Интернет все чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:
конфиденциальность информации;
целостность данных;
доступность информации;
Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).
Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть .
Для наглядности представим следующий пример: предприятие имеет несколько территориально отдаленных филиалов и "мобильных" сотрудников, работающих дома или в разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ – это поставить модемы в каждом филиале и организовывать связь по мере необходимости. Такое решение, однако, не всегда удобно и выгодно – порой нужна постоянная связь и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VPN-подключения всех филиалов фирмы через Интернет и настройку VPN-средств на хостах сети.
Рис. 6.4. VPN-соединение типа сеть-сеть
Рис. 6.5. VPN-соединение типа хост-сеть
В этом случае решаются многие проблемы – филиалы могут располагаться где угодно по всему миру.
Опасность здесь заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего мира. Во-вторых, по Интернету все данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.
Чтобы этого не произошло, в решениях VPN используются такие средства, как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизация для проверки прав пользователя и разрешения доступа к виртуальной частной сети.
VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.
Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).
Хотя VPN-туннель устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами. Для примера, когда трём удалённым станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:
Рис. 6.6. Создание VPN-туннелей для нескольких удаленных точек
Пользователь устанавливает соединение с VPN-шлюзом, после чего пользователю открывается доступ к внутренней сети.
Внутри частной сети самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернету. Это справедливо и при соединении офисов с помощью VPN-шлюзов. Таким образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.
Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:
PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.
L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.
IPSec(Internet Protocol Security) – официальный Интернет-стандарт, разработан сообществом IETF (Internet Engineering Task Force).
Перечисленные протоколы поддерживаются устройствами D-Link.
Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP – протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.
Протокол PPTP позволяет создавать защищенные каналы для обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются с помощью протокола PPTP в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PPTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VPN, основанного на IPSec), так и любой другой протокол.
В настоящее время за счет легкости реализации протокол PPTP широко используется как для получения надежного защищенного доступа к корпоративной сети, так и для доступа к сетям Интернет-провайдеров, когда клиенту требуется установить PPTP-соединение с Интернет-провайдером для получения доступа в Интернет.
Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).
Как происходит установление соединения PPTP ?
PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP создают управляющее туннелем соединение, которое обеспечивает работоспособность канала. Этот процесс выполняется на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.
В дополнение к управляющему соединению PPTP создается соединение для пересылки данных по туннелю. Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP-кадра. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.
Данные с канального уровня достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IP, IPX, чтобы обеспечить возможность их передачи по IP-сетям. Однако применение только GRE-протокола не обеспечит установление сессии и безопасность данных. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.
После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.
На рис. 6.7 показана структура данных для пересылки по туннелю PPTP:
Рис. 6.7. Структура данных для пересылки по туннелю PPTP
Для организации VPN на основе PPTP не требуется больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP (решения PPTP существуют как для Windows, так и для Linux платформ), а на клиентских компьютерах выполнить необходимые настройки. Если же нужно объединить несколько филиалов, то вместо настройки PPTP на всех клиентских станциях лучше воспользоваться Интернет-маршрутизатором или межсетевым экраном с поддержкой PPTP: настройки осуществляются только на пограничном маршрутизаторе (межсетевом экране), подключенном к Интернету, для пользователей все абсолютно прозрачно. Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы серии DIR/DSR и межсетевые экраны серии DFL.
GRE -туннели
Generic Routing Encapsulation (GRE) – протокол инкапсуляции сетевых пакетов, обеспечивающий туннелирование трафика через сети без шифрования. Примеры использования GRE:
передача трафика (в том числе широковещательного) через оборудование, не поддерживающее определенный протокол;
туннелирование IPv6-трафика через сеть IPv4;
передача данных через публичные сети для реализации защищенного VPN-соединения.
Рис.
6.8.
Пример работы
GRE-туннеля
Между двумя маршрутизаторами A и B ( рис. 6.8 ) находится несколько маршрутизаторов, GRE-туннель позволяет обеспечить соединение между локальными сетями 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были подключены напрямую.
L 2 TP
Протокол L2TP появился в результате объединения протоколов PPTP и L2F. Главное достоинство протокола L2TP в том, что он позволяет создавать туннель не только в сетях IP, но и в сетях ATM, X.25 и Frame relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных.
Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication (см. в разделе "L2TP over IPSec"). Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На рис. 6.9 показана структура данных для пересылки по туннелю L2TP.
Рис. 6.9. Структура данных для пересылки по туннелю L2TP
Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.
Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.
IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Безопасность IPSec достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки – инкапсуляции. Т.к. IPSec – стандарт Интернет, то для него существуют документы RFC:
RFC 2401 (Security Architecture for the Internet Protocol) – архитектура защиты для протокола IP.
RFC 2402 (IP Authentication header) – аутентификационный заголовок IP.
RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) – использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.
RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – использование алгоритма шифрования DES.
RFC 2406 (IP Encapsulating Security Payload (ESP)) – шифрование данных.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) – область применения протокола управления ключами.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – управление ключами и аутентификаторами защищенных соединений.
RFC 2409 (The Internet Key Exchange (IKE)) – обмен ключами.
RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) – нулевой алгоритм шифрования и его использование.
RFC 2411 (IP Security Document Roadmap) – дальнейшее развитие стандарта.
RFC 2412 (The OAKLEY Key Determination Protocol) – проверка аутентичности ключа.
IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4.
Механизм IPSec решает следующие задачи:
аутентификацию пользователей или компьютеров при инициализации защищенного канала;
шифрование и аутентификацию данных, передаваемых между конечными точками защищенного канала;
автоматическое снабжение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.
Компоненты IPSec
Протокол AH (Authentication Header) – протокол идентификации заголовка. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Но использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP-адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной (для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечивающий передачу ESP через UDP и использующий в своей работе порт UDP 4500). Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.
Протокол ESP (Encapsulation Security Payload) обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов.
Протокол ESP – инкапсулирующий протокол безопасности, который обеспечивает и целостность, и конфиденциальность. В режиме транспорта ESP-заголовок находится между исходным IP-заголовком и заголовком TCP или UDP. В режиме туннеля ESP-заголовок размещается между новым IP-заголовком и полностью зашифрованным исходным IP-пакетом.
