Komputery ze współczesnym światem

Usługa VPN do organizowania sieci lokalnej. Połączenie VPN: co to jest i do czego służy kanał VPN? Pojęcie i klasyfikacja sieci VPN, ich budowa


Możliwość łączenia ze sobą zdalnych biur firmowych za pomocą bezpiecznych kanałów komunikacji to jedno z najczęstszych zadań przy budowie rozproszonej infrastruktury sieciowej dla firm dowolnej wielkości. Istnieje kilka rozwiązań tego problemu:

Wynajem kanałów od dostawcy: powszechna i niezawodna opcja. Dostawca dzierżawi dedykowane fizyczne lub logiczne kanały komunikacji. Kanały takie często nazywane są „punkt-punkt”

Zalety:

  1. Łatwość podłączenia i użytkowania – konserwacja sprzętu i kanałów leży całkowicie w gestii dostawcy;
  2. Gwarantowana szerokość kanału – prędkość przesyłania danych zawsze odpowiada prędkości podanej przez dostawcę;

Wady:

  1. Bezpieczeństwo i kontrola – firma nie może kontrolować sprzętu po stronie dostawcy.

Budowa własnych (fizycznych) linii komunikacyjnych: Niezawodne i ekonomiczne rozwiązanie, ponieważ za budowę fizycznego kanału komunikacyjnego odpowiada wyłącznie firma. Dzięki takiemu rozwiązaniu firma w pełni kontroluje i obsługuje budowane kanały.

Zalety:

  1. Elastyczność – możliwość wdrożenia kanałów spełniających wszystkie niezbędne wymagania;
  2. Bezpieczeństwo i kontrola – pełna kontrola kanał, ponieważ należy do firmy;

Wady:

  1. Wdrożenie – Budowa takich kanałów prywatnych jest rozwiązaniem pracochłonnym i kosztownym. Układanie kilometrów optyki wzdłuż słupów może kosztować fortunę. Nawet jeśli nie weźmie się pod uwagę uzyskania zezwoleń od wszystkich organów państwowych. władze;
  2. Utrzymanie – utrzymanie kanału leży w całości w gestii firmy, dlatego też personel musi posiadać wysoko wykwalifikowanych specjalistów, aby zapewnić jego prawidłowe funkcjonowanie;
  3. Niska tolerancja na błędy zewnętrzne linie optyczne komunikacja często ulega niezamierzonym uszkodzeniom (sprzęt budowlany, media itp.). Wykrycie i skorygowanie łącza optycznego może zająć kilka tygodni.
  4. Ograniczone do jednej lokalizacji – ułożenie zewnętrznych optycznych linii komunikacyjnych ma sens tylko wtedy, gdy obiekty znajdują się w promieniu kilkudziesięciu kilometrów. Rozszerzanie komunikacji na inne miasto o setki i tysiące kilometrów nie jest możliwe ze względów zdrowego rozsądku.

Budowa bezpiecznego kanału przez Internet (VPN): To rozwiązanie jest stosunkowo niedrogie i elastyczne. Do połączenia zdalnych biur wystarczy łącze internetowe i sprzęt sieciowy z możliwością tworzenia połączeń VPN.

Zalety:

  1. Niski koszt – firma płaci tylko za dostęp do Internetu;
  2. Skalowalność – do podłączenia nowego biura potrzebny jest Internet i router;

Wady:

  1. Pojemność kanału – prędkość przesyłania danych może się różnić (nie ma gwarantowanej przepustowości);

W tym artykule przyjrzymy się bliżej ostatniemu punktowi, a mianowicie korzyściom, jakie technologia VPN zapewnia firmom.
Wirtualna sieć prywatna (VPN) to zestaw technologii zapewniających bezpieczne połączenie (tunel) dwóch lub więcej odległych sieci lokalnych za pośrednictwem sieci publicznej (np. Internetu).

Unikalne zalety rozproszonych geograficznie sieci VPN

Ochrona przesyłanego ruchu: przesyłanie ruchu przez tunel VPN jest bezpieczne przy użyciu silnych protokołów szyfrowania (3DES, AES). Oprócz szyfrowania weryfikowana jest integralność danych i autentyczność nadawcy, co eliminuje możliwość podmiany informacji i połączenia przez atakującego.

Niezawodność połączenia: wiodący producenci sprzętu udoskonalają technologie połączeń VPN, zapewniając automatyczne przywracanie tuneli VPN w przypadku krótkotrwałej awarii połączenia z siecią publiczną.
Mobilność i łatwość połączenia: z siecią lokalną firmy możesz połączyć się z dowolnego miejsca na świecie i z niemal każdego nowoczesnego urządzenia (smartfon, Komputer typu Tablet, laptop), a połączenie będzie bezpieczne. Większość producentów urządzeń multimedialnych dodała do swoich produktów obsługę VPN.

Redundancja i równoważenie obciążenia: jeśli podczas łączenia się z Internetem korzystasz z usług dwóch dostawców (w celu równoważenia/przełączenia awaryjnego), możliwe jest zrównoważenie ruchu tunelowego VPN pomiędzy dostawcami. W przypadku awarii jednego z dostawców tunel będzie korzystał z połączenia zapasowego.

Priorytetyzacja ruchu: możliwość kontroli ruchu za pomocą QoS - priorytetyzacja ruchu głosowego, wideo w przypadku dużego obciążenia tunelu.

Sieci VPN w biznesie

Ujednolicona sieć

Połączenie rozproszonych geograficznie sieci lokalnych firmy w jedną sieć (łączącą oddziały z centralą) znacznie upraszcza interakcję i wymianę danych wewnątrz firmy, zmniejszając koszty utrzymania. Każdy system korporacyjny wymaga jednej przestrzeni sieciowej, aby pracownicy mogli pracować. Może to być telefonia IP, systemy księgowe i finansowo-księgowe, CRM, wideokonferencje itp.

Dostęp mobilny

Niezależnie od lokalizacji pracownika, jeśli posiada on Internet oraz laptop/smartfon/tablet, pracownik może połączyć się z wewnętrznymi zasobami firmy. Dzięki tej przewadze pracownicy mają możliwość wykonywania pracy i szybkiego rozwiązywania problemów poza biurem.

Konsolidacja sieci różnych firm

Często konieczne jest łączenie sieci partnerów biznesowych, a taki związek można zorganizować zarówno z ograniczeniem dostępu do wewnętrznych zasobów każdej firmy, jak i bez niego. To skojarzenie upraszcza interakcję pomiędzy firmami.


Zdalne zarządzanie infrastrukturą IT

Dzięki bezpiecznemu zdalnemu dostępowi do sprzętu infrastruktury IT firmy administrator jest w stanie szybko rozwiązywać powierzone zadania i reagować na pojawiające się problemy.

Jakość usługi

Ruch z wideokonferencji, telefonii IP i niektórych innych aplikacji wymaga gwarantowanej szerokości kanału. Dzięki zastosowaniu QoS np. w tunelach VPN można połączyć telefonię IP w sieci lokalnej firmy ze zdalnym biurem.


Obszary zastosowania rozproszonych sieci VPN i korporacyjnych sieci danych (CDN)

Po przeanalizowaniu wymagań i celów organizacji różnej wielkości stworzyliśmy ogólny obraz rozwiązań dla każdej z nich. Poniżej znajduje się opis typowych wdrożeń technologii VPN w infrastrukturze sieciowej firmy.

Rozwiązania dla małych firm. Często wymaganiami dla takiego rozwiązania jest możliwość podłączenia zdalnych użytkowników (do 10) do sieci wewnętrznej i/lub połączenia sieci kilku biur. Rozwiązania takie są proste i szybkie we wdrożeniu. Dla takiej sieci zaleca się posiadanie kanału zapasowego o prędkości niższej lub takiej samej jak kanał główny. Kanał zapasowy jest pasywny i wykorzystywany tylko wtedy, gdy główny jest odłączony (tunel VPN jest automatycznie budowany nad kanałem zapasowym). Redundancja sprzętu brzegowego dla takich rozwiązań jest stosowana rzadko i często nieuzasadniona.

Ruch przesyłany tunelem - ruch aplikacje wewnętrzne(poczta, internet, dokumenty), ruch głosowy.

Wymóg rezerwacji kanału: średni

Wymagania dotyczące redundancji sprzętu: niskie


Rozwiązania dla średnich przedsiębiorstw. Oprócz łączenia zdalnych pracowników (do 100) infrastruktura sieciowa musi zapewniać połączenie z kilkoma zdalnymi biurami. Dla takich rozwiązań obowiązkowa jest rezerwacja kanału internetowego, a przepustowość kanału zapasowego musi być porównywalna z szybkością kanału głównego. W wielu przypadkach kanał zapasowy jest aktywny (przeprowadzane jest równoważenie obciążenia pomiędzy kanałami). Zaleca się zarezerwować sprzęt dla krytycznych węzłów sieci (np. router graniczny centrali). Topologia sieci VPN – gwiazda lub częściowa siatka.

Wymóg redundancji sprzętu: średni

Rozwiązania dla dużych przedsiębiorstw, rozproszona sieć oddziałów. Takie sieci na dość dużą skalę są trudne do wdrożenia i utrzymania. Topologia takiej sieci z punktu widzenia organizacji tuneli VPN może być: gwiazda, częściowa siatka, pełna siatka (schemat przedstawia opcję pełnej siatki). Rezerwacja kanałów jest obowiązkowa (możliwych jest więcej niż 2 dostawców), podobnie jak rezerwacja wyposażenia krytycznych węzłów sieci. Wszystkie lub kilka kanałów jest aktywnych. Sieci tego poziomu często wykorzystują łącza dzierżawione lub VPN udostępniane przez dostawców. W takiej sieci konieczne jest zapewnienie maksymalnej niezawodności i odporności na awarie, aby zminimalizować przestoje w działalności. Sprzęt dla takich sieci to sztandarowa linia sprzętu klasy Enterprise lub Provider.

Ruch przesyłany tunelem – ruch aplikacji wewnętrznych (poczta, internet, dokumenty), ruch głosowy, ruch wideokonferencyjny.

Wymóg rezerwacji kanału: wysoki

Wymagania dotyczące redundancji sprzętu: wysokie

Instytucje edukacyjne. Typowe dla instytucji edukacyjnych jest łączenie się z centrum zarządzania siecią. Natężenie ruchu najczęściej nie jest duże. Wymagania dotyczące rezerwacji są ustalane w rzadkich przypadkach.

Instytucje medyczne. Dla instytucji medycznych poważnym problemem jest niezawodność i wysoka odporność na awarie kanałów komunikacyjnych i sprzętu. Wszystkie gałęzie sieci rozproszonej geograficznie korzystają z redundantnego sprzętu do tworzenia kanałów i kilku dostawców.

Rozwiązania dla handlu detalicznego (sieć sklepów). Sieci sklepów wyróżniają się dużą liczbą lokalizacji (może być ich tysiące) i stosunkowo małym ruchem do siedziby głównej (centrum danych). Rezerwowanie sprzętu w sklepach najczęściej nie jest wskazane. Wystarczy zarezerwować połączenie u dostawcy (w formacie „drugi dostępny dostawca”). Jednak wymagania wobec sprzętu znajdującego się w centrum danych (siedzibie głównej) są wysokie. Ponieważ ten punkt kończy tysiące tuneli VPN. Wymagany jest stały monitoring kanałów, systemów raportowania, zgodności z politykami bezpieczeństwa itp.

Wdrażanie rozproszonych sieci VPN i korporacyjnych sieci danych (CDN)

Dobór niezbędnego sprzętu i prawidłowa realizacja usługi to złożone zadanie, wymagające od wykonawcy dużej wiedzy specjalistycznej. Firma LanKey od wielu lat realizuje skomplikowane projekty i posiada duże doświadczenie w tego typu projektach.

Przykłady niektórych projektów wdrożenia KSPD i VPN, realizowanych przez firmę LanKey

Klient Opis wykonanej pracy

Producent sprzętu: Juniper
Rozwiązanie: sześć zdalnych oddziałów firmy zostało podłączonych do głównego biura w topologii gwiazdy za pośrednictwem bezpiecznych kanałów komunikacyjnych.

Rozwiązanie: podłączyliśmy się do Internetu i zbudowaliśmy tunele VPN w biurach zlokalizowanych w Moskwie i Genewie.

Producent sprzętu: Cisco
Rozwiązanie: Zdalne biura są połączone bezpiecznym kanałem zapewniającym odporność na awarie u różnych dostawców.

Z każdym rokiem komunikacja elektroniczna ulega poprawie, a wymianie informacji stawiane są coraz wyższe wymagania w zakresie szybkości, bezpieczeństwa i jakości przetwarzania danych.

Tutaj szczegółowo przyjrzymy się połączeniu VPN: co to jest, dlaczego potrzebny jest tunel VPN i jak korzystać z połączenia VPN.

Ten materiał jest swego rodzaju wprowadzeniem do serii artykułów, w których powiemy Ci, jak stworzyć VPN na różnych systemach operacyjnych.

Połączenie VPN co to jest?

Tak więc wirtualna sieć prywatna VPN to technologia zapewniająca bezpieczne (zamknięte przed dostępem zewnętrznym) połączenie sieci logicznej za pośrednictwem sieci prywatnej lub publicznej w obecności szybkiego Internetu.

Ten połączenie internetowe komputery (geograficznie oddalone od siebie w znacznej odległości) wykorzystują połączenie „punkt-punkt” (innymi słowy „komputer-komputer”).

Z naukowego punktu widzenia ta metoda połączenia nazywa się tunelem VPN (lub protokołem tunelowym). Do takiego tunelu możesz się podłączyć jeśli posiadasz komputer z dowolnym systemem operacyjnym, który posiada zintegrowanego klienta VPN, który potrafi „przekierowywać” porty wirtualne za pomocą protokołu TCP/IP do innej sieci.

Dlaczego potrzebujesz VPN?

Główną zaletą VPN jest to, że negocjatorzy potrzebują platformy łączności, która nie tylko szybko się skaluje, ale także (przede wszystkim) zapewnia poufność i integralność danych oraz uwierzytelnianie.

Diagram wyraźnie pokazuje wykorzystanie sieci VPN.

Reguły połączeń bezpiecznym kanałem należy najpierw zapisać na serwerze i routerze.

Jak działa VPN

Gdy połączenie następuje poprzez VPN, nagłówek wiadomości zawiera informację o adresie IP serwera VPN i trasie zdalnej.

Hermetyzowane dane przesyłane przez sieć współdzieloną lub publiczną nie mogą zostać przechwycone, ponieważ wszystkie informacje są szyfrowane.

Etap szyfrowania VPN realizowany jest po stronie nadawcy, a dane odbiorcy są odszyfrowywane za pomocą nagłówka wiadomości (jeśli istnieje wspólny klucz szyfrowania).

Po prawidłowym odszyfrowaniu wiadomości pomiędzy obiema sieciami nawiązywane jest połączenie VPN, które umożliwia także pracę w sieci publicznej (np. wymianę danych z klientem 93.88.190.5).

Dotyczący bezpieczeństwo informacji, to Internet jest siecią wyjątkowo niezabezpieczoną, a sieć VPN z protokołami OpenVPN, L2TP/IPSec, PPTP, PPPoE jest w pełni bezpieczną i bezpieczną metodą transmisji danych.

Dlaczego potrzebujesz kanału VPN?

Tunelowanie VPN jest wykorzystywane:

Wewnątrz sieci korporacyjnej;

Zjednoczyć odległe biura i małe oddziały;

Dla usług telefonii cyfrowej z szerokim zakresem usług telekomunikacyjnych;

Aby uzyskać dostęp do zewnętrznych zasobów IT;

Do budowania i wdrażania wideokonferencji.

Dlaczego potrzebujesz VPN?

Połączenie VPN jest wymagane do:

Anonimowa praca w Internecie;

Pobieranie aplikacji, gdy adres IP znajduje się w innej strefie regionalnej kraju;

Bezpieczna praca w środowisku korporacyjnym z wykorzystaniem środków komunikacji;

Prostota i wygoda konfiguracji połączenia;

Zapewnienie wysokiej prędkości połączenia bez przerw;

Stworzenie bezpiecznego kanału bez ataków hakerów.

Jak korzystać z VPN?

Przykłady działania VPN można podawać w nieskończoność. Tak więc na dowolnym komputerze w sieci firmowej, po nawiązaniu bezpiecznego połączenia VPN, możesz używać poczty do sprawdzania wiadomości, publikowania materiałów z dowolnego miejsca w kraju czy pobierania plików z sieci torrent.

VPN: co masz na swoim telefonie?

Dostęp przez VPN na telefonie (iPhone lub dowolne inne urządzenie z systemem Android) pozwala zachować anonimowość podczas korzystania z Internetu w miejscach publicznych, a także zapobiega przechwytywaniu ruchu i włamaniom do urządzeń.

Klient VPN zainstalowany na dowolnym systemie operacyjnym pozwala ominąć wiele ustawień i zasad dostawcy (jeśli dostawca ustawił jakiekolwiek ograniczenia).

Którą VPN wybrać dla swojego telefonu?

Telefony komórkowe i smartfony z systemem operacyjnym Android mogą korzystać z aplikacji z Google Playmarket:

  • - VPNRoot, droidVPN,
  • - przeglądarka Tor do surfowania po sieci, znana również jako orbot
  • - InBrowser, orfox (firefox+tor),
  • - Darmowy klient VPN SuperVPN
  • - Połącz się z OpenVPN
  • - TunnelBear VPN
  • - Hideman VPN

Większość z tych programów służy do wygody „gorącej” konfiguracji systemu, umieszczania skrótów uruchamiających, anonimowego surfowania po Internecie i wybierania rodzaju szyfrowania połączenia.

Ale główne zadania korzystania z VPN w telefonie to sprawdzanie poczta firmowa, tworzenie wideokonferencji z kilkoma uczestnikami, a także organizowanie spotkań poza organizacją (np. gdy pracownik jest w podróży służbowej).

Co to jest VPN na iPhonie?

Przyjrzyjmy się bardziej szczegółowo, którą sieć VPN wybrać i jak podłączyć ją do iPhone'a.

W zależności od rodzaju obsługiwanej sieci, przy pierwszym uruchomieniu konfiguracji VPN na swoim iPhonie, możesz wybrać następujące protokoły: L2TP, PPTP i Cisco IPSec (dodatkowo możesz „nawiązać” połączenie VPN za pomocą aplikacji innych firm) .

Wszystkie wymienione protokoły obsługują klucze szyfrujące, przeprowadzaną identyfikację użytkownika za pomocą hasła i certyfikację.

Wśród dodatkowe funkcje Konfigurując profil VPN na iPhonie, możesz zwrócić uwagę na: bezpieczeństwo RSA, poziom szyfrowania i reguły autoryzacji połączenia z serwerem.

Dla telefon iPhone'a Z appstore powinieneś wybrać:

  • - bezpłatna aplikacja Tunnelbear, za pomocą którego możesz łączyć się z serwerami VPN w dowolnym kraju.
  • - OpenVPN connect jest jednym z najlepszych klientów VPN. Tutaj, aby uruchomić aplikację, musisz najpierw zaimportować klucze RSA przez iTunes do swojego telefonu.
  • - Cloak jest aplikacją typu shareware, ponieważ przez pewien czas z produktu można „używać” za darmo, jednak aby móc korzystać z programu po upływie okresu demonstracyjnego, należy go kupić.

Tworzenie VPN: dobór i konfiguracja sprzętu

Dla Komunikacja korporacyjna w dużych organizacjach lub stowarzyszeniach usunięty przyjaciel z innych biur korzystają ze sprzętu komputerowego umożliwiającego ciągłą, bezpieczną pracę w sieci.

Aby wdrożyć technologie VPN, rolą bramy sieciowej może być: serwery Unix, Serwer Windows, router sieciowy i brama sieciowa, na której zainstalowana jest sieć VPN.

Serwer lub urządzenie służące do tworzenia sieci korporacyjnej VPN lub kanału VPN pomiędzy zdalnymi biurami musi wykonywać złożone zadania techniczne i zapewniać użytkownikom pełen zakres usług zarówno na stacjach roboczych, jak i na urządzeniach mobilnych.

Każdy router lub router VPN musi zapewniać niezawodne działanie w sieci bez zawieszania się. Wbudowana funkcja VPN umożliwia zmianę konfiguracji sieci do pracy w domu, w organizacji lub w zdalnym biurze.

Konfiguracja VPN na routerze

Ogólnie rzecz biorąc, konfigurowanie VPN na routerze odbywa się za pomocą interfejsu internetowego routera. Na „klasycznych” urządzeniach, aby zorganizować VPN, musisz przejść do sekcji „ustawienia” lub „ustawienia sieci”, gdzie wybierasz sekcję VPN, określasz typ protokołu, wprowadzasz ustawienia adresu podsieci, maski i określasz zakres adresów IP dla użytkowników.

Ponadto, aby zabezpieczyć połączenie, będziesz musiał określić algorytmy kodowania, metody uwierzytelniania, wygenerować klucze umowy i określić serwer DNS WYGRYWA. W parametrach „Brama” należy określić adres IP bramy (własny adres IP) i wypełnić dane dotyczące wszystkich kart sieciowych.

Jeśli w sieci znajduje się kilka routerów, należy wypełnić tabelę routingu VPN dla wszystkich urządzeń w tunelu VPN.

Oto lista sprzętu używanego do budowy sieci VPN:

Routery Dlink: DIR-320, DIR-620, DSR-1000 z nowym oprogramowaniem lub Router D-Link DI808HV.

Routery Cisco PIX 501, Cisco 871-SEC-K9

Router Linksys Rv082 z obsługą około 50 tuneli VPN

Router Netgear DG834G i modele routerów FVS318G, FVS318N, FVS336G, SRX5308

Router Mikrotik z funkcją OpenVPN. Przykładowa płyta RouterBoard RB/2011L-IN Mikrotik

Sprzęt VPN RVPN S-Terra lub VPN Gate

Routery ASUS modele RT-N66U, RT-N16 i RT N-10

Routery ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG

Przykładem sprzętu do budowy VPN na routerach jest sprzęt firmy Cisco Systems. Od wersji oprogramowanie Routery Cisco z systemem IOS 11.3 obsługują protokoły L2TP i IPSec. Oprócz prostego szyfrowania ruchu Cisco obsługuje inne funkcje VPN, takie jak uwierzytelnianie podczas połączenia tunelowego i wymiana kluczy.

Aby poprawić wydajność routera, można zastosować opcjonalny moduł szyfrujący ESA. Dodatkowo Cisco System wypuściło na rynek specjalistyczne urządzenie dla VPN, które nosi nazwę Cisco 1720 VPN Access Router (router dostępowy VPN), przeznaczone do instalacji w małych i średnich firmach, a także w oddziałach dużych organizacji.

· VPN oparty na oprogramowaniu

Kolejnym podejściem do budowy VPN są rozwiązania czysto programowe. Przy wdrażaniu takiego rozwiązania wykorzystuje się specjalistyczne oprogramowanie, które działa na dedykowanym komputerze i w większości przypadków pełni rolę serwera proxy. Komputer, na którym działa to oprogramowanie, może znajdować się za zaporą ogniową.

Przykładem takiego rozwiązania jest oprogramowanie AltaVista Tunnel 97 firmy Digital. Korzystając z tego oprogramowania, klient łączy się z serwerem Tunnel 97, dokonuje za jego pomocą uwierzytelnienia i wymienia klucze. Szyfrowanie odbywa się w oparciu o klucze 56 lub 128 bitowe uzyskiwane w procesie nawiązywania połączenia. Następnie zaszyfrowane pakiety są kapsułkowane w inne pakiety IP, które z kolei są wysyłane do serwera. Dodatkowo oprogramowanie to generuje nowe klucze co 30 minut, co znacznie zwiększa bezpieczeństwo połączenia.

Pozytywnymi cechami AltaVista Tunnel 97 są łatwość instalacji i łatwość zarządzania. Do wad tego systemu można zaliczyć niestandardową architekturę (własny algorytm wymiany kluczy) i niską wydajność.

· VPN oparty na sieciowym systemie operacyjnym

Rozwiązania oparte na sieciowym systemie operacyjnym przyjrzymy się na przykładzie Systemy Windows NT od Microsoftu. Aby utworzyć VPN, Microsoft korzysta z protokołu PPTP, który jest zintegrowany z systemem Windows NT. Rozwiązanie to jest bardzo atrakcyjne dla organizacji korzystających z systemu Windows jako korporacyjnego systemu operacyjnego. Należy zaznaczyć, że koszt takiego rozwiązania jest znacząco niższy od kosztu innych rozwiązań. VPN działa Oparty na systemie Windows System NT korzysta z bazy danych użytkowników systemu NT przechowywanej na podstawowym kontrolerze domeny (PDC). Podczas łączenia się z serwerem PPTP użytkownik jest uwierzytelniany przy użyciu protokołów PAP, CHAP lub MS-CHAP. Przesyłane pakiety są hermetyzowane w pakietach GRE/PPTP. Do szyfrowania pakietów używany jest niestandardowy protokół firmy Microsoft Point-to-Point Encryption z 40- lub 128-bitowym kluczem otrzymywanym w momencie nawiązania połączenia. Wadami tego systemu jest brak sprawdzania integralności danych oraz brak możliwości zmiany kluczy w trakcie połączenia. Pozytywne aspekty to łatwość integracji z systemem Windows i niski koszt.

· Sprzętowa sieć VPN

Możliwość budowy VPN na specjalnych urządzeniach można zastosować w sieciach wymagających dużej wydajności. Przykładem takiego rozwiązania jest produkt IPro-VPN firmy Radguard. W tym produkcie zastosowano szyfrowanie sprzętowe przesyłanych informacji, umożliwiające przesyłanie strumienia o szybkości 100 Mbit/s. IPro-VPN obsługuje protokół IPSec i mechanizm zarządzania kluczami ISAKMP/Oakley. Między innymi, to urządzenie obsługuje narzędzia do translacji adresów sieciowych i można go uzupełnić o specjalną kartę, która dodaje funkcjonalność zapory ogniowej

2. Protokoły VPN

Sieci VPN są zbudowane przy użyciu protokołów tunelowania danych w publicznej sieci komunikacji internetowej, a protokoły tunelowania zapewniają szyfrowanie danych i realizują transmisję typu end-to-end pomiędzy użytkownikami. Z reguły do ​​budowy sieci VPN stosuje się dziś następujące poziomy protokołów:

Warstwa łącza danych

2.1 Warstwa łącza

W warstwie łącza danych można zastosować protokoły tunelowania danych L2TP i PPTP, które wykorzystują autoryzację i uwierzytelnianie.

Obecnie najpopularniejszym protokołem VPN jest protokół tunelowania punkt-punkt (PPTP). Został opracowany przez firmy 3Com i Microsoft w celu zapewnienia bezpieczeństwa zdalny dostęp do sieci korporacyjnych za pośrednictwem Internetu. PPTP wykorzystuje istniejące otwarte standardy TCP/IP i w dużym stopniu opiera się na starszym protokole PPP punkt-punkt. W praktyce PPP pozostaje protokołem komunikacyjnym sesji połączenia PPTP. PPTP tworzy tunel w sieci do serwera NT odbiorcy i przesyła przez niego pakiety PPP od zdalnego użytkownika. Serwer i stacja robocza korzystają z wirtualnej sieci prywatnej i nie zwracają uwagi na to, jak bezpieczne i dostępne są sieć globalna między nimi. Zakończenie sesji inicjowane przez serwer, w przeciwieństwie do wyspecjalizowanych serwerów dostępu zdalnego, umożliwia administratorom sieci lokalnej utrzymanie zdalnych użytkowników w granicach bezpieczeństwa systemu Windows NT Server.

Chociaż kompetencje protokołu PPTP rozciągają się tylko na urządzenia działające w ramach Sterowanie Windowsem zapewnia firmom możliwość interakcji z istniejącą infrastrukturą sieciową bez narażania na szwank ich własnych systemów bezpieczeństwa. W ten sposób zdalny użytkownik może połączyć się z Internetem za pośrednictwem lokalnego dostawcy usług internetowych za pośrednictwem analogowej linii telefonicznej lub łącza ISDN i nawiązać połączenie z serwerem NT. Jednocześnie firma nie musi wydawać dużych sum na organizację i utrzymanie puli modemów świadczących usługi zdalnego dostępu.

Poniżej omówiono działanie RRTR. PPTP hermetyzuje pakiety IP do transmisji w sieci IP. Klienci PPTP używają portu docelowego do tworzenia połączenia kontroli tunelu. Proces ten zachodzi w warstwie transportowej modelu OSI. Po utworzeniu tunelu komputer kliencki i serwer rozpoczynają wymianę pakietów usług. Oprócz połączenia sterującego PPTP, które zapewnia działanie łącza, tworzone jest połączenie w celu przesyłania danych przez tunel. Hermetyzacja danych przed przesłaniem ich tunelem przebiega nieco inaczej niż podczas normalnej transmisji. Hermetyzacja danych przed wysłaniem ich do tunelu obejmuje dwa etapy:

1. W pierwszej kolejności tworzona jest część informacyjna PPP. Dane przepływają z góry na dół, z warstwy aplikacji OSI do warstwy łącza danych.

2. Otrzymane dane są następnie przesyłane do modelu OSI i hermetyzowane przez protokoły wyższej warstwy.

Zatem podczas drugiego przejścia dane docierają do warstwy transportowej. Jednak informacja nie może zostać wysłana do miejsca przeznaczenia, ponieważ odpowiedzialna jest za to warstwa łącza danych OSI. Dlatego PPTP szyfruje pole danych pakietu i przejmuje funkcje drugiej warstwy typowo kojarzone z PPP, tj. dodaje nagłówek i zakończenie PPP do pakietu PPTP. To kończy tworzenie ramki warstwy łącza.

Następnie PPTP hermetyzuje ramkę PPP w pakiecie GenericRoutingEncapsulation (GRE), który należy do warstwy sieciowej. GRE hermetyzuje protokoły warstwy sieciowej, takie jak IPX, AppleTalk, DECnet, aby umożliwić ich transport przez sieci IP. Jednak GRE nie ma możliwości nawiązywania sesji i ochrony danych przed intruzami. Wykorzystuje to zdolność protokołu PPTP do tworzenia połączenia sterującego tunelem. Używanie GRE jako metody enkapsulacji ogranicza zakres protokołu PPTP wyłącznie do sieci IP.

Po enkapsulacji ramki PPP w ramce z nagłówkiem GRE następuje enkapsulacja w ramce z nagłówkiem IP. Nagłówek IP zawiera adres źródłowy i docelowy pakietu. Na koniec PPTP dodaje nagłówek i zakończenie PPP. Rysunek 3 przedstawia strukturę danych dla przesyłania przez tunel PPTP. [Załącznik 3]

System wysyłający przesyła dane przez tunel. System odbierający usuwa wszystkie nagłówki, pozostawiając jedynie dane PPP.

W najbliższej przyszłości spodziewany jest wzrost liczby wirtualnych sieci prywatnych, wdrażanych w oparciu o nowy protokół tunelowania drugiego poziomu Layer2 Tunneling Protocol – L2TP.

L2TP powstał w wyniku połączenia protokołów PPTP i L2F (przekazywanie warstwy 2). PPTP umożliwia przesyłanie pakietów PPP przez tunel, a pakietów L2F SLIP i PPP. Aby uniknąć nieporozumień i problemów ze współdziałaniem systemów na rynku telekomunikacyjnym, grupa zadaniowa ds. inżynierii Internetu (IETF) zaleciła firmie CiscoSystems połączenie PPTP i L2F. Pod każdym względem L2TP łączy w sobie najlepsze cechy PPTP i L2F. Główną zaletą L2TP jest to, że protokół ten umożliwia tworzenie tuneli nie tylko w sieciach IP, ale także takich jak ATM, X.25 i Frame Relay. Niestety, implementacja protokołu L2TP w systemie Windows 2000 obsługuje tylko protokół IP.

L2TP używa protokołu UDP jako środka transportowego i tego samego formatu wiadomości zarówno do kontroli tunelu, jak i przesyłania danych. L2TP wdrożony przez Microsoft wykorzystuje pakiety UDP zawierające zaszyfrowane pakiety PPP jako komunikaty kontrolne. Niezawodność dostawy gwarantuje kontrola sekwencji pakietów.

Funkcjonalność PPTP i L2TP są różne. L2TP można używać nie tylko w sieciach IP, komunikaty usługowe służące do tworzenia tunelu i przesyłania przez niego danych korzystają z tego samego formatu i protokołów. Protokół PPTP może być używany wyłącznie w sieciach IP i wymaga oddzielnego połączenia TCP do utworzenia tunelu i korzystania z niego. L2TP przez IPSec oferuje więcej warstw zabezpieczeń niż PPTP i może zagwarantować niemal 100-procentowe bezpieczeństwo najważniejszych danych Twojej organizacji. Cechy L2TP czynią go bardzo obiecującym protokołem do budowy sieci wirtualnych.

W Ostatnio W świecie telekomunikacji obserwuje się zwiększone zainteresowanie wirtualnymi sieciami prywatnymi (VPN). Wynika to z konieczności obniżenia kosztów utrzymania sieci korporacyjnych poprzez tańsze połączenie zdalnych biur i zdalnych użytkowników za pośrednictwem Internetu. Rzeczywiście, porównując koszty usług łączenia kilku sieci przez Internet, na przykład z sieciami Frame Relay, można zauważyć znaczną różnicę w kosztach. Należy jednak zaznaczyć, że przy łączeniu sieci za pośrednictwem Internetu od razu pojawia się kwestia bezpieczeństwa transmisji danych, dlatego konieczne stało się stworzenie mechanizmów zapewniających poufność i integralność przesyłanych informacji. Sieci zbudowane w oparciu o takie mechanizmy nazywane są VPN.

Co więcej, bardzo często współczesnemu człowiekowi rozwijając swój biznes trzeba dużo podróżować. Mogą to być wyjazdy do odległych zakątków naszego kraju lub do obcych krajów. Często ludzie potrzebują dostępu do swoich informacji przechowywanych na komputerze domowym lub firmowym. Problem ten można rozwiązać, organizując do niego zdalny dostęp za pomocą modemu i linii. Korzystanie z linii telefonicznej ma swoją własną charakterystykę. Wadą tego rozwiązania jest to, że rozmowy telefoniczne z innego kraju są bardzo kosztowne. Istnieje inne rozwiązanie o nazwie VPN. Zaletami technologii VPN jest to, że organizowanie zdalnego dostępu nie odbywa się poprzez pośrednictwo linia telefoniczna, ale przez Internet, który jest znacznie tańszy i lepszy. Moim zdaniem technologia. VPN ma potencjał, aby stać się powszechnym na całym świecie.

1. Pojęcie i klasyfikacja sieci VPN, ich budowa

1.1 Co to jest VPN

VPN(ang. Virtual Private Network – wirtualna sieć prywatna) – sieć logiczna utworzona na wierzchu innej sieci, np. Internetu. Pomimo faktu, że komunikacja odbywa się w sieciach publicznych przy użyciu niepewnych protokołów, szyfrowanie tworzy kanały wymiany informacji, które są zamknięte dla osób z zewnątrz. VPN pozwala na połączenie np. kilku biur organizacji w jedną sieć wykorzystującą niekontrolowane kanały komunikacji pomiędzy nimi.


W swojej istocie VPN ma wiele właściwości łącza dzierżawionego, ale jest wdrażany na przykład w sieci publicznej. Dzięki technice tunelowania pakiety danych są transmitowane w sieci publicznej tak, jakby były normalnym połączeniem punkt-punkt. Pomiędzy każdą parą nadawca-odbiorca danych tworzony jest rodzaj tunelu — bezpieczne połączenie logiczne, które umożliwia enkapsulację danych z jednego protokołu w pakietach innego. Główne elementy tunelu to:

  • inicjator;
  • sieć routowana;
  • przełącznik tunelowy;
  • jeden lub więcej terminatorów tunelowych.

Sama zasada działania VPN nie jest sprzeczna z podstawowymi technologiami i protokołami sieciowymi. Na przykład podczas ustanawiania połączenia dostępu zdalnego klient wysyła do serwera strumień standardowych pakietów protokołu PPP. W przypadku organizowania wirtualnych łączy dzierżawionych pomiędzy sieciami lokalnymi, ich routery również wymieniają pakiety PPP. Jednakże zasadniczo nowym aspektem jest przekazywanie pakietów przez bezpieczny tunel zorganizowany w ramach sieci publicznej.

Tunelowanie pozwala organizować transmisję pakietów tego samego protokół w środowisku logicznym przy użyciu innego protokołu. Dzięki temu możliwe staje się rozwiązanie problemów interakcji pomiędzy kilkoma różnymi typami sieci, począwszy od konieczności zapewnienia integralności i poufności przesyłanych danych, a skończywszy na przezwyciężeniu niespójności w zewnętrznych protokołach czy schematach adresowania.

Istniejącą infrastrukturę sieciową korporacji można przygotować do użytku VPN w oparciu o oprogramowanie lub sprzęt komputerowy. Konfigurowanie wirtualnej sieci prywatnej można porównać do układania kabla w sieci globalnej. Zwykle bezpośrednie połączenie pomiędzy zdalnym użytkownikiem a urządzeniem końcowym tunelu ustanawiane jest przy użyciu protokołu PPP.

Najpopularniejszą metodą tworzenia tuneli VPN jest hermetyzacja protokołów sieciowych (IP, IPX, AppleTalk itp.) w PPP, a następnie kapsułkowanie powstałych pakietów w protokole tunelowania. Zwykle tym drugim jest IP lub (znacznie rzadziej) ATM i Frame Relay. Takie podejście nazywa się tunelowaniem drugiego poziomu, ponieważ „pasażerem” jest tutaj protokół drugiego poziomu.

Alternatywne podejście polegające na enkapsulacji pakietów protokołu sieciowego bezpośrednio w protokole tunelowania (takim jak VTP) nazywa się tunelowaniem warstwy 3.

Bez względu na to, jakie protokoły są używane i do jakich celów stosowane podczas organizowania tunelu, podstawowa technika pozostajepraktycznie bez zmian. Zwykle jeden protokół jest używany do nawiązania połączenia ze zdalnym węzłem, a inny do enkapsulacji danych i informacji o usługach w celu transmisji przez tunel.

1.2 Klasyfikacja sieci VPN

Rozwiązania VPN można klasyfikować według kilku głównych parametrów:

1. Według rodzaju używanego środowiska:

  • Bezpieczne sieci VPN. Najpopularniejsza wersja prywatnych sieci prywatnych. Za jego pomocą można stworzyć niezawodną i bezpieczną podsieć opartą na zawodnej sieci, jaką jest najczęściej Internet. Przykładami bezpiecznych sieci VPN są: IPSec, OpenVPN i PPTP.
  • Zaufane sieci VPN. Stosuje się je w przypadkach, gdy medium transmisyjne można uznać za niezawodne, a konieczne jest jedynie rozwiązanie problemu utworzenia wirtualnej podsieci w ramach większej sieci. Kwestie bezpieczeństwa stają się nieistotne. Przykładami takich rozwiązań VPN są: MPLS i L2TP. Bardziej słuszne byłoby stwierdzenie, że protokoły te przenoszą zadanie zapewnienia bezpieczeństwa na inne, na przykład L2TP z reguły jest używany w połączeniu z IPSec.

2. Zgodnie ze sposobem realizacji:

  • Sieci VPN w postaci specjalnego oprogramowania i sprzętu. Wdrożenie sieci VPN odbywa się przy użyciu specjalnego zestawu oprogramowania i sprzętu. Implementacja ta zapewnia wysoką wydajność i z reguły wysoki stopień bezpieczeństwa.
  • Sieci VPN jako rozwiązanie programowe. Korzystają z komputera osobistego ze specjalnym oprogramowaniem zapewniającym funkcjonalność VPN.
  • Sieci VPN ze zintegrowanym rozwiązaniem. Funkcjonalność VPN zapewnia kompleks, który rozwiązuje również problemy filtrowania ruchu sieciowego, organizowania zapory ogniowej i zapewniania jakości usług.

3. Według celu:

  • Intranetowy VPN. Służą do łączenia kilku rozproszonych oddziałów jednej organizacji w jedną bezpieczną sieć, wymieniając dane za pośrednictwem otwartych kanałów komunikacji.
  • VPN dostępu zdalnego. Służy do tworzenia bezpiecznego kanału pomiędzy segmentem sieci korporacyjnej (centrala lub oddział) a pojedynczym użytkownikiem, który pracując w domu, łączy się z zasobami firmowymi za pomocą komputer domowy lub w podróży służbowej łączy się z zasobami firmowymi za pomocą laptopa.
  • Ekstranetowy VPN. Używany w sieciach, z którymi łączą się użytkownicy „zewnętrzni” (na przykład klienci lub klienci). Poziom zaufania do nich jest znacznie niższy niż do pracowników firmy, dlatego konieczne jest zapewnienie specjalnych „lini” ochrony, które uniemożliwiają lub ograniczają dostęp tych ostatnich do szczególnie cennych, poufnych informacji.

4. Według typu protokołu:

  • Istnieją implementacje wirtualnych sieci prywatnych dla protokołów TCP/IP, IPX i AppleTalk. Jednak dzisiaj istnieje tendencja do ogólnego przejścia na protokół TCP/IP i zdecydowana większość rozwiązań VPN go obsługuje.

5. Według poziomu protokołu sieciowego:

  • Według warstwy protokołu sieciowego na podstawie porównania z warstwami modelu sieci referencyjnej ISO/OSI.

1.3. Budowa VPN

Istnieją różne opcje budowania sieci VPN. Wybierając rozwiązanie, należy wziąć pod uwagę współczynniki wydajności twórców VPN. Na przykład, jeśli router działa już z maksymalną wydajnością, dodanie tuneli VPN i zastosowanie szyfrowania/odszyfrowania informacji może spowodować zatrzymanie całej sieci ze względu na to, że router ten nie będzie w stanie poradzić sobie z prostym ruchem, nie mówiąc już o VPN. Doświadczenie pokazuje, że do budowy VPN najlepiej jest wykorzystać specjalistyczny sprzęt, jednak jeśli istnieją ograniczenia finansowe, wówczas można zwrócić uwagę na rozwiązanie czysto programowe. Przyjrzyjmy się niektórym opcjom budowy VPN.

  • VPN oparty na zaporach sieciowych. Większość dostawców zapór sieciowych obsługuje tunelowanie i szyfrowanie danych. Wszystkie tego typu produkty opierają się na tym, że ruch przechodzący przez zaporę sieciową jest szyfrowany. Do samego oprogramowania zapory sieciowej dodawany jest moduł szyfrujący. Wadą tej metody jest to, że wydajność zależy od sprzętu, na którym działa zapora. Korzystając z firewalli komputerowych, należy pamiętać, że takie rozwiązanie można zastosować tylko w małych sieciach, w których przesyłana jest niewielka ilość informacji.
  • VPN oparty na routerze. Innym sposobem zbudowania sieci VPN jest użycie routerów do utworzenia bezpiecznych kanałów. Ponieważ wszystkie informacje pochodzące z sieci lokalnej przechodzą przez router, zaleca się przypisanie temu routerowi zadań szyfrowania.Przykładem sprzętu do budowy VPN na routerach jest sprzęt firmy Cisco Systems. Począwszy od wersji oprogramowania IOS 11.3, routery Cisco obsługują protokoły L2TP i IPSec. Oprócz prostego szyfrowania ruchu Cisco obsługuje inne funkcje VPN, takie jak uwierzytelnianie podczas połączenia tunelowego i wymiana kluczy.Aby poprawić wydajność routera, można zastosować opcjonalny moduł szyfrujący ESA. Dodatkowo Cisco System wypuściło na rynek specjalistyczne urządzenie dla VPN, które nosi nazwę Cisco 1720 VPN Access Router (router dostępowy VPN), przeznaczone do instalacji w małych i średnich firmach, a także w oddziałach dużych organizacji.
  • VPN oparty na oprogramowaniu. Kolejnym podejściem do budowy VPN są rozwiązania czysto programowe. Przy wdrażaniu takiego rozwiązania wykorzystuje się specjalistyczne oprogramowanie, które działa na dedykowanym komputerze i w większości przypadków pełni rolę serwera proxy. Komputer, na którym działa to oprogramowanie, może znajdować się za zaporą ogniową.
  • VPN oparty na sieciowym systemie operacyjnym.Przyjrzymy się rozwiązaniom opartym na sieciowym systemie operacyjnym na przykładzie systemu operacyjnego Windows firmy Microsoft. Aby utworzyć VPN, Microsoft korzysta z protokołu PPTP, który jest zintegrowany z systemem Windows. Rozwiązanie to jest bardzo atrakcyjne dla organizacji korzystających z systemu Windows jako korporacyjnego systemu operacyjnego. Należy zaznaczyć, że koszt takiego rozwiązania jest znacząco niższy od kosztu innych rozwiązań. Sieć VPN oparta na systemie Windows korzysta z bazy użytkowników przechowywanej na podstawowym kontrolerze domeny (PDC). Podczas łączenia się z serwerem PPTP użytkownik jest uwierzytelniany przy użyciu protokołów PAP, CHAP lub MS-CHAP. Przesyłane pakiety są hermetyzowane w pakietach GRE/PPTP. Do szyfrowania pakietów używany jest niestandardowy protokół firmy Microsoft Point-to-Point Encryption z 40- lub 128-bitowym kluczem otrzymywanym w momencie nawiązania połączenia. Wadami tego systemu jest brak sprawdzania integralności danych oraz brak możliwości zmiany kluczy w trakcie połączenia. Pozytywne aspekty to łatwość integracji z systemem Windows i niski koszt.
  • Sprzętowa sieć VPN. Możliwość budowy VPN na specjalnych urządzeniach można zastosować w sieciach wymagających dużej wydajności. Przykładem takiego rozwiązania jest produkt IPro-VPN firmy Radguard. W tym produkcie zastosowano szyfrowanie sprzętowe przesyłanych informacji, umożliwiające przesyłanie strumienia o szybkości 100 Mbit/s. IPro-VPN obsługuje protokół IPSec i mechanizm zarządzania kluczami ISAKMP/Oakley. Urządzenie to obsługuje między innymi narzędzia do translacji adresów sieciowych i można je uzupełnić o specjalną kartę, która dodaje funkcje zapory sieciowej

2. Protokoły VPN

Sieci VPN są zbudowane przy użyciu protokołów do tunelowania danych w publicznym Internecie, a protokoły tunelowania zapewniają szyfrowanie danych i zapewniają transmisję typu end-to-end pomiędzy użytkownikami. Z reguły do ​​budowy sieci VPN stosuje się dziś następujące poziomy protokołów:

  • Warstwa łącza danych
  • Warstwa sieci
  • Warstwa transportowa.

2.1 Warstwa łącza

W warstwie łącza danych można zastosować protokoły tunelowania danych L2TP i PPTP, które wykorzystują autoryzację i uwierzytelnianie.

PPTP.

Obecnie najpopularniejszym protokołem VPN jest protokół tunelowania punkt-punkt – PPTP. Został opracowany przez firmy 3Com i Microsoft w celu zapewnienia bezpiecznego zdalnego dostępu do sieci korporacyjnych za pośrednictwem Internetu. PPTP wykorzystuje istniejące otwarte standardy TCP/IP i w dużym stopniu opiera się na starszym protokole PPP punkt-punkt. W praktyce PPP pozostaje protokołem komunikacyjnym sesji połączenia PPTP. PPTP tworzy tunel w sieci do serwera NT odbiorcy i przesyła przez niego pakiety PPP od zdalnego użytkownika. Serwer i stacja robocza korzystają z wirtualnej sieci prywatnej i nie zwracają uwagi na to, jak bezpieczna i dostępna jest między nimi sieć WAN. Zakończenie sesji inicjowane przez serwer, w przeciwieństwie do wyspecjalizowanych serwerów dostępu zdalnego, umożliwia administratorom sieci lokalnej utrzymanie zdalnych użytkowników w granicach bezpieczeństwa systemu Windows Server.

Chociaż protokół PPTP ma zastosowanie tylko do urządzeń z systemem Windows, zapewnia firmom możliwość interakcji z istniejącą infrastrukturą sieciową bez narażania własnych systemów bezpieczeństwa. W ten sposób zdalny użytkownik może połączyć się z Internetem za pośrednictwem lokalnego dostawcy usług internetowych za pośrednictwem analogowej linii telefonicznej lub łącza ISDN i nawiązać połączenie z serwerem NT. Jednocześnie firma nie musi wydawać dużych sum na organizację i utrzymanie puli modemów świadczących usługi zdalnego dostępu.

Poniżej omówiono działanie RRTR. PPTP hermetyzuje pakiety IP do transmisji w sieci IP. Klienci PPTP używają portu docelowego do tworzenia połączenia kontroli tunelu. Proces ten zachodzi w warstwie transportowej modelu OSI. Po utworzeniu tunelu komputer kliencki i serwer rozpoczynają wymianę pakietów usług. Oprócz połączenia sterującego PPTP, które zapewnia działanie łącza, tworzone jest połączenie w celu przesyłania danych przez tunel. Hermetyzacja danych przed przesłaniem ich tunelem przebiega nieco inaczej niż podczas normalnej transmisji. Hermetyzacja danych przed wysłaniem ich do tunelu obejmuje dwa etapy:

  1. W pierwszej kolejności tworzona jest część informacyjna PPP. Dane przepływają z góry na dół, z warstwy aplikacji OSI do warstwy łącza danych.
  2. Otrzymane dane są następnie przesyłane do modelu OSI i hermetyzowane przez protokoły wyższej warstwy.

Zatem podczas drugiego przejścia dane docierają do warstwy transportowej. Jednak informacja nie może zostać wysłana do miejsca przeznaczenia, ponieważ odpowiedzialna jest za to warstwa łącza danych OSI. Dlatego PPTP szyfruje pole danych pakietu i przejmuje funkcje drugiej warstwy typowo kojarzone z PPP, tj. dodaje nagłówek i zakończenie PPP do pakietu PPTP. To kończy tworzenie ramki warstwy łącza.

Następnie protokół PPTP hermetyzuje ramkę PPP w pakiecie Generic Routing Encapsulation (GRE), który należy do warstwy sieciowej. GRE hermetyzuje protokoły warstwy sieciowej, takie jak IPX, AppleTalk, DECnet, aby umożliwić ich transport przez sieci IP. Jednak GRE nie ma możliwości nawiązywania sesji i ochrony danych przed intruzami. Wykorzystuje to zdolność protokołu PPTP do tworzenia połączenia sterującego tunelem. Używanie GRE jako metody enkapsulacji ogranicza zakres protokołu PPTP wyłącznie do sieci IP.

Po enkapsulacji ramki PPP w ramce z nagłówkiem GRE następuje enkapsulacja w ramce z nagłówkiem IP. Nagłówek IP zawiera adres źródłowy i docelowy pakietu. Na koniec PPTP dodaje nagłówek i zakończenie PPP.

System wysyłający przesyła dane przez tunel. System odbierający usuwa wszystkie nagłówki, pozostawiając jedynie dane PPP.

L2TP

W najbliższej przyszłości spodziewany jest wzrost liczby wirtualnych sieci prywatnych, wdrażanych w oparciu o nowy protokół tunelowania drugiego poziomu Layer 2 Tunneling Protocol - L2TP.

L2TP powstał w wyniku połączenia protokołów PPTP i L2F (przekazywanie warstwy 2). PPTP umożliwia przesyłanie pakietów PPP przez tunel, a pakietów L2F SLIP i PPP. Aby uniknąć nieporozumień i problemów z interoperacyjnością na rynku telekomunikacyjnym, grupa zadaniowa ds. inżynierii Internetu (IETF) zaleciła firmie Cisco Systems połączenie PPTP i L2F. Pod każdym względem L2TP łączy w sobie najlepsze cechy PPTP i L2F. Główną zaletą L2TP jest to, że protokół ten umożliwia tworzenie tuneli nie tylko w sieciach IP, ale także takich jak ATM, X.25 i Frame Relay. Niestety, implementacja protokołu L2TP w systemie Windows 2000 obsługuje tylko protokół IP.

L2TP używa protokołu UDP jako środka transportowego i tego samego formatu wiadomości zarówno do kontroli tunelu, jak i przesyłania danych. L2TP wdrożony przez Microsoft wykorzystuje pakiety UDP zawierające zaszyfrowane pakiety PPP jako komunikaty kontrolne. Niezawodność dostawy gwarantuje kontrola sekwencji pakietów.

Funkcjonalność PPTP i L2TP jest inna. L2TP można używać nie tylko w sieciach IP, komunikaty usługowe służące do tworzenia tunelu i przesyłania przez niego danych korzystają z tego samego formatu i protokołów. Protokół PPTP może być używany wyłącznie w sieciach IP i wymaga oddzielnego połączenia TCP do utworzenia tunelu i korzystania z niego. L2TP przez IPSec oferuje więcej warstw zabezpieczeń niż PPTP i może zagwarantować niemal 100-procentowe bezpieczeństwo najważniejszych danych Twojej organizacji. Cechy L2TP czynią go bardzo obiecującym protokołem do budowy sieci wirtualnych.

Protokoły L2TP i PPTP różnią się od protokołów tunelowania trzeciego poziomu wieloma cechami:

  1. Zapewnienie korporacjom możliwości samodzielnego wyboru sposobu uwierzytelniania użytkowników i weryfikacji ich danych uwierzytelniających – na własnym „terytorium” lub u dostawcy usług internetowych. Przetwarzając tunelowane pakiety PPP, serwery sieci korporacyjnej otrzymują wszystkie informacje niezbędne do identyfikacji użytkowników.
  2. Wsparcie dla przełączania tuneli - zakończenie jednego tunelu i zainicjowanie innego do jednego z wielu potencjalnych terminatorów. Przełączanie tuneli umożliwia rozszerzenie połączenia PPP do wymaganego punktu końcowego.
  3. Dostarczanie administratorzy systemu sieć korporacyjna możliwość realizacji strategii przydzielania uprawnień użytkownikom bezpośrednio na firewallu i serwerach wewnętrznych. Ponieważ terminatory tuneli odbierają pakiety PPP zawierające informacje o użytkowniku, mogą stosować zdefiniowane przez administratora zasady bezpieczeństwa do ruchu poszczególnych użytkowników. (Tunelowanie trzeciego poziomu nie pozwala na rozróżnienie pakietów przychodzących od dostawcy, dlatego do końcowych stacji roboczych i urządzeń sieciowych należy zastosować filtry polityki bezpieczeństwa.) Ponadto, jeśli używasz przełącznika tunelowego, możliwe staje się zorganizowanie „kontynuacji” tunel drugi poziom do bezpośredniej transmisji ruchu indywidualnegoużytkowników do odpowiednich serwerów wewnętrznych. Takie serwery mogą mieć za zadanie dodatkowe filtrowanie pakietów.

MPLS

Również na poziomie łącza danych technologia MPLS może być wykorzystywana do organizowania tuneli ( Z angielskiego Multiprotocol Label Switching - wieloprotokołowe przełączanie etykiet - mechanizm przesyłania danych, który emuluje różne właściwości sieci z komutacją obwodów w sieciach z komutacją pakietów). MPLS działa w warstwie, która może znajdować się pomiędzy warstwą łącza danych a trzecią warstwą sieciową modelu OSI i dlatego jest powszechnie nazywany protokołem warstwy łącza danych. Został zaprojektowany w celu zapewnienia uniwersalnej usługi transmisji danych zarówno dla klientów sieciowych z komutacją łączy, jak iz komutacją pakietów. MPLS może przenosić szeroką gamę ruchu, na przykład pakiety IP, ramki ATM, SONET i Ethernet.

Rozwiązania do organizacji VPN na poziomie łącza mają dość ograniczony zakres, zwykle w domenie dostawcy.

2.2 Warstwa sieciowa

Warstwa sieciowa (warstwa IP). Wykorzystywany jest protokół IPSec, który realizuje szyfrowanie i poufność danych, a także uwierzytelnianie abonenta. Zastosowanie protokołu IPSec pozwala na uzyskanie w pełni funkcjonalnego dostępu odpowiadającego fizycznemu połączeniu z siecią firmową. Aby ustanowić VPN, każdy uczestnik musi skonfigurować określone parametry IPSec, tj. Każdy klient musi mieć oprogramowanie obsługujące protokół IPSec.

IPSec

Naturalnie żadna firma nie chciałaby otwartego przeniesienia Internet finansowy lub inny poufna informacja. Kanały VPN są chronione przez potężne algorytmy szyfrowania oparte na standardach protokołu bezpieczeństwa IPsec. IPSec, czyli Internet Protocol Security – standard wybrany przez społeczność międzynarodową IETF – Internet Engineering Task Force, tworzy ramy bezpieczeństwa dla protokołu internetowego (protokół IP/IPSec zapewnia bezpieczeństwo na poziomie sieci i wymaga obsługi standardu IPSec jedynie od urządzenia komunikujące się ze sobą po obu stronach połączenia.Wszystkie inne urządzenia znajdujące się pomiędzy nimi zapewniają jedynie ruch pakietów IP.

Sposób interakcji pomiędzy osobami korzystającymi z technologii IPSec jest zwykle definiowany terminem „bezpieczne skojarzenie” – Security Association (SA). Bezpieczne stowarzyszenie działa w oparciu o umowę pomiędzy stronami, które wykorzystują IPSec do ochrony przesyłanych sobie informacji. Umowa ta reguluje kilka parametrów: adresy IