnë vetëm kanale "të besuara". Kjo do të thotë, vetë rrjeti juaj duhet të jetë shumë i sigurt, dhe një VPN vetëm do të rrisë nivelin e mbrojtjes.

    Për të qenë i sinqertë, disavantazhi më i madh i shërbimeve VPN falas nuk është as siguria, por stabiliteti dhe shpejtësia e lidhjes. Nëpërmjet një VPN falas, interneti ka shumë të ngjarë të funksionojë shumë ngadalë dhe jo gjithmonë i qëndrueshëm.

    Abonimi në VPN me pagesë nuk i kalon 10 dollarë në muaj, por jo çdo përdorues ka nevojë për të. Për detyrat e zakonshme, nuk ka kuptim të blini llogari Premium, veçoritë standarde janë mjaft të mjaftueshme.

    Arsyet për të përdorur një VPN

    Çdo përdorues duhet të përdorë teknologjinë VPN, dhe ja pse:

    • Mbrojtja e të dhënave. Veçanërisht i përshtatshëm për ata përdorues që duan të lidhen me një lidhje Wi-Fi të një fqinji "falas" dhe më pas zbulojnë se të dhënat e kartës së tyre janë vjedhur. Situata të tilla përfshijnë tubime në kafene dhe, në përgjithësi, në çdo pikë me Wi-Fi falas.
    • Anonimiteti i plotë. Kur hapni një skedë të re me sajtin, ky veprim do të shfaqet në serverin e ofruesit, në mënyrë që çdo punonjës i kompanisë të mund të gjurmojë udhëtimin tuaj në internet. Duke aktivizuar VPN-në, do të fshihni historinë tuaj të shfletimit ose vizitave sepse po përdorni një adresë IP të ndryshme.
    • Aftësia për të shfletuar në internet pa pengesa. Bookmakers, kazinotë në internet, torrente, forume, faqe për të rritur - e gjithë "nëntoka" e internetit është përsëri e disponueshme për ju, gjithçka është si në kohët e vjetra.
    • Përdorimi i burimeve të huaja. Sigurisht, nuk ka gjasa që të përdorni shërbime në gjuhën angleze, si hulu.com, por në të njëjtën kohë - ju ofrohet akses i plotë në të gjitha faqet e njohura në mbarë botën.

    Si të përdor një VPN në kompjuterin tim?

    Konsideroni një situatë kur përdorim një shfletues të rregullt dhe duam të vizitojmë faqet e bllokuara. Në këtë situatë, ju mund të shkoni në dy mënyra:

    1. instaloni klientin (programin) VPN në PC;
    2. shtoni zgjerimin e shfletuesit përmes Webstore.

    Cili është i pari, cili është opsioni i dytë - ato janë të lehta për t'u zbatuar, por për një pamje të plotë, ne do t'i shqyrtojmë të dyja.

    Ju gjithashtu mund të përdorni falas,.

    Për të instaluar një klient VPN, duhet të shkarkoni një program në internet, për shembull, "Betternet". Drejtoni skedarin e konfigurimit dhe instaloni klientin. E nisim, klikojmë: "Lidhu" dhe kaq. Problemi është se programi automatikisht na jep një adresë IP të rastësishme dhe ne nuk mund të zgjedhim një shtet, por duke shtypur vetëm një buton ne tashmë përdorim një VPN. Dhe një disavantazh tjetër është nevoja për të ekzekutuar vazhdimisht programin, megjithatë, disa klientë kanë aftësinë ta ekzekutojnë atë njëkohësisht me OS.

    Mënyra e dytë është të shtoni një shtesë. Disavantazhi këtu është se, më shpesh sesa jo, kërkohet regjistrim për t'u përdorur, plus, shtesat kanë vetitë për të "fluturuar jashtë". Por zgjerimi është shumë më i lehtë për t'u përdorur - klikoni në ikonën në shfletues, zgjidhni vendin dhe fitoni. Për momentin ka mijëra programe të tilla, ju mund të zgjidhni cilindo prej tyre, për shembull, "Hotspot Shield". Shtoni shtesën në shfletuesin, kaloni përmes regjistrimit dhe nuk do të ketë më probleme teknike.

    Për shembull, kjo është se si funksionon zgjerimi VPN ZenMate në një shfletues:

    Ne kemi shkruar për shtesat VPN për shfletues të ndryshëm në artikull:.

    Si të përdor një VPN në pajisjet celulare?

    Ne do të shqyrtojmë ato pajisje që kanë sisteme operative të njohura në bord, për shembull, iOS ose Android.

    Përdorimi i një VPN në telefonat inteligjentë ose tabletët është gjithashtu mjaft i thjeshtë, përkatësisht përmes aplikacioneve celulare. Problemi është se disa programe kërkojnë të drejta rrënjësore, dhe këto janë probleme shtesë, plus aftësinë për ta kthyer telefonin në një "tullë". Pra, kërkoni programe që nuk kërkojnë që ju të jeni root. Në Android, për shembull, është OpenVPN, dhe në iOS është Cloak. Gjithashtu në iPhone dhe iPad mund të përdorni falas dhe të testuar. Unë e përdor vetë ndonjëherë, funksionon shkëlqyeshëm.

