Как да направя vpn между офиси. · Тип достъп, необходим за VPN потребители. И как да го направя

Интернет твърдо навлезе в живота ни и ако по-рано, в годините на господството на аналоговите модеми, за достъп до Интернет беше необходимо да се вземе предвид както обема на трафика, така и времето за връзка, днес неограничената интернет връзка се превърна в норма. Тоест, ако интернет не е достъпен по всяко време и в какъвто и да е „обем“, това вече е нещо необичайно. Освен това, ако по-рано наличието на неограничен интернет се считаше за де факто стандарт за корпоративни мрежи, днес това вече се превърна в норма за крайните потребители. Успоредно с развитието на Интернет се променя и концептуалният модел на неговото използване. Появяват се все повече нови услуги, като видео по заявка и VoIP, развиват се мрежи за споделяне на файлове (BitTorrent) и др. Напоследък организирането на виртуални частни мрежи (VPN) през интернет с възможността организирането на отдалечен достъп до всеки компютър в тази мрежа стана много популярно. Как може да се направи това е тема на тази статия.

Защо е необходимо

Организацията на VPN мрежи през Интернет или в рамките на локална мрежа има много случаи на използване: онлайн игри в Интернет, заобикаляйки сървърите за игри (точно като игрите през локална мрежа), създаване на мрежа, затворена от външни лица за прехвърляне на поверителна информация, възможност за отдалечени и защитени компютри за управление (пълен контрол върху отдалечен компютър), организиране на защитен достъп за служители в командировка до корпоративни мрежови ресурси, комуникация чрез виртуална мрежа от отделни офиси (локални мрежи).

Традиционният подход за разгръщане на такава виртуална частна мрежа е да се издигне и конфигурира VPN сървър (обикновено базиран на Linux) в корпоративната мрежа и отдалечени потребители имат достъп до корпоративната мрежа чрез VPN връзки.

Този подход обаче не е приложим, когато потребителят трябва да получи отдалечен достъп до домашния си компютър. Малко вероятно е ситуацията, когато отделен VPN сървър се издига у дома, може да се счита за нормална. Въпреки това, не се отчайвайте. Задачата за създаване на VPN мрежа е разрешима и дори начинаещ потребител може да го направи. За целта има специална програма Hamachi, която може да бъде изтеглена безплатно от Интернет (http://www.hamachi.cc/download/list.php). Особено приятно е наличието на нейната русифицирана версия, така че всеки потребител да може да овладее програмата.

Хамачи 1.0.2.2

И така, Hamachi (текуща версия - 1.0.2.2) е програма, която ви позволява да създадете виртуална частна мрежа (VPN) през Интернет и да комбинирате няколко компютъра в нея. След създаването на такава мрежа потребителите могат да установяват VPN сесии помежду си и да работят в тази мрежа по същия начин, както в обикновена локална (LAN) мрежа с възможност за споделяне на файлове, дистанционно администриране на компютри и т.н. Предимството на VPN мрежата е, че е напълно защитена от подправяне и невидима от Интернет, въпреки че съществува в нея.

Hamachi трябва да бъде инсталиран на всички компютри, които ще бъдат свързани към виртуална частна мрежа.

Виртуалната мрежа се създава с помощта на специализиран сървър Hamachi в Интернет. За свързване към този сървър се използват портове 12975 и 32976. Първият порт (12975) се използва само за установяване на връзка, а вторият - по време на работа. Малко вероятно е обаче обикновените потребители да се нуждаят от такава подробна информация.

След като се създаде виртуална мрежа между избраните компютри, използващи сървъра Hamachi, обменът на информация между клиентите на VPN мрежата става директно, тоест без участието на сървъра Hamachi. Протоколът UDP се използва за комуникация между VPN клиенти.

Инсталиране на програмата

Hamachi се инсталира на компютри с Windows 2000/XP/2003/Vista. Има и конзолни версии на програмата за Linux и Mac OS X. След това ще разгледаме инсталирането и конфигурирането на програмата с помощта на операционната система Windows XP като пример.

Инсталирането на програмата Hamachi е доста просто и не създава проблеми (особено като се има предвид, че интерфейсът на стартиращия съветник за инсталиране е руски). След стартиране на инсталацията на програмата на компютъра се стартира съветникът за инсталиране, който ви подканва да се съгласите с лицензионното споразумение, да изберете папка за инсталиране на програмата (фиг. 1), да създадете икона на работния плот и т.н.

Сред полезните допълнителни функции, които могат да се активират по време на инсталирането на програмата, са автоматичното стартиране на Hamachi при стартиране на компютъра и блокирането на уязвими услуги за връзки на Hamachi (фиг. 2). В последния случай услугата за споделяне на файлове на Windows за виртуалния мрежов адаптер Hamachi ще бъде блокирана. В резултат на това други потребители на VPN няма да имат достъп до споделените файлове и папки на вашия компютър. В същото време тези файлове и папки ще останат достъпни за обикновените потребители на локалната мрежа, към които не се използва VPN връзка.

Ориз. 1. Съветникът за инсталиране на Hamachi ви позволява да посочите папка
за да поставите програмата, създайте икона на работния плот
и изберете опцията за автоматично стартиране на програмата
при зареждане на компютъра

В допълнение към блокирането на услугата за споделяне на файлове на Windows, блокирането на уязвими услуги за връзки на Hamachi също води до блокиране на отдалечен достъп до определени услуги на Windows, които често са атакувани. Съответно, ако използвате програмата Hamachi за свързване с надеждни клиенти, на които имате доверие, тогава е по-добре да деактивирате опцията за блокиране на уязвими услуги.

Ориз. 2. Съветникът за инсталиране на Hamachi ви позволява да блокирате
уязвими услуги за връзки с Hamachi

На последния етап съветникът за инсталиране ще ви подкани да изберете коя версия на програмата да инсталирате: основната версия или версията Premium. Програмата Hamachi съществува в две версии. Основната версия е безплатна, докато Premium версията, която има повече функции, е платена. Имайте предвид, че за повечето потребители безплатната основна версия на програмата е напълно достатъчна (ще говорим за подробните разлики между основната версия и Premium версията малко по-късно), но стандартният подход е следният: първо, Premium версията се инсталира за 45 дни (безплатно) и след този период автоматично преминава към базовата версия.

След като инсталирате и стартирате Hamachi на вашия компютър, ако това е първият път, когато инсталирате програмата, ще започне кратко ръководство за Hamachi, което описва как да работите с програмата.

Първо стартиране на програмата

Когато стартирате програмата за първи път, вашият акаунт ще бъде създаден. На този етап трябва да посочите името на компютъра, под който ще бъде видим за другите потребители на VPN мрежата (фиг. 3).

Ориз. 3. Задаване на името на компютъра, под който
ще бъде видим за други потребители на VPN

След като името на компютъра е зададено, програмата установява връзка със сървъра на базата данни на Hamachi и изисква IP адрес, който ще бъде присвоен на виртуалния мрежов адаптер на Hamachi и ще се използва по-късно за установяване на VPN връзка. На всеки клиент на Hamachi се присвоява IP адрес в диапазона 5.0.0.0/8 (подмрежова маска 255.0.0.0), което по принцип не е един от запазените адресни диапазони за използване в Интернет. Тези запазени диапазони за частна употреба в локални мрежи включват: 10.0.0.0/8 (диапазон 10.0.0.0 до 10.255.255.254), 172.16.0.0/12 (диапазон 172.16.0.0 до 172.31.255.192.1) 192.168.0.0 до 192.168.255.254). Въпреки това, диапазонът 5.0.0.0/8 е запазен от IANA (Internet Assigned Numbers Authority) повече от 10 години и не се използва като публични (външни) интернет адреси. По този начин диапазонът 5.0.0.0/8, от една страна, се отнася до обхвата от външни (публични) интернет адреси, тоест няма възможност назначеният ви IP адрес вече да се използва във вашата локална мрежа (само запазени за частни IP адреси се използват в локални мрежи).използване на IP адреса), а от друга страна, тези адреси все още не са заети от никого.

След като ви зададе IP адрес от диапазона 5.0.0.0/8, той се превръща в един вид идентификатор за вашия компютър във виртуална частна мрежа. Този IP адрес се присвоява на виртуалния мрежов адаптер на Hamachi. Така че, ако въведете командата ipconfig / all в командния ред, тогава в допълнение към настройките на мрежовия интерфейс на истински мрежов адаптер (който физически присъства на вашия компютър), можете да откриете, че се е появил друг виртуален Hamachi Ethernet адаптер с присвоен му MAC адрес, IP адрес, маска на подмрежа, IP адрес на шлюз и др. (фиг. 4).

Ориз. 4. След първото стартиране на програмата, виртуалният мрежов адаптер
Hamachi получава IP адрес от диапазона 5.0.0.0/8 и е конфигуриран
мрежов интерфейс

Така че, след като програмата Hamachi конфигурира виртуалния мрежов адаптер, можете да започнете да работите с програмата.

В този момент вашият компютър все още не е член на никоя VPN, така че първата стъпка е да се свържете със съществуваща VPN или да създадете нова VPN.

Работа с програмата

Интерфейсът на програмата е много прост (фиг. 5). Има само три функционални бутона: "включване / изключване", бутонът на мрежовото меню и бутонът на системното меню.

Ориз. 5. Програмен интерфейс
Хамачи е много прост -
само три функционални бутона

За да създадете нова VPN мрежа или да свържете компютър към съществуваща, щракнете върху бутона на мрежовото меню и изберете съответния елемент (фиг. 6).

Ориз. 6. Бутонът на мрежовото меню ви позволява да
създайте нова VPN мрежа или се присъединете
компютър към съществуващ

Присъединяване на компютър към и извън съществуваща виртуална мрежа

Ако искате да свържете компютър към съществуваща виртуална мрежа и знаете неговото име и парола (ако се използва такава), тогава в мрежовото меню изберете Влезте в съществуваща мрежа...След това ще се отвори прозорец, в който трябва да зададете мрежово име и парола (фиг. 7).

Ориз. 7. Добавяне на компютър
към съществуваща виртуална мрежа

След това името на мрежата и списъкът на компютрите, свързани към нея (с изключение на вашия) ще се появят в прозореца на програмата - фиг. осем.

Ориз. 8. След свързване на компютъра
към виртуалната мрежа в прозореца на програмата
списък с приложени
към нейните компютри

Ако до името на компютъра има зелена точка или звезда, това означава, че връзката с компютъра е установена. Мигаща зелена точка показва, че връзката е в процес на установяване. Светъл кръг около зелена точка показва, че информацията се обменя с този компютър.

Най-лошото е, че когато има жълта точка до името на компютъра, това означава, че по някаква причина не може да се установи директна връзка с него. Ако името на компютъра е показано в жълто, това означава, че комуникацията с него е загубена.