Т.к. оба протокола – AH и ESP – добавляют собственные заголовки IP, каждый из них имеет свой номер (ID) протокола, по которому можно определить, что последует за IP-заголовком. Каждый протокол, согласно IANA (Internet Assigned Numbers Authority – организация, ответственная за адресное пространство сети Интернет), имеет свой собственный номер (ID). Например, для TCP этот номер равен 6, а для UDP – 17. Поэтому, очень важно при работе через межсетевой экран настроить фильтры таким образом, чтобы пропускать пакеты с ID AH и/или ESP протокола.
Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается ID протокола 51, а для ESP – номер 50.
ВНИМАНИЕ : ID протокола не то же самое, что номер порта.
Протокол IKE (Internet Key Exchange) – стандартный протокол IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для ассоциации безопасности (SA).
SA – это термин IPSec для обозначения соединения. Установленный SA (защищенный канал, называемый "безопасной ассоциацией" или "ассоциацией безопасности" – Security Association, SA) включает в себя разделяемый секретный ключ и набор криптографических алгоритмов.
Протокол IKE выполняет три основные задачи:
обеспечивает средства аутентификации между двумя конечными точками VPN;
устанавливает новые связи IPSec (создаёт пару SA);
управляет существующими связями.
IKE использует UDP-порт с номером 500. При использовании функции NAT Traversal, как упоминалось ранее, протокол IKE использует UDP-порт с номером 4500.
Обмен данными в IKE происходит в 2 фазы. В первой фазе устанавливается ассоциация SA IKE. При этом выполняется аутентификация конечных точек канала и выбираются параметры защиты данных, такие как алгоритм шифрования, сессионный ключ и др.
Во второй фазе SA IKE используется для согласования протокола (обычно IPSec).
При настроенном VPN-туннеле для каждого используемого протокола создаётся одна пара SA. SA создаются парами, т.к. каждая SA – это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные пары SA хранятся на каждом узле.
Так как каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Этот номер называется SPI (Security Parameter Index) или индекс параметра безопасности.
SA храняться в базе данных (БД) SAD (Security Association Database).
Каждый узел IPSec также имеет вторую БД – SPD (Security Policy Database) – БД политики безопасности. Она содержит настроенную политику узла. Большинство VPN-решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.
Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения, и методы, выбранные для одной задачи, обычно не зависят от методов реализации других задач. Вместе с тем, рабочая группа IETF определила базовый набор поддерживаемых функций и алгоритмов, который должен быть однотипно реализован во всех продуктах, поддерживающих IPSec. Механизмы AH и ESP могут использоваться с различными схемами аутентификации и шифрования, некоторые из которых являются обязательными. Например, в IPSec определяется, что пакеты аутентифицируются либо с помощью односторонней функции MD5, либо с помощью односторонней функции SHA-1, а шифрование осуществляется с использованием алгоритма DES. Производители продуктов, в которых работает IPSec, могут добавлять другие алгоритмы аутентификации и шифрования. Например, некоторые продукты поддерживают такие алгоритмы шифрования, как 3DES, Blowfish, Cast, RC5 и др.
Для шифрования данных в IPSec может быть применен любой симметричный алгоритм шифрования, использующий секретные ключи.
Протоколы защиты передаваемого потока (AH и ESP) могут работать в двух режимах – в транспортном режиме и в режиме туннелирования . При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, т.е. шифруется только поле данных пакета, содержащего протоколы TCP / UDP (заголовок IP-пакета не изменяется (не шифруется)). Транспортный режим, как правило, используется для установления соединения между хостами.
В режиме туннелирования шифруется весь IP-пакет, включая заголовок сетевого уровня. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети (схема подключения "хост-сеть") или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети (схема подключения "сеть-сеть").
Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие – туннельный.
На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета. При этом предполагается, что оба узла знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован.
В режиме транспорта AH
весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;
все поля в AH;
полезные данные пакетов IP.
AH в режиме транспорта защищает IP-заголовок (за исключением полей, для которых разрешены изменения) и полезные данные в исходном IP-пакете (рисунок 3.39).
В туннельном режиме исходный пакет помещается в новый IP-пакет, и передача данных выполняется на основании заголовка нового IP-пакета.
Для туннельного режима AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:
все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;
все поля AH;
исходный IP-пакет.
Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:
Рис. 6.10. Туннельный и транспортный режимы работы протокола АН
В режиме транспорта ESP аутентифицирует не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-пакет сразу после заголовка IP, а окончание ESP (ESP Trailer), соответственно, добавляется после данных.
Режим транспорта ESP шифрует следующие части пакета:
полезные данные IP;
Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации IV (Initialization Vector) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения вектора инициализации, он охраняется контрольной суммой ICV. В этом случае ICV выполняет следующие расчеты:
все поля в заголовке ESP;
полезные данные, включая открытый текст IV;
все поля в ESP Trailer, за исключением поля данных проверки подлинности.
Туннельный режим ESP инкапсулирует весь исходный IP-пакет в заголовок нового IP, заголовок ESP и ESP Trailer. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50, причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP область аутентификации IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. Исходный заголовок помещается после заголовка ESP. После того, как зашифрованная часть инкапсулируется в новый туннельный заголовок, который не зашифровывается, осуществляется передача IP-пакета. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей сети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер, находящийся во внутренней сети. Режим туннелирования ESP шифрует следующие части пакета:
Для туннельного режима ESP расчет ICV производится следующим образом:
все поля в заголовке ESP;
исходный IP-пакет, включая открытый текст IV;
все поля заголовка ESP, за исключением поля данных проверки подлинности.
исходный IP-пакет;
Рис. 6.11. Туннельный и транспортный режим протокола ESP
Рис. 6.12. Сравнение протоколов ESP и AH
Резюме по применению режимов IPSec :
Протокол – ESP (AH).
Режим – туннельный (транспортный).
Способ обмена ключами – IKE (ручной).