    Teknologjia e shkarkimit është shumë e thjeshtë: shkarkoni aplikacionin nga Play Market ose AppStore, instaloni në pajisjen tuaj. Më pas aktivizojmë VPN-në, zgjedhim profilin (nga ku marrim adresën IP), më pas bëhet lidhja dhe kaq. Tani po lundroni në internet përmes VPN dhe aplikacioni që po përdorni do t'ju tregojë për këtë.

    Tani e kuptoni se si zbatohet teknologjia VPN dhe tani prania juaj në internet do të bëhet më e sigurt, anonime dhe më e rëndësishmja, e aksesueshme dhe e pakufizuar.

    Në këtë artikull, ne do t'u përgjigjemi pyetjeve më të zakonshme se çfarë është një server VPN, do t'ju tregojmë nëse një VPN mund të përmirësojë sigurinë tuaj, nëse keni nevojë të përdorni Double VPN dhe si të kontrolloni nëse një shërbim VPN mban regjistrat, si dhe çfarë ekzistojnë teknologji moderne për të mbrojtur informacionin personal.

    VPN është një rrjet privat virtual që ofron kriptim midis klientit dhe serverit VPN.


    Qëllimi kryesor i një VPN është të kodojë trafikun dhe të ndryshojë adresat IP.

    Le të kuptojmë pse dhe kur është e nevojshme.

    Për çfarë është një VPN?

    Të gjithë ofruesit e internetit regjistrojnë aktivitetet e klientëve të tyre në internet. Kjo do të thotë, ISP-ja e di se cilat faqe keni vizituar. Kjo është e nevojshme për të dhënë të gjitha informacionet në lidhje me shkelësin në rast të kërkesave nga policia, si dhe për të liruar veten nga çdo përgjegjësi ligjore për veprimet e përdoruesit.

    Ka shumë situata kur një përdorues duhet të mbrojë të dhënat e tij personale në internet dhe të fitojë lirinë e komunikimit.

    Shembulli 1. Ekziston një biznes dhe është e nevojshme të transferohen të dhëna konfidenciale në internet në mënyrë që askush të mos e përgjojë atë. Shumica e kompanive përdorin teknologjinë VPN për të transferuar informacione ndërmjet zyrave të degëve.

    Shembulli 2. Shumë shërbime në internet funksionojnë në parimin e gjeo-referencimit dhe u mohojnë aksesin përdoruesve nga vende të tjera.

    Për shembull, shërbimi Yandex Music funksionon vetëm për adresat IP nga Rusia dhe vendet e ish-CIS. Prandaj, e gjithë popullsia rusisht-folëse që jeton në vende të tjera nuk ka akses në këtë shërbim.

    Shembulli 3. Bllokimi i faqeve të caktuara në zyrë dhe në vend. Shpesh në zyra bllokohet qasja në rrjetet sociale në mënyrë që punonjësit të mos humbasin kohë në komunikim.

    Për shembull, shumë shërbime të Google janë të bllokuara në Kinë. Nëse një banor i Kinës punon me një kompani nga Evropa, atëherë ekziston nevoja për të përdorur shërbime të tilla si Google Disk.

    Shembulli 4. Fshih faqet e vizituara nga një ofrues interneti. Ka raste kur duhet të fshehni listën e faqeve të vizituara nga ofruesi i Internetit. I gjithë trafiku do të jetë i koduar.


    Duke enkriptuar trafikun tuaj, ISP-ja juaj nuk do të dijë se cilat faqe keni vizituar në internet. Në këtë rast, adresa juaj IP në internet do t'i përkasë vendit të serverit VPN.

    Kur lidheni me një VPN, krijohet një kanal i sigurt midis kompjuterit tuaj dhe serverit VPN. Të gjitha të dhënat në këtë kanal janë të koduara.


    Me një VPN, ju merrni lirinë për të komunikuar dhe mbrojtur të dhënat tuaja personale.

    Në regjistrat e ofruesit të Internetit do të ketë një grup karakteresh të ndryshëm. Fotografia më poshtë tregon analizën e të dhënave të marra nga një program i veçantë.

    Në kokën HTTP, mund të shihni menjëherë se me cilin sajt po lidheni. Këto të dhëna regjistrohen nga ofruesit e shërbimeve të internetit.


    Fotografia e mëposhtme tregon kokën HTTP kur përdorni një VPN. Të dhënat janë të koduara dhe është e pamundur të zbulosh se cilat faqe ke vizituar.

    Si të lidheni me një VPN

    Ka disa mënyra për t'u lidhur me një rrjet VPN.

    • PPTP është një protokoll i trashëguar. Shumica e sistemeve operative moderne e kanë hequr atë nga lista e atyre të mbështetur. Disavantazhet e PPTP janë stabiliteti i dobët i lidhjes. Lidhja mund të hiqet dhe të dhënat e pasigurta mund të shkojnë në internet.
    • Lidhja L2TP (IPSec) është më e besueshme. Gjithashtu i integruar në shumicën e sistemeve operative (Windows, Mac OS, Linux, iOS, Android, Windows Phone dhe të tjerë). Ndryshon në besueshmëri më të mirë në kontrast me lidhjet PPTP.
    • Lidhja SSTP është zhvilluar relativisht kohët e fundit. Ai mbështetet vetëm në Windows, kështu që nuk përdoret gjerësisht.
    • IKEv2 është një protokoll modern i bazuar në IPSec. Ky protokoll zëvendësoi protokollin PPTP dhe mbështetet nga të gjitha sistemet operative të njohura.
    • Lidhja OpenVPN konsiderohet më e besueshme. Kjo teknologji mund të konfigurohet në mënyrë fleksibël dhe kur lidhja bie, OpenVPN bllokon dërgimin e të dhënave të pambrojtura në internet.

    Ekzistojnë 2 protokolle të transferimit të të dhënave për teknologjinë OpenVPN:

    • Protokolli UDP - i shpejtë (rekomandohet për telefoni VoiP, Skype, lojëra online)
    • Protokolli TCP - karakterizohet nga besueshmëria e të dhënave të transmetuara (kërkon konfirmimin e marrjes së paketës). Pak më i ngadalshëm se UDP.

    Si të vendosni një VPN

    Vendosja e një lidhjeje VPN zgjat disa minuta dhe ndryshon në metodën e lidhjes VPN.

    Ne përdorim lidhjet PPTP dhe OpenVPN në shërbimin tonë.

    Siguria e punës me një program VPN

    Ne gjithmonë do të flasim për një qasje të integruar ndaj sigurisë. Siguria e përdoruesit nuk përbëhet vetëm nga vetë lidhja VPN. Është e rëndësishme se cilin program përdorni për t'u lidhur me serverin VPN.

    Aktualisht, shërbimet ofrojnë klientë të përshtatshëm VPN - këto janë programe që e bëjnë më të lehtë vendosjen e një lidhjeje VPN. Ne ofrojmë vetë një klient të përshtatshëm VPN. Falë programeve të tilla, vendosja e një lidhjeje VPN zgjat më pak se 1 minutë.


    Kur filluam për herë të parë ofrimin e shërbimeve VPN në 2006, të gjithë përdoruesit tanë po krijonin aplikacionin zyrtar OpenVPN. Është me burim të hapur. Sigurisht, duhet më shumë kohë për të konfiguruar klientin zyrtar OpenVPN. Por le të kuptojmë se çfarë është më mirë të përdorim për sa i përket anonimitetit.

    Anonimiteti i klientit VPN

    Ne e shohim rrezikun në përdorimin e programeve të tilla. Çështja është se kodi burim i programeve të tilla është pronë e kompanisë dhe për të ruajtur veçantinë e programit të saj, askush nuk e publikon atë.

    Përdoruesit nuk mund të zbulojnë se çfarë të dhënash mbledh programi për ju në mungesë të kodit me burim të hapur.

    Programi VPN mund t'ju identifikojë si përdorues specifik edhe nëse regjistrat në server janë të fikur.

    Çdo program mund të ketë funksionalitet për regjistrimin e faqeve që vizitoni, adresën tuaj të vërtetë IP. Dhe meqenëse ju vetë futni hyrjen tuaj në program, nuk mund të flisni fare për ndonjë anonimitet të përdorimit të programit.

    Nëse biznesi juaj kërkon një nivel të lartë anonimiteti, ju rekomandojmë që të braktisni programe të tilla VPN dhe të përdorni versionin zyrtar të OpenVPN me burim të hapur.

    Në fillim do ta gjeni të pakëndshme. Por me kalimin e kohës do të mësoheni nëse për ju në radhë të parë është faktori i sigurisë dhe anonimitetit.

    Ne garantojmë që Secure Kit nuk ruan asnjë të dhënë për ju. Por ne duhet t'ju paralajmërojmë se programe të tilla mund t'ju spiunojnë.

    Një tjetër ide se si të rrisni sigurinë tuaj erdhi nga pikëpamja e vendndodhjes gjeografike të serverëve. Në internet, quhet VPN në det të hapur.

    Çfarë është një VPN në det të hapur

    Vende të ndryshme kanë nivele të ndryshme legjislacioni. Ka shtete të forta me ligje të forta. Dhe ka vende të vogla, niveli i zhvillimit të të cilave nuk lejon mbrojtjen e informacionit të të dhënave në vendin e tyre.

    Fillimisht, koncepti i offshore u aplikua për të përcaktuar një vend në të cilin politika tatimore është relaksuar. Këto vende kanë taksa shumë të ulëta të biznesit. Kompanitë globale u interesuan për evazionin ligjor fiskal në vendin e tyre dhe llogaritë bankare në det të hapur në Ishujt Kajman u bënë shumë të njohura.

    Aktualisht, shumë vende në mbarë botën kanë tashmë ndalime për përdorimin e llogarive bankare në vendet offshore.

    Shumica e vendeve në det të hapur janë shtete të vogla të vendosura në qoshet e largëta të planetit. Serverët në vende të tilla janë më të vështirë për t'u gjetur dhe janë më të shtrenjtë për shkak të mungesës së një infrastrukture të zhvilluar të internetit. Serverët VPN në vende të tilla filluan të quheshin në det të hapur.

    Rezulton se fjala VPN offshore nuk do të thotë VPN anonime, por flet vetëm për përkatësi territoriale me një shtet offshore.

    A duhet të përdorni një VPN në det të hapur?

    Një VPN në det të hapur ofron përfitime shtesë për sa i përket anonimitetit.

    A mendoni se është shumë më e lehtë të shkruani një kërkesë zyrtare:

    • në departamentin e policisë në Gjermani
    • ose në stacionin e policisë për ishujt në Antigua Barbuda

    Një VPN në det të hapur është një shtresë shtesë mbrojtjeje. Është mirë të përdorni një server në det të hapur si pjesë e një zinxhiri Double VPN.

    Ju nuk keni nevojë të përdorni vetëm 1 server VPN në det të hapur dhe mendoni se është plotësisht i sigurt. Ju duhet t'i qaseni sigurisë dhe anonimitetit tuaj në internet nga këndvështrime të ndryshme.

    Përdorni një VPN në det të hapur si lidhjen tuaj të anonimitetit.

    Dhe është koha për t'iu përgjigjur pyetjes më të shpeshtë. A mund të mbajë regjistrat shërbimi anonim VPN? Dhe si mund të dalloni nëse një shërbim po regjistrohet?

    Shërbimi anonim VPN dhe regjistrat. Si të jesh?

    Shërbimi anonim VPN nuk duhet të mbajë regjistra. Ndryshe, ai nuk mund të quhet më anonim.

    Ne kemi përpiluar një listë pyetjesh, falë të cilave ju mund të përcaktoni me saktësi nëse shërbimi mban regjistrat.

    Tani keni informacion të plotë në lidhje me lidhjet VPN. Kjo njohuri është e mjaftueshme për të bërë veten anonim në internet dhe për të siguruar transmetimin e të dhënave personale.

    Teknologjitë e reja VPN

    A ka ndonjë drejtim të ri VPN?

    Ne kemi folur tashmë për të mirat dhe të këqijat e serverëve të njëpasnjëshëm kaskadë VPN (Double, Triple, Quad VPN).

    Për të shmangur disavantazhet e teknologjisë Double VPN, mund të bëni një kaskadë paralele zinxhirësh. Ne e quajtëm VPN Parallel.

    Çfarë është VPN paralele

    Thelbi i VPN Parallel është të drejtojë trafikun në një lidhje paralele të të dhënave.

    Disavantazhi i teknologjisë sekuenciale të kaskadës (Double, Triple, Quad VPN) është se çdo server deshifron kanalin dhe e kodon atë në kanalin tjetër. Të dhënat janë të koduara në mënyrë sekuenciale.

    Teknologjia paralele VPN nuk ka një problem të tillë, pasi të gjitha të dhënat janë të koduara dyfish paralelisht. Kjo do të thotë, imagjinoni një qepë që ka lëvozhga të shumta. Në të njëjtën mënyrë, të dhënat udhëtojnë në një kanal që është dy herë i koduar.

    Sot, përdoruesit e internetit po përdorin gjithnjë e më shumë termin VPN. Disa rekomandojnë përdorimin më shpesh, ndërsa të tjerë rekomandojnë ta shmangni atë. Le të hedhim një vështrim më të afërt se çfarë fshihet pas këtij termi.

    Lidhja VPN, çfarë është ajo

    VPN(Virtual Private Network) është teknologjisë, i cili siguron një lidhje të mbyllur nga aksesi i jashtëm në prani të një shpejtësie të lartë lidhjeje. Një lidhje e tillë kryhet sipas parimit " pikë për pikë". Në shkencë, kjo metodë e lidhjes quhet tuneli... Ju mund të bashkoheni me tunelin në PC me çdo OS, ku Klienti VPN i instaluar... Ky program "përcjell" një port virtual duke përdorur TCP / IP në një rrjet tjetër.

    Për të zbatuar një lidhje të tillë, nevojitet një platformë që shkallëzohet shpejt, siguron integritetin dhe konfidencialitetin e të dhënave.