Появата на синя точка показва, че директна връзка с компютъра не може да бъде установена и връзката се осъществява през сървъра на Hamachi. Проблемът е, че в този случай комуникационният канал с компютъра има много ниска честотна лента и големи закъснения.

Ако името на компютъра и точката до името му се показват в сиво, това означава, че компютърът, въпреки че е свързан към тази виртуална мрежа, не е наличен (например компютърът е изключен, няма интернет връзка или Hamachi не работи).

За да излезете от мрежата, просто щракнете с десния бутон върху името й и изберете елемента от падащия списък. изключете от контактаили Напуснете мрежата. В първия случай само временно напускате мрежата и списъкът с компютри, свързани към нея, остава видим за вас. Във втория случай, за да влезете в мрежата, ще трябва да повторите цялата процедура за свързване на компютър към съществуваща мрежа.

Създаване на нова мрежа и изтриване на съществуваща мрежа

Ако искате да създадете нова виртуална мрежа, изберете елемента в менюто на мрежата Създайте нова мрежа...Ще се отвори прозорец, в който трябва да посочите името на мрежата, която ще бъде създадена, и паролата, която другите потребители ще използват за присъединяване към тази мрежа (фиг. 9).

Ориз. 9. Създайте нова VPN мрежа

След като бъде създадена нова мрежа, потребителските компютри могат да бъдат свързани към нея. Ако мрежата е създадена от вас, вие сте нейният администратор и получавате пълен контрол над нея, от който другите потребители са лишени. Важно е да запомните, че можете да управлявате създадената мрежа само от компютъра, на който е създадена. За да бъдем по-точни, можете да управлявате мрежата само от компютър, на който е присвоен точно същия виртуален IP адрес като този, използван при създаването на виртуалната мрежа. Защо тази забележка е толкова важна? Представете си ситуацията: инсталирахте програмата Hamachi и създадохте нова VPN мрежа. След това напълно премахнахте (включително всички конфигурационни файлове) програмата Hamachi и след известно време я инсталирахте отново. Ще ви бъде назначен нов виртуален IP адрес, но като го използвате, вече няма да можете да контролирате VPN мрежата, която сте създали по-рано.

Ако сте мрежов администратор, можете да го изтриете. За да направите това, щракнете с десния бутон върху името на мрежата и изберете елемента от падащия списък. Изтрий. Имайте предвид, че когато мрежата бъде изтрита, всички връзки между другите потребители са напълно унищожени.

Други действия с мрежови компютри

Ако сте се присъединили към мрежата, можете да извършите следните действия на свързаните към нея компютри:

• проверка на наличността;
• сърфиране в папки;
• изпращане на съобщение;
• копиране на адреса;
• блокиране;
• настройка на етикета.

За да изпълните един от тях, щракнете с десния бутон върху името на компютъра и изберете съответния елемент от падащото меню (фиг. 10).

Ориз. 10. Списък на възможните действия
с избрания мрежов компютър

При избор на артикул Провери наличносттаобичайната команда ping ще бъде изпълнена на адреса на съответния компютър.

Параграф Преглед на папкиви позволява да имате достъп до споделени папки на вашия компютър.

Параграф изпрати съобщениеправи възможен обмен на съобщения между отделни компютри в мрежата, подобно на това как се прави в ICQ.

Параграф Копиране на адреспоставя IP адреса на избрания компютър в клипборда, което е удобно, ако искате да използвате този адрес в други програми (например отдалечено администриране).

Параграф Блокираневи позволява временно да блокирате избрания компютър, тоест вашият VPN канал с него ще бъде блокиран и обменът на информация ще бъде невъзможен.

Параграф Задайте етикетви позволява да изберете формата за показване на компютърни атрибути в мрежата. По подразбиране се показват IP адресът и името на компютъра. Можете да изберете да показвате само името на компютъра или само IP адреса.

Настройки на програмата

За да получите достъп до настройките на програмата, трябва да натиснете бутона на системното меню и да изберете елемента Настройки…(фиг. 11).

Ориз. 11. Получаване на достъп до настройките
програми

След това ще се отвори прозорец Състояние и конфигурация, което ви позволява да направите подробни настройки на програмата (фиг. 12).

Ориз. 12. Прозорец за подробна конфигурация на програмата

Всъщност тук всичко е доста просто и подробни коментари едва ли са необходими, така че просто ще изброим функциите, които могат да бъдат внедрени в прозореца за конфигурация. Така че в този прозорец можете да промените името на компютъра, да конфигурирате връзката в детайли, да зададете типа стартиране на програмата, да блокирате или деблокирате уязвими услуги на Windows, да блокирате нови членове на мрежата и да приложите други, по-малко значими опции. Сред важните характеристики отбелязваме деактивирането на криптирането при прехвърляне на данни между отделни компютри в мрежата. За да направите това, кликнете върху иконата Прозореци в групата Външен видмаркирайте артикула Показване на "Разширени..." за елемент от менюто(фиг. 13).

Ориз. 13. Добавяне на разширени...
за падащо меню

След това, ако щракнете с десния бутон върху името на компютър, свързан към мрежата, елементът ще се появи в падащото меню. Разширено...Ако го изберете, ще се отвори прозорец Конфигурация на тунела, което ви позволява да промените настройките на VPN тунела. За да деактивирате криптирането в параграф криптиранетрябва да изберете стойност Изключено. В този случай данните от вашия компютър ще бъдат прехвърлени към избрания компютър в нешифрован вид. В обратната посока обаче данните ще се предават криптирани. За да деактивирате напълно криптирането за VPN тунел между два компютъра, то трябва да бъде деактивирано и на двата компютъра.

Имайте предвид, че криптирането трябва да бъде деактивирано само в изключителни случаи, тъй като е малко вероятно самата процедура на криптиране да повлияе на трафика. Факт е, че трафикът ще се определя от честотната лента на вашия интернет канал, а в никакъв случай от използването или липсата на криптиране. Само ако VPN тунел се формира между компютри в рамките на една и съща локална мрежа и неговата честотна лента е около 100 Mbps, използването на криптиране може леко да намали максималната скорост на трансфер (до 70-80 Mbps).

Заключение

Hamachi е мощен инструмент, който ви позволява да създавате VPN мрежи много бързо. Имайте предвид, че първоначално е създаден, за да позволи на потребителите да играят мрежови игри, заобикаляйки сървърите за игри. Въпреки това, възможните сценарии за използване на тази програма са много по-широки. Така че, като създадете виртуална мрежа и свържете компютри към нея, можете да използвате стандартни програми за отдалечено администриране, за да получите отдалечен достъп до всеки компютър във виртуалната мрежа, тъй като всеки компютър в такава мрежа има свой собствен специален IP адрес.

В същото време трябва да се отбележи, че далеч не винаги е възможно да се установи директна връзка между отделните компютри. И въпреки факта, че уебсайтът на производителя твърди, че програмата лесно „пробива“ рутери и NAT устройства, всъщност всичко не е толкова оптимистично. Документацията за програмата твърди, че в 5% от случаите не може да се установи директна връзка между отделните компютри, но според нас тази цифра е явно подценена. Реалната ситуация е следната: ако говорим за свързване на два компютъра, на които е присвоен динамичен или статичен публичен IP адрес, тогава няма проблеми. Тоест, ако имате само един компютър с достъп до Интернет у дома и трябва да се свържете с потребител, който също има един компютър с достъп до Интернет, тогава няма да има проблеми. Както показва практиката, няма проблеми при установяване на връзка между компютъра на потребителя с присвоен му динамичен или статичен публичен IP адрес и компютър в локална мрежа, защитен от рутер. Ако обаче се установи комуникация между два компютъра, принадлежащи към различни локални мрежи, защитени от рутери, тогава са възможни проблеми и не е сигурно, че ще се установи директна връзка. Тоест връзката може да бъде установена, но с голяма вероятност тя няма да бъде директна, а чрез сървъра на Hamachi. Съответно скоростта на такъв комуникационен канал ще бъде много ниска и няма да има голяма полза от такава връзка. Например във вашия дом достъпът до Интернет се осъществява с помощта на безжичен рутер, тоест компютърът ви е част от вашата домашна локална мрежа и му е присвоен IP адрес от диапазона от адреси, запазени за частна употреба, и публичният адрес е назначен към WAN порта на рутера, през който влизате онлайн. Ако се опитвате да установите връзка с друг компютър, който също е част от локалната мрежа (например с работен компютър в офиса или с компютър на потребител, който има локална мрежа у дома и използва рутер), тогава в повечето случаи се появяват проблеми.

Ръководството за потребителя на Hamachi описва как да избегнете подобни проблеми. За да направите това, се предлага да се използва фиксиран (а не динамичен) UDP порт и да се реализира функцията за пренасочване на портове на рутера. Въпреки това, както показва практиката, пренасочването на портове или използването на DMZ в рутера не винаги помага.

Създаването на канали между отдалечени мрежи чрез VPN връзка е една от най-популярните теми на нашия сайт. В същото време, както показва отговорът на читателя, най-голямата трудност е правилната конфигурация на маршрутизиране, въпреки че специално обърнахме внимание на този момент. След като анализирахме най-често задаваните въпроси, решихме да посветим отделна статия на темата за маршрутизиране. Имате въпроси? Надяваме се, че след като прочетете този материал, те ще бъдат по-малко.

Първо, нека разберем какво е маршрутизиране. Маршрутизацията е процесът на определяне на маршрута на информацията в комуникационните мрежи. Нека бъдем честни, тази тема е много дълбока и изисква солидна основа от теоретични познания, следователно в тази статия ние умишлено ще опростим картината и ще докоснем теорията точно до степен, която ще бъде достатъчна, за да разберем протичащите процеси и да получим практически резултати.

Да вземем произволна работна станция, свързана към мрежата, как тя определя къде да изпрати този или онзи пакет? За тази цел е предназначен таблица за маршрутизиране, който съдържа списък с правила за всички възможни дестинации. Въз основа на тази таблица хостът (или рутерът) решава кой интерфейс и адрес на местоназначение да изпрати пакет, адресиран до конкретен получател.

отпечатване на маршрута

В резултат на това ще видим следната таблица:

Всичко е много просто, ние се интересуваме от раздела IPv4 таблица с маршрути, първите две колони съдържат адреса на дестинацията и мрежовата маска, последвани от шлюза - хостът, към който трябва да бъдат препратени пакетите за посочената дестинация, интерфейс и метрика. Ако в колона Порталуточни On-link, това означава, че адресът на дестинацията е в същата мрежа като хоста и е достъпен без маршрутизиране. Метрикаопределя приоритета на правилата за маршрутизиране, ако адресът на дестинацията има няколко правила в таблицата с маршрути, тогава се използва това с по-нисък показател.

Нашата работна станция принадлежи към мрежата 192.168.31.0 и според таблицата с маршрути изпраща всички заявки към тази мрежа до интерфейса 192.168.31.175, който съответства на мрежовия адрес на тази станция. Ако адресът на местоназначението е в същата мрежа като адреса на източника, тогава информацията се доставя без използване на IP маршрутизиране (мрежов слой L3 на модела OSI), на слоя за връзка за данни (L2). В противен случай пакетът се изпраща до възела, посочен в съответното правило на таблицата с маршрути в мрежата на местоназначението.

Ако няма такова правило, тогава пакетът се изпраща от нулев маршрут, който съдържа адреса на мрежовия шлюз по подразбиране. В нашия случай това е адресът на рутера 192.168.31.100. Този маршрут се нарича нулев, тъй като адресът на дестинацията за него е 0.0.0.0. Тази точка е много важна за по-нататъшното разбиране на процеса на маршрутизиране: всички пакети не принадлежи към тази мрежаи нямат отделни маршрути, винагиса изпратени главен шлюзмрежи.

Какво ще направи рутерът, когато получи такъв пакет? Първо, нека разберем как рутерът се различава от обикновената мрежова станция. Изключително опростено казано, рутерът (рутерът) е мрежово устройство, което е конфигурирано да предава пакети между мрежови интерфейси. В Windows това се постига чрез активиране на услугата Маршрутизация и отдалечен достъп, на Linux, като зададете опцията ip_forward.

Решението за прехвърляне на пакети в този случай също се взема въз основа на таблицата за маршрутизиране. Нека да видим какво съдържа тази таблица на най-често срещания рутер, например този, който описахме в статията:. В Linux системи можете да получите таблицата с маршрути с командата:

Маршрут-n

Както можете да видите, нашият рутер съдържа маршрути до известни за него мрежи 192.168.31.0 и 192.168.3.0, както и нулев маршрут към шлюза нагоре по веригата 192.168.3.1.

Адресът 0.0.0.0 в колоната Gateway показва, че адресът на дестинацията е достъпен без маршрутизиране. По този начин всички пакети с адреси на дестинация в мрежи 192.168.31.0 и 192.168.3.0 ще бъдат изпратени до съответния интерфейс, а всички останали пакети ще бъдат препратени по нулевия маршрут.

Следващият важен момент са адресите на частни (частни) мрежи, те също са "сиви", включват три диапазона:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Тези адреси могат да се използват свободно от всеки и следователно те не е маршрутизиран. Какво означава? Всеки пакет с адрес на местоназначение, принадлежащ към една от тези мрежи, ще бъде изхвърлен от рутера, освен ако няма отделен запис за него в таблицата за маршрутизиране. Просто казано, маршрутът по подразбиране (нула) за такива пакети не се прилага от рутера. Трябва също да се разбере, че това правило важи само за маршрутизиране, т.е. при предаване на пакети между интерфейси, изходящ пакет със "сив" адрес ще бъде изпратен по нулевия маршрут, дори ако този възел сам по себе си е рутер.

Например, ако нашият рутер получи входящ пакет с дестинация, да речем, 10.8.0.1, тогава той ще бъде изхвърлен, тъй като такава мрежа е неизвестна за него и адресите в този диапазон не могат да бъдат маршрутизирани. Но ако се свържем със същия възел директно от рутера, тогава пакетът ще бъде изпратен по нулевия маршрут до шлюза 192.168.3.1 и ще бъде изхвърлен от него.

Време е да проверим как работи всичко. Нека опитаме от нашия възел 192.168.31.175 да пингуваме възела 192.168.3.106, който се намира в мрежата зад рутера. Както можете да видите, успяхме, въпреки че маршрутната таблица на възела не съдържа никаква информация за мрежата 192.168.3.0.

Как стана възможно това? Тъй като изходният възел не знае нищо за мрежата на местоназначението, той ще изпрати пакета до адреса на шлюза. Шлюзът ще провери своята таблица с маршрути, ще намери запис за мрежата 192.168.3.0 там и ще изпрати пакета до подходящия интерфейс, това е лесно да се провери чрез стартиране на командата trace, която ще покаже целия път на нашия пакет:

Tracert 192.168.3.106

Сега нека опитаме да пингуваме хост 192.168.31.175 от хост 192.168.3.106, т.е. в обратната посока. Не получихме нищо. Защо?

Нека разгледаме по-отблизо таблицата за маршрутизиране. Той не съдържа никакви записи за мрежата 192.168.31.0, така че пакетът ще бъде изпратен до рутера 192.168.3.1 като главен мрежов шлюз, който този пакет ще изхвърли, тъй като няма никакви данни за мрежата местоназначение. Как да бъде? Очевидно пакетът трябва да бъде изпратен до възела, който съдържа необходимата информация и може да изпрати пакета до местоназначението си, в нашия случай това е рутерът 192.168.31.100, който има адрес 192.168.3.108 в тази мрежа.

За да бъдат изпратени пакети за мрежата 192.168.31.0 до нея, трябва да създадем отделен маршрут.

192.168.31.0 маска 255.255.255.0 192.168.3.108

В бъдеще ще се придържаме към такъв запис на маршрути, какво означава това? Това е просто, пакети за мрежата 192.168.31.0 с маска 255.255.255.0 трябва да се изпращат до хост 192.168.3.108. В Windows може да се добави маршрут с командата:

Добавяне на маршрут 192.168.31.0 маска 255.255.255.0 192.168.3.108

Добавяне на маршрут -net 192.168.31.0 мрежова маска 255.255.255.0 gw 192.168.3.108

Да опитаме.

Нека анализираме резултата, в таблицата за маршрутизиране се появи маршрут и всички пакети към мрежата 192.168.31.0 вече се изпращат към рутера на тази мрежа, както се вижда от отговора на командата ping, но те не достигат до дестинация. Какъв е проблема? Време е да запомните, че една от основните задачи на рутера е не само маршрутизирането, но и функцията на защитната стена, която изрично забранява достъпа от външната мрежа вътре. Ако временно заменим това правило с разрешително, тогава всичко ще работи.

Маршрутите, добавени от горните команди, се запазват, докато възелът не се рестартира, което е удобно, дори ако сте объркали много, просто рестартирайте, за да отмените промените. За да добавите постоянен маршрут в Windows, изпълнете командата:

Добавяне на маршрут 192.168.31.0 маска 255.255.255.0 192.168.3.108 -p

На Linux в /etc/network/interfaces, след описанието на интерфейса, добавете:

Post-up route add -net 192.168.31.0 мрежова маска 255.255.255.0 gw 192.168.3.108

Между другото, това не е единственият начин за конфигуриране на достъп от мрежата 192.168.3.0 до мрежата 192.168.31.0, вместо да добавяте маршрут за всеки възел, можете да "научите" рутера да изпраща пакети правилно.

В този случай изходният възел няма записи за мрежата на местоназначението и ще изпрати пакета до шлюза, последния път, когато шлюзът е изпуснал такъв пакет, но сега сме добавили необходимия маршрут към неговата таблица за маршрутизиране и той ще изпрати пакета до възела 192.168.3.108, който ще го достави до местоназначението.

Силно препоръчваме сами да практикувате върху подобни примери, така че маршрутизирането вече да не е черна кутия за вас и маршрутите вече да не са китайска буква. След като разберете, можете да продължите към втората част на тази статия.

Сега нека разгледаме реални примери за комбиниране на офис мрежи чрез VPN връзка. Въпреки факта, че OpenVPN най-често се използва за тези цели, а в нашите примери имаме предвид и решения, базирани на него, всичко казано ще е вярно за всякакъв вид VPN връзка.

Най-простият случай е, когато VPN сървърът (клиентът) и мрежовият рутер са разположени на един и същ хост. Помислете за диаграмата по-долу:

Тъй като се надяваме, че сте научили теорията и сте я консолидирали на практика, нека анализираме маршрута на пакетите от офис мрежата 192.168.31.0 до клоновата мрежа 192.168.44.0, такъв пакет ще бъде изпратен до шлюза по подразбиране, който също е VPN сървър. Този възел обаче не знае нищо за мрежата на местоназначението и ще трябва да изхвърли този пакет. В същото време вече можем да осъществим достъп до клон рутера на неговия адрес в VPN мрежата 10.8.0.2, тъй като тази мрежа е достъпна от офис рутера.

За достъп до клонова мрежа трябва да изпратим пакети за тази мрежа до възел, който е част от тази мрежа или има маршрут до нея. В нашия случай това е клон рутер. Затова на рутера за офиса добавете маршрута:

Сега офисният шлюз, след като получи пакет за клоновата мрежа, ще го изпрати през VPN канала до клоновия рутер, който, като възел в мрежата 192.168.44.0, ще достави пакета до местоназначението му. За достъп от клоновата мрежа до офис мрежата трябва да регистрирате подобен маршрут на рутера на клона.

Да вземем по-сложна схема, когато рутерът и VPN сървърът (клиентът) са различни мрежови възли. Тук има две опции: да изпратите необходимия пакет директно към VPN сървъра (клиента) или да принудите шлюза да го направи.

Нека първо разгледаме първия вариант.

За да могат пакетите за клоновата мрежа да влязат в VPN мрежата, трябва да добавим маршрут към VPN сървъра (клиента) на всеки клиент на мрежата, в противен случай те ще бъдат изпратени до шлюза, който ще ги отхвърли:

Въпреки това, VPN сървърът не знае нищо за клоновата мрежа, но може да изпраща пакети в рамките на VPN мрежата, където има възел на клоновата мрежа, който ни интересува, така че ние ще насочим пакета там, като добавим маршрут към VPN сървъра (клиент):

192.168.44.0 маска 255.255.255.0 10.8.0.2

Недостатъкът на тази схема е необходимостта от регистриране на маршрути на всеки мрежов възел, което не винаги е удобно. Може да се използва, ако има малко устройства в мрежата или е необходим селективен достъп. В други случаи би било по-правилно да прехвърлите задачата за маршрутизиране към основния мрежов рутер.

В този случай мрежовите устройства на офиса не знаят нищо за клоновата мрежа и ще изпращат пакети за нея по нулевия маршрут, мрежовия шлюз. Сега задачата на шлюза е да пренасочи този пакет към VPN сървъра (клиента), това е лесно да се направи, като добавите желания маршрут към неговата таблица за маршрутизиране:

192.168.44.0 маска 255.255.255.0 192.168.31.101

Споменахме задачата на VPN сървъра (клиента) по-горе, той трябва да доставя пакети до този VPN мрежов възел, който е част от мрежата на местоназначението или има маршрут до него.

192.168.44.0 маска 255.255.255.0 10.8.0.2

За достъп от клоновата мрежа до офисната мрежа ще трябва да добавите съответните маршрути към мрежовите възли на клона. Това може да се направи по всеки удобен начин, не непременно същият, както се прави в офиса. Един прост пример от реалния свят: всички компютри в офиса на клон трябва да имат достъп до офис мрежата, но не всички компютри в офиса трябва да имат достъп до офиса на клона. В този случай в клона добавяме маршрута към VPN сървъра (клиента) на рутера, а в офиса го добавяме само към необходимите компютри.

Като цяло, ако разбирате как работи маршрутизирането и как се вземат решенията за препращане на пакети и можете да прочетете таблицата за маршрутизиране, тогава настройването на правилните маршрути не би трябвало да е трудно. Надяваме се, че след като прочетете тази статия, и вие няма да ги имате.

• Етикети:

Моля, активирайте JavaScript, за да видите

Въпреки че темата е халява, въпреки това много често срещат трудности - независимо дали става въпрос за начинаещ системен администратор или просто напреднал потребител, който е бил принуден от началниците си да изпълнява функциите на мениджър на enikey. Парадоксално, въпреки изобилието от информация за VPN, намирането на ясна опция е цял проблем. Нещо повече, дори се създава впечатление, че един е писал – докато други нагло копират текста. В резултат на това резултатите от търсенето са буквално осеяни с изобилие от ненужна информация, от която рядко може да се изолира полезното. Затова реших да сдъвча всички нюанси по свой начин (може би това ще е полезно за някого).

И така, какво е VPN? VPN (ВиртуаленЧастенмрежа- виртуална частна мрежа) - обобщено име за технологии, които позволяват предоставяне на една или повече мрежови връзки (логическа мрежа) през друга мрежа (включително Интернет). В зависимост от използваните протоколи и цели, VPN може да осигури три типа връзки: възел-възел, възел-мрежаи мрежа-мрежа.Както се казва, без коментар.

Стереотипна VPN схема

VPN улеснява комбинирането на отдалечен хост с локалната мрежа на компания или друг хост, както и комбинирането на мрежи в една. Ползата е доста очевидна - лесно получаваме достъп до корпоративната мрежа от VPN клиента. В допълнение, VPN също така защитава вашите данни чрез криптиране.

Не претендирам да ви описвам всички принципи на работа на VPN, тъй като има много специализирана литература и честно казано, аз самият не знам много неща. Ако обаче имате задача „Направи го!”, трябва спешно да се присъедините към темата.

Нека разгледаме една задача от моята лична практика, когато се наложи да комбинирам два офиса чрез VPN - централен офис и клон. Ситуацията се усложни допълнително от факта, че в централния офис имаше видеосървър, който трябваше да получава видео от IP камерата на клона. Ето вашата задача накратко.

Има много начини за решаване. Всичко зависи от това, което имате под ръка. Като цяло VPN е лесно да се изгради с помощта на хардуерно решение, базирано на различни рутери Zyxel. В идеалния случай може да се случи и интернет да се разпределя и в двата офиса от един доставчик и тогава изобщо няма да имате проблеми (просто се обърнете към Provo). Ако фирмата е богата, CISCO също може да си го позволи. Но обикновено всичко се решава със софтуер.

И тук изборът е голям - Open VPN, WinRoute (имайте предвид, че е платен), инструменти на операционната система, програми като Hamanchi (честно казано, в редки случаи може да помогне, но не препоръчвам да разчитате на него - безплатната версия има ограничение от 5 хоста и друг значителен недостатък е, че цялата ви връзка зависи от хоста Hamanchi, което не винаги е добре). В моя случай би било идеално да се използва OpenVPN, безплатна програма, която може лесно да създаде надеждна VPN връзка. Но ние, както винаги, ще поемем по пътя на най-малкото съпротивление.

В моя клон Интернет разпространява шлюз, базиран на клиентски Windows. Съгласен съм, не е най-доброто решение, но достатъчно за три клиентски компютри. Трябва да направя VPN сървър от този шлюз. Тъй като четете тази статия, вероятно сте сигурни, че сте нов в VPN. Затова за вас давам най-простия пример, който по принцип ме устройва.

Windows от семейството на NT вече имат елементарни сървърни възможности, вградени в тях. Настройването на VPN сървър на една от машините не е трудно. Като сървър ще дам примери за екранни снимки на Windows 7, но общите принципи ще бъдат същите като при стария XP.

Моля, имайте предвид, че за да свържете две мрежи, трябва имаха различен диапазон! Например в главния офис диапазонът може да бъде 192.168.0.x, а в клона може да бъде 192.168.20.x (или всеки сив диапазон на IP). Това е много важно, така че бъдете внимателни. Сега можете да започнете да настройвате.

На VPN сървъра отидете на Контролен панел -> Център за мрежи и споделяне -> променете настройките на адаптера.

Сега натиснете клавиша Alt, за да изведете менюто. Там, в елемента Файл, изберете "Нова входяща връзка".

Поставете отметка в квадратчетата за потребители, които могат да влизат чрез VPN. Силно препоръчвам да добавите нов потребител, да му дадете приятелско име и да зададете парола.

След като направите това, трябва да изберете в следващия прозорец как потребителите ще се свързват. Поставете отметка в квадратчето „Чрез интернет“. Сега всичко, което трябва да направите, е да зададете диапазон от адреси на виртуална мрежа. Освен това можете да изберете колко компютри могат да участват в обмена на данни. В следващия прозорец изберете протокола TCP / IP версия 4, щракнете върху "Свойства":

Ще видите какво имам на екранната снимка. Ако искате клиентът да има достъп до локалната мрежа, където се намира сървърът, просто поставете отметка в квадратчето „Разрешаване на обаждащите се да имат достъп до локалната мрежа“. В параграфа „Присвояване на IP адреси“ препоръчвам да посочите адресите ръчно според принципа, който описах по-горе. В моя пример дадох на диапазона само двадесет и пет адреса, въпреки че можех да дам просто два и 255.

След това кликнете върху бутона „Разрешаване на достъп“.

Системата автоматично ще създаде VPN сървър, който ще чака сираче някой да се присъедини към него.

Сега остава само да конфигурирате VPN клиента. На клиентската машина също отидете в Центъра за мрежи и споделяне и изберете Настройте нова връзка или мрежа. Сега ще трябва да изберете елемент "Свързване с работно място"

Кликнете върху „Използване на моята интернет връзка“ и сега ще бъдете хвърлени в прозорец, където ще трябва да въведете адреса на нашия интернет шлюз в клона. За мен изглежда като 95.2.x.x

Сега можете да се обадите на връзката, да въведете потребителското име и паролата, които сте въвели на сървъра, и да опитате да се свържете. Ако всичко е правилно, тогава ще бъдете свързани. В моя случай вече мога да пингувам на всеки компютър в клона и да запитам камерата. Сега неговият моно е лесен за придържане към видео сървъра. Може да имате нещо друго.

Като алтернатива, при свързване може да се появи грешка 800, което показва, че нещо не е наред с връзката. Това е проблем със защитната стена на клиента или на сървъра. По-конкретно, не мога да ви кажа - всичко се определя експериментално.

Ето как непретенциозно създадохме VPN между два офиса. Играчите могат да се комбинират по същия начин. Въпреки това, не забравяйте, че това все още няма да бъде пълноправен сървър и е по-добре да използвате по-модерни инструменти, които ще обсъдя в следващите части.

По-специално, в част 2 ще разгледаме конфигурирането на OPenVPN за Windows и Linux.

Всяка година електронните комуникации се подобряват, а към обмена на информация се поставят все по-високи изисквания за скорост, сигурност и качество на обработката на данните.

И тук ще разгледаме по-отблизо vpn връзката: какво е това, за какво служи vpn тунел и как да използвате vpn връзка.

Този материал е един вид уводна дума към поредица от статии, където ще ви кажем как да създадете vpn на различни операционни системи.

vpn връзка какво е това?

И така, виртуална частна мрежа vpn е технология, която осигурява сигурна (затворена от външен достъп) връзка на логическа мрежа през частна или публична при наличието на високоскоростен интернет.

Такава мрежова връзка на компютри (географски отдалечени един от друг на значително разстояние) използва връзка от точка до точка (с други думи, „компютър към компютър“).

Научно този метод на свързване се нарича vpn тунел (или тунелен протокол). Можете да се свържете с такъв тунел, ако имате компютър с която и да е операционна система, която има интегриран VPN клиент, който може да „препраща“ виртуални портове чрез TCP / IP протокола към друга мрежа.

За какво е vpn?

Основното предимство на vpn е, че преговарящите се нуждаят от платформа за свързване, която не само се мащабира бързо, но и (предимно) осигурява поверителността на данните, целостта на данните и удостоверяването.

Диаграмата ясно показва използването на vpn мрежи.

Предварително правилата за връзки по защитен канал трябва да бъдат написани на сървъра и рутера.

как работи vpn

Когато възникне vpn връзка, информация за IP адреса на VPN сървъра и отдалечения маршрут се предава в заглавката на съобщението.

Капсулирани данни, преминаващи през публична или обществена мрежа, не могат да бъдат прихванати, тъй като цялата информация е криптирана.

Етапът на VPN криптиране се изпълнява от страната на подателя, а данните на получателя се дешифрират от заглавката на съобщението (ако има общ ключ за криптиране).

След правилното дешифриране на съобщението се установява vpn връзка между двете мрежи, което също ви позволява да работите в публична мрежа (например обмен на данни с клиент 93.88.190.5).

Що се отнася до информационната сигурност, Интернет е изключително несигурна мрежа, а VPN мрежа с протоколи OpenVPN, L2TP / IPSec, PPTP, PPPoE е напълно сигурен и сигурен начин за прехвърляне на данни.

За какво е vpn канал?

Използва се vpn тунелиране:

Вътре в корпоративната мрежа;

Да обединява отдалечени офиси, както и малки клонове;

Да обслужва цифрова телефония с широк спектър от телекомуникационни услуги;

За достъп до външни ИТ ресурси;

За изграждане и внедряване на видеоконферентна връзка.

Защо имате нужда от vpn?

vpn връзка е необходима за:

Анонимна работа в Интернет;

Изтегляне на приложения, в случай че IP адресът се намира в друга регионална зона на страната;

Безопасна работа в корпоративна среда с използване на комуникации;

Простота и удобство на настройката на връзката;

Осигуряване на високоскоростна връзка без прекъсвания;

Създаване на защитен канал без хакерски атаки.

Как да използвам vpn?

Примерите за това как работи vpn са безкрайни. Така че на всеки компютър в корпоративната мрежа, когато установявате защитена vpn връзка, можете да използвате пощата, за да проверявате съобщения, да публикувате материали от всяка точка на страната или да изтегляте файлове от торент мрежи.

VPN: какво има в телефона?

Достъпът чрез vpn на вашия телефон (iPhone или друго устройство с Android) ви позволява да останете анонимни, когато използвате интернет на обществени места, както и да предотвратите прихващане на трафик и хакване на устройство.

VPN клиент, инсталиран на всяка ОС, ви позволява да заобиколите много настройки и правила на доставчика (ако той е задал някакви ограничения).

Кой vpn да избера за телефона?

Мобилните телефони и смартфони с Android могат да използват приложения от пазара на Google Play:

• - vpnRoot, droidVPN,
• - tor браузър за сърфиране в мрежи, известен още като orbot
• - InBrowser, orfox (firefox+tor),
• - SuperVPN безплатен VPN клиент
• - Отворете VPN Connect
• - Tunnel Bear VPN
• - Hideman VPN

Повечето от тези програми служат за удобство на "гореща" системна конфигурация, поставяне на преки пътища за стартиране, анонимно сърфиране в Интернет и избор на типа криптиране на връзката.

Но основните задачи на използването на VPN на вашия телефон са проверка на корпоративната електронна поща, създаване на видеоконференции с множество участници и провеждане на срещи извън организацията (например, когато служител е в командировка).

Какво е vpn на iphone?

Помислете кой vpn да изберете и как да го свържете към iPhone по-подробно.

В зависимост от типа на поддържаната мрежа, когато за първи път стартирате VPN конфигурацията на iphone, можете да изберете следните протоколи: L2TP, PPTP и Cisco IPSec (в допълнение, можете да „направите“ vpn връзка с приложения на трети страни) .

Всички тези протоколи поддържат ключове за криптиране, потребителска идентификация с парола и сертифициране.

Сред допълнителните функции при настройка на VPN профил на iPhone може да се отбележи: RSA сигурност, ниво на криптиране и правила за оторизация за свързване със сървъра.

За телефон iphone от магазина за приложения трябва да изберете:

• - безплатно приложение Tunnelbear, с което можете да се свържете с VPN сървъри от всяка страна.
• - OpenVPN Connect е един от най-добрите VPN клиенти. Тук, за да стартирате приложението, първо трябва да импортирате rsa-ключове чрез itunes в телефона си.
• - Cloak е shareware приложение, тъй като известно време продуктът може да се „използва“ безплатно, но за да използвате програмата след изтичане на демо периода, ще трябва да го закупите.

Създаване на VPN: избор и конфигуриране на оборудване

За корпоративна комуникация в големи организации или за консолидиране на офиси, отдалечени един от друг, те използват хардуерно оборудване, което може да поддържа непрекъсната, сигурна мрежа.

За внедряване на vpn технологии, следните могат да действат като мрежов шлюз: Unix сървъри, Windows сървъри, мрежов рутер и мрежов шлюз, на който се издига VPN.

Сървърът или устройството, използвани за създаване на vpn мрежа на предприятие или vpn канал между отдалечени офиси, трябва да изпълнява сложни технически задачи и да предоставя пълен набор от услуги на потребителите както на работни станции, така и на мобилни устройства.

Всеки рутер или vpn рутер трябва да осигурява надеждна мрежова работа без „замръзване“. А вградената vpn функция ви позволява да промените конфигурацията на мрежата за работа у дома, в организация или отдалечен офис.

настройка на vpn на рутера

В общия случай конфигурирането на VPN на рутера се извършва с помощта на уеб интерфейса на рутера. На „класически“ устройства за организиране на vpn трябва да отидете в секцията „настройки“ или „мрежови настройки“, където изберете секцията VPN, укажете типа на протокола, въведете настройките на вашия подмрежов адрес, маски и укажете обхвата на ip адреси за потребители.

Освен това, за да защитите връзката, ще трябва да посочите алгоритми за кодиране, методи за удостоверяване, да генерирате ключове за договаряне и да посочите DNS WINS сървъри. В параметрите "Gateway" трябва да посочите ip-адреса на шлюза (вашия IP) и да попълните данните за всички мрежови адаптери.

Ако в мрежата има няколко рутера, е необходимо да се попълни таблицата за vpn маршрутизиране за всички устройства в VPN тунела.

Ето списък на хардуерното оборудване, използвано при изграждането на VPN мрежи:

Dlink рутери: DIR-320, DIR-620, DSR-1000 с нов фърмуер или рутер D-Link DI808HV.

Рутери Cisco PIX 501, Cisco 871-SEC-K9

Рутер Linksys Rv082, поддържащ около 50 VPN тунела

Рутер Netgear DG834G и модели рутери FVS318G, FVS318N, FVS336G, SRX5308

Mikrotik рутер с OpenVPN функция. Пример RouterBoard RB/2011L-IN Mikrotik

Vpn оборудване RVPN S-Terra или VPN Gate

Рутери ASUS RT-N66U, RT-N16 и RT N-10

Рутери ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Напоследък в света на телекомуникациите се наблюдава повишен интерес към виртуалните частни мрежи (Virtual Private Network - VPN). Това се дължи на необходимостта от намаляване на разходите за поддръжка на корпоративни мрежи поради по-евтино свързване на отдалечени офиси и отдалечени потребители през Интернет. Всъщност, когато се сравняват разходите за услуги за свързване на няколко мрежи през Интернет, например с мрежи Frame Relay, може да се забележи значителна разлика в цената. Трябва обаче да се отбележи, че когато мрежите са свързани чрез Интернет, веднага възниква въпросът за сигурността на предаването на данни, така че се наложи създаването на механизми за гарантиране на поверителността и целостта на предаваната информация. Мрежите, изградени на базата на такива механизми, се наричат ​​VPN.

Освен това много често един съвременен човек, развиващ своя бизнес, трябва да пътува много. Това могат да бъдат пътувания до отдалечени кътчета на нашата страна или до чужди страни. Не е необичайно хората да се нуждаят от достъп до тяхната информация, съхранявана на домашния или фирмен компютър. Този проблем може да бъде решен чрез организиране на отдалечен достъп до него с помощта на модем и линия. Използването на телефонна линия има свои собствени характеристики. Недостатъците на това решение са, че обаждането от друга държава струва много пари. Има друго решение, наречено VPN. Предимствата на VPN технологията е, че организацията на отдалечен достъп се извършва не чрез телефонна линия, а чрез интернет, което е много по-евтино и по-добре. Според мен технологията. VPN има перспективата да бъде широко разпространена по целия свят.

1. Понятието и класификацията на VPN мрежите, тяхното изграждане

1.1 Какво е VPN

VPN(англ. Virtual Private Network – виртуална частна мрежа) – логическа мрежа, създадена върху друга мрежа, например Интернет. Въпреки факта, че комуникациите се осъществяват през обществени мрежи, използвайки несигурни протоколи, криптирането създава канали за обмен на информация, затворени от външни лица. VPN ви позволява да комбинирате, например, няколко офиса на организация в една мрежа, като използвате неконтролирани канали за комуникация между тях.

В основата си VPN има много от свойствата на наета линия, но се разгръща в публична мрежа, като . С техниката на тунелиране пакетите данни се излъчват през обществената мрежа, сякаш са нормална връзка от точка до точка. Между всяка двойка "изпращач-получател на данни" се създава един вид тунел - сигурна логическа връзка, която ви позволява да капсулирате данните от един протокол в пакети от друг. Основните компоненти на тунела са:

• инициатор;
• маршрутизирана мрежа;
• тунелен превключвател;
• един или повече тунелни терминатори.

Сам по себе си принципът на работа на VPN не противоречи на основните мрежови технологии и протоколи. Например, при установяване на комутируема връзка, клиентът изпраща поток от стандартни PPP пакети към сървъра. В случай на организиране на виртуални наети линии между локални мрежи, техните рутери също обменят PPP пакети. Принципно нов момент обаче е препращането на пакети през защитен тунел, организиран в публичната мрежа.

Тунелирането ви позволява да организирате предаването на пакети от един протокол в логическа среда, която използва различен протокол. В резултат на това става възможно да се решат проблемите на взаимодействието между няколко различни типа мрежи, като се започне от необходимостта да се гарантира целостта и поверителността на предаваните данни и се стигне до преодоляване на несъответствията във външните протоколи или схемите за адресиране.

Съществуващата мрежова инфраструктура на корпорацията може да бъде осигурена за използване на VPN чрез софтуер или хардуер. Организацията на виртуална частна мрежа може да се сравни с полагането на кабел през глобална мрежа. Обикновено директна връзка между отдалечен потребител и крайно устройство на тунела се установява с помощта на протокола PPP.

Най-често срещаният метод за създаване на VPN тунели е да се капсулират мрежови протоколи (IP, IPX, AppleTalk и т.н.) в PPP и след това да се капсулират получените пакети в протокол за тунелиране. Обикновено последното е IP или (много по-рядко) ATM и Frame Relay. Този подход се нарича тунелиране на слой 2, тъй като „пътникът“ тук е протоколът на слой 2.

Алтернативен подход - капсулирането на пакети от мрежов протокол директно в протокол за тунелиране (напр. VTP) се нарича тунелиране на слой 3.

Без значение какви протоколи се използват или какви цели преследван в организацията на тунела, основната техника оставапрактически непроменен. Обикновено единият протокол се използва за установяване на връзка с отдалечен хост, а другият се използва за капсулиране на данни и служебна информация за предаване през тунел.

1.2 Класификация на VPN мрежите

VPN решенията могат да бъдат класифицирани според няколко основни параметъра:

1. По вид на използваната среда:

• Защитени VPN мрежи. Най-често срещаният вариант на частни частни мрежи. С негова помощ е възможно да се създаде надеждна и сигурна подмрежа, базирана на ненадеждна мрежа, обикновено интернет. Примери за защитени VPN са: IPSec, OpenVPN и PPTP.
• Доверени VPN мрежи. Използват се в случаите, когато предавателната среда може да се счита за надеждна и е необходимо само да се реши проблемът със създаването на виртуална подмрежа в рамките на по-голяма мрежа. Проблемите със сигурността стават без значение. Примери за такива VPN решения са: MPLS и L2TP. По-правилно е да се каже, че тези протоколи прехвърлят задачата за осигуряване на сигурност на други, например L2TP, като правило, се използва в тандем с IPSec.

2. Според начина на изпълнение:

• VPN мрежи под формата на специален софтуер и хардуер. Внедряването на VPN мрежата се извършва с помощта на специален набор от софтуер и хардуер. Тази реализация осигурява висока производителност и, като правило, висока степен на сигурност.
• VPN мрежи като софтуерно решение. Те използват персонален компютър със специален софтуер, който осигурява VPN функционалност.
• VPN мрежи с интегрирано решение. VPN функционалността се осигурява от комплекс, който също така решава проблемите с филтриране на мрежовия трафик, организиране на защитна стена и осигуряване на качество на услугата.

3. С уговорка:

• Интранет VPN. Те се използват за комбиниране на няколко разпределени клона на една организация в една защитена мрежа, обмен на данни чрез отворени комуникационни канали.
• VPN за отдалечен достъп. Използват се за създаване на защитен канал между корпоративен мрежов сегмент (централен офис или клон) и един потребител, който, докато работи у дома, се свързва с корпоративни ресурси от домашен компютър или, докато е на командировка, се свързва с корпоративна ресурси с помощта на лаптоп.
• Екстранет VPN. Използва се за мрежи, към които се свързват „външни“ потребители (например клиенти или клиенти). Нивото на доверие в тях е много по-ниско, отколкото в служителите на компанията, следователно е необходимо да се осигурят специални „граници“ на защита, които предотвратяват или ограничават достъпа на последните до особено ценна, поверителна информация.

4. По вид на протокола:

• Има реализации на виртуални частни мрежи под TCP/IP, IPX и AppleTalk. Но днес има тенденция към общ преход към TCP / IP протокола и по-голямата част от VPN решенията го поддържат.

5. По ниво на мрежов протокол:

• Чрез слой на мрежовия протокол, базиран на картографиране на слоевете на ISO/OSI мрежовия референтен модел.

1.3. Изграждане на VPN

Има различни опции за изграждане на VPN. Когато избирате решение, трябва да вземете предвид факторите на производителност на VPN създателите. Например, ако рутерът вече работи на границата на своята мощност, тогава добавянето на VPN тунели и прилагането на криптиране / декриптиране на информация може да спре работата на цялата мрежа поради факта, че този рутер няма да може да се справи с обикновен трафик , да не говорим за VPN. Опитът показва, че е най-добре да използвате специализиран хардуер за изграждане на VPN, но ако има ограничение във средствата, тогава можете да обърнете внимание на чисто софтуерно решение. Помислете за някои опции за изграждане на VPN.

• VPN базирана на защитна стена. Повечето производители на защитни стени поддържат тунелиране и криптиране на данни. Всички подобни продукти се основават на факта, че трафикът, преминаващ през защитната стена, е криптиран. Към самия софтуер на защитната стена е добавен модул за криптиране. Недостатъкът на този метод е зависимостта на производителността от хардуера, на който работи защитната стена. Когато използвате компютърни защитни стени, имайте предвид, че подобно решение може да се използва само за малки мрежи с малко количество предавана информация.
• VPN базирана на рутер. Друг начин за изграждане на VPN е да използвате рутери за създаване на защитени канали. Тъй като цялата информация, идваща от локалната мрежа, преминава през рутера, препоръчително е да зададете задачи за криптиране и на този рутер.Пример за оборудване за изграждане на VPN на рутери е оборудване от Cisco Systems. Започвайки с версия на софтуера IOS 11.3, маршрутизаторите на Cisco поддържат както L2TP, така и IPSec протоколи. В допълнение към простото криптиране на трафика при транзит, Cisco поддържа и други VPN функции, като удостоверяване при установяване на тунел и обмен на ключове.Допълнителен модул за криптиране на ESA може да се използва за подобряване на производителността на рутера. В допълнение, Cisco System пусна специално VPN устройство, наречено Cisco 1720 VPN Access Router за инсталиране в малки и средни предприятия и големи клонове.
• Софтуерно базирана VPN. Следващият подход за изграждане на VPN е чисто софтуерно базиран. При внедряването на подобно решение се използва специализиран софтуер, който работи на специален компютър и в повечето случаи действа като прокси сървър. Компютърът с този софтуер може да се намира зад защитна стена.
• VPN базирана мрежова ОС.Ще разгледаме решения, базирани на мрежовата ОС, като използваме примера на Windows OS на Microsoft. За да създаде VPN, Microsoft използва протокола PPTP, който е интегриран в системата на Windows. Това решение е много привлекателно за организации, които използват Windows като корпоративна операционна система. Трябва да се отбележи, че цената на такова решение е много по-ниска от цената на други решения. Базираната на Windows VPN използва потребителска база, съхранена на основния контролер на домейн (PDC). Когато се свързва към PPTP сървър, потребителят се удостоверява с помощта на протоколите PAP, CHAP или MS-CHAP. Изпратените пакети са капсулирани в GRE/PPTP пакети. За криптиране на пакети се използва нестандартен протокол от Microsoft Point-to-Point Encryption с 40 или 128 битов ключ, получен в момента на установяване на връзката. Недостатъците на тази система са липсата на проверки за целостта на данните и невъзможността за смяна на ключовете по време на връзката. Положителните аспекти са лесната интеграция с Windows и ниската цена.
• Хардуерно базирана VPN. Опцията за изграждане на VPN на специални устройства може да се използва в мрежи, които изискват висока производителност. Пример за такова решение е IPro-VPN продуктът на Radguard. Този продукт използва хардуерно базирано криптиране на предаваната информация, способно да предава поток от 100 Mbps. IPro-VPN поддържа протокол IPSec и механизъм за управление на ключове ISAKMP/Oakley. Освен всичко друго, това устройство поддържа превод на мрежови адреси и може да бъде допълнено със специална платка, която добавя функции на защитна стена

2. Протоколи на VPN мрежи

VPN мрежите са изградени с помощта на протоколи за тунелиране на данни през публичната интернет комуникационна мрежа, като протоколите за тунелиране криптират данните и ги предават от край до край между потребителите. Като правило днес за изграждане на VPN мрежи се използват следните протоколи:

• Връзков слой
• мрежов слой
• транспортен слой.

2.1 Връзков слой

В слоя за връзка за данни могат да се използват протоколите за тунелиране на данни L2TP и PPTP, които използват оторизация и удостоверяване.

PPTP.

В момента най-разпространеният VPN протокол е протоколът за тунелиране от точка до точка - PPTP. Той е разработен от 3Com и Microsoft за осигуряване на защитен отдалечен достъп до корпоративни мрежи през Интернет. PPTP използва съществуващите отворени TCP/IP стандарти и разчита в голяма степен на наследения PPP протокол от точка до точка. На практика PPP остава комуникационният протокол на сесия за PPP връзка. PPTP създава тунел през мрежата до NT сървъра на получателя и изпраща PPP пакетите на отдалечения потребител през него. Сървърът и работната станция използват виртуална частна мрежа и не се интересуват колко сигурна или достъпна е глобалната мрежа между тях. Инициирано от сървъра прекратяване на сесия на връзка, за разлика от специализираните сървъри за отдалечен достъп, позволява на администраторите на локална мрежа да не допускат отдалечени потребители през системата за сигурност на Windows Server.

Докато PPTP е ограничен до устройства, работещи с Windows, той дава на компаниите възможността да взаимодействат със съществуващите мрежови инфраструктури, без да компрометират собствената си сигурност. По този начин отдалечен потребител може да се свърже с интернет, като използва локален интернет доставчик през аналогова телефонна линия или ISDN канал и да установи връзка към NT сървъра. В същото време компанията не трябва да харчи големи суми за организацията и поддръжката на модем пул, който предоставя услуги за отдалечен достъп.

След това се обсъжда работата на RRTR. PPTP капсулира IP пакети за предаване през IP мрежа. PPTP клиентите използват порта дестинация, за да създадат връзка за управление на тунела. Този процес се случва на транспортния слой на OSI модела. След създаването на тунела, клиентският компютър и сървърът започват да обменят сервизни пакети. В допълнение към PPTP контролната връзка, която поддържа връзката жива, се създава връзка за препращане на тунела за данни. Данните се капсулират, преди да бъдат изпратени през тунела по малко по-различен начин, отколкото при нормално предаване. Капсулирането на данни преди изпращането им в тунела включва две стъпки:

1. Първо се създава информационната част за ПЧП. Данните протичат отгоре надолу, от слоя на приложението OSI към слоя на връзката.
2. След това получените данни се изпращат нагоре по OSI модела и се капсулират от протоколи на горния слой.

Така по време на второто преминаване данните достигат до транспортния слой. Информацията обаче не може да бъде изпратена до местоназначението си, тъй като слоят на връзката OSI е отговорен за това. Следователно, PPTP криптира полето за полезен товар на пакета и поема функциите на втория слой, обикновено свързани с PPP, т.е. добавя PPP заглавка и край към PPTP пакет. Това завършва създаването на рамката на свързващия слой.

На следващо място, PPTP капсулира PPP рамката в пакет Generic Routing Encapsulation (GRE), който принадлежи на мрежовия слой. GRE капсулира протоколи на мрежовия слой като IPX, AppleTalk, DECnet, за да им позволи да бъдат транспортирани през IP мрежи. GRE обаче няма способността да установява сесии и да осигурява защита на данните от натрапници. Това използва способността на PPTP за създаване на връзка за управление на тунела. Използването на GRE като метод за капсулиране ограничава обхвата на PPTP само до IP мрежи.

След като PPP рамката е капсулирана в рамка с GRE заглавка, тя се капсулира в рамка с IP заглавка. IP заглавката съдържа адресите на изпращача и получателя на пакета. И накрая, PPTP добавя PPP заглавка и край.

Изпращащата система изпраща данни през тунела. Приемащата система премахва всички заглавки на услугата, оставяйки само PPP данните.

L2TP

В близко бъдеще се очаква увеличаване на броя на VPN мрежите, внедрени на базата на новия Layer 2 Tunneling Protocol - L2TP.

L2TP се появи в резултат на сливането на протоколите PPTP и L2F (Layer 2 Forwarding). PPTP позволява предаването на PPP пакети през тунела, както и на SLIP и PPP L2F пакети. За да се избегне объркване и проблеми с оперативната съвместимост на телекомуникационния пазар, комисията на Internet Engineering Task Force (IETF) препоръча Cisco Systems да комбинира PPTP и L2F. По всички сметки, протоколът L2TP включва най-добрите характеристики на PPTP и L2F. Основното предимство на L2TP е, че този протокол ви позволява да създавате тунел не само в IP мрежи, но и в мрежи като ATM, X.25 и Frame Relay. За съжаление, реализацията на L2TP в Windows 2000 поддържа само IP.

L2TP използва UDP като транспорт и използва същия формат на съобщение както за управление на тунели, така и за препращане на данни. Внедряването на L2TP от Microsoft използва UDP пакети, съдържащи криптирани PPP пакети като контролни съобщения. Надеждността на доставката се гарантира от контрола на последователността на пакетите.

Функционалността на PPTP и L2TP е различна. L2TP може да се използва не само в IP мрежи, сервизните съобщения за създаване на тунел и изпращане на данни през него използват същия формат и протоколи. PPTP може да се използва само през IP мрежи и се нуждае от отделна TCP връзка за създаване и използване на тунела. L2TP през IPSec предлага повече слоеве на сигурност от PPTP и може да гарантира близо 100% сигурност на критичните за бизнеса данни. Характеристиките на L2TP го правят много обещаващ протокол за изграждане на виртуални мрежи.