Режим IKE – main (aggressive).
Ключ DH – group 5 (group 2, group 1) – номер группы для выбора динамически создаваемых ключей сеанса, длина группы.
Аутентификация – SHA1 (SHA, MD5).
Шифрование – DES (3DES, Blowfish, AES).
При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie-Hellman групп. Diffie-Hellman (DH) – протокол шифрования, используемый для установления общих секретных ключей для IKE, IPSec и PFS (Perfect Forward Secrecy – совершенная прямая секретность). В таком случае будет использована первая позиция, совпавшая на обоих узлах. Очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN-соединение. При настройке VPN-туннеля между различными системами нужно выяснить, какие алгоритмы поддерживаются каждой стороной, чтобы была возможность выбора наиболее безопасной политики из всех возможных.
Основные настройки, которые включает в себя политика безопасности:
Симметричные алгоритмы для шифрования/дешифрования данных.
Криптографические контрольные суммы для проверки целостности данных.
Способ идентификации узла. Самые распространенные способы – это предустановленные ключи (pre-shared secrets) или СА-сертификаты.
Использовать ли режим туннеля или режим транспорта.
Какую использовать группу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).
Использовать ли AH, ESP, или оба вместе.
Использовать ли PFS.
Ограничением IPSec является то, что он поддерживает только передачу данных на уровне протокола IP.
Существуют две основные схемы применения IPSec, отличающиеся ролью узлов, образующих защищенный канал.
В первой схеме защищенный канал образуется между конечными хостами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:
Рис. 6.13. Создание защищенного канала между двумя конечными точками
Во второй схеме защищенный канал устанавливается между двумя шлюзами безопасности. Эти шлюзы принимают данные от конечных хостов, подключенных к сетям, расположенным за шлюзами. Конечные хосты в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть, проходит через шлюз безопасности, который выполняет защиту от своего имени.
Рис. 6.14. Создание защищенного канала между двумя шлюзами
Для хостов, поддерживающих IPSec, возможно использование как транспортного, так и туннельного режимов. Для шлюзов разрешается использование только туннельного режима.
Установка и поддержка VPN
Как упоминалось выше, установка и поддержка VPN-туннеля выполняется в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie-Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными сообщениями (т.н. агрессивный режим, Aggressive mode ) или шестью сообщениями, с обменом зашифрованной информацией об идентификации (стандартный режим, Main mode ).
В режиме Main Mode обеспечивается возможность согласований всех параметров конфигурации устройств отправителя и получателя, в то время как в режиме Aggressive Mode такой возможности нет, и некоторые параметры (группа Diffie-Hellman, алгоритмы шифрования и аутентификации, PFS) должны быть заранее одинаково настроены на каждом устройстве. Однако, в данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec.
Рис. 6.15. Обмен сообщениями в стандартном (а) и агрессивном (б) режимах
Предполагая, что операция завершилась успешно, создаётся SA первой фазы – Phase 1 SA (также называемый IKE SA ) и процесс переходит ко второй фазе.
На втором этапе генерируются данные ключей, узлы договариваются об используемой политике. Этот режим, также называемый быстрым режимом (Quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA и на этом установка туннеля считается завершённой.
Сначала на узел прибывает пакет с адресом назначения в другой сети, и узел инициирует первую фазу с тем узлом, который отвечает за другую сеть. Допустим, туннель между узлами был успешно установлен и ожидает пакеты. Однако узлам необходимо переидентифицировать друг друга и сравнить политику по прошествие определённого периода времени. Этот период называется время жизни Phase One или IKE SA lifetime.
Узлы также должны сменить ключ для шифрования данных через отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime.
Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Нужно задать одинаковые параметры времени жизни для обоих узлов. Если не выполнить этого, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Проблемы могут возникнуть и в том случае, когда время жизни первой фазы меньше аналогичного параметра второй фазы. Если настроенный ранее туннель прекращает работу, то первое, что нуждается в проверке – это время жизни на обоих узлах.
Еще следует отметить, что при смене политики на одном из узлов изменения вступят в силу только при следующем наступлении первой фазы. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из базы данных SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.
Иногда при настройке IPSec-туннеля между оборудованием разных производителей возникают затруднения, связанные с согласованием параметров при установлении первой фазы. Следует обратить внимание на такой параметр, как Local ID – это уникальный идентификатор конечной точки туннеля (отправителя и получателя). Особенно это важно при создании нескольких туннелей и использовании протокола NAT Traversal.
Dead Peer Detection
В процессе работы VPN, при отсутствии трафика между конечными точками туннеля, или при изменении исходных данных удалённого узла (например, смена динамически назначенного IP-адреса), может возникнуть ситуация, когда туннель по сути таковым уже не является, становясь как бы туннелем-призраком. Для того чтобы поддерживать постоянную готовность к обмену данными в созданном IPSec-туннеле, механизм IKE (описанный в RFC 3706) позволяет контролировать наличие трафика от удалённого узла туннеля, и в случае его отсутствия на протяжении установленного времени, посылается hello- сообщение (в межсетевых экранах D-Link посылается сообщение "DPD-R-U-THERE"). При отсутствии ответа на это сообщение в течение определённого времени, в межсетевых экранах D-Link заданного настройками "DPD Expire Time", туннель демонтируется. Межсетевые экраны D-Link после этого, используя настройки "DPD Keep Time" ( рис. 6.18 ), автоматически пытаются восстановить туннель.
Протокол NAT Traversal
IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Как упоминалось ранее, для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT Traversal).
Протокол NAT Traversal инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec. Таким образом, с помощью механизма NAT-T возможно установление связи между клиентами IPSec в защищённых сетях и общедоступными хостами IPSec через межсетевые экраны.
При настройке межсетевых экранов D-Link в устройстве-получателе нужно отметить два пункта:
в полях Remote Network и Remote Endpoint указать сеть и IP-адрес удаленного устройства-отправителя. Необходимо разрешить преобразование IP-адреса инициатора (отправителя) с помощью технологии NAT (рисунок 3.48).
при использовании общих ключей с несколькими туннелями, подключенными к одному удаленному межсетевому экрану, которые были преобразованы с помощью NAT в один и тот же адрес, важно убедиться в том, что Local ID является уникальным для каждого туннеля.
Local ID может быть одним из:
- В корпоративных сетях. Здесь он необходим для обмена конфиденциальными данными между сотрудниками или сетевыми ресурсами компании и клиентами. Пример второго случая — управление счетами через приложения типа клиент банка и мобильный банк. Также VPN применяют для решения технических задач — разделения трафика, резервного копирования и т. п.
- В общественных сетях Wi-Fi, например, в кафе. Такие сети открыты всем желающим и трафик, проходящий по ним, очень легко перехватить. Владельцы открытых точек доступа услуги VPN не предоставляют. О защите информации должен позаботиться сам пользователь.
- Для сокрытия посещаемых веб-ресурсов, например, от начальника или системного администратора на работе.
- Для обмена секретной информацией с другими людьми, если нет доверия обычному интернет-соединению.
- Для захода на заблокированные сайты.
- Для сохранения анонимности в Интернете.
- Если соединение с сервером VPN вдруг прервется (а это происходит нередко), но подключение к Интернету сохранится, часть трафика уйдет в общедоступную сеть. Для предотвращения таких утечек используют технологии VPN Reconnect (автоматическое переподключение) и Killswitch (отключение Интернета при пропадании связи с VPN). Первая внедрена в Windows, начиная с «семерки», вторую обеспечивает сторонний софт, в частности, некоторые платные VPN-приложения.
- Когда вы пытаетесь открыть какой-либо сайт, ваш трафик сначала направляется на сервер DNS, который и определяет IP этого сайта по введенному вами адресу. Иначе браузер не сможет его загрузить. Запросы к DNS-серверам (кстати, нешифрованные) часто выходят за пределы канала VPN, что срывает с пользователя маску анонимности. Дабы избежать такой ситуации, укажите в настройках подключения к Интернету адреса DNS, которые предоставляет ваш VPN-сервис.
- Утечку данных могут создавать и сами веб-браузеры, точнее, их компоненты, например, WebRTC . Этот модуль используют для голосового и видеообщения непосредственно из браузера, и он не позволяет пользователю выбрать способ сетевого подключения самому. Другие приложения с выходом в Интернет тоже могут использовать незащищенные соединения.
- VPN работает в сетях, которые основаны на протоколе IPv4. Помимо него существует протокол IPv6, который пока находится на стадии внедрения, но кое-где уже применяется. Современные операционные системы, в частности, Windows, Андроид и iOS, также поддерживают IPv6, даже больше — на многих из них он по умолчанию включен. Это значит, пользователь, сам того не ведая, может приконнектиться к публичной сети IPv6 и его трафик пойдет вне защищенного канала. Чтобы обезопасить себя от подобного, отключите поддержку IPv6 на устройствах.
- Защита данных. Особенно подходит тем пользователям, кто любит подключиться к «халявному» соседскому Wi-Fi-соединению, а потом обнаружить, что данные о его карте были украдены. К таким ситуациям относятся и посиделки в кафе и вообще в любых точках с бесплатным Wi-Fi.
- Полная анонимность. Когда вы открываете новую вкладку с сайтом – это действие будет отображаться на сервере провайдера, так что ваше путешествие по интернету может отследить любой сотрудник компании. Включив VPN, вы скроете историю своих просмотров или посещений, так как вы используете иной IP-адрес.
- Возможность серфинга в интернете без препятствий. Букмекерские конторы, интернет-казино, торренты, форумы, сайты для взрослых – все «подполье» интернета вновь доступно для вас, все, как в былые времена.
- Использование зарубежных ресурсов. Это, конечно, вряд ли, что вы будете использовать англоязычные сервисы, типа hulu.com, но все равно – полноценный доступ ко всем популярным сайтам всего мира вам обеспечен.
- установить VPN-клиент (программу) на ПК;
- добавить расширение для браузера через Webstore.
Auto – в качестве локального идентификатора используется IP-адрес интерфейса исходящего трафика.
IP – IP-адрес WAN-порта удаленного межсетевого экрана
DNS – DNS-адрес
ВПН (VPN) — виртуальные частные сети, сегодня на слуху у всех. Многие неискушенные пользователи представляют их себе как волшебный ключик для доступа на заблокированные веб-ресурсы: нажал кнопку — сайт и открылся. Красота! Да, разблокировка сайтов — одна из функций VPN, самая востребованная, но далеко не самая главная. Основное назначение виртуальных частных сетей — защита данных, передаваемых через Интернет, от перехвата людьми, для которых эти данные не предназначены.
Поговорим, что представляют собой виртуальные частные сети, какие функции они выполняют, где их применяют и в чем их недостатки. А также познакомимся с возможностями нескольких популярных VPN-приложений и расширений браузеров, которые можно использовать и на ПК, и на мобильных устройствах.
Для лучшего понимания сути VPN-технологии представим Интернет в виде сети дорог, по которым ездят почтовые фургоны с письмами и посылками. Они совершенно не скрывают, куда следуют и что везут. Письма и посылки иногда теряются по дороге и нередко попадают в чужие руки. Их отправитель и получатель не могут быть на 100% уверены, что содержимое пакета не будет кем-то прочитано, украдено или подменено, поскольку не контролируют процесс доставки. Но знают, что в плане безопасности такой метод пересылки не слишком надежен.
И вот среди дорог появился закрытый туннель. Фургоны, которые по нему проходят, скрыты от посторонних глаз. Никто не знает, куда направляется машина после въезда в туннель, что и кому она доставляет. Об этом знают только отправитель и получатель корреспонденции.
Как вы уже догадались, наш воображаемый туннель — и есть виртуальная частная сеть, построенная на базе более крупной сети — Всемирной паутины. Трафик, проходящий по этому туннелю, скрыт от посторонних, в том числе и от провайдера. Провайдер, если кто не знает, в обычных условиях (без VPN) может отслеживать и контролировать ваши действия в Интернете, так как видит, какие ресурсы вы посещаете. А если вы «нырнете» в VPN, то не сможет. Кроме того, пересылаемая по такому каналу информация становится бесполезной и для любителей чужого добра — хакеров, поскольку зашифрована. Это и есть суть технологии и упрощенный принцип работы VPN.