    Në mënyrë që të PC me ip-adresa 192.168.1.1-100 lidhur përmes portës në rrjetin e jashtëm, duhet të regjistroni rregullat e lidhjes në ruter. Kur bëhet një lidhje VPN, titulli i mesazhit përmban adresën e kompjuterit në distancë. Mesazhi është i koduar nga dërguesi dhe deshifrohet nga marrësi duke përdorur çelësin publik. Më pas krijohet një lidhje e sigurt ndërmjet dy rrjeteve.

    Si të lidhni VPN

    Një përshkrim i shkurtër i protokollit u përshkrua më herët. Tani le të zbulojmë se si të lidhim një klient në një pajisje specifike.

    Në kompjuter dhe laptop

    Përpara konfigurimit VPN lidhje e ndezur PC Windows 7, duhet specifikoni adresën IP ose emri i serverit. Për ta bërë këtë, në " Qendra e Kontrollit të Rrjetit"në" Panelet e kontrollit"duhet" Krijo një lidhje të re».

    Zgjidhni artikullin "" - " (VPN)».

    Hapi tjetër është të tregoni emri dhe adresa e serverit.

    Duhet të prisni që lidhja të përfundojë.

    Le të kontrollojmë lidhjen VPN. Për ta bërë këtë, në " Paneli i kontrollit"Në kapitull" Lidhjet e rrjetit»Thirrni menunë e kontekstit duke klikuar dy herë në shkurtore.

    në skedën " Detajet"Duhet kontrolluar Adresa IPv4... Duhet të jetë brenda intervalit IP të specifikuar në cilësimet VPN.

    Në telefonin, iPhone ose tabletin tuaj

    Tani le të shohim se si të krijojmë një lidhje VPN dhe ta konfigurojmë atë në pajisjet me sistemin operativ Android.

    Kjo kërkon:

      smartphone, tablet; hyrje, fjalëkalim në rrjet; adresa e serverit.

    Për të konfiguruar një lidhje VPN, zgjidhni "" në cilësimet e telefonit dhe krijoni një të re.

    Një ikonë me një lidhje të re do të shfaqet në ekran.

    Sistemi kërkon një emër përdoruesi dhe fjalëkalim. Duhet të futni parametrat dhe të zgjidhni opsionin "". Më pas, në seancën tjetër, nuk do t'ju duhet t'i konfirmoni më këto të dhëna.

    Pas aktivizimit të lidhjes VPN, një ikonë dalluese do të shfaqet në shiritin e veglave.

    Nëse klikoni në ikonën, do të shfaqen detajet e lidhjes.

    Si të konfiguroni një VPN që të funksionojë siç duhet

    Le të hedhim një vështrim më të afërt se si të konfigurojmë automatikisht VPN në kompjuterë me Windows 10.

    Shkoni te cilësimet e PC.

    në kapitullin " Parametrat"Shko te nënseksioni" ".

    ... dhe shtoni një lidhje të re VPN.

    Në faqen tjetër, duhet të specifikoni parametrat e lidhjes VPN:

      Ofruesi i shërbimit - Windows; Emri i lidhjes; Adresa e serverit; Lloji VPN; Emri i përdoruesit dhe fjalëkalimi.

    Pas vendosjes së lidhjes, duhet të lidheni me të.

    Si të krijoni një server VPN

    Të gjithë ofruesit regjistrojnë aktivitetet e klientëve të tyre. Në rast të marrjes së një kërkese nga agjencitë ligjzbatuese, ato do të japin informacion të plotë se cilat faqe ka vizituar shkelësi. Kështu, ofruesi e liron veten nga çdo përgjegjësi ligjore. Por ndonjëherë lindin situata në të cilat përdoruesi duhet të mbrojë të dhënat e tij:

      Kompanitë transmetojnë të dhënat e tyre nëpërmjet internetit nëpërmjet një kanali të koduar.Shumë shërbime në internet funksionojnë në një vendndodhje gjeografike. Për shembull, shërbimi Yandex.Music funksionon vetëm në IP nga Federata Ruse dhe vendet e CIS. Një rus në Evropë nuk do të jetë në gjendje të dëgjojë muzikën e tij të preferuar. Në zyra, qasja në rrjetet sociale shpesh bllokohet.
    Sigurisht, mund të pastroni historinë e shfletuesit tuaj sa herë që vizitoni faqen. Por është më e lehtë të krijosh dhe konfigurosh një server VPN. Për ta bërë këtë, telefononi linjën e komandës ( Win + R) dhe më pas futni pyetjen ncpa.cpl dhe shtypni Hyni... Në dritaren e re, klikoni Alt dhe zgjidhni artikullin "".

    Tjetra, ju duhet të krijoni një përdorues dhe t'i jepni atij të drejta të kufizuara vetëm për VPN. Do t'ju duhet gjithashtu të krijoni një fjalëkalim të ri të gjatë. Zgjidhni një përdorues nga lista. Në fazën tjetër, duhet të zgjidhni opsionin e lidhjes " Nëpërmjet internetit". Tjetra, duhet të specifikoni parametrat e lidhjes. Nëse, kur punoni me VPN, nuk keni nevojë për qasje në skedarë dhe dosje, mund të zgjidhni të gjitha kutitë dhe të klikoni në butonin "".

    Si të përdorni një VPN

    Pasi të krijohet një lidhje e re, mjafton të hapni një shfletues dhe të ngarkoni çdo faqe. Të rinjtë mund të mos angazhohen në krijimin e një lidhjeje, por menjëherë shkarkojnë një klient VPN nga Interneti ose instalojnë një shtesë të veçantë në shfletues. Pas shkarkimit të programit, duhet ta nisni dhe shtypni butonin " Lidhu". Klienti do të bashkohet me një rrjet tjetër dhe përdoruesi do të mund të shikojë faqet e ndaluara në rajonin e tij. Disavantazhi i kësaj metode është se IP-ja lëshohet automatikisht. Përdoruesi nuk mund të zgjedhë një shtet. Por lidhja vendoset shumë shpejt, duke shtypur vetëm një buton. Opsioni për të shtuar një shtesë ka gjithashtu disavantazhe. Së pari, përdoruesi duhet të regjistrohet në faqen zyrtare të programit dhe, së dyti, zgjatja shpesh rrëzohet. Por përdoruesi mund të zgjedhë vendin përmes të cilit do të kryhet lidhja me rrjetin e jashtëm. Vetë procesi i lidhjes nuk ngre asnjë pyetje. Mjafton të shtypni butonin " Filloni"Dhe shfletuesi do të rindizet në rrjetin e ri. Le të shohim se si ta instalojmë shtesën duke përdorur një shembull ZenMate VPN.Shkarkoni programin nga faqja zyrtare. Pas instalimit, një ikonë do të shfaqet në shfletuesin:

    Klikoni në ikonën. Do të shfaqet një dritare shtesë:

    Nëse lëvizni kursorin e miut në ikonë me flamurin rus, atëherë do të shfaqet ekrani IP aktuale... Nëse lëvizni kursorin mbi ikonën me flamurin e Rumanisë, do të shfaqet IP-ja e serverit të zgjedhur. Nëse dëshironi, vendi i lidhjes mund të ndryshohet. Për ta bërë këtë, duhet të klikoni në glob dhe të zgjidhni një nga adresat automatike.

    Disavantazhi i versionit falas të programit është numri i vogël i serverëve të disponueshëm dhe imponimi i reklamave.

    Gabimet më të zakonshme

    Programe të ndryshme antivirus, si dhe mure zjarri mund të bllokojnë lidhjen. Në këtë rast, një kod gabimi shfaqet në ekran. Le të shohim problemet më të njohura dhe si t'i zgjidhim ato.
    Gabim Shkak Zgjidhje
    678 Kriptimi është i ndaluar në OS Ju duhet të hapni një linjë komande dhe të kontrolloni parametrin "ProhibitIpSec" në regjistrin "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ RasMan \ Parameters". Duhet të jetë e barabartë me 0. Nëse vetë ofruesi përdor kanalin e enkriptimit për të ofruar shërbime, atëherë ndryshimi i këtij cilësimi do të ndikojë në aksesin në internet.
    691 Është futur një emër përdoruesi/fjalëkalim i gabuar Duhet të hyni përsëri në rrjet
    692 Gabim i murit të zjarrit Çaktivizo murin e zjarrit
    720/738 Përdoruesi është i lidhur tashmë Gabimi 720 gjendet vetëm në Windows 7. Të gjitha sistemet e tjera operative shfaqin kodin 738. Nëse duhet të punoni nga PC të ndryshëm përmes një klienti, atëherë duhet të krijoni disa emra përdoruesish.
    734 VPN automatike Është e nevojshme të ndryshoni llojin "Automatic" në "L2TP IPSec VPN" në vetitë e lidhjes. Nëse gabimi vazhdon, atëherë duhet të rikrijoni lidhjen.
    766/781 Çelësi nuk u ruajt / u fut Hapni vetitë VPN, në skedën "Security", zgjidhni "Opsionet e avancuara" dhe në një dritare të re futni çelësin
    768/789 (OS Windows 7, Vista, XP) IPSec nuk funksionon RMB në shkurtoren "My Computer" - "Menaxhment". Në seksionin "Shërbimet", zgjidhni "IPSec". Specifikoni llojin e lidhjes Auto.

    VPN (Rrjeti Virtual Privat) ose në përkthim në rrjetin privat virtual rus është një teknologji që ju lejon të kombinoni pajisjet kompjuterike në rrjete të sigurta për t'u siguruar përdoruesve të tyre një kanal të koduar dhe qasje anonime në burimet në internet.

    Në kompani, VPN përdoret kryesisht për të kombinuar disa degë të vendosura në qytete të ndryshme apo edhe pjesë të botës në një rrjet lokal. Punonjësit e kompanive të tilla, duke përdorur VPN, mund të përdorin të gjitha burimet që janë në çdo degë si lokalin e tyre, të vendosur në krah të tyre. Për shembull, mund të printoni një dokument në një printer të vendosur në një degë tjetër me vetëm një klikim.