Протоколите L2TP и PPTP се различават от протоколите за тунелиране на слой 3 по няколко начина:

1. Предоставяне на корпорациите възможността да избират как потребителите да удостоверяват и проверяват своите идентификационни данни - на собствена "територия" или с доставчик на интернет услуги. Чрез обработка на тунелирани PPP пакети, сървърите на корпоративната мрежа получават цялата информация, от която се нуждаят, за да идентифицират потребителите.
2. Поддръжка за превключване на тунели - прекратяване на един тунел и иницииране на друг към един от многото потенциални терминатори. Превключването на тунели позволява да се разшири PPP връзката до необходимата крайна точка.
3. Даване на възможност на системните администратори на корпоративна мрежа да прилагат стратегии за присвояване на права за достъп на потребителите директно на защитната стена и вътрешните сървъри. Тъй като тунелните терминатори получават PPP пакети, съдържащи потребителска информация, те могат да прилагат дефинирани от администратора политики за сигурност към индивидуален потребителски трафик. (Тунелирането на слой 3 не прави възможно разграничаването на пакетите, идващи от доставчика, така че филтрите на политиката за сигурност трябва да се прилагат към крайните работни станции и мрежовите устройства.) Освен това, ако се използва тунелен ключ, става възможно да се организира " продължение" на тунела второ ниво за директен превод на трафика на физически лицапотребители към съответните вътрешни сървъри. На такива сървъри може да се възложи допълнително филтриране на пакети.

MPLS

Също така на слоя на връзката MPLS технологията може да се използва за организиране на тунели (От английски Multiprotocol Label Switching – мултипротоколно превключване на етикети – механизъм за пренос на данни, който емулира различни свойства на мрежи с комутация на вериги през мрежи с комутация на пакети). MPLS работи на слой, който може да бъде поставен между слоя на връзката за данни и третия мрежов слой на OSI модела и следователно обикновено се нарича протокол на слоя за мрежова връзка. Той е проектиран да предоставя гъвкава услуга за данни както за клиенти на мрежи с комутация на вериги, така и с комутация на пакети. С MPLS можете да пренасяте голямо разнообразие от трафик, като IP пакети, ATM, SONET и Ethernet рамки.

VPN решенията на ниво връзка имат доста ограничен обхват, обикновено в рамките на домейна на доставчика.

2.2 Мрежов слой

Мрежов слой (IP слой). Използва се протоколът IPSec, който реализира криптиране и конфиденциалност на данните, както и удостоверяване на абонатите. Използването на протокола IPSec ви позволява да внедрите пълнофункционален достъп, еквивалентен на физическа връзка с корпоративна мрежа. За да създаде VPN, всеки участник трябва да конфигурира определени параметри на IPSec, т.е. всеки клиент трябва да има софтуер, който внедрява IPSec.

IPSec

Естествено, никоя компания не би искала да прехвърли открито Интернет финансова или друга поверителна информация. VPN каналите са защитени от мощни алгоритми за криптиране, вградени в стандартите на протокола за сигурност IPsec. IPSec или Internet Protocol Security - стандартът, избран от международната общност, IETF - Internet Engineering Task Force, създава основата за сигурност за Интернет протокола (IP / IPSec протоколът осигурява защита на мрежово ниво и изисква поддръжка за стандарта IPSec само от устройства, комуникиращи помежду си и на всички други устройства между тях, просто осигуряват IP пакетен трафик.

Методът на взаимодействие между лицата, използващи технологията IPSec, обикновено се дефинира с термина "сигурна асоциация" - Security Association (SA). Сигурната асоциация функционира въз основа на споразумение, сключено от страните, които използват IPSec за защита на информацията, предавана един на друг. Това споразумение регулира няколко параметъра: IP адреси на подателя и получателя, криптографски алгоритъм, ред за обмен на ключове, размери на ключове, живот на ключа, алгоритъм за удостоверяване.

IPSec е консенсусен набор от отворени стандарти, който има ядро, което може лесно да бъде разширено с нови функции и протоколи. Ядрото на IPSec се състои от три протокола:

· ANили Authentication Header - заглавка за удостоверяване - гарантира целостта и автентичността на данните. Основната цел на протокола AH е да позволи на получаващата страна да се увери, че:

• пакетът е изпратен от страна, с която е установена сигурна връзка;
• съдържанието на пакета не е изкривено по време на предаването му по мрежата;
• пакетът не е дубликат на вече получен пакет.

Първите две функции са задължителни за протокола AH, а последната е по избор при установяване на асоциация. За да изпълнява тези функции, протоколът AH използва специална заглавка. Неговата структура се разглежда, както следва:

1. Следващото поле на заглавието показва кода на протокола от по-високо ниво, тоест протокола, чието съобщение е поставено в полето за данни на IP пакета.
2. Полето за дължина на полезния товар съдържа дължината на AH заглавката.
3. Индексът на параметрите на сигурността (SPI) се използва за асоцииране на пакет с предвидената защитена асоциация.
4. Полето последователен номер (SN) указва поредния номер на пакета и се използва за защита срещу подправяне (когато трета страна се опитва да използва повторно прихванати защитени пакети, изпратени от наистина удостоверен подател).
5. Полето за данни за удостоверяване, което съдържа така наречената стойност за проверка на целостта (ICV), се използва за удостоверяване и проверка на целостта на пакета. Тази стойност, наричана още обобщена информация, се изчислява с помощта на една от двете необратими изчислително функции MD5 или SAH-1, изисквани от протокола AH, но може да се използва всяка друга функция.

· ESP или Encapsulating Security Payload- капсулиране на криптирани данни - криптира предаваните данни, осигурявайки конфиденциалност, може също да поддържа автентичност и целостта на данните;

Протоколът ESP решава две групи проблеми.

1. Първият включва задачи, подобни на тези на протокола AH - това е осигуряването на удостоверяване и целостта на данните въз основа на обобщението,
2. Към втория - предавани данни чрез криптирането им от неоторизирано гледане.

Заглавката е разделена на две части, разделени от поле за данни.

1. Първата част, наречена самият ESP хедър, се формира от две полета (SPI и SN), чиято цел е подобна на едноименните полета в протокола AH и се поставя преди полето за данни.
2. Останалите служебни полета на ESP протокола, наречени ESP трейлър, се намират в края на пакета.

Двете полета на трейлъра - следващото заглавие и данните за удостоверяване - са подобни на полетата на заглавката AH. Полето за данни за удостоверяване се пропуска, ако е взето решение да не се използват възможностите за интегритет на ESP протокола при установяване на защитена асоциация. В допълнение към тези полета, трейлърът съдържа две допълнителни полета - filler и filler length.

Протоколите AH и ESP могат да защитават данните в два режима:

1. в транспорта - предаването се извършва с оригинални IP заглавки;
2. в тунел - оригиналният пакет се поставя в нов IP пакет и предаването се извършва с нови заглавки.

Използването на един или друг режим зависи от изискванията за защита на данните, както и от ролята, която играе в мрежата възелът, който прекратява защитения канал. По този начин един възел може да бъде хост (краен възел) или шлюз (междинен възел).

Съответно има три схеми за използване на протокола IPSec:

1. хост хост;
2. шлюз-шлюз;
3. хост шлюз.

Възможностите на протоколите AH и ESP частично се припокриват: протоколът AH е отговорен само за гарантиране на целостта и удостоверяването на данните, протоколът ESP може да криптира данни и освен това да изпълнява функциите на протокола AH (в съкратена форма) . ESP може да поддържа функции за криптиране и удостоверяване/интегритет във всяка комбинация, т.е. или цялата група функции, или само удостоверяване/интегритет, или само криптиране.

· IKE или Internet Key Exchange – обмен на интернет ключове – решава спомагателната задача за автоматично предоставяне на крайни точки на защитен канал със секретни ключове, необходими за работата на протоколите за удостоверяване и криптиране на данни.

2.3 Транспортен слой

Транспортният слой използва протокола SSL/TLS или Secure Socket Layer/Transport Layer Security, който реализира криптиране и удостоверяване между транспортните слоеве на приемника и предавателя. SSL/TLS може да се използва за защита на TCP трафик, не може да се използва за защита на UDP трафик. Не е необходимо да се внедрява специален софтуер, за да функционира SSL/TLS VPN, тъй като всеки браузър и имейл клиент е оборудван с тези протоколи. Поради факта, че SSL/TLS е внедрен на транспортния слой, се установява сигурна връзка от край до край.

TLS протоколът е базиран на Netscape SSL протокол версия 3.0 и се състои от две части - TLS Record Protocol и TLS Handshake Protocol. Разликата между SSL 3.0 и TLS 1.0 е незначителна.

SSL/TLS включва три основни фази:

1. Диалог между страните, чиято цел е избор на алгоритъм за криптиране;
2. Обмен на ключове на базата на криптосистеми с публичен ключ или удостоверяване, базирано на сертификат;
3. Прехвърляне на данни, криптирани с помощта на симетрични алгоритми за криптиране.

2.4 Внедряване на VPN: IPSec или SSL/TLS?

Често ръководителите на ИТ отдели са изправени пред въпроса: кой от протоколите да изберат за изграждане на корпоративна VPN мрежа? Отговорът не е очевиден, тъй като всеки подход има както плюсове, така и минуси. Ще се опитаме да проведем и идентифицираме кога е необходимо да се използва IPSec и кога SSL / TLS. Както се вижда от анализа на характеристиките на тези протоколи, те не са взаимозаменяеми и могат да функционират както поотделно, така и паралелно, определяйки функционалните характеристики на всяка една от внедрените VPN.

Изборът на протокол за изграждане на корпоративна VPN мрежа може да се извърши по следните критерии:

· Тип достъп, необходим за VPN потребители.

1. Напълно функционална постоянна връзка с корпоративната мрежа. Препоръчителният избор е IPSec.
2. Временна връзка, като например мобилен потребител или потребител, използващ публичен компютър, за да получи достъп до определени услуги, като електронна поща или база данни. Препоръчителният избор е протоколът SSL/TLS, който ви позволява да организирате VPN за всяка отделна услуга.

· Дали потребителят е служител на компанията.

1. Ако потребителят е служител на компанията, устройството, което използва за достъп до корпоративната мрежа чрез IPSec VPN, може да бъде конфигурирано по някакъв специфичен начин.
2. Ако потребителят не е служител на компанията, чиято корпоративна мрежа се осъществява, се препоръчва използването на SSL/TLS. Това ще ограничи достъпа на гостите само до определени услуги.

· Какво е нивото на сигурност на корпоративната мрежа.

1. Високо. Препоръчителният избор е IPSec. Всъщност нивото на сигурност, предлагано от IPSec, е много по-високо от нивото на сигурност, предлагано от протокола SSL / TLS поради използването на конфигурируем софтуер от страна на потребителя и шлюз за сигурност от страна на корпоративната мрежа.
2. Средно аритметично. Препоръчителният избор е протоколът SSL/TLS, позволяващ достъп от всеки терминал.