Где используют виртуальные частные сети
Для чего он нужен, этот VPN, надеюсь, понятно. Теперь давайте посмотрим, где, как и для чего он используется. Итак, без VPN не обойтись:
Обеспечение доступа ко всемирной паутине посредством VPN широко используют и российские интернет-провайдеры при подключении абонентов.
Разновидности VPN
Как вы, возможно, знаете, функционирование любых компьютерных сетей подчинено правилам, которые отражены в сетевых протоколах. Сетевой протокол — это своеобразный свод стандартов и инструкций, описывающий условия и порядок действий при обмене данными между участниками соединения (речь идет не о людях, а об устройствах, операционных системах и приложениях). Сети VPN как раз и различают по типу протоколов, на основе которых они работают, и технологиям построения.
PPTP
PPTP (Point-to-Point Tunneling Protocol) — старейший протокол передачи данных в виртуальных частных сетях, ему уже больше 20 лет. Благодаря тому, что он появился очень давно, его знают и поддерживают практически все существующие операционные системы. Он почти не нагружает вычислительные ресурсы оборудования и может использоваться даже на очень старых компьютерах. Однако в нынешних условиях уровень его безопасности весьма невысок, то есть данные, передаваемые по каналу PPTP, подвергаются риску взлома. Кстати, некоторые интернет-провайдеры блокируют приложения, использующие этот протокол.
L2TP
L2TP (Layer 2 Tunneling Protocol) — тоже довольно старый протокол, созданный на базе технологий PPTP и L2F (последний специально разработан для туннелирования сообщений PPTP). Обеспечивает более высокую степень защиты трафика, чем просто PPTP, так как позволяет задавать приоритеты доступа.
Протокол L2TP широко используется по сей день, но обычно не изолированно, а в сочетании с другими защитными технологиями, например, IPSec.
IPSec
IPSec — сложная технология, использующая много разных протоколов и стандартов. Постоянно совершенствуется, поэтому при грамотном применении обеспечивает довольно высокий уровень безопасности связи. Может комбинироваться с другими системами защиты сетевых подключений, не вызывая конфликтов. Это его сильные стороны.
Недостатки IPSec — трудоемкость в настройке и расчет на использование только обученными специалистами (неправильно сконфигурированный, он не обеспечит сколько-нибудь приемлемой защиты). Кроме того, IPSec довольно требователен к аппаратным ресурсам вычислительных систем и на слабых устройствах может вызывать тормоза.
SSL и TLS
SSL и TLS в основном используют для безопасной передачи информации в сети Интернет через веб-браузеры. Они защищают от перехвата конфиденциальные данные посетителей сайтов — логины, пароли, переписку, платежные реквизиты, вводимые при заказах товаров и услуг, и т. д. Адреса сайтов, которые поддерживают SSL, начинаются с префикса HTTPS.
Частный случай применения технологий SSL/TLS вне веб-браузеров — кроссплатформенное ПО OpenVPN.
OpenVPN
OpenVPN — это свободная реализация технологии VPN, предназначенная для создания защищенных каналов связи между пользователями Интернета или локальных сетей по типу клиент-сервер или точка-точка. Сервером при этом назначается один из компьютеров участников соединения, остальные подключаются как клиенты. В отличие от первых трех разновидностей VPN, требует установки специального программного обеспечения.
OpenVPN позволяет создавать защищенные туннели без изменения параметров основного подключения компьютера к сети. Рассчитан на опытных пользователей, так как его настройку простой не назовешь.
MPLS
MPLS — технология многопротокольной передачи данных от одного узла к другому при помощи специальных меток. Метка — это часть служебной информации пакета (если представить пересылаемые данные в виде поезда, то пакет — это один вагон). Метки используются для перенаправления трафика внутри канала MPLS от устройства к устройству, в то время как остальное содержимое заголовков пакетов (то же, что и адрес на письме) сохраняется в тайне.
Для усиления защиты трафика, передаваемого по каналам MPLS, также нередко используют IPSec.
Это не все существующие сегодня разновидности виртуальных частных сетей. Интернет и всё, что с ним соприкасается, находится в постоянном развитии. Соответственно, появляются и новые технологии VPN.
Уязвимости виртуальных частных сетей
Уязвимости — это бреши в безопасности канала VPN, через которые возможна утечка данных наружу — в общедоступную сеть. К сожалению, абсолютно непробиваемой защиты не существует. Даже очень грамотно построенный канал не даст вам 100% гарантию анонимности. И дело тут не в хакерах, которые взламывают алгоритмы шифрования, а в гораздо более банальных вещах. Например:
На все эти огрехи можно закрыть глаза, если вы юзаете VPN только для доступа к заблокированным веб-ресурсам. Но если вам нужна анонимность или сохранность данных при передаче по сети, они могут создать вам серьезные проблемы, если не принять мер по дополнительной защите.
Использование VPN для обхода блокировок и анонимизации трафика
Русскоязычная аудитория Интернета чаще всего использует VPN именно для того, чтобы свободно посещать заблокированные интернет-ресурсы и сохранять анонимность в сети. Поэтому основная масса бесплатных VPN-приложений и сервисов «заточено» как раз на это. Познакомимся с некоторыми из них поближе.
Opera VPN
Разработчики браузера Opera первыми внедрили модуль VPN непосредственно в сам продукт, избавив пользователей от заморочек с поиском и настройкой сторонних расширений. Опция включается в параметрах браузера — в разделе «Безопасность».
После включения значок VPN появляется в адресной строке Оперы. Кликом по нему открывается окошко настроек, среди которых ползунок включения-выключения и выбор виртуального месторасположения.
Объем трафика, проходимого через Opera VPN, не имеет ограничений, это плюс. Но у сервиса есть и недостаток — он защищает только те данные, которые передаются по протоколам HTTP и HTTPS. Все остальное идет по открытому каналу.