    Për përdoruesit e zakonshëm të Internetit, VPN është i dobishëm kur:

    • faqja u bllokua nga ofruesi, por ju duhet të hyni;
    • shpesh duhet të përdorin sisteme bankare dhe pagesash në internet dhe duan të mbrojnë të dhënat nga vjedhjet e mundshme;
    • shërbimi funksionon vetëm për Evropën, dhe ju në Rusi nuk e keni problem të dëgjoni muzikë në LastFm;
    • nuk dëshironi që faqet që vizitoni të gjurmojnë të dhënat tuaja;
    • nuk ka ruter, por është e mundur të lidhni dy kompjuterë me një rrjet lokal për t'u siguruar të dyve akses në internet.

    Si funksionon VPN

    VPN-të funksionojnë përmes një tuneli që ata krijojnë midis kompjuterit tuaj dhe një serveri të largët. Të gjitha të dhënat e transmetuara përmes këtij tuneli janë të koduara.

    Mund të mendohet si një tunel i zakonshëm, i cili gjendet në autostrada, i vendosur vetëm përmes internetit midis dy pikave - një kompjuteri dhe një serveri. Në këtë tunel, të dhënat, si makinat, lëvizin midis pikave me shpejtësinë më të lartë të mundshme. Në hyrje (në kompjuterin e përdoruesit), këto të dhëna janë të koduara dhe shkojnë në këtë formë te adresuesi (në server), në këtë pikë ato deshifrohen dhe interpretohen: skedari shkarkohet, një kërkesë dërgohet në sit, etj. Pas së cilës të dhënat e marra përsëri kodohen në server dhe përmes tunelit dërgohen përsëri në kompjuterin e përdoruesit.

    Për qasje anonime në faqet dhe shërbimet, mjafton një rrjet i përbërë nga një kompjuter (tabletë, smartphone) dhe një server.

    Në përgjithësi, shkëmbimi i të dhënave përmes VPN duket kështu:

    1. Një tunel krijohet midis kompjuterit të përdoruesit dhe serverit me softuerin e krijimit VPN të instaluar. Për shembull OpenVPN.
    2. Në këto programe, një çelës (fjalëkalim) gjenerohet në server dhe në kompjuter për të kriptuar / deshifruar të dhënat.
    3. Kërkesa gjenerohet në kompjuter dhe kodohet duke përdorur çelësin e krijuar më parë.
    4. Të dhënat e koduara transmetohen përmes tunelit në server.
    5. Të dhënat që erdhën nga tuneli në server deshifrohen dhe kërkesa ekzekutohet - dërgimi i një skedari, hyrja në faqe, fillimi i shërbimit.
    6. Serveri përgatit përgjigjen, e kodon atë përpara se ta dërgojë dhe ia dërgon përsëri përdoruesit.
    7. Kompjuteri i përdoruesit i merr të dhënat dhe i deshifron ato me çelësin që është krijuar më parë.

    Pajisjet e përfshira në VPN nuk janë të lidhura gjeografikisht dhe mund të vendosen në çdo distancë nga njëra-tjetra.

    Për një përdorues të zakonshëm të shërbimeve të rrjetit privat virtual, mjafton të kuptojë se qasja në internet përmes një VPN është anonimitet i plotë dhe akses i pakufizuar në çdo burim, përfshirë ato që janë të bllokuara nga ofruesi ose janë të paarritshme për vendin tuaj.

    Kush ka nevojë për një VPN dhe pse

    Ekspertët rekomandojnë përdorimin e një VPN për të transferuar çdo të dhënë që nuk duhet të përfundojë në duart e palëve të treta - hyrje, fjalëkalime, korrespondencë private dhe biznesi dhe punë me banking në internet. Kjo është veçanërisht e vërtetë kur përdorni pika të hapura aksesi - WiFi në aeroporte, kafene, parqe, etj.

    Teknologjia do të jetë gjithashtu e dobishme për ata që duan të përdorin lirisht çdo faqe dhe shërbim, duke përfshirë ato të bllokuara nga ofruesi ose të hapura vetëm për një rreth të caktuar njerëzish. Për shembull, Last.fm është në dispozicion falas vetëm për banorët e Shteteve të Bashkuara, Anglisë dhe disa vendeve të tjera evropiane. Përdorimi i një shërbimi muzikor nga Rusia do të lejojë një lidhje VPN.

    Dallimet midis VPN dhe TOR, përfaqësuesit dhe anonimizuesve

    VPN funksionon globalisht në kompjuter dhe ridrejton punën e të gjithë softuerit të instaluar në kompjuter përmes tunelit. Çdo kërkesë - përmes chat-it, shfletuesit, klientit të ruajtjes së cloud (dropbox), etj., përpara se të arrijë te adresuesi, kalon përmes tunelit dhe kodohet. Pajisjet e ndërmjetme "ngatërrojnë gjurmët" përmes enkriptimit të kërkesave dhe deshifrojnë ato vetëm përpara se t'ia dërgojnë marrësit përfundimtar. Marrësi përfundimtar i kërkesës, për shembull, një faqe interneti, nuk regjistron të dhënat e përdoruesit - vendndodhjen gjeografike, etj., por të dhënat e serverit VPN. Kjo do të thotë, është teorikisht e pamundur të gjurmosh se cilat faqe vizitoi përdoruesi dhe çfarë kërkesash dërgoi përmes një lidhjeje të sigurt.

    Në një farë mase, anonimizuesit, përfaqësuesit dhe TOR mund të konsiderohen analoge të VPN-ve, por të gjithë ata janë disi inferiorë ndaj rrjeteve private virtuale.

    Si ndryshon VPN nga TOR

    Ashtu si VPN, teknologjia TOR supozon enkriptimin e kërkesave dhe transferimin e tyre nga përdoruesi në server dhe anasjelltas. Vetëm TOR nuk krijon tunele të përhershme, mënyrat e marrjes/transmetimit të të dhënave ndryshojnë me çdo akses, gjë që zvogëlon shanset e përgjimit të paketave të të dhënave, por nuk ka efektin më të mirë në shpejtësi. TOR është teknologji falas dhe mbështetet nga entuziastë, ndaj nuk duhet të prisni punë të qëndrueshme. E thënë thjesht, do të mund të hyni në një faqe interneti të bllokuar nga ofruesi juaj, por do të duhen disa orë apo edhe ditë për të shkarkuar video HD prej saj.

    Si ndryshon VPN nga proxy

    Proxies, në analogji me VPN-të, ridrejtojnë kërkesën në sajt, duke e kaluar atë përmes serverëve ndërmjetës. Përgjimi i kërkesave të tilla është vetëm i lehtë, sepse shkëmbimi i informacionit ndodh pa asnjë enkriptim.

    Si ndryshon VPN nga anonimizuesi

    Anonimizuesi është një version i zhveshur i një përfaqësuesi që mund të funksionojë vetëm brenda një skede të hapur të shfletuesit. Nëpërmjet saj do të mund të hyni në faqe, por nuk do të mund të përfitoni nga shumica e mundësive dhe nuk ofrohet asnjë enkriptim.

    Për sa i përket shpejtësisë, përfaqësuesi do të fitojë nga metodat e shkëmbimit të të dhënave indirekte, pasi nuk parashikon kriptim të kanalit të komunikimit. Në vend të dytë është VPN, e cila ofron jo vetëm anonimitet, por edhe mbrojtje. Vendi i tretë është për anonimizuesin e kufizuar për të punuar në një dritare të hapur të shfletuesit. TOR është i përshtatshëm kur nuk ka kohë dhe mundësi për t'u lidhur me një VPN, por nuk duhet të mbështeteni në përpunimin me shpejtësi të lartë të kërkesave të mëdha. Ky gradim vlen për rastin kur përdoren serverë të shkarkuar, të cilët janë në të njëjtën distancë nga ai i testuar.

    Si të lidheni me internetin me një VPN

    Dhjetra shërbime ofrojnë shërbime të aksesit VPN në RuNet. Epo, në mbarë botën ka ndoshta qindra. Në thelb, të gjitha shërbimet paguhen. Kostoja varion nga disa dollarë në disa dhjetëra dollarë në muaj. Ekspertët që kanë një kuptim të mirë të TI-së krijojnë vetë një server VPN për vete, duke përdorur serverë për këto qëllime, të cilët ofrohen nga ofrues të ndryshëm pritës. Kostoja e një serveri të tillë është zakonisht rreth 5 dollarë në muaj.

    Nëse preferoni një zgjidhje me pagesë ose falas, varet nga kërkesat dhe pritshmëritë tuaja. Të dyja opsionet do të funksionojnë - fshihni vendndodhjen, ndryshoni IP-në, kodoni të dhënat gjatë transmetimit, etj. - por problemet me shpejtësinë dhe aksesin në shërbimet me pagesë ndodhin shumë më rrallë dhe zgjidhen shumë më shpejt.

    Tweet

    Plus

    Ju lutemi aktivizoni JavaScript për të parë

Artikujt kryesorë të lidhur

Telefoni është si një kamerë në internet - shumë pak njerëz dinë për të!
Telefoni është si një kamerë në internet - shumë pak njerëz dinë për të!
Rishikimi i Samsung Galaxy J5 (2017): të mirat dhe të këqijat
Rishikimi i Samsung Galaxy J5 (2017): të mirat dhe të këqijat
Samsung Galaxy S4: Këshilla dhe truke
Samsung Galaxy S4: Këshilla dhe truke
Kategoritë:
© 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.