Hvordan lage vpn mellom kontorer. · Typen tilgang som kreves for VPN-brukere. Og hvordan gjøre det

Internett har kommet godt inn i livet vårt, og hvis tidligere, i løpet av årene med dominansen av analoge modemer, for å få tilgang til Internett måtte ta hensyn til både trafikkvolumet og tilkoblingstiden, har i dag en ubegrenset tilkobling til Internett blitt normen. Det vil si at hvis det ikke er Internett til enhver tid og i et "volum", så er dette allerede noe utenom det vanlige. Dessuten, hvis tilgjengeligheten av ubegrenset Internett tidligere ble ansett som de facto-standarden for bedriftsnettverk, har det i dag allerede blitt normen for sluttbrukere. Sammen med utviklingen av Internett endrer den konseptuelle modellen for bruken seg. Nye tjenester dukker opp, for eksempel video on demand og VoIP, peer-to-peer fildelingsnettverk (BitTorrent) er under utvikling, osv. I det siste har organiseringen av virtuelle private nettverk (VPN) over Internett blitt veldig populært blant muligheten til å organisere ekstern tilgang til hvilken som helst datamaskin i dette nettverket. Hvordan dette kan gjøres vil bli diskutert i denne artikkelen.

Hvorfor trengs det

Organiseringen av VPN-nettverk over Internett eller i et lokalt nettverk har mange bruksscenarier: nettverksspill på Internett omgår spillservere (akkurat som å spille på et lokalt nettverk), skaper et nettverk som er stengt fra utenforstående for å overføre konfidensiell informasjon, muligheten å eksternt og sikkert kontrollere datamaskiner (full kontroll over en ekstern PC), organisering av sikker tilgang for ansatte på forretningsreise til ressursene i bedriftsnettverket, kommunikasjon via et virtuelt nettverk av individuelle kontorer (lokale nettverk).

Den tradisjonelle tilnærmingen til å distribuere et slikt virtuelt privat nettverk er at en VPN-server (vanligvis Linux-basert) heves og konfigureres på bedriftsnettverket, og eksterne brukere går inn i bedriftsnettverket over VPN-tilkoblinger.

Imidlertid er denne tilnærmingen ubrukelig i tilfellet når brukeren trenger å få ekstern tilgang til sin hjemmedatamaskin. Det er usannsynlig at situasjonen når en separat VPN-server kommer opp hjemme kan anses som normal. Men fortvil ikke. Oppgaven med å lage et VPN-nettverk er løsbar og selv en nybegynner kan gjøre. For dette formålet er det et spesielt program Hamachi, som fritt kan lastes ned fra Internett (http://www.hamachi.cc/download/list.php). Det som er spesielt gledelig er tilgjengeligheten til den russifiserte versjonen, slik at enhver bruker kan mestre programmet.

Hamachi 1.0.2.2

Så Hamachi (gjeldende versjon 1.0.2.2) er et program som lar deg lage et virtuelt privat nettverk (VPN) over Internett og koble til flere datamaskiner i det. Etter å ha opprettet et slikt nettverk kan brukere etablere VPN-sesjoner med hverandre og jobbe i dette nettverket på samme måte som i et vanlig lokalt (LAN) nettverk med mulighet til å utveksle filer, fjernadministrere datamaskiner osv. Fordelen med en VPN er at den er fullstendig beskyttet mot uautorisert forstyrrelse og er usynlig fra Internett, selv om den finnes på den.

Hamachi må være installert på alle datamaskiner for å være koblet til et virtuelt privat nettverk.

Det virtuelle nettverket opprettes ved hjelp av en dedikert Hamachi-server på Internett. For å koble til denne serveren brukes portene 12975 og 32976. Den første porten (12975) brukes kun for å etablere en tilkobling, og den andre brukes under drift. Vanlige brukere trenger imidlertid neppe så detaljert informasjon.

Etter bruk av Hamachi-serveren opprettes et virtuelt nettverk mellom de valgte datamaskinene, utveksling av informasjon mellom VPN-nettverksklientene skjer direkte, det vil si uten deltakelse fra Hamachi-serveren. UDP-protokollen brukes til å utveksle data mellom VPN-klienter.

Programinstallasjon

Hamachi er installert på datamaskiner som kjører Windows 2000 / XP / 2003 / Vista. Det finnes også konsollversjoner av programmet for Linux og Mac OS X. Deretter vil vi vurdere å installere og konfigurere programmet ved å bruke eksemplet med Windows XP-operativsystemet.

Installasjonen av Hamachi er ganske enkel og forårsaker ikke problemer (spesielt med tanke på at grensesnittet til installasjonsveiviseren som lanseres er russisk). Etter å ha startet installasjonen av programmet, startes installasjonsveiviseren på datamaskinen, som ber deg godta lisensavtalen, velge en mappe for installasjon av programmet (fig. 1), opprette et ikon på skrivebordet osv.

Noen nyttige valgfrie funksjoner som kan aktiveres under installasjonsprosessen inkluderer automatisk oppstart av Hamachi når datamaskinen starter opp og blokkering av sårbare tjenester for Hamachi-tilkoblinger (Figur 2). I sistnevnte tilfelle vil Windows-fildelingstjenesten for Hamachi virtuelle nettverksadapter bli blokkert. Som et resultat vil ikke andre brukere av VPN-nettverket få tilgang til filene og mappene som er delt på datamaskinen din. Samtidig vil disse filene og mappene forbli tilgjengelige for vanlige brukere av det lokale nettverket, for tilkoblingen som en VPN-tilkobling ikke brukes med.

Ris. 1. Installasjonsveiviseren for Hamachi lar deg spesifisere mappen
for å plassere programmet, lag et ikon på skrivebordet
og velg det valgfrie alternativet for å starte programmet automatisk
når datamaskinen starter opp

I tillegg til å blokkere Windows-fildelingstjenesten, blokkerer blokkering av sårbare tjenester for Hamachi-tilkoblinger også ekstern tilgang til visse Windows-tjenester som ofte blir angrepet. Følgelig, hvis du bruker Hamachi-programmet til å koble til pålitelige klienter som du stoler på, er det bedre å deaktivere alternativet for å blokkere sårbare tjenester.

Ris. 2. Hamachi installasjonsveiviseren lar deg blokkere
sårbare tjenester for Hamachi-forbindelser

På det siste stadiet vil installasjonsveiviseren tilby deg å velge hvilken versjon av programmet du vil installere: grunnversjonen eller Premium. Hamachi kommer i to versjoner. Grunnversjonen er gratis, mens premiumversjonen, som har flere funksjoner, er betalt. Merk at for de fleste brukere er den gratis grunnleggende versjonen av programmet ganske nok (vi vil fortelle deg om de detaljerte forskjellene mellom grunnversjonen og Premium-versjonen litt senere), men standardtilnærmingen er som følger: først Premium versjonen er installert i 45 dager (gratis), og etter denne perioden er det automatisk en overgang til grunnversjonen.

Etter at du har installert og startet Hamachi-programmet på datamaskinen din, hvis programmet ble installert for første gang, starter en kort guide til Hamachi, som beskriver hvordan du arbeider med programmet.

Første lansering av programmet

Første gang du starter programmet, opprettes kontoen din. På dette stadiet må du angi navnet på datamaskinen der den skal være synlig for andre brukere av VPN-nettverket (fig. 3).

Ris. 3. Angi navnet på datamaskinen som
det vil være synlig for andre VPN-brukere

Når datamaskinnavnet er spesifisert, etablerer programmet en tilkobling til Hamachi-databaseserveren og ber om en IP-adresse som vil bli tilordnet Hamachi virtuelle nettverksadapter og vil bli brukt senere for å etablere en VPN-tilkobling. Hver Hamachi-klient tildeles en IP-adresse i området 5.0.0.0/8 (subnettmaske 255.0.0.0), som i prinsippet ikke er adresseområdene som er reservert for bruk på Internett. Disse områdene reservert for privat bruk i lokale nettverk inkluderer følgende områder: 10.0.0.0/8 (område fra 10.0.0.0 til 10.255.255.254), 172.16.0.0/12 (område fra 172.16.0.0 til 172.321 og 8) . 0,0 / 16 (spenner fra 192.168.0.0 til 192.168.255.254). Imidlertid har 5.0.0.0/8-serien vært reservert i over 10 år av Internet Assigned Numbers Authority (IANA) og brukes ikke som offentlige (eksterne) adresser på Internett. Dermed refererer området 5.0.0.0/8 på den ene siden til rekkevidden av eksterne (offentlige) Internett-adresser, det vil si at det er umulig at IP-adressen som er tildelt deg allerede brukes i ditt lokale nettverk (lokalt nettverk, kun reservert for private som bruker IP-adressen), og på den annen side er disse adressene ennå ikke okkupert av noen.

Etter å ha tildelt deg en IP-adresse fra 5.0.0.0/8-området, blir den en slags identifikator for datamaskinen din i det virtuelle private nettverket. Denne IP-adressen er tilordnet Hamachi virtuelle nettverksadapter. Så hvis du skriver inn ipconfig / all-kommandoen på kommandolinjen, kan du i tillegg til netil den virkelige nettverksadapteren (som er fysisk til stede på PC-en din), finne at en annen Hamachi virtuell Ethernet-adapter har dukket opp med MAC-adressen, IP-adressen som er tildelt den, subnettmaske, IP-adresse for gateway, etc. (fig. 4).

Ris. 4. Etter den første lanseringen av programmet, det virtuelle nettverkskortet
Hamachi tildeles en IP-adresse fra området 5.0.0.0/8 og konfigureres
nettverksgrensesnitt

Så, etter at Hamachi-programmet har konfigurert den virtuelle nettverksadapteren, kan du begynne å jobbe med programmet.

På dette tidspunktet er datamaskinen din ennå ikke medlem av noen VPN, så det første trinnet er å koble til en eksisterende VPN eller opprette en ny VPN.

Arbeider med programmet

Programgrensesnittet er veldig enkelt (fig. 5). Det er bare tre funksjonsknapper: aktiver/deaktiver, nettverksmenyknapp og systemmenyknapp.

Ris. 5. Programgrensesnitt
Hamachi er veldig enkelt -
kun tre funksjonsknapper

For å opprette et nytt VPN-nettverk eller koble en datamaskin til en eksisterende, klikk på nettverksmenyknappen og velg det aktuelle elementet (fig. 6).

Ris. 6. Webmenyknappen tillater
opprette en ny VPN eller bli med
datamaskin til eksisterende

Koble en PC til et eksisterende virtuelt nettverk og forlate det

Hvis du trenger å koble datamaskinen til et eksisterende virtuelt nettverk og du kjenner navnet og passordet (hvis brukt), velger du i nettverksmenyen Logg på et eksisterende nettverk ... Deretter åpnes et vindu der du må angi nettverksnavn og passord (fig. 7).

Ris. 7. Legge til en datamaskin
inn i et eksisterende virtuelt nettverk

Etter det vil navnet på nettverket og listen over datamaskiner som er koblet til det (unntatt din) vises i programvinduet - fig. åtte.

Ris. 8. Etter å ha koblet til datamaskinen
til det virtuelle nettverket i programvinduet
en liste over vedlagte
datamaskiner til henne

Hvis det er en grønn prikk eller en stjerne ved siden av navnet på datamaskinen, betyr det at forbindelsen med datamaskinen er etablert. En blinkende grønn prikk indikerer at koblingen er i ferd med å etableres. En lys sirkel rundt en grønn prikk indikerer at informasjon utveksles med denne datamaskinen.

Det verste av alt, når det er en gul prikk ved siden av navnet på datamaskinen, betyr dette at en direkte forbindelse til den av en eller annen grunn ikke kunne opprettes. Hvis navnet på datamaskinen vises i gult, betyr det at forbindelsen med den er brutt.

Utseendet til en blå prikk indikerer at en direkte forbindelse til datamaskinen ikke kunne opprettes og kommunikasjonen går gjennom Hamachi-serveren. Problemet er at i dette tilfellet har kommunikasjonskanalen med datamaskinen svært lav båndbredde og høy latens.

Hvis navnet på datamaskinen og prikken ved siden av navnet vises i grått, betyr det at datamaskinen, selv om den er koblet til dette virtuelle nettverket, er utilgjengelig (for eksempel er PC-en slått av, det er ingen Internett-tilkobling, eller Hamachi-programmet kjører ikke).

For å komme ut av nettverket, høyreklikk bare på navnet og velg elementet i rullegardinlisten Koble fra eller Forlat nettverket... I det første tilfellet forlater du bare nettverket midlertidig, og listen over datamaskiner som er koblet til det forblir synlig for deg. I det andre tilfellet, for å komme inn i nettverket, må du gjenta hele prosedyren for å koble datamaskinen til det eksisterende nettverket.

Opprette et nytt nettverk og slette det opprettede nettverket

Hvis du trenger å opprette et nytt virtuelt nettverk, velger du i nettverksmenyen Opprett et nytt nettverk... Et vindu åpnes der du må spesifisere navnet på det opprettede nettverket og passordet som skal brukes av andre brukere for å bli med i dette nettverket (fig. 9).

Ris. 9. Opprette et nytt VPN-nettverk

Etter å ha opprettet et nytt nettverk, kan brukernes datamaskiner kobles til det. Hvis nettverket er opprettet av deg, er du dets administrator og får full kontroll over det, som andre brukere blir fratatt. Det er viktig å huske at det opprettede nettverket kun kan administreres fra datamaskinen det ble opprettet på. Mer presist kan nettverket bare administreres fra en datamaskin som er tildelt nøyaktig samme virtuelle IP-adresse som den som ble brukt til å opprette det virtuelle nettverket. Hvorfor er denne kommentaren så viktig? Se for deg en situasjon: du installerte Hamachi og opprettet en ny VPN. Deretter fjernet du fullstendig (inkludert alle konfigurasjonsfiler) Hamachi-programmet og etter en stund installerte det på nytt. Du vil bli tildelt en ny virtuell IP-adresse, men ved å bruke den vil du ikke lenger kunne kontrollere VPN-nettverket du opprettet tidligere.

Hvis du er nettverksadministrator, kan du slette den. For å gjøre dette, høyreklikk på nettverksnavnet og velg elementet Slett... Vær oppmerksom på at sletting av et nettverk fullstendig ødelegger alle forbindelser mellom de andre brukerne.

Andre handlinger med datamaskiner på nettverket

Hvis du har blitt med i nettverket, kan du utføre følgende handlinger på datamaskinene som er koblet til det:

• sjekker tilgjengelighet;
• bla gjennom mapper;
• sende en melding;
• kopiere adressen;
• blokkering;
• sette etiketten.

For å utføre en av dem, høyreklikk på datamaskinnavnet og velg det aktuelle elementet fra rullegardinmenyen (fig. 10).

Ris. 10. Liste over mulige handlinger
med den valgte nettverksdatamaskinen

Når du velger et element Sjekk tilgjengelighet den vanlige ping-kommandoen vil bli utført på adressen til den tilsvarende datamaskinen.

Avsnitt Bla gjennom mapper lar deg få tilgang til delte mapper på datamaskinen.

Avsnitt Send en melding gjør det mulig å utveksle meldinger mellom individuelle datamaskiner på nettverket, lik hvordan det gjøres i ICQ.

Avsnitt Kopier adresse limer IP-adressen til den valgte datamaskinen inn i utklippstavlen, noe som er praktisk hvis du trenger å bruke denne adressen i andre programmer (for eksempel ekstern administrasjon).

Avsnitt Blokkere lar deg blokkere den valgte datamaskinen midlertidig, det vil si at VPN-kanalen din med den vil bli blokkert og utveksling av informasjon vil være umulig.

Avsnitt Sett etikett lar deg velge formatet for visning av attributtene til en datamaskin på nettverket. Som standard vises datamaskinens IP-adresse og navn. Du kan velge å vise bare datamaskinnavnet eller kun IP-adressen.

Programinnstilling

For å få tilgang til programinnstillingene må du klikke på systemmenyknappen og velge elementet Installasjoner...(fig. 11).

Ris. 11. Få tilgang til innstillinger
programmer

Dette vil åpne et vindu Status og konfigurasjon, som lar deg gjøre detaljerte innstillinger for programmet (fig. 12).

Ris. 12. Vindu med detaljert konfigurasjon av programmet

Faktisk er alt ganske enkelt her, og detaljerte kommentarer er knapt nødvendig, så vi vil bare liste opp funksjonene som kan implementeres i konfigurasjonsvinduet. Så i dette vinduet kan du endre datamaskinnavnet, gjøre detaljerte innstillinger for tilkoblingen, angi type programstart, blokkere eller fjerne blokkering av sårbare Windows-tjenester, blokkere nye nettverksmedlemmer og implementere andre, mindre viktige alternativer. Blant de viktige funksjonene merker vi deaktivering av kryptering ved overføring av data mellom individuelle datamaskiner på nettverket. For å gjøre dette må du klikke på ikonet Vindu og i gruppen Utseende sjekk varen Vis "Avansert ..." per menyelement(fig. 13).

Ris. 13. Legger til avansert ...
til rullegardinmenyen

Etter det, hvis du høyreklikker på navnet på en datamaskin som er koblet til nettverket, vil et element vises i rullegardinmenyen Avansert ... Hvis du velger det, åpnes et vindu Tunnelkonfigurasjon slik at du kan endre VPN-tunnelinnstillingene. For å deaktivere kryptering i avsnitt Kryptering det er nødvendig å velge en verdi Av... I dette tilfellet vil data fra datamaskinen din bli overført til den valgte PC-en i ukryptert form. Men i motsatt retning vil dataene bli kryptert. For å fullstendig deaktivere kryptering for en VPN-tunnel mellom to datamaskiner, må den være deaktivert på begge datamaskiner.

Merk at du bare bør deaktivere kryptering i unntakstilfeller, siden krypteringsprosedyren i seg selv er usannsynlig å påvirke trafikken. Faktum er at trafikken vil bli bestemt av båndbredden til Internett-kanalen din, og på ingen måte bruken eller fraværet av kryptering. Bare hvis det dannes en VPN-tunnel mellom datamaskiner innenfor samme lokale nettverk og dens gjennomstrømning er omtrent 100 Mbps, kan bruk av kryptering redusere maksimal overføringshastighet litt (opptil 70-80 Mbps).

Konklusjon

Hamachi er et kraftig verktøy som lar deg lage VPN-nettverk veldig raskt. Merk at den opprinnelig ble opprettet slik at brukere kan spille nettverksspill utenom spillservere. Imidlertid er de mulige scenariene for å bruke dette programmet mye bredere. Dermed, ved å opprette et virtuelt nettverk og koble datamaskiner til det, er det mulig, ved å bruke standard fjernadministrasjonsprogrammer, å få ekstern tilgang til hvilken som helst datamaskin i det virtuelle nettverket, siden hver datamaskin i et slikt nettverk har sin egen dedikerte IP-adresse.

Samtidig skal det bemerkes at det langt fra alltid er mulig å etablere en direkte forbindelse mellom individuelle datamaskiner. Og til tross for at produsentens nettsted hevder at programmet enkelt "bryter gjennom" rutere og NAT-enheter, er i virkeligheten ikke alt så optimistisk. Dokumentasjonen for programmet sier at det i 5% av tilfellene ikke kan etableres en direkte forbindelse mellom individuelle datamaskiner, men som det ser ut til for oss er dette tallet klart undervurdert. Den virkelige situasjonen er denne: hvis vi snakker om å koble til to datamaskiner som er tildelt en dynamisk eller statisk offentlig IP-adresse, er det ingen problemer. Det vil si at hvis du bare har én datamaskin hjemme med Internett-tilgang og du trenger å koble til en bruker som også har én datamaskin med Internett-tilgang, vil det ikke være noen problemer. Som praksis viser, er det ingen problemer med å etablere en forbindelse mellom en brukers datamaskin med en dynamisk eller statisk offentlig IP-adresse tildelt den og en datamaskin innenfor et lokalt nettverk beskyttet av en ruter. Men hvis det opprettes en forbindelse mellom to datamaskiner som tilhører forskjellige lokale nettverk, beskyttet av rutere, kan det være problemer og ikke det faktum at en direkte forbindelse vil bli etablert. Det vil si at en forbindelse kan opprettes, men mest sannsynlig vil den ikke være direkte, men gjennom Hamachi-serveren. Følgelig vil hastigheten til en slik kommunikasjonskanal være svært lav og det vil være liten bruk av en slik forbindelse. For eksempel, i hjemmet ditt implementeres Internett-tilgang ved hjelp av en trådløs ruter, det vil si at datamaskinen din er en del av et hjemmenettverk og den tildeles en IP-adresse fra utvalget av adresser reservert for privat bruk, og en offentlig adresse tildeles til WAN-porten på ruteren, som du går online gjennom. Hvis du prøver å opprette en forbindelse med en annen datamaskin som også er i det lokale nettverket (for eksempel med en arbeidsdatamaskin på kontoret eller med en datamaskin til en bruker som har et lokalt nettverk hjemme og bruker en ruter), i de fleste tilfeller oppstår problemer.

Hamachi-brukerveiledningen beskriver hvordan du kan unngå disse problemene. For dette foreslås det å bruke en fast (i stedet for dynamisk) UDP-port og implementere portvideresendingsfunksjonen på ruteren. Men som praksis viser, hjelper portvideresending eller bruk av en DMZ i en ruter ikke alltid.

Organiseringen av kanaler mellom eksterne nettverk gjennom en VPN-tilkobling er et av de mest populære emnene på nettstedet vårt. Samtidig, som leserens svar viser, er den største vanskeligheten riktig rutingskonfigurasjon, selv om vi har vært spesielt oppmerksomme på dette punktet. Etter å ha analysert de oftest stilte spørsmålene, bestemte vi oss for å vie en egen artikkel til emnet ruting. Har du spørsmål? Vi håper at etter å ha lest dette materialet, vil det bli færre av dem.

Først av alt, la oss finne ut hva som er ruting... Ruting er prosessen med å bestemme ruten for informasjon i kommunikasjonsnettverk. La oss være ærlige, dette emnet er veldig dypt og krever en solid bagasje av teoretisk kunnskap, derfor vil vi, innenfor rammen av denne artikkelen, bevisst forenkle bildet og berøre teorien nøyaktig i den grad det vil være nok til å forstå det pågående prosesser og oppnå praktiske resultater.

La oss ta en vilkårlig arbeidsstasjon koblet til nettverket, hvordan bestemmer den hvor denne eller den pakken skal sendes? For dette formålet er det ment rutetabell, som inneholder en liste over regler for alle mulige destinasjonsadresser. Basert på denne tabellen, bestemmer verten (eller ruteren) hvilket grensesnitt og destinasjonsadresse som skal sendes en pakke adressert til en bestemt mottaker.

Ruteutskrift

Som et resultat vil vi se følgende tabell:

Alt er veldig enkelt, vi er interessert i delen IPv4 rutetabell, inneholder de to første kolonnene destinasjonsadressen og nettmasken, etterfulgt av gatewayen - noden som pakkene skal videresendes til for den angitte destinasjonen, grensesnittet og metrikken. Hvis kolonnen Inngangsport angitt På lenke, betyr dette at destinasjonsadressen er på samme nettverk som verten og er tilgjengelig uten ruting. Beregninger bestemmer prioriteten til rutingsregler, hvis destinasjonsadressen har flere regler i rutetabellen, brukes den med den nedre metrikken.

Arbeidsstasjonen vår tilhører 192.168.31.0-nettverket og sender i henhold til rutetabellen alle forespørsler til dette nettverket til 192.168.31.175-grensesnittet, som tilsvarer nettverksadressen til denne stasjonen. Hvis destinasjonsadressen er i samme nettverk med kildeadressen, skjer informasjonslevering uten bruk av IP-ruting (nettverkslag L3 av OSI-modellen), ved datalinklaget (L2). Ellers sendes pakken til noden spesifisert i den tilsvarende rutetabellregelen på destinasjonsnettverket.

Hvis det ikke finnes en slik regel, sendes pakken av null rute, som inneholder adressen til nettverkets standard gateway. I vårt tilfelle er dette adressen til ruteren 192.168.31.100. Denne ruten kalles null fordi destinasjonsadressen for den er 0.0.0.0. Dette punktet er veldig viktig for videre forståelse av rutingprosessen: alle pakker, ikke tilhører dette nettverket og har ikke separate ruter, bestandig er sendt hovedporten nettverk.

Hva vil ruteren gjøre når den mottar en slik pakke? Først av alt, la oss finne ut hvordan en ruter skiller seg fra en vanlig nettverksstasjon. På en ekstremt forenklet måte er en ruter (ruter) en nettverksenhet som er konfigurert til å overføre pakker mellom nettverksgrensesnitt. På Windows oppnås dette ved å aktivere tjenesten Ruting og ekstern tilgang, i Linux ved å angi alternativet ip_forward.

Beslutningen om å overføre pakker i dette tilfellet tas også basert på rutetabellen. La oss se hva denne tabellen inneholder på den vanligste ruteren, for eksempel den vi beskrev i artikkelen:. På Linux-systemer kan du få rutetabellen med kommandoen:

Rute -n

Som du kan se, inneholder ruteren vår ruter til nettverkene 192.168.31.0 og 192.168.3.0 kjent for den, samt en null rute til oppstrøms gateway 192.168.3.1.

Adressen 0.0.0.0 i Gateway-kolonnen indikerer at destinasjonsadressen er tilgjengelig uten ruting. Dermed vil alle pakker med destinasjonsadresser i nettverkene 192.168.31.0 og 192.168.3.0 sendes til det tilsvarende grensesnittet, og alle andre pakker vil bli videresendt langs nullruten.

Det neste viktige punktet er adressene til private (private) nettverk, de er også "grå", de inkluderer tre områder:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Disse adressene kan fritt brukes av alle og derfor de ikke rutet... Hva betyr det? Enhver pakke med en destinasjonsadresse som tilhører et av disse nettverkene vil bli droppet av ruteren hvis det ikke er en egen oppføring i rutetabellen for den. Enkelt sagt, standard (null) rute for slike pakker brukes ikke av ruteren. Det skal også forstås at denne regelen bare gjelder for ruting, dvs. Ved overføring av pakker mellom grensesnitt vil en utgående pakke med en "grå" adresse sendes langs nullruten, selv om denne noden selv er en ruter.

For eksempel, hvis ruteren vår mottar en innkommende pakke med en destinasjon, for eksempel 10.8.0.1, vil den bli forkastet, siden et slikt nettverk er ukjent for den og adresser i dette området ikke blir rutet. Men hvis vi får tilgang til den samme noden direkte fra ruteren, vil pakken sendes langs nullruten til 192.168.3.1-gatewayen og slippes av den.

Det er på tide å sjekke hvordan det hele fungerer. La oss prøve fra vår vert 192.168.31.175 å pinge verten 192.168.3.106, som er plassert i nettverket bak ruteren. Som du kan se, lyktes vi, selv om vertsrutetabellen ikke inneholder noen informasjon om 192.168.3.0-nettverket.

Hvordan ble dette mulig? Siden kildenoden ikke vet noe om destinasjonsnettverket, vil den sende en pakke til gateway-adressen. Gatewayen vil sjekke rutetabellen sin, finne en oppføring for 192.168.3.0-nettverket og sende pakken til det aktuelle grensesnittet, du kan enkelt verifisere dette ved å kjøre sporingskommandoen, som vil vise hele banen til pakken vår:

Tracert 192.168.3.106

La oss nå prøve å pinge vert 192.168.31.175 fra vert 192.168.3.106, dvs. i motsatt retning. Det gikk ikke for oss. Hvorfor?

La oss ta en nærmere titt på rutetabellen. Den inneholder ingen poster for 192.168.31.0-nettverket, så pakken vil bli sendt til 192.168.3.1-ruteren som hovedgatewayen til nettverket, som vil forkaste denne pakken, siden den ikke har noen informasjon om destinasjonsnettverket . Hvordan være? Selvfølgelig bør du sende pakken til noden som inneholder nødvendig informasjon og kan overføre pakken til destinasjonen, i vårt tilfelle er det 192.168.31.100-ruteren, som har adressen 192.168.3.108 på dette nettverket.

For at pakker for 192.168.31.0-nettverket skal sendes til ham, må vi opprette en egen rute.

192.168.31.0 maske 255.255.255.0 192.168.3.108

I fremtiden vil vi holde oss til en slik registrering av ruter, hva betyr det? Det er enkelt, pakker for 192.168.31.0-nettverket med en maske på 255.255.255.0 skal sendes til 192.168.3.108-verten. På Windows kan en rute legges til med kommandoen:

Rute legg til 192.168.31.0 maske 255.255.255.0 192.168.3.108

Route add -net 192.168.31.0 nettmaske 255.255.255.0 gw 192.168.3.108

La oss prøve.

La oss analysere resultatet, en rute har dukket opp i rutingtabellen og alle pakker til 192.168.31.0-nettverket sendes nå til ruteren til dette nettverket, som kan sees fra svaret fra ping-kommandoen, men de når ikke mål. Hva er i veien? Det er på tide å huske at en av hovedoppgavene til en ruter ikke bare er ruting, men også funksjonen til en brannmur, som tydelig forbyr tilgang fra det eksterne nettverket inne. Hvis vi midlertidig erstatter denne regelen med en tillatt, vil alt fungere.

Rutene som er lagt til av kommandoene ovenfor, lagres til noden startes på nytt, dette er praktisk, selv om du roter mye, trenger du bare å starte på nytt for å angre endringene. For å legge til en vedvarende rute i Windows, kjør kommandoen:

Rute legg til 192.168.31.0 maske 255.255.255.0 192.168.3.108 -p

På Linux i / etc / nettverk / grensesnitt, etter å ha beskrevet grensesnittet, legg til:

Post-up rute add -net 192.168.31.0 nettmaske 255.255.255.0 gw 192.168.3.108

Dette er forresten ikke den eneste måten å konfigurere tilgang fra 192.168.3.0-nettverket til 192.168.31.0-nettverket, i stedet for å legge til en rute for hver node kan du "lære" ruteren å sende pakker riktig.

I dette tilfellet har ikke kildenoden noen poster om destinasjonsnettverket og vil sende pakken til gatewayen, forrige gang gatewayen droppet en slik pakke, men nå la vi til den nødvendige ruten til rutetabellen, og den vil sende pakken til 192.168.3.108-noden, som vil levere den til destinasjonen.

Vi anbefaler på det sterkeste at du øver deg på lignende eksempler selv, slik at ruting ikke lenger vil være en svart boks for deg, og ruter ikke lenger vil være en kinesisk leseferdighet. Når du har en forståelse, kan du gå videre til den andre delen av denne artikkelen.

La oss nå se på ekte eksempler på å koble til kontornettverk gjennom en VPN-tilkobling. Til tross for at OpenVPN oftest brukes til disse formålene, og i våre eksempler mener vi også løsninger basert på det, vil alt ovenfor gjelde for enhver type VPN-tilkobling.

Det enkleste tilfellet er når VPN-serveren (klienten) og nettverksruteren er plassert på samme vert. Tenk på diagrammet nedenfor:

Siden, håper vi, du har lært teorien og konsolidert den i praksis, vil vi analysere ruten for pakker fra kontornettverket 192.168.31.0 til filialnettverket 192.168.44.0, en slik pakke vil bli sendt til standard gateway, som er også en VPN-server. Denne noden vet imidlertid ikke noe om destinasjonsnettverket og må forkaste denne pakken. Samtidig kan vi allerede kontakte filialruteren på adressen i VPN-nettverket 10.8.0.2, siden dette nettverket er tilgjengelig fra kontorruteren.

For å få tilgang til filialnettet, må vi sende pakker for dette nettverket til en node som er en del av dette nettverket eller har en rute til det. I vårt tilfelle er dette grenruteren. Derfor legger vi til en rute på kontorruteren:

Nå vil gatewayen til kontoret, etter å ha mottatt pakken for filialnettverket, sende den gjennom VPN-kanalen til filialruteren, som, som vert for 192.168.44.0-nettverket, vil levere pakken til destinasjonen. For å få tilgang til kontornettverket fra filialnettet, må du registrere en lignende rute på filialruteren.

La oss ta et mer komplisert diagram når ruteren og VPN-serveren (klienten) er forskjellige noder på nettverket. Her er det to alternativer: send den nødvendige pakken direkte til VPN-serveren (klienten), eller tving gatewayen til å gjøre det.

La oss vurdere det første alternativet først.

For at pakkene for filialnettverket skal komme inn i VPN-nettverket, må vi legge til en rute til VPN-serveren (klienten) for hver klient i nettverket, ellers vil de bli sendt til gatewayen, som vil slippe dem:

VPN-serveren vet imidlertid ikke noe om filialnettverket, men den kan sende pakker innenfor VPN-nettverket, hvor det er en filialnettverksnode av interesse for oss, så vi sender pakken dit ved å legge til en rute på VPN-server (klient):

192.168.44.0 maske 255.255.255.0 10.8.0.2

Ulempen med denne ordningen er behovet for å registrere ruter ved hver nettverksnode, noe som ikke alltid er praktisk. Den kan brukes hvis det er få enheter på nettverket eller selektiv tilgang er nødvendig. I andre tilfeller vil det være mer riktig å overføre rutingoppgaven til hovedruteren i nettverket.

I dette tilfellet vet ikke nettverksenhetene til kontoret noe om filialnettverket og vil sende pakker for det langs nullruten, nettverksporten. Nå er gatewayens oppgave å omdirigere denne pakken til VPN-serveren (klienten), det er enkelt å gjøre ved å legge til den nødvendige ruten til rutetabellen:

192.168.44.0 maske 255.255.255.0 192.168.31.101

Vi nevnte oppgaven til VPN-serveren (klienten) ovenfor, den må levere pakker til VPN-nettverksnoden som er en del av destinasjonsnettverket eller har en rute til seg.

192.168.44.0 maske 255.255.255.0 10.8.0.2

For å få tilgang fra filialnettverket til kontornettverket, må du legge til de riktige rutene til nettverksnodene til filialen. Dette kan gjøres på hvilken som helst praktisk måte, ikke nødvendigvis på samme måte som det gjøres på kontoret. Et enkelt eksempel fra den virkelige verden: alle datamaskiner i filialen må ha tilgang til kontornettverket, men ikke alle datamaskiner på kontoret må ha tilgang til filialen. I dette tilfellet, i grenen, legger vi til en rute til VPN-serveren (klienten) på ruteren, og på kontoret legger vi den bare til datamaskinene vi trenger.

Generelt, hvis du har en ide om hvordan ruting fungerer og hvordan beslutningen om å omdirigere pakker tas, og også vet hvordan du leser rutingtabellen, bør det være enkelt å konfigurere de riktige rutene. Vi håper at du ikke vil ha dem etter å ha lest denne artikkelen.

• Tagger:

Selv om emnet er avbrutt, opplever mange ofte vanskeligheter - enten det er en nybegynner systemadministrator eller bare en avansert bruker som ble tvunget av sine overordnede til å utføre funksjonene til en ingeniør. Paradoksalt nok, til tross for overfloden av informasjon om VPN, er det et helt problem å finne et forståelig alternativ. Dessuten får man til og med inntrykk av at man skrev - mens andre frekt kopierte teksten. Som et resultat er søkeresultatene bokstavelig talt fulle av en overflod av unødvendig informasjon, som verdifull informasjon sjelden kan isoleres fra. Derfor bestemte jeg meg på min egen måte for å tygge alle nyansene (kanskje noen kommer godt med).

Så hva er en VPN? VPN (VirtuellPrivatNettverk- virtuelt privat nettverk) er et generalisert navn for teknologier som gjør at en eller flere nettverkstilkoblinger (logisk nettverk) kan tilbys over et annet nettverk (inkludert Internett). Avhengig av protokollene som brukes og formålet, kan VPN tilby tilkoblinger av tre typer: node-node, node-nettverk og net-nett. Som de sier, ingen kommentar.

VPN stereotyp ordning

VPN lar deg enkelt kombinere en ekstern vert med et lokalt nettverk til et selskap eller en annen vert, samt kombinere nettverk til ett. Fordelen er ganske åpenbar - vi kan enkelt få tilgang til bedriftsnettverket fra VPN-klienten. I tillegg beskytter en VPN også dataene dine med kryptering.

Jeg later ikke til å beskrive for deg alle prinsippene for VPN-drift, siden det er en masse spesiell litteratur, og for å være ærlig, vet jeg ikke mange ting selv. Likevel, hvis du har en oppgave "Gjør det!", må du raskt bli involvert i emnet.

La oss vurdere en oppgave fra min personlige praksis, da det var nødvendig å kombinere to kontorer via VPN – hovedkontoret og avdelingskontoret. Situasjonen ble ytterligere komplisert av at det på hovedkontoret var en videoserver som skulle motta video fra filialens IP-kamera. Her er en kort oppgave for deg.

Det er mange måter å løse det på. Alt avhenger av hva du har for hånden. Generelt er en VPN enkel å bygge ved å bruke en maskinvareløsning basert på ulike Zyxel-rutere. Ideelt sett kan det skje at Internett distribueres til begge kontorer av én leverandør, og da vil du ikke ha noen problemer i det hele tatt (du trenger bare å kontakte prov). Hvis selskapet er rikt, har det råd til CISCO. Men vanligvis løses alt av programvare.

Og her er valget stort - Open VPN, WinRoute (merk at det er betalt), operativsystemverktøy, programmer som Hamanchi (for å være ærlig, i sjeldne tilfeller kan det hjelpe, men jeg anbefaler ikke å stole på det - gratis versjonen har en grense på 5 verter og en annen betydelig ulempe er at hele tilkoblingen din avhenger av Hamanchi-verten, som ikke alltid er bra). I mitt tilfelle ville det være ideelt å bruke OpenVPN, et gratis program som enkelt kan lage en pålitelig VPN-tilkobling. Men vi, som alltid, vil følge minste motstands vei.

I min gren distribueres Internett av en gateway basert på klient Windows. Jeg er enig, ikke den beste løsningen, men nok for de tre klientdatamaskinene. Jeg må lage en VPN-server fra denne gatewayen. Mens du leser denne artikkelen, er du sikker på at du er ny på VPN. Derfor, for deg, gir jeg det enkleste eksempelet, som i prinsippet passer meg også.

Windows NT-familien har allerede rudimentære serverfunksjoner innebygd. Å sette opp en VPN-server på en av maskinene vil ikke være vanskelig. Som server vil jeg gi eksempler på skjermbilder av Windows 7, men de generelle prinsippene vil være de samme som for den gamle XP.

Vær oppmerksom på at du må koble til to nettverk de hadde en annen rekkevidde! For eksempel, på hovedkontoret kan området være 192.168.0.x, og i avdelingskontoret kan det være 192.168.20.x (eller et hvilket som helst grått IP-område). Dette er veldig viktig, så vær forsiktig. Nå kan du begynne å konfigurere.

Gå til VPN-serveren i Kontrollpanel -> Nettverks- og delingssenter -> Endre adapterinnstillinger.

Trykk nå på Alt-tasten for å få frem menyen. Der, i Fil-elementet, må du velge "Ny innkommende tilkobling".

Kryss av i boksene for brukere som kan logge på via VPN. Jeg anbefaler på det sterkeste å legge til en ny bruker, gi dem et vennlig navn og tilordne et passord.

Etter at du har gjort dette, må du velge i neste vindu hvordan brukerne skal koble seg til. Kryss av i boksen "Via Internett". Nå trenger du bare å tilordne en rekke adresser til det virtuelle nettverket. I tillegg kan du velge hvor mange datamaskiner som kan delta i datautvekslingen. I neste vindu velger du TCP / IP versjon 4-protokollen og klikker på "Egenskaper":

Du vil ha det jeg har i skjermbildet. Hvis du vil at klienten skal få tilgang til det lokale nettverket der serveren er plassert, merker du bare av i boksen "Tillat innringere å få tilgang til det lokale nettverket". I avsnittet "Tildeling av IP-adresser" anbefaler jeg å spesifisere adressene manuelt i henhold til prinsippet jeg beskrev ovenfor. I mitt eksempel ga jeg området bare tjuefem adresser, selv om jeg bare kunne spesifisere to og 255.

Klikk deretter på "Tillat tilgang"-knappen.

Systemet vil automatisk opprette en VPN-server som vil være ensom og vente på at noen skal bli med den.

Nå gjenstår det bare å konfigurere VPN-klienten. På klientmaskinen går du også til Nettverks- og delingssenteret og velger Sette opp en ny tilkobling eller nettverk... Nå må du velge elementet "Koble til arbeidsplassen"

Klikk på "Bruk min Internett-tilkobling og nå vil du bli kastet inn i vinduet der du må skrive inn adressen til vår Internett-gateway i filialen. Jeg har den i formen 95.2.x.x

Nå kan du ringe tilkoblingen, skrive inn brukernavnet og passordet som du skrev inn på serveren og prøve å koble til. Hvis alt er riktig, kobler du til. I mitt tilfelle kan jeg allerede sende et ping til en hvilken som helst datamaskin på avdelingskontoret og be om et kamera. Nå er det enkelt å koble den mono til videoserveren. Du har kanskje noe annet.

Alternativt, når du kobler til, kan det dukke opp en feil 800 som signaliserer at noe er galt med tilkoblingen. Dette er enten et klient- eller serverbrannmurproblem. Spesifikt kan jeg ikke fortelle deg - alt bestemmes eksperimentelt.

Det er hvor upretensiøst vi opprettet en VPN mellom to kontorer. Spillere kan kombineres på samme måte. Men ikke glem at dette fortsatt ikke vil være en fullverdig server, og det er bedre å bruke mer avanserte verktøy, som jeg vil snakke om i de neste delene.

Spesielt, i del 2, vil vi se på konfigurering av OPenVPN for Windows og Linux.

Hvert år blir elektronisk kommunikasjon bedre, og det stilles stadig flere høye krav til hastighet, sikkerhet og kvalitet på databehandlingen til informasjonsutveksling.

Og her skal vi se nærmere på en vpn-tilkobling: hva det er, hva en vpn-tunnel er for, og hvordan man bruker en vpn-tilkobling.

Dette materialet er et slags introduksjonsord til en serie artikler der vi vil fortelle deg hvordan du lager en vpn på ulike operativsystemer.

vpn-tilkobling hva er det?

Så, et virtuelt privat nettverk vpn er en teknologi som gir en sikker (lukket fra ekstern tilgang) tilkobling av et logisk nettverk over et privat eller offentlig i nærvær av høyhastighets Internett.

En slik nettverkstilkobling av datamaskiner (geografisk fjernt fra hverandre på betydelig avstand) bruker en punkt-til-punkt-tilkobling (med andre ord "datamaskin-til-datamaskin").

Vitenskapelig kalles denne typen forbindelse vpn-tunnel (eller tunnelprotokoll). Du kan koble til en slik tunnel hvis du har en datamaskin med et hvilket som helst operativsystem der en VPN-klient er integrert, i stand til å videresende virtuelle porter ved hjelp av TCP/IP-protokollen til et annet nettverk.

Hva er vpn for?

Hovedfordelen med vpn er at forhandlingsparter trenger en tilkoblingsplattform som ikke bare skaleres raskt, men som også (fremfor alt) sikrer datakonfidensialitet, dataintegritet og autentisering.

Diagrammet viser tydelig bruken av vpn-nettverk.

Reglene for tilkoblinger via en sikker kanal må foreløpig være skrevet på serveren og ruteren.

Hvordan vpn fungerer

Når du kobler til via vpn, inneholder meldingshodet informasjon om IP-adressen til VPN-serveren og den eksterne ruten.

Innkapslede data som reiser over et offentlig eller offentlig nettverk kan ikke fanges opp fordi all informasjon er kryptert.

VPN-krypteringstrinnet implementeres på avsendersiden, og dataene dekrypteres hos mottakeren av meldingshodet (hvis det er en felles krypteringsnøkkel).

Etter korrekt dekryptering av meldingen etableres en VPN-forbindelse mellom de to nettverkene, som også tillater arbeid i et offentlig nettverk (for eksempel utveksling av data med 93.88.190.5-klienten).

Når det gjelder informasjonssikkerhet, er Internett et ekstremt usikkert nettverk, og et VPN-nettverk med OpenVPN, L2TP / IPSec, PPTP, PPPoE-protokoller er en helt sikker og sikker måte å overføre data på.

Hva er en vpn-kanal for?

vpn-tunnelering brukes:

Inne i bedriftens nettverk;

For å kombinere eksterne kontorer, samt små filialer;

Å betjene digital telefoni med et bredt spekter av telekommunikasjonstjenester;

For å få tilgang til eksterne IT-ressurser;

For konstruksjon og gjennomføring av videokonferanser.

Hvorfor trenger du vpn?

vpn-tilkobling er nødvendig for:

Anonymt arbeid på Internett;

Nedlasting av applikasjoner, i tilfelle når ip-adressen er plassert i en annen regional sone i landet;

Sikkert arbeid i et bedriftsmiljø ved hjelp av kommunikasjon;

Enkelhet og bekvemmelighet av tilkoblingsinnstillinger;

Gir høyhastighetsforbindelse uten avbrudd;

Oppretting av en sikker kanal uten hackerangrep.

Hvordan bruke vpn?

Det er uendelige eksempler på hvordan vpn fungerer. Så, på hvilken som helst datamaskin i bedriftsnettverket, når du etablerer en sikker vpn-tilkobling, kan du bruke e-post til å sjekke meldinger, publisere materiale fra hvor som helst i landet eller laste ned filer fra torrent-nettverk.

VPN: hva er det i en telefon?

Tilgang via vpn på telefonen (iPhone eller annen Android-enhet) lar deg forbli anonym når du bruker Internett på offentlige steder, samt forhindre trafikkavlytting og enhetshacking.

En VPN-klient installert på et hvilket som helst operativsystem lar deg omgå mange av leverandørens innstillinger og regler (hvis leverandøren har satt noen begrensninger).

Hvilken vpn å velge for telefonen?

Android-mobiltelefoner og smarttelefoner kan bruke applikasjoner fra Google Playmarket:

• - vpnRoot, droidVPN,
• - Tor nettleser for surfing nettverk, aka orbot
• - InBrowser, orfox (firefox + tor),
• - SuperVPN gratis VPN-klient
• - OpenVPN Connect
• - TunnelBear VPN
• - Hideman VPN

De fleste av disse programmene brukes for bekvemmeligheten av "hot" systemkonfigurasjon, plassering av lanseringssnarveier, anonym internettsurfing, valg av type tilkoblingskryptering.

Men hovedoppgavene med å bruke en VPN på telefonen er å sjekke bedriftens e-post, lage videokonferanser med flere deltakere og holde møter utenfor organisasjonen (for eksempel når en ansatt er på forretningsreise).

Hva er vpn i iPhone?

La oss vurdere hvilken VPN du skal velge og hvordan du kobler den til en iPhone mer detaljert.

Avhengig av hvilken type nettverk som støttes, når du først starter VPN-konfigurasjonen i iphone, kan du velge følgende protokoller: L2TP, PPTP og Cisco IPSec (i tillegg kan du "opprette" en vpn-tilkobling ved hjelp av tredjepartsapplikasjoner) .

Alle disse protokollene støtter krypteringsnøkler, passordautentisering og sertifisering.

Ytterligere funksjoner når du setter opp en VPN-profil på en iPhone inkluderer: RSA-sikkerhet, krypteringsnivå og autorisasjonsregler for tilkobling til serveren.

For en iphone-telefon fra appstore bør du velge:

• er en gratis Tunnelbear-app som lar deg koble til VPN-servere i alle land.
• - OpenVPN connect er en av de beste VPN-klientene der ute. Her, for å kjøre applikasjonen, må du først importere rsa-nøklene via itunes til telefonen.
• - Cloak er en shareware-applikasjon, fordi produktet i noen tid kan "brukes" gratis, men for å bruke programmet etter at demoperioden utløper, må du kjøpe det.

VPN-oppretting: Velge og konfigurere utstyr

For bedriftskommunikasjon i store organisasjoner eller sammenslutninger av kontorer fjernt fra hverandre, brukes maskinvareutstyr som kan støtte uavbrutt, sikker nettverksdrift.

For å implementere vpn-teknologier kan følgende fungere som en nettverksgateway: Unix-servere, Windows-servere, en nettverksruter og en nettverksgateway som VPN er installert på.

En server eller enhet som brukes til å opprette et bedrifts-vpn-nettverk eller en vpn-kanal mellom eksterne kontorer, må utføre komplekse tekniske oppgaver og tilby et komplett spekter av tjenester til brukere både på arbeidsstasjoner og på mobile enheter.

Enhver ruter eller vpn-ruter skal gi pålitelig nettverksdrift uten å fryse. Og den innebygde vpn-funksjonen lar deg endre nettverkskonfigurasjonen for arbeid hjemme, i en organisasjon eller et eksternt kontor.

Konfigurere vpn på en ruter

Generelt utføres VPN-konfigurasjonen på ruteren ved hjelp av ruterens webgrensesnitt. På "klassiske" enheter for organisering av vpn, må du gå til delen "innstillinger" eller "nettverksinnstillinger", der du velger VPN-delen, spesifiserer protokolltypen, skriver inn innstillingene for subnettadressen din, maske og spesifiserer rekke ip-adresser for brukere.

I tillegg, for å sikre tilkoblingen, må du spesifisere krypteringsalgoritmer, autentiseringsmetoder, generere forhandlingsnøkler og spesifisere DNS WINS-servere. I "Gateway"-parametrene må du spesifisere gateway-ip-adressen (din ip) og fylle ut dataene på alle nettverkskort.

Hvis det er flere rutere i nettverket, er det nødvendig å fylle ut vpn-rutingstabellen for alle enheter i VPN-tunnelen.

Her er en liste over maskinvaren som brukes til å bygge VPN-nettverk:

Dlink-rutere: DIR-320, DIR-620, DSR-1000 med ny fastvare eller D-Link DI808HV-ruter.

Cisco PIX 501, Cisco 871-SEC-K9-rutere

Linksys Rv082-ruter med støtte for 50 VPN-tunneler

Netgear DG834G ruter og FVS318G, FVS318N, FVS336G, SRX5308 rutere

Mikrotik-ruter med OpenVPN-funksjon. RouterBoard RB / 2011L-IN Mikrotik eksempel

VPN-utstyr RVPN S-Terra eller VPN Gate

ASUS-rutere RT-N66U, RT-N16 og RT N-10

ZyXel-rutere ZyWALL 5, ZyWALL P1, ZyWALL USG

Den siste tiden i telekommunikasjonsverdenen har det vært en økt interesse for virtuelle private nettverk (VPN). Dette skyldes behovet for å redusere kostnadene for å vedlikeholde bedriftsnettverk på grunn av billigere tilkobling av eksterne kontorer og eksterne brukere via Internett. Faktisk, når man sammenligner kostnadene ved å koble til flere nettverk over Internett, for eksempel med Frame Relay-nettverk, kan man merke en betydelig forskjell i kostnad. Det skal imidlertid bemerkes at når du kobler til nettverk via Internett, oppstår spørsmålet umiddelbart om sikkerheten for dataoverføring, derfor ble det nødvendig å opprette mekanismer for å sikre konfidensialitet og integritet til den overførte informasjonen. Nettverkene som er bygget på grunnlag av slike mekanismer kalles VPN.

I tillegg må en moderne person, som utvikler sin virksomhet, reise mye. Dette kan være turer til avsidesliggende hjørner av landet vårt eller til fremmede land. Ofte trenger folk tilgang til informasjonen som er lagret på hjemmedatamaskinen eller på en bedriftsdatamaskin. Dette problemet kan løses ved å organisere ekstern tilgang til det ved hjelp av et modem og en linje. Bruken av en telefonlinje har sine egne egenskaper. Ulempen med denne løsningen er at en samtale fra et annet land koster mye penger. Det finnes også en annen løsning som heter VPN. Fordelene med VPN-teknologi er at organiseringen av ekstern tilgang ikke gjøres via en telefonlinje, men via Internett, som er mye billigere og bedre. Etter min mening teknologi. VPN har utsikter til utbredt adopsjon over hele verden.

1. Konsept og klassifisering av VPN-nettverk, deres konstruksjon

1.1 Hva er VPN

VPN(English Virtual Private Network - virtuelt privat nettverk) - et logisk nettverk opprettet på toppen av et annet nettverk, for eksempel Internett. Til tross for at kommunikasjon utføres over offentlige nettverk ved bruk av usikre protokoller, skaper kryptering kanaler for informasjonsutveksling som er stengt fra utenforstående. VPN lar deg forene for eksempel flere kontorer i en organisasjon til et enkelt nettverk ved å bruke ukontrollerte kanaler for kommunikasjon mellom dem.

I kjernen har en VPN mange av egenskapene til en leid linje, men den er for eksempel distribuert i et offentlig nettverk. Med tunnelteknikken kringkastes datapakker over det offentlige nettverket som om det var en vanlig punkt-til-punkt-forbindelse. En slags tunnel etableres mellom hvert par av "sender-mottaker av data" - en sikker logisk forbindelse som lar deg kapsle inn dataene til en protokoll i pakker av en annen. Hovedkomponentene i tunnelen er:

• initiativtaker;
• rutet nettverk;
• tunnel bytte;
• en eller flere tunnelterminatorer.

VPN i seg selv er ikke i konflikt med store nettverksteknologier og protokoller. For eksempel, når klienten etablerer en oppringt tilkobling, sender en strøm av PPP-pakker til serveren. Når det gjelder å organisere virtuelle leide linjer mellom lokale nettverk, utveksler deres rutere også PPP-pakker. Men fundamentalt nytt er videresending av pakker gjennom en sikker tunnel organisert i det offentlige nettverket.

Tunnelering lar deg organisere overføringen av pakker av en protokoll i et logisk miljø med en annen protokoll. Som et resultat blir det mulig å løse problemene med samhandling mellom flere forskjellige typer nettverk, og starter med behovet for å sikre integriteten og konfidensialiteten til overførte data og slutter med å overvinne inkonsekvenser i eksterne protokoller eller adresseringsordninger.

Et selskaps eksisterende nettverksinfrastruktur kan klargjøres for VPN ved å bruke enten programvare eller maskinvare. Å etablere en VPN kan sammenlignes med kabling over et WAN. Vanligvis etableres en direkte forbindelse mellom den eksterne brukeren og endepunktet til tunnelen ved hjelp av PPP.

Den vanligste metoden for å lage VPN-tunneler er å innkapsle nettverksprotokoller (IP, IPX, AppleTalk, etc.) i PPP og deretter innkapsle de resulterende pakkene i en tunneleringsprotokoll. Vanligvis er sistnevnte IP eller (mye mindre vanlig) ATM og Frame Relay. Denne tilnærmingen kalles Layer 2 Tunneling, siden "passasjeren" her er Layer 2-protokollen.

En alternativ tilnærming til å kapsle inn nettverksprotokollpakker direkte i en tunnelprotokoll (som VTP) kalles Layer 3-tunneling.

Uansett hvilke protokoller som brukes eller hvilke formål blir fulgt ved organisering av en tunnel, gjenstår den grunnleggende teknikkenpraktisk talt uendret. Vanligvis brukes en protokoll til å etablere en forbindelse med en ekstern vert, og den andre brukes til å kapsle inn data og tjenesteinformasjon for overføring gjennom tunnelen.

1.2 Klassifisering av VPN-nettverk

VPN-løsninger kan klassifiseres i henhold til flere hovedparametre:

1. Etter typen miljø som brukes:

• Sikre VPN-nettverk. Den vanligste varianten av private private nettverk. Med dens hjelp er det mulig å lage et pålitelig og sikkert undernett basert på et upålitelig nettverk, vanligvis Internett. Eksempler på sikre VPN-er er: IPSec, OpenVPN og PPTP.
• Klarerte VPN-nettverk. De brukes i tilfeller der overføringsmediet kan anses som pålitelig og det bare er nødvendig å løse problemet med å lage et virtuelt subnett i et større nettverk. Sikkerhetsproblemer blir irrelevante. Eksempler på slike VPN-løsninger er: MPLS og L2TP. Det vil være mer riktig å si at disse protokollene flytter oppgaven med å sikre sikkerhet til andre, for eksempel brukes L2TP som regel i forbindelse med IPSec.

2. Ved implementering:

• VPN-nettverk i form av spesiell programvare og maskinvare. VPN-nettverket implementeres ved hjelp av et spesielt sett med programvare og maskinvare. Denne implementeringen gir høy ytelse og som regel en høy grad av sikkerhet.
• VPN-nettverk som programvareløsning. Bruk en personlig datamaskin med spesiell programvare for å gi VPN-funksjonalitet.
• VPN-nettverk med integrert løsning. VPN-funksjonalitet gir et kompleks som også løser problemene med å filtrere nettverkstrafikk, organisere en brannmur og sikre kvaliteten på tjenesten.

3. Etter avtale:

• Intranett VPN. De brukes til å kombinere flere distribuerte grener av én organisasjon til et enkelt sikkert nettverk, og utveksle data via åpne kommunikasjonskanaler.
• Fjerntilgang VPN. De brukes til å opprette en sikker kanal mellom et segment av et bedriftsnettverk (sentralkontor eller filial) og en enkelt bruker som, mens han jobber hjemmefra, kobler til bedriftsressurser fra en hjemmedatamaskin eller, mens han er på forretningsreise, kobler til bedriftsressurser ved å bruke en bærbar datamaskin.
• Ekstranett VPN. Brukes for nettverk som "eksterne" brukere (for eksempel kunder eller klienter) kobler seg til. Nivået av tillit til dem er mye lavere enn hos selskapets ansatte, derfor er det nødvendig å gi spesielle "linjer" for beskyttelse, forhindre eller begrense sistnevntes tilgang til spesielt verdifull, konfidensiell informasjon.

4. Etter type protokoll:

• Det er implementeringer av virtuelle private nettverk for TCP/IP, IPX og AppleTalk. Men i dag er det en tendens til en generell overgang til TCP/IP-protokollen, og de aller fleste VPN-løsninger støtter det.

5. Etter nettverksprotokollens nivå:

• Etter nettverksprotokolllag basert på kartlegging til ISO / OSI-nettverksreferansemodelllagene.

1.3. Bygge en VPN

Det finnes ulike alternativer for å bygge en VPN. Når du velger en løsning, må du vurdere ytelsesfaktorene til VPN-byggeren din. For eksempel, hvis en ruter allerede kjører på maksimal kapasitet, kan det å legge til VPN-tunneler og bruke kryptering / dekryptering av informasjon stoppe driften av hele nettverket på grunn av det faktum at denne ruteren ikke vil være i stand til å takle enkel trafikk, enn si VPN. Erfaring viser at det er best å bruke spesialisert utstyr for å bygge en VPN, men hvis det er begrensede midler, kan du ta hensyn til en ren programvareløsning. La oss vurdere noen alternativer for å bygge en VPN.

• VPN basert på brannmurer. De fleste leverandørers brannmurer støtter tunnelering og datakryptering. Alle slike produkter er basert på at trafikken som går gjennom brannmuren er kryptert. En krypteringsmodul legges til selve brannmurprogramvaren. Ulempen med denne metoden er at ytelsen avhenger av maskinvaren som kjører brannmuren. Når du bruker PC-baserte brannmurer, husk at denne løsningen kun kan brukes til små nettverk med lite trafikk.
• VPN basert på rutere. En annen måte å bygge en VPN på er å bruke rutere for å lage sikre kanaler. Siden all informasjon som utgår fra det lokale nettverket går gjennom ruteren, er det lurt å tildele krypteringsoppgaver til denne ruteren.Et eksempel på utstyr for å bygge VPN på rutere er utstyr fra Cisco Systems. Fra og med IOS Software Release 11.3 støtter Cisco-rutere L2TP og IPSec. I tillegg til enkel kryptering av overført informasjon, støtter Cisco også andre VPN-funksjoner, som autentisering ved etablering av tunnelforbindelse og nøkkelutveksling.En valgfri ESA-krypteringsmodul kan brukes til å forbedre ruterens ytelse. I tillegg har Cisco System gitt ut en dedikert VPN-enhet kalt Cisco 1720 VPN Access Router for små og mellomstore bedrifter og store avdelingskontorer.
• VPN-programvare basert. Den neste tilnærmingen til å bygge en VPN er rene programvareløsninger. Ved implementering av en slik løsning brukes spesialisert programvare som kjører på en dedikert datamaskin, og som i de fleste tilfeller fungerer som en proxy-server. En datamaskin med slik programvare kan være plassert bak en brannmur.
• VPN basert på nettverks-OS.Vi vil vurdere løsninger basert på et nettverksoperativsystem ved å bruke eksemplet med Microsofts Windows-operativsystem. For å lage en VPN bruker Microsoft PPTP, som er integrert i Windows-systemet. Denne løsningen er svært attraktiv for organisasjoner som bruker Windows som bedriftsoperativsystem. Det skal bemerkes at kostnaden for en slik løsning er betydelig lavere enn kostnaden for andre løsninger. En Windows-basert VPN bruker en brukerbase som er lagret på Primary Domain Controller (PDC). Når du kobler til en PPTP-server, blir brukeren autentisert med PAP, CHAP eller MS-CHAP. De overførte pakkene er innkapslet i GRE / PPTP-pakker. For å kryptere pakker brukes en ikke-standard Microsoft Point-to-Point-krypteringsprotokoll med en 40- eller 128-biters nøkkel hentet på tidspunktet for opprettelse av tilkoblingen. Ulempene med dette systemet er mangelen på dataintegritetssjekk og umuligheten av å endre nøklene under tilkoblingen. Det positive er den enkle integrasjonen med Windows og den lave kostnaden.
• VPN basert på maskinvare. Muligheten for å bygge VPN på spesielle enheter kan brukes i nettverk som krever høy ytelse. Et eksempel på en slik løsning er Radguards IPro-VPN-produkt. Dette produktet bruker maskinvarekryptering av den overførte informasjonen, i stand til å overføre en strøm på 100 Mbps. IPro-VPN støtter IPSec-protokollen og ISAKMP / Oakley nøkkeladministrasjonsmekanisme. Blant annet støtter denne enheten midler for oversettelse av nettverksadresser og kan suppleres med et spesielt kort som legger til brannmurfunksjoner

2. VPN-protokoller

VPN-er er bygget ved å bruke protokoller for tunnelering av data over det offentlige Internett, med tunnelprotokollene som krypterer data og overfører dem ende-til-ende mellom brukere. Som regel, i dag for å bygge VPN-nettverk, brukes protokoller på følgende nivåer:

• Linklag
• Nettverkslag
• Transportlag.

2.1 Linklag

På datalinklaget kan datatunneleringsprotokollene L2TP og PPTP brukes, som bruker autorisasjon og autentisering.

PPTP.

For øyeblikket er den vanligste VPN-protokollen Point-to-Point Tunneling Protocol - PPTP. Den ble utviklet av 3Com og Microsoft for å gi sikker ekstern tilgang til bedriftsnettverk over Internett. PPTP utnytter eksisterende åpne TCP / IP-standarder og er sterkt avhengig av den eldre PPP punkt-til-punkt-protokollen. I praksis forblir PPP kommunikasjonsprotokollen for PPTP-tilkoblingsøkten. PPTP oppretter en tunnel gjennom nettverket til mottakerens NT-server og overfører PPP-pakker til den eksterne brukeren gjennom den. Serveren og arbeidsstasjonen bruker VPN og er uvitende om hvor sikker eller tilgjengelig WAN mellom dem er. Server-initiert avslutning av en tilkoblingsøkt, i motsetning til spesialiserte fjerntilgangsservere, lar lokale nettverksadministratorer holde eksterne brukere utenfor sikkerhetssystemet til Windows Server.

Mens oppgaven til PPTP-protokollen kun strekker seg til enheter som kjører Windows, gir den bedrifter muligheten til å samhandle med eksisterende nettverksinfrastruktur uten å kompromittere deres egne sikkerhetssystemer. På denne måten kan en ekstern bruker koble seg til Internett med en lokal ISP over en analog telefonlinje eller ISDN og etablere en tilkobling til NT-serveren. Samtidig slipper selskapet å bruke store summer på å organisere og vedlikeholde en pool av modemer som leverer fjerntilgangstjenester.

Videre vurderes arbeidet til RRTP. PPTP innkapsler IP-pakker for overføring over et IP-nettverk. PPTP-klienter bruker målporten for å etablere en tunnelkontrollforbindelse. Denne prosessen foregår ved transportlaget til OSI-modellen. Etter at tunnelen er opprettet, begynner klientdatamaskinen og serveren å utveksle tjenestepakker. I tillegg til PPTP-kontrollforbindelsen for å holde koblingen i live, opprettes en datatunnelviderekobling. Innkapslingen av data før den sendes gjennom tunnelen er litt forskjellig fra normal overføring. Innkapsling av data før de sendes inn i tunnelen innebærer to trinn:

1. Først opprettes PPP-informasjonsdelen. Data flyter fra topp til bunn, fra OSI-applikasjonslaget til datalinklaget.
2. De mottatte dataene sendes deretter opp i OSI-modellen og innkapsles av øvre lags protokoller.

I løpet av den andre passeringen når dataene altså transportlaget. Informasjonen kan imidlertid ikke sendes til destinasjonen, siden OSI-datalinklaget er ansvarlig for dette. Derfor krypterer PPTP nyttelastfeltet til pakken og overtar andrelagsfunksjonene som normalt eies av PPP, dvs. legger til en PPP-header og etterfølgende til PPTP-pakken. Dette fullfører opprettelsen av lenkelagsrammen.

Deretter innkapsler PPTP PPP-rammen i en Generic Routing Encapsulation (GRE)-pakke som tilhører nettverkslaget. GRE innkapsler nettverkslagsprotokoller som IPX, AppleTalk, DECnet for å gjøre det mulig å transportere dem over IP-nettverk. GRE har imidlertid ikke muligheten til å etablere økter og beskytte data mot inntrengere. Den bruker PPTPs evne til å opprette en forbindelse for å administrere tunnelen. Bruken av GRE som en innkapslingsmetode begrenser PPTP-handlingsfeltet til kun IP-nettverk.

Etter at PPP-rammen har blitt innkapslet i en GRE-header-ramme, er den innkapslet i en IP-header-ramme. IP-hodet inneholder adressene til avsender og mottaker av pakken. Til slutt legger PPTP til en PPP-header og avslutning.

Sendersystemet sender data gjennom tunnelen. Mottakssystemet fjerner alle overheadhoder, og etterlater bare PPP-data.

L2TP

I nær fremtid forventes en økning i antall VPN-er som er distribuert basert på den nye Layer 2 Tunneling Protocol – L2TP –.

L2TP dukket opp fra kombinasjonen av PPTP og L2F (Layer 2 Forwarding) protokoller. PPTP lar deg tunnelere PPP-pakker, og L2F-pakker SLIP og PPP. For å unngå forvirring og interoperabilitetsproblemer i telekommunikasjonsmarkedet, anbefalte Internet Engineering Task Force (IETF) Cisco Systems å slå sammen PPTP og L2F. Etter alt å dømme har L2TP integrert de beste funksjonene til PPTP og L2F. Den største fordelen med L2TP er at denne protokollen lar deg lage en tunnel ikke bare i IP-nettverk, men også i slike nettverk som ATM, X.25 og Frame Relay. Dessverre støtter Windows 2000 L2TP-implementeringen kun IP.

L2TP bruker UDP som transport og bruker samme meldingsformat for både tunnelhåndtering og dataoverføring. L2TP i Microsofts implementering bruker UDP-pakker som inneholder krypterte PPP-pakker som kontrollmeldinger. Påliteligheten til leveringen er garantert av kontrollen av pakkesekvensen.

Funksjonaliteten til PPTP og L2TP er forskjellig. L2TP kan brukes ikke bare i IP-nettverk, tjenestemeldinger bruker samme format og protokoller for å lage en tunnel og sende data gjennom den. PPTP kan kun brukes på IP-nettverk og trenger en egen TCP-tilkobling for å opprette og bruke tunnelen. L2TP over IPSec tilbyr flere lag med sikkerhet enn PPTP og kan garantere nesten 100 prosent sikkerhet for forretningskritiske data. Funksjonene til L2TP gjør den til en veldig lovende protokoll for å bygge virtuelle nettverk.

L2TP og PPTP skiller seg fra Layer 3 tunnelprotokoller på en rekke måter:

1. Gir bedrifter muligheten til selvstendig å velge hvordan de skal autentisere brukere og verifisere deres legitimasjon - på deres eget "territorium" eller hos en Internett-leverandør. Ved å behandle tunnelerte PPP-pakker får serverne på bedriftsnettverket all informasjonen de trenger for å identifisere brukere.
2. Tunnelbyttestøtte - terminering av en tunnel og initiering av en annen til en av mange potensielle terminatorer. Tunnelbytte lar så å si utvide PPP-forbindelsen til det nødvendige endepunktet.
3. Gjør det mulig for bedrifå implementere strategier for å tildele tilgangsrettigheter til brukere direkte på brannmuren og back-end-servere. Fordi tunnelterminatorer mottar PPP-pakker som inneholder brukerinformasjon, er de i stand til å bruke sikkerhetspolicyer formulert av administratorer på individuell brukertrafikk. (Layer 3 tunneling skiller ikke mellom pakker som kommer fra leverandøren, så sikkerhetspolicyfiltre må brukes på endepunktarbeidsstasjoner og nettverksenheter.) I tillegg, ved bruk av en tunnelsvitsj, blir det mulig å organisere «fortsettelse» " av tunnelen det andre nivået for direkte kringkasting av trafikk til enkeltpersonerbrukere til de tilsvarende interne serverne. Disse serverne kan få i oppgave med ekstra pakkefiltrering.

MPLS

Også, på lenkenivå, for organisering av tunneler, MPLS-teknologi ( Fra det engelske Multiprotocol Label Switching - multiprotocol label switching - en dataoverføringsmekanisme som emulerer ulike egenskaper til kretssvitsjede nettverk over pakkesvitsjede nettverk). MPLS opererer i et lag som kan være plassert mellom lenkelaget og det tredje nettverkslaget i OSI-modellen, og derfor blir det ofte referert til som en koblingsnettverkslagsprotokoll. Den ble designet for å tilby en universell datatjeneste for både kretssvitsjede og pakkesvitsjede klienter. MPLS kan transportere et bredt spekter av trafikk som IP-pakker, ATM, SONET og Ethernet-rammer.

VPN-løsninger på lenkenivå har et ganske begrenset omfang, vanligvis innenfor leverandørens domene.

2.2 Nettverkslag

Nettverkslag (IP-lag). IPSec-protokollen brukes, som implementerer kryptering og konfidensialitet av data, samt autentisering av abonnenter. Bruken av IPSec-protokollen gir tilgang til alle funksjoner som tilsvarer en fysisk tilkobling til bedriftsnettverket. For å etablere en VPN må hver deltaker konfigurere visse IPSec-parametere, dvs. hver klient må ha programvare som implementerer IPSec.

IPSec

Naturligvis vil ingen selskaper åpent gå over til Internett finansiell eller annen konfidensiell informasjon. VPN-kanaler er beskyttet av kraftige krypteringsalgoritmer innebygd i IPsec-sikkerhetsprotokollstandardene. IPSec eller Internet Protocol Security - standarden valgt av det internasjonale samfunnet, IETF - Internet Engineering Task Force-gruppen, skaper sikkerhetsrammeverket for Internett-protokollen (IP / IPSec-protokollen gir sikkerhet på nettverkslaget og krever IPSec-støtte kun fra kommuniserende enheter på begge Alle andre enheter i mellom gir ganske enkelt IP-pakketrafikk.

Metoden for interaksjon mellom personer som bruker IPSec-teknologi er vanligvis definert av begrepet "sikker assosiasjon" - Security Association (SA). En sikker forening opererer på grunnlag av en avtale mellom partene som bruker IPSec for å beskytte informasjon som overføres til hverandre. Denne avtalen regulerer flere parametere: avsender og mottakers IP-adresser, kryptografisk algoritme, nøkkelutvekslingsrekkefølge, nøkkelstørrelser, nøkkellevetid, autentiseringsalgoritme.

IPSec er et konsistent sett med åpne standarder med en kjerne som enkelt kan utvides med nye funksjoner og protokoller. Kjernen i IPSec består av tre protokoller:

· AN eller Authentication Header - en autentiseringshode - garanterer integriteten og autentisiteten til dataene. Hovedformålet med NA-protokollen er at den lar mottakersiden sørge for at:

• pakken ble sendt av en part som det er etablert en sikker tilknytning til;
• innholdet i pakken ble ikke tuklet med under overføringen over nettverket;
• pakken er ikke et duplikat av pakken som allerede er mottatt.

De to første funksjonene er obligatoriske for AH-protokollen, og den siste er valgfri ved etablering av en tilknytning. AN-protokollen bruker en spesiell overskrift for å utføre disse funksjonene. Strukturen betraktes som følger:

1. Det neste overskriftsfeltet indikerer koden til protokollen for høyere lag, det vil si protokollen hvis melding er plassert i datafeltet til IP-pakken.
2. Feltet for nyttelastlengde inneholder lengden på AH-overskriften.
3. Sikkerhetsparameterindeksen (SPI) brukes til å knytte en pakke til dens sikre tilknytning.
4. Feltet Sekvensnummer (SN) angir sekvensnummeret til pakken og brukes til å beskytte mot falsk avspilling (når en tredjepart prøver å gjenbruke innfangede sikre pakker sendt av en genuint autentisert avsender).
5. Autentiseringsdatafeltet, som inneholder den såkalte Integrity Check Value (ICV), brukes til å autentisere og sjekke integriteten til pakken. Denne verdien, også kalt en sammendrag, beregnes ved hjelp av en av to beregningsmessig irreversible funksjoner MD5 eller SAH-1 som kreves av AH-protokollen, men alle andre funksjoner kan brukes.

· ESP eller Encapsulating Security Payload- Innkapsling av krypterte data - krypterer overførte data, sikrer konfidensialitet, kan også støtte autentisering og dataintegritet;

ESP-protokollen løser to grupper problemer.

1. Den første inkluderer oppgaver som ligner på AN-protokollen - den er å sikre autentisering og dataintegritet basert på sammendraget,
2. Den andre - de overførte dataene ved å kryptere dem fra uautorisert visning.

Overskriften er delt i to deler, atskilt med et datafelt.

1. Den første delen, kalt den faktiske ESP-headeren, er dannet av to felt (SPI og SN), hvis formål ligner på feltene med samme navn i AH-protokollen, og er plassert foran datafeltet.
2. Resten av tjenestefeltene til ESP-protokollen, kalt ESP-traileren, er plassert på slutten av pakken.

De to trailerfeltene - den neste overskriften og autentiseringsdataene - ligner på AH-overskriftsfeltene. Autentiseringsdata-feltet er ikke til stede hvis sikkerhetstilknytningen er satt opp til å ikke bruke ESPs integritetsfunksjoner. I tillegg til disse feltene inneholder traileren ytterligere to felt - plassholderen og lengden på plassholderen.

AH- og ESP-protokollene kan beskytte data i to moduser:

1. i transport - overføring utføres med originale IP-headere;
2. i tunnel - den originale pakken legges i en ny IP-pakke og overføring utføres med nye overskrifter.

Anvendelsen av denne eller den modusen avhenger av kravene til databeskyttelse, så vel som av rollen som spilles av noden som avslutter den sikre kanalen i nettverket. For eksempel kan en node være en vert (endenode) eller en gateway (mellomnode).

Følgelig er det tre skjemaer for bruk av IPSec-protokollen:

1. vert vert;
2. gateway-gateway;
3. vert gateway.

Mulighetene til AH- og ESP-protokollene overlapper delvis: AH-protokollen er kun ansvarlig for å sikre integriteten og autentiseringen av data, ESP-protokollen kan kryptere data og i tillegg utføre funksjonene til AH-protokollen (i en avkortet form) . ESP kan støtte kryptering og autentisering/integritetsfunksjoner i alle kombinasjoner, det vil si enten hele gruppen av funksjoner, eller kun autentisering/integritet, eller kun kryptering.

· IKE eller Internet Key Exchange - utveksling av nøkler på Internett - løser hjelpeproblemet med å automatisk gi endepunkter til en sikker kanal de hemmelige nøklene som er nødvendige for driften av protokollene for autentisering og datakryptering.

2.3 Transportlag

Transportlaget bruker SSL / TLS eller Secure Socket Layer / Transport Layer Security, som implementerer kryptering og autentisering mellom transportlagene til mottaker og sender. SSL / TLS kan brukes til å beskytte TCP-trafikk, kan ikke brukes til å beskytte UDP-trafikk. For at en VPN basert på SSL / TLS skal fungere, er det ikke nødvendig å implementere spesiell programvare, siden hver nettleser og e-postklient er utstyrt med disse protokollene. Fordi SSL / TLS er implementert på transportlaget, etableres en sikker forbindelse ende-til-ende.

TLS-protokollen er basert på Netscape SSL-protokollen versjon 3.0 og består av to deler - TLS Record Protocol og TLS Handshake Protocol. Forskjellene mellom SSL 3.0 og TLS 1.0 er små.

SSL / TLS har tre hovedfaser:

1. Dialog mellom partene, hvis formål er å velge en krypteringsalgoritme;
2. Nøkkelutveksling basert på offentlige nøkkelkryptosystemer eller sertifikatbasert autentisering;
3. Overføring av data kryptert ved hjelp av symmetriske krypteringsalgoritmer.

2.4 VPN-implementering: IPSec eller SSL/TLS?

Ofte står ledere for IT-avdelinger overfor spørsmålet: hvilken av protokollene skal man velge for å bygge et bedrifts VPN-nettverk? Svaret er ikke åpenbart, siden hver tilnærming har både fordeler og ulemper. Vi vil prøve å gjennomføre og identifisere når det er nødvendig å bruke IPSec, og når SSL/TLS. Som man kan se fra analysen av egenskapene til disse protokollene, er de ikke utskiftbare og kan fungere både separat og parallelt, og definerer funksjonstrekkene til hver av de implementerte VPN-ene.

Valget av en protokoll for å bygge et bedrifts VPN-nettverk kan utføres i henhold til følgende kriterier:

· Typen tilgang som kreves for VPN-brukere.

1. Fullstendig permanent tilkobling til bedriftsnettverket. Det anbefalte valget er IPSec.
2. En midlertidig tilkobling, for eksempel en mobilbruker eller en bruker som bruker en offentlig datamaskin, for å få tilgang til visse tjenester, for eksempel e-post eller en database. Det anbefalte valget er SSL / TLS, som lar deg sette opp en VPN for hver enkelt tjeneste.

· Om brukeren er ansatt i bedriften.

1. Hvis brukeren er ansatt i selskapet, kan enheten han bruker for å få tilgang til bedriftsnettverket via IPSec VPN konfigureres på en bestemt måte.
2. Hvis brukeren ikke er ansatt i bedriften som har tilgang til bedriftsnettverket, anbefales det å bruke SSL/TLS. Dette vil begrense gjestetilgangen til kun enkelte tjenester.

· Hva er sikkerhetsnivået til bedriftsnettverket.

1. Høy. Det anbefalte valget er IPSec. Sikkerhetsnivået som tilbys av IPSec er faktisk mye høyere enn sikkerhetsnivået som tilbys av SSL / TLS-protokollen på grunn av bruken av konfigurerbar programvare på brukersiden og en sikkerhetsgateway på bedriftssiden.
2. Gjennomsnitt. Det anbefalte valget er SSL / TLS, som gir tilgang fra alle terminaler.

· Sikkerhetsnivået for data som overføres av brukeren.

1. Høy, for eksempel ledelsen av et selskap. Det anbefalte valget er IPSec.
2. Middels, for eksempel en partner. Det anbefalte valget er SSL / TLS.

Middels til høy avhengig av tjenesten. Det anbefalte valget er en kombinasjon av IPSec (for tjenester som krever et høyt sikkerhetsnivå) og SSL / TLS (for tjenester som krever et middels sikkerhetsnivå).

· Enda viktigere, rask VPN-distribusjon eller fremtidig skalerbarhet.

1. Rask VPN-distribusjon til minimal kostnad. Det anbefalte valget er SSL / TLS. I dette tilfellet er det ikke nødvendig å implementere spesiell programvare på brukersiden, som i tilfellet med IPSec.
2. VPN-skalerbarhet - legger til tilgang til ulike tjenester. Det anbefalte valget er IPSec-protokollen, som gir tilgang til alle tjenester og ressurser i bedriftsnettverket.
3. Rask distribusjon og skalerbarhet. Det anbefalte valget er en kombinasjon av IPSec og SSL/TLS: å bruke SSL/TLS som et første trinn for å få tilgang til tjenestene du trenger, og deretter implementere IPSec.

3. Metoder for implementering av VPN-nettverk

En VPN er basert på tre implementeringsmetoder:

· Tunneling;

· Kryptering;

· Godkjenning.

3.1 Tunneldrift

Tunnelering gir dataoverføring mellom to punkter - endene av tunnelen - på en slik måte at hele nettverksinfrastrukturen som ligger mellom dem er skjult for kilden og destinasjonen til dataene.

Transportmediet til tunnelen, som en damp, plukker opp pakkene til den brukte nettverksprotokollen ved inngangen til tunnelen og leverer dem uendret til utgangen. Tunnelering er tilstrekkelig for å koble sammen to nettverksnoder slik at de ser ut til å være koblet til samme (lokale) nettverk fra programvaren som kjører på dem. Vi må imidlertid ikke glemme at faktisk "dampen" med data går gjennom mange mellomnoder (rutere) i det åpne offentlige nettverket.

Denne tilstanden er full av to problemer. Den første er at informasjon som sendes gjennom tunnelen kan bli fanget opp av inntrengere. Hvis det er konfidensielt (bankkortnummer, regnskap, personlig informasjon), er trusselen om kompromiss ganske reell, noe som allerede er ubehagelig i seg selv. Verre, angripere har muligheten til å endre dataene som sendes gjennom tunnelen, slik at mottakeren ikke kan bekrefte gyldigheten. Konsekvensene kan være alvorlige. Tatt i betraktning ovenstående, kommer vi til den konklusjon at tunnelen i sin rene form bare er egnet for noen typer nettverksbaserte dataspill og ikke kan late som om den er mer seriøs applikasjon. Begge problemene løses med moderne metoder for kryptografisk informasjonsbeskyttelse. For å forhindre uautoriserte endringer av datapakken på vei gjennom tunnelen, brukes metoden elektronisk digital signatur (). Essensen av metoden er at hver overført pakke leveres med en ekstra blokk med informasjon, som genereres i henhold til en asymmetrisk kryptografisk algoritme og er unik for pakkeinnholdet og avsenderens EDS hemmelige nøkkel. Denne informasjonsblokken er EDS-en til pakken og lar deg autentisere dataene av mottakeren, som kjenner den offentlige EDS-nøkkelen til avsenderen. Beskyttelsen av data som overføres gjennom tunnelen mot uautorisert visning oppnås ved bruk av sterke krypteringsalgoritmer.

3.2 Autentisering

Sikkerhet er en kjerne VPN-funksjon. Alle data fra klientdatamaskiner går gjennom Internett til VPN-serveren. En slik server kan være plassert i stor avstand fra klientdatamaskinen, og data på vei til organisasjonens nettverk går gjennom utstyret til mange leverandører. Hvordan sikre at dataene ikke er lest eller endret? For dette brukes ulike autentiserings- og krypteringsmetoder.

PPTP kan bruke hvilken som helst av PPP-protokollene for å autentisere brukere

• EAP eller Extensible Authentication Protocol;
• MSCHAP eller Microsoft Challenge Handshake Authentication Protocol (versjon 1 og 2);
• CHAP eller Challenge Handshake Authentication Protocol;
• SPAP eller Shiva Password Authentication Protocol;
• PAP eller passordautentiseringsprotokoll.

De beste protokollene er MSCHAP versjon 2 og Transport Layer Security (EAP-TLS) fordi de gir gjensidig autentisering, dvs. VPN-serveren og klienten identifiserer hverandre. I alle andre protokoller er det bare serveren som autentiserer klienter.

Selv om PPTP gir en rimelig grad av sikkerhet, er L2TP over IPSec mer pålitelig. L2TP over IPSec gir autentisering på bruker- og datamaskinnivå, samt autentisering og datakryptering.

Autentisering utføres enten ved en åpen test (klartekstpassord) eller ved et utfordrings-/svarskjema. Med direkte tekst er alt klart. Klienten sender et passord til serveren. Serveren sammenligner dette med en benchmark og nekter enten tilgang eller sier "velkommen". Åpen autentisering er nesten aldri påtruffet.

Forespørsel/svar-ordningen er mye mer avansert. Generelt ser det slik ut:

• klienten sender en forespørsel om autentisering til serveren;
• serveren returnerer et tilfeldig svar (utfordring);
• klienten fjerner en hash fra passordet sitt (en hash er resultatet av en hash-funksjon som konverterer en inndatamatrise av vilkårlig lengde til en utdatabitstreng med fast lengde), krypterer svaret med det og sender det til serveren;
• serveren gjør det samme, og sammenligner det mottatte resultatet med klientens svar;
• hvis det krypterte svaret samsvarer, anses autentisering som vellykket;

I det første trinnet med autentisering av VPN-klienter og -servere, bruker L2TP over IPSec lokale sertifikater hentet fra sertifiseringsmyndigheten. Klienten og serveren utveksler sertifikater og oppretter en sikker ESP SA (sikkerhetsforening). Etter at L2TP (over IPSec) har fullførtn, utføres autentisering på brukernivå. Enhver protokoll kan brukes for autentisering, til og med PAP, som overfører brukernavn og passord i klartekst. Dette er ganske sikkert, siden L2TP over IPSec krypterer hele økten. Imidlertid kan autentisering av brukeren med MSCHAP, som bruker forskjellige krypteringsnøkler for å autentisere datamaskinen og brukeren, øke sikkerheten.

3.3. Kryptering

PPTP-kryptering sikrer at ingen får tilgang til data når de sendes over Internett. To krypteringsmetoder støttes for øyeblikket:

• Krypteringsprotokollen MPPE eller Microsoft Point-to-Point Encryption er kun kompatibel med MSCHAP (versjon 1 og 2);
• EAP-TLS og er i stand til å automatisk velge lengden på krypteringsnøkkelen ved forhandling av parametere mellom klienten og serveren.

MPPE støtter 40, 56 eller 128 bit nøkler. Eldre Windows-operativsystemer støtter kun 40-biters nøkkellengdekryptering, så i et blandet Windows-miljø velger du minimum nøkkellengde.

PPTP endrer krypteringsnøkkelverdien etter hver mottatt pakke. MMPE ble designet for punkt-til-punkt-koblinger der pakker sendes sekvensielt og det er svært lite tap av data. I denne situasjonen avhenger nøkkelverdien for neste pakke av dekrypteringsresultatene til den forrige pakken. Ved bygging av virtuelle nettverk via offentlige aksessnettverk kan disse forholdene ikke overholdes, siden datapakker ofte kommer til mottakeren i feil rekkefølge de ble sendt i. Derfor bruker PPTP pakkesekvensnumre for å endre krypteringsnøkkelen. Dette gjør at dekryptering kan utføres uavhengig av tidligere mottatte pakker.

Begge protokollene er implementert både i Microsoft Windows og utenfor den (for eksempel i BSD); VPN-algoritmer kan variere betydelig.

Dermed lar pakken "tunnelering + autentisering + kryptering" deg overføre data mellom to punkter gjennom et offentlig nettverk, og simulerer driften av et privat (lokalt) nettverk. Med andre ord, de vurderte verktøyene lar deg bygge et virtuelt privat nettverk.

En ekstra hyggelig effekt av en VPN-tilkobling er muligheten (og til og med behovet) for å bruke adressesystemet som er tatt i bruk i det lokale nettverket.

Implementeringen av et virtuelt privat nettverk i praksis er som følger. En VPN-server er installert i lokalnettverket til firmaets kontor. Den eksterne brukeren (eller ruteren hvis to kontorer er koblet sammen) som bruker VPN-klientprogramvaren, starter tilkoblingen til serveren. Brukerautentisering finner sted - den første fasen av å etablere en VPN-tilkobling. Ved autorisasjonsbekreftelse begynner den andre fasen - mellom klienten og serveren forhandles detaljene for å sikre sikkerheten til forbindelsen. Deretter organiseres en VPN-tilkobling, som sikrer utveksling av informasjon mellom klienten og serveren i skjemaet, når hver pakke med data går gjennom prosedyrene for kryptering / dekryptering og integritetssjekk - dataautentisering.

Hovedproblemet med VPN-er er mangelen på veletablerte standarder for autentisering og kryptert informasjonsutveksling. Disse standardene er fortsatt under utvikling, og derfor kan ikke produkter fra forskjellige produsenter etablere VPN-forbindelser og automatisk utveksle nøkler. Dette problemet medfører en nedgang i spredningen av VPN, siden det er vanskelig å tvinge ulike selskaper til å bruke produktene fra samme produsent, og derfor er prosessen med å kombinere nettverkene til partnerselskapene til såkalte ekstranettnettverk vanskelig.

Fordelene med VPN-teknologi er at organiseringen av ekstern tilgang ikke gjøres via en telefonlinje, men via Internett, som er mye billigere og bedre. Ulempen med VPN-teknologi er at VPN-byggeverktøy ikke er komplette verktøy for å oppdage og blokkere angrep. De kan forhindre en rekke uautoriserte handlinger, men ikke alle funksjonene som kan brukes til å trenge inn i et bedriftsnettverk. Men til tross for alt dette har VPN-teknologi utsikter til videre utvikling.

Så hva kan du forvente når det gjelder VPN-teknologiutvikling i fremtiden? Uten tvil vil en enhetlig standard for bygging av slike nettverk utvikles og godkjennes. Mest sannsynlig vil grunnlaget for denne standarden være den allerede utprøvde IPSec-protokollen. Deretter vil leverandører fokusere på å forbedre ytelsen til produktene deres og lage brukervennlige VPN-kontroller. Mest sannsynlig vil utviklingen av VPN-byggeverktøy gå i retning av VPN basert på rutere, siden denne løsningen kombinerer ganske høy ytelse, VPN-integrasjon og ruting i én enhet. Men lavkostløsninger for små organisasjoner vil også utvikle seg. Avslutningsvis må det sies at selv om VPN-teknologien fortsatt er veldig ung, har den en stor fremtid foran seg.

Legg igjen din kommentar!