· Нивото на сигурност на данните, предавани от потребителя.

1. Високо, например, управление на компанията. Препоръчителният избор е IPSec.
2. Среден, например, партньор. Препоръчителният избор е протоколът SSL/TLS.

В зависимост от услугата - от средна до висока. Препоръчителният избор е комбинация от IPSec (за услуги, изискващи високо ниво на сигурност) и SSL/TLS (за услуги, изискващи средно ниво на сигурност).

· Какво е по-важно, бързото внедряване на VPN или бъдеща мащабируемост на решението.

1. Бързо разгръщане на VPN мрежа с минимални разходи. Препоръчителният избор е протоколът SSL/TLS. В този случай няма нужда от внедряване на специален софтуер от страна на потребителя, както в случая с IPSec.
2. скалируемост на VPN мрежата - добавяне на достъп до различни услуги. Препоръчителният избор е протоколът IPSec, позволяващ достъп до всички услуги и ресурси на корпоративната мрежа.
3. Бързо внедряване и мащабируемост. Препоръчителният избор е комбинация от IPSec и SSL/TLS: използвайте SSL/TLS в първата фаза за достъп до необходимите услуги, последвано от внедряване на IPSec.

3. Методи за внедряване на VPN мрежи

Виртуалната частна мрежа се основава на три метода за изпълнение:

· Тунелиране;

· Криптиране;

· Удостоверяване.

3.1 Тунелиране

Тунелирането осигурява трансфер на данни между две точки - краищата на тунела - по такъв начин, че цялата мрежова инфраструктура, лежаща между тях, е скрита за източника и местоназначението на данните.

Тунелната транспортна среда, подобно на ферибот, взема пакетите от мрежовия протокол, използван на входа на тунела, и ги доставя непроменени до изхода. Изграждането на тунел е достатъчно за свързване на два мрежови възела, така че от гледна точка на софтуера, работещ върху тях, те да изглеждат свързани към една и съща (локална) мрежа. Въпреки това, не трябва да забравяме, че всъщност „фериботът“ с данни минава през много междинни възли (рутери) на отворена обществена мрежа.

Това състояние на нещата има два проблема. Първият е, че информацията, предавана през тунела, може да бъде прихвана от натрапници. Ако е поверителен (номера на банкови карти, финансови отчети, лична информация), тогава заплахата от компрометирането му е съвсем реална, което вече е неприятно само по себе си. По-лошото е, че нападателите имат възможността да променят данните, предавани през тунела, така че получателят да не може да провери тяхната автентичност. Последствията могат да бъдат най-плачевните. Предвид гореизложеното стигаме до извода, че тунелът в чист вид е подходящ само за някои видове мрежови компютърни игри и не може да претендира за по-сериозен. И двата проблема се решават със съвременни средства за криптографска защита на информацията. За предотвратяване на неоторизирани промени в пакета данни по пътя му през тунела се използва методът на електронен цифров подпис (). Същността на метода е, че всеки предаван пакет се доставя с допълнителен блок информация, който се генерира в съответствие с асиметричен криптографски алгоритъм и е уникален за съдържанието на пакета и секретния ключ на EDS на изпращача. Този блок от информация е EDS на пакета и ви позволява да извършите удостоверяване на данни от получателя, който знае публичния ключ на EDS на подателя. Защитата на предаваните през тунела данни от неоторизирано гледане се постига чрез използване на силни алгоритми за криптиране.

3.2 Удостоверяване

Сигурността е основната функция на VPN. Всички данни от клиентски компютри преминават през Интернет към VPN сървъра. Такъв сървър може да се намира на голямо разстояние от клиентския компютър и данните по пътя към мрежата на организацията преминават през оборудването на много доставчици. Как да се уверите, че данните не са прочетени или променени? За да направите това, се използват различни методи за удостоверяване и криптиране.

PPTP може да използва всеки от протоколите, използвани за PPP, за удостоверяване на потребители.

• EAP или Extensible Authentication Protocol;
• MSCHAP или Microsoft Challenge Handshake Authentication Protocol (версии 1 и 2);
• CHAP или Challenge Handshake Authentication Protocol;
• SPAP или протокол за удостоверяване на парола Shiva;
• PAP или Протокол за удостоверяване на парола.

MSCHAP версия 2 и сигурност на транспортния слой (EAP-TLS) се считат за най-добри, защото осигуряват взаимно удостоверяване, т.е. VPN сървърът и клиентът се идентифицират взаимно. Във всички останали протоколи само сървърът удостоверява клиентите.

Въпреки че PPTP осигурява достатъчна степен на сигурност, L2TP през IPSec е все още по-надежден. L2TP през IPSec осигурява удостоверяване на ниво потребител и компютър, както и удостоверяване и криптиране на данни.

Удостоверяването се извършва или чрез отворен тест (парола за изчистен текст), или чрез схема за заявка/отговор (предизвикателство/отговор). С директен текст всичко е ясно. Клиентът изпраща паролата на сървъра. Сървърът сравнява това с бенчмарка и или отказва достъп, или казва "добре дошли". Отворената автентификация на практика не съществува.

Схемата за искане/отговор е много по-напреднала. Като цяло изглежда така:

• клиентът изпраща заявка до сървъра за удостоверяване;
• сървърът връща произволен отговор (предизвикателство);
• клиентът премахва хеш от паролата си (хешът е резултат от хеш функция, която преобразува масив от входни данни с произволна дължина в изходен битов низ с фиксирана дължина), криптира отговора с него и го изпраща на сървъра;
• сървърът прави същото, сравнявайки резултата с отговора на клиента;
• ако криптираният отговор съвпада, удостоверяването се счита за успешно;

В първата стъпка от удостоверяване на VPN клиенти и сървъри, L2TP през IPSec използва локални сертификати, получени от сертифициращ орган. Клиентът и сървърът обменят сертификати и създават сигурна ESP SA (сигурна асоциация) връзка. След като L2TP (през IPSec) завърши процеса на удостоверяване на компютъра, се извършва удостоверяване на ниво потребител. Всеки протокол може да се използва за удостоверяване, дори PAP, който предава потребителското име и паролата в ясен текст. Това е доста сигурно, тъй като L2TP през IPSec криптира цялата сесия. Въпреки това, удостоверяването на потребителя с MSCHAP, който използва различни ключове за криптиране за удостоверяване на компютъра и потребителя, може да повиши сигурността.

3.3. криптиране

Шифроването с PPTP гарантира, че никой няма достъп до данните, докато се изпращат по интернет. Понастоящем се поддържат два метода за криптиране:

• MPPE или Microsoft Point-to-Point Encryption е съвместимо само с MSCHAP (версии 1 и 2);
• EAP-TLS и може автоматично да избира дължината на ключа за криптиране при договаряне на параметри между клиента и сървъра.

MPPE поддържа 40, 56 или 128 битови ключове. По-старите операционни системи Windows поддържат само криптиране с дължина на ключа от 40 бита, така че в смесена среда на Windows изберете минималната дължина на ключа.

PPTP променя стойността на ключа за криптиране след всеки получен пакет. Протоколът MMPE е проектиран за връзки от точка до точка, където пакетите се предават последователно и има много малка загуба на данни. В тази ситуация стойността на ключа за следващия пакет зависи от резултатите от декриптирането на предишния пакет. При изграждане на виртуални мрежи чрез публични мрежи тези условия не могат да бъдат изпълнени, тъй като пакетите с данни често пристигат при получателя в грешен ред, в който са били изпратени. Следователно, PPTP използва последователни номера на пакети, за да промени ключа за криптиране. Това позволява декриптирането да се извършва независимо от предишните получени пакети.

И двата протокола са внедрени както в Microsoft Windows, така и извън него (например в BSD), алгоритмите за работа на VPN могат да се различават значително.

По този начин пакетът „тунелиране + удостоверяване + криптиране“ ви позволява да прехвърляте данни между две точки през публична мрежа, симулирайки работата на частна (локална) мрежа. С други думи, разглежданите инструменти ви позволяват да изградите виртуална частна мрежа.

Допълнителен приятен ефект от VPN връзка е възможността (и дори необходимостта) да се използва системата за адресиране, приета в локалната мрежа.

Внедряването на виртуална частна мрежа на практика е както следва. В локалната компютърна мрежа на офиса на компанията е инсталиран VPN сървър. Отдалеченият потребител (или рутер, ако са свързани два офиса) с помощта на VPN клиентски софтуер инициира процедурата за свързване със сървъра. Извършва се удостоверяване на потребителя - първата фаза на установяване на VPN връзка. В случай на потвърждение на правомощия започва втората фаза - между клиента и сървъра се договарят детайлите за осигуряване на сигурността на връзката. След това се организира VPN връзка, която осигурява обмена на информация между клиента и сървъра под формата, когато всеки пакет данни преминава през процедурите на криптиране/декриптиране и проверка на целостта - удостоверяване на данни.

Основният проблем на VPN мрежите е липсата на установени стандарти за удостоверяване и обмен на криптирана информация. Тези стандарти все още са в процес на разработка и следователно продукти от различни производители не могат да установяват VPN връзки и автоматично да обменят ключове. Този проблем води до забавяне на разпространението на VPN, тъй като е трудно да се принудят различни компании да използват продуктите на един производител и следователно процесът на комбиниране на мрежи на партньорски компании в така наречените екстранет мрежи е труден.

Предимствата на VPN технологията са, че организацията на отдалечен достъп се извършва не чрез телефонна линия, а чрез интернет, което е много по-евтино и по-добре. Недостатъкът на VPN технологията е, че инструментите за изграждане на VPN не са пълноценни инструменти за откриване и блокиране на атаки. Те могат да предотвратят редица неразрешени действия, но не всички възможности, които могат да се използват за проникване в корпоративна мрежа. Но въпреки всичко това VPN технологията има перспективи за по-нататъшно развитие.

Какво можем да очакваме по отношение на развитието на VPN технологиите в бъдеще? Без съмнение ще бъде разработен и одобрен единен стандарт за изграждане на такива мрежи. Най-вероятно основата на този стандарт ще бъде вече доказаният протокол IPSec. След това производителите ще се съсредоточат върху подобряването на производителността на своите продукти и създаването на удобни VPN контроли. Най-вероятно развитието на инструменти за изграждане на VPN ще върви в посока на VPN, базирани на рутери, тъй като това решение съчетава доста висока производителност, VPN интеграция и маршрутизиране в едно устройство. Въпреки това ще бъдат разработени и евтини решения за по-малки организации. В заключение трябва да се каже, че въпреки факта, че VPN технологията е все още много млада, пред нея има голямо бъдеще.

Оставете вашия коментар!