В Опере, а также Яндекс браузере есть еще одна функция с подобными возможностями. Это режим сжатия трафика турбо. Совместно с VPN он не работает, но доступ к заблокированным ресурсам открывает неплохо.
Браузерное расширение и мобильное приложение Browsec — один из самых известных VPN-сервисов. Он поддерживает все популярные веб-браузеры — Opera, Google Chrome, Firefox, Яндекс, Safari и т. д., обеспечивает быструю и стабильную связь, не требует настройки, не имеет лимита. Пользователям бесплатной версии предлагается на выбор 4 сервера: в Великобритании, Сингапуре, США и Нидерландах.
Платная подписка Browsec стоит около 300 рублей в месяц. Пользователи этого тарифа получают более высокую скорость соединения, техническую поддержку и большой выбор серверов по всему миру, включая Россию, Украину, Латвию, Болгарию, Германию.
Hola
Hola — основной конкурент Browsec, существующий в виде приложений и браузерных расширений. Версии для Android , десктопных систем и браузеров работают на основе пиринговых технологий (одноранговой сети), где ресурсы друг для друга предоставляют сами пользователи. Для личного некоммерческого применения доступ к ним предоставляется бесплатно. Выбор серверов довольно большой.
Версия Hola для iOS создана как браузер с интегрированным сервисом VPN. Она платная, стоит около $5 в месяц. Пробный период составляет 7 дней.
Zenmate — третий по популярности сервис VPN, выпущенный в виде расширения для Opera, Google Chrome, Firefox, Maxthon Cloud Browser (только на Mac OS X) и некоторых других браузеров. А также — в виде мобильных приложений для Android и iOS . При бесплатном использовании заметно ограничение скорости, а выбор серверов очень невелик. Однако весь трафик, проходящий по VPN-каналу Zenmate, надежно шифруется.
Пользователям, купившим премиум-доступ, предоставляется выбор из более чем 30 серверов по всему миру. Плюс для них включается ускорение соединения. Стоимость подписки начинается от 175 до 299 рублей в месяц.
Как и другие подобные сервисы, Zenmate не нужно настраивать — достаточно установить и запустить. Работа с ним интуитивно понятна, тем более, что интерфейс поддерживает русский язык.
Tunnelbear — еще один дружественный пользователю VPN для разных устройств — ПК под управлением Windows, Linux и OS X, смартфонов под Android и iOS . Выпускается в виде приложений (как мобильных, так и десктопных) и браузерных расширений. Имеет очень полезную функцию блокировки трафика при разрыве соединения с VPN, что предотвращает утечку данных в открытую сеть. По умолчанию выбирает оптимальный канал связи с учетом месторасположения пользователя.
Возможности бесплатных версий Tunnelbear ничем не отличаются от платных, кроме одного — ограничения объема трафика до 500 Mb в месяц. В телефоне этого, возможно, достаточно, если не смотреть фильмы онлайн, а вот на компьютере — вряд ли.
Ни платные, ни бесплатные версии Tunnelbear не собирают никаких данных о пользователе. Вы просто нажимаете единственную кнопку и получаете доступ.
HideMy.name
HideMy.name — надежный и относительно недорогой платный VPN-сервис. Обеспечивает стабильно высокую скорость подключения даже при просмотре онлайн-видео в HD-качестве и игр в сетевые игрушки. Хорошо защищает трафик от перехвата и обеспечивает полную анонимность в сети. Сервера NideMy.name расположены в 43 странах и 68 городах мира.
HideMy.name поддерживает любые устройства, способные подключаться к Интернету: не только телефоны и компьютеры, но и роутеры, телевизионные приставки, SmartTV и т. д. По одной подписке вы можете использовать сервис одновременно на всех девайсах.
Приложения HideMy.name выпускаются для Windows, Mac OS X, Linux, iOS и Android. Как уже сказано, все они стоят денег, но вы можете платить только за те дни, когда пользуетесь VPN. Стоимость дневной подписки — 49 рублей. Лицензия на 1 год — 1690 рублей. Бесплатный пробный период составляет 1 день.
— давно существующее VPN-приложение, одно из немногих, которое всегда предоставляло услуги бесплатно и без ограничений в объеме трафика. Лимит в 500 Mb в день при «халявном» использовании появился относительно недавно. Также «бесплатники» имеют доступ лишь к одному VPN-серверу, который находится в США, поэтому скорость связи посредством Hotspot Shield не слишком высока.
Стоимость платной подписки на VPN Hotspot Shield составляет $6-16 в месяц.
В рамках данной статьи, я расскажу вам что такое VPN и зачем он нужен .
Если раньше интернет в большей степени использовался только для того, чтобы открыть какой-нибудь сайт, узнать полезную информацию и возможно даже оставить комментарий, то сегодня, в принципе, ничего не изменилось. Люди все так же открывают браузер, чтобы почитать интересное и нужное. Тем не менее, отличие все же есть.
Оно заключается в обилии личной и важной информации, проходящей через интернет. Поэтому было придумано немало технологий для их защиты. Одной из них является VPN, речь о которой и пойдет дальше.
Примечание : Статья написана простыми словами и не содержит многих технических аспектов, так как предназначена для первичного ознакомления.
Что такое VPN
VPN (Virtual Private Network) - это подход, позволяющий организовать частную сеть поверх основной сети. Простыми словами, например, создать общую частную сеть из компьютеров, расположенных в разных точках мира. Более жизненный пример - возможность из любого места с ноутбука управлять компьютером у себя дома так, как будто вы никуда и не выходили.
Стоит отметить, что чаще всего речь идет о защищенном соединении, так как по большей части использование VPN подразумевает передачу данных через интернет. Продолжая приведенный ранее пример, чтобы подключившись с ноутбука через публичную WiFi сеть к своему компьютеру с целью скачать важные документы или же просто посмотреть альбомы с фотографиями, злоумышленники не смогли их увидеть.
Однако, VPN может применяться и весьма специфическим образом. Например, как я уже рассказывал в статье как обойти блокировку сайтов , создается шифрованное соединение с неким удаленным VPN-сервером и уже этот сервер отправляет запросы к веб-сайтам. В таком случае, ваш IP-адрес и прочие технические моменты остаются скрытыми от сайта.
Еще одним важным моментом является то, что, при использовании защищенного VPN, трафик будет шифрованным даже для провайдера.
Как все происходит при защищенном VPN
Прежде всего стоит знать, что существует три типа соединения:
1. Узел-узел . Это соединение между двумя отдельными компьютерами (узлами) через защищенный VPN.
2. Узел-сеть . В данном случае речь идет о том, что с одной стороны есть один компьютер, а с другой стороны некая локальная сеть.
3. Сеть-сеть . Это объединение двух локальных сетей в одну.
Если вы обычный пользователь, не знающий ничего о сети, то может казаться, что эти типы существенно отличаются. Конечно, технические нюансы есть, но для простого понимания, все эти сети можно сводить к одной "Узел-узел". Дело в том, что для случая сети, просто компьютер или роутер , через который предоставляется доступ в интернет, так же организует и осуществляет связь через VPN. То есть, компьютеры внутри сети могут даже и не знать о наличии какого-либо VPN.
Теперь, рассмотрим как все происходит при использовании VPN (обобщенно):
1. На компьютерах устанавливаются и настраиваются специальные программы для создания VPN туннеля (простыми словами VPN соединения). Если же это роутер, то многие специализированные модели исходно поддерживают подобные соединения.
Примечание : Стоит знать, что программы бывают трех видов "клиент" (только подключение к другим компьютерам), "сервер" (осуществляет и организует доступ для VPN-клиентов) и "смешанный" (может как создавать подключения, так и принимать их).
2. Когда компьютер хочет обратиться к другому компьютеру, он обращается к VPN-серверу для установления шифрованного туннеля. В рамках данного шага, клиент и сервер обмениваются ключами (в шифрованном виде), если таковое нужно.
4. VPN-сервер дешифрует исходные данные и действует уже исходя из них.
5. Сервер так же шифрует свой ответ и передает его клиенту.
6. Клиент расшифровывает ответ.
Как видите, основная идея VPN весьма проста - обменялись ключами, а далее клиент и сервер передают друг другу шифрованные сообщения. Однако, она дает огромный плюс. Кроме IP-адреса клиента и сервера VPN, все данные передаются в закрытом виде, то есть обеспечивается безопасность передачи личной и важной информации.
Зачем нужен VPN
VPN обычно используется для следующих двух целей:
1. Безопасная передача данных в интернете . Данные исходно передаются в шифрованном виде, поэтому даже если злоумышленник сможет их перехватить, он ничего не сможет с ними сделать. Хорошо известный пример это HTTPS с SSL или TLS для обращения к сайтам. В этом случае между сайтом и открывшим его компьютером устанавливается защищенный VPN-туннель, поэтому в момент передачи данные находятся в безопасности.
Примечание : HTTPS подразумевает, что данные шифруются с SSL или TLS, а затем отсылаются стандартным образом, как и при HTTP.
2. Объединение компьютеров из разных точек мира в одну сеть . Согласитесь, что может быть весьма полезно в любой момент иметь доступ к компьютерам, находящимся в сотнях километрах от вас. Например, чтобы не таскать с собой все необходимое. Нужны фотографии или какие-то документы - зашли в интернет, подсоединились к домашнему компьютеру и скачали их в безопасном режиме. Или, например, если у вас есть две сети, то объединив их с помощью роутеров (создав VPN тоннель), вы можете обращаться к любому компьютеру без каких-либо дополнительных действий.
Представьте сцену из остросюжетного фильма, в которой злодей удирает с места преступления по трассе на спорткаре. Его преследует полицейский вертолёт. Автомобиль въезжает в тоннель, имеющий несколько выходов. Пилот вертолёта не знает, из какого выхода появится машина, и злодей уходит от погони.
VPN - это и есть тоннель, связывающий множество дорог. Никто извне не знает, где окажутся автомобили, въезжающие в него. Никто извне не знает, что происходит в тоннеле.
Вы наверняка не раз слышали о VPN. На Лайфхакере об этой штуке тоже . Чаще всего VPN рекомендуют потому, что с помощью сети можно получать доступ к контенту, заблокированному по географическому признаку, и в целом повысить безопасность при использовании интернета. Правда же такова, что выход в интернет через VPN может быть не менее опасным, чем напрямую.
Как работает VPN?
Скорее всего, у вас дома есть Wi-Fi-роутер. Подключённые к нему устройства могут обмениваться данными даже без интернета. Получается, у вас есть своя частная сеть, но, чтобы подключиться к ней, нужно физически быть в досягаемости сигнала роутера.
VPN (Virtual Private Network) - это виртуальная частная сеть. Она работает поверх интернета, а потому подключиться к ней можно откуда угодно.
Например, компания, в которой вы работаете, может использовать виртуальную частную сеть для удалённых сотрудников. С помощью VPN они подключаются к рабочей сети. При этом их компьютеры, смартфоны или планшеты виртуально переносятся в офис и подключаются к сети изнутри. Для входа в виртуальную частную сеть нужно знать адрес VPN-сервера, логин и пароль.
Использовать VPN довольно просто. Обычно компания поднимает VPN-сервер где-то на локальном компьютере, сервере или в дата-центре, а подключение к нему происходит с помощью VPN-клиента на пользовательском устройстве.
Сейчас встроенные VPN-клиенты есть во всех актуальных операционных системах, в том числе в Android, iOS, Windows, macOS и Linux.
VPN-соединение между клиентом и сервером, как правило, зашифровано.
Значит, VPN - это хорошо?
Да, если вы являетесь владельцем бизнеса и хотите обезопасить корпоративные данные и сервисы. Пуская сотрудников в рабочую среду только через VPN и по учётным записям, вы всегда будете знать, кто и что делал и делает.
Более того, владелец VPN может мониторить и контролировать вообще весь трафик, который идёт между сервером и пользователем.
Сотрудники много сидят во «ВКонтакте»? Можно закрыть доступ к этому сервису. Геннадий Андреевич половину рабочего дня проводит на сайтах с мемами? Вся его активность автоматически записывается в логи и станет железным аргументом для увольнения.
Зачем тогда VPN?
VPN позволяет обойти географические и законодательные ограничения.
Например, вы в России и хотите . С сожалением вы узнаёте, что этот сервис недоступен из РФ. Воспользоваться им можно, только выходя в интернет через VPN-сервер страны, в которой Spotify работает.
В некоторых странах существует интернет-цензура, ограничивающая доступ к тем или иным сайтам. Вы хотите зайти на какой-то ресурс, но в России он заблокирован. Открыть сайт можно, только выходя в интернет через VPN-сервер страны, в которой он не заблокирован, то есть практически из любой, кроме РФ.
VPN - это полезная и нужная технология, которая хорошо справляется с определённым спектром задач. Но безопасность личных данных по-прежнему зависит от добросовестности поставщика услуги VPN, вашего здравого смысла, внимательности и интернет-грамотности.
Раньше государство имело довольно посредственное представление об интернете, поэтому никак юридически не мешало пользователям. Сегодня, гуляя по мировой паутине, все чаще можно встретить фразу: «Этот сайт внесен в реестр запрещенных» или «Ваш провайдер заблокировал доступ».
Так вот, если вы хотите вернуть полную свободу действий в интернете и приобрести еще один уровень защиты, то вам непременно нужно ознакомиться с технологией виртуальных частных сетей – VPN.
VPN: термин и принцип работы
Virtual Private Network (VPN) – название технологии, обеспечивающей создание и наложение одной или нескольких сетей поверх любой другой сети пользователя.
А теперь, как именно работает VPN. Ваш компьютер имеет определенный IP-адрес, который блокирует доступ к определенным сайтам. Вы включаете технологию VPN посредством какой-нибудь программы или расширения. VPN меняет ваш адрес на адрес из сервера иной страны (например, Голландии или Германии).
Далее, создается защитное соединение, блокировать которое невозможно со стороны провайдера. В итоге – вы получаете защищенный протокол, по которому можно беспрепятственно посещать любые сайты интернета, причем совершенно анонимно.
Структура и разновидности технологии
Вся технология работает в два слоя. Первый – это внутренняя сеть, второй – внешняя. Когда вы подключаетесь к технологии, система идентифицирует вашу сеть, а уже после отправит запрос на аутентификацию. Данная технология очень похоже на авторизацию в какой-нибудь социальной сети, только здесь все проводится через защищенные протоколы и без участия провайдера.
Сами виртуальные сети также подразделяются на несколько категорий. Главная классификация идет по степени защиты, то есть пользователь может использовать и платные VPN, и бесплатные.
Разница между ними заключается в защищенном соединении. Например, системы с подпиской дадут вам защищенные протоколы, типа PPTP, IPSec и другие. В то время, как бесплатные VPN чаще дают только «доверительные» каналы. То есть ваша сеть само по себе должна быть сильно защищена, а VPN только усилит уровень защиты.
Если честно, то самый большой минус бесплатных VPN сервисов даже не безопасность, а стабильность работы и скорость подключения. Через бесплатный VPN интернет скорее всего будет работать очень медленно, и не всегда стабильно.
Подписка на платные VPN не превышает и 10 долларов в месяц, но нужна она далеко не каждому пользователю. Для обычных задач нет смысла приобретать Premium-аккаунты, вполне хватит и стандартных возможностей.
Причины использования VPN
Пользоваться технологией VPN необходимо каждому пользователю, и вот почему:
Как пользоваться VPN на компьютере?
Рассмотрим ситуацию, когда мы пользуемся обычным браузером и хотим посетить заблокированные сайты. В данной ситуации можно пойти двумя путями:
Что первый, что второй вариант – они легко реализуются, но для полной картины рассмотрим и тот, и другой.
Так же можно использовать бесплатный, .
Чтобы установить VPN-клиент, необходимо скачать программу в интернете, например, «Betternet». Запускаем установочный файл и устанавливаем клиент. Запускаем его, нажимаем: «Connect» и все. Проблема в том, что программа автоматически выдает нам рандомный IP-адрес, и мы не можем выбрать страну, зато при нажатии всего одной кнопки мы уже используем VPN. И еще один минус – это необходимость постоянно запуска программы, впрочем, некоторые клиенты имеют возможность одновременного запуска с ОС.
Второй способ – это добавления расширения. Здесь минус в том, что, чаще всего, требуется регистрация для пользования, плюс, расширения имеют свойства «вылетать». Зато расширение использовать намного проще – кликаешь по иконке в браузере, выбираешь страну и profit. На данный момент существуют тысячи подобных программ, можете выбрать любую из них, например, «Hotspot Shield». Добавьте расширение в браузер, пройдите регистрацию и больше никаких технических моментов не будет.
Например, вот так работает расширение ZenMate VPN в браузере:
О VPN расширениях для разных браузеров мы писали в статье: .
Как пользоваться VPN на мобильных устройствах?
Мы рассмотрим те устройства, что имеют на борту популярные ОС, например, iOS или Андроид.
Использование VPN на смартфонах или планшетах тоже реализуется довольно просто, а именно – через мобильные приложения. Проблема в том, что некоторые программы требуют root-прав, а это дополнительные заморочки, плюс, возможность превращения телефона в «кирпич». Так что ищите те программы, которые не требуют от вас root-прав. На Android, например, это OpenVPN, а на iOS – это Cloak. Так же на iPhone и iPad можно использовать бесплатный и проверенный . Я сам им иногда пользуюсь, отлично работает.
Технология загрузки очень проста: скачиваем приложение из Play Market или AppStore, устанавливаем его на свой девайс. Далее, активируем VPN, выбираем профиль (откуда, получим IP-адрес), далее, проводится соединение и на этом все. Теперь вы гуляете по интернету через VPN, о чем вам и сообщит используемое приложение.
Теперь вы понимаете, как реализована технология VPN-соединений, и теперь ваше пребывание в сети станет более безопасным, анонимным, а главное – доступным и неограниченным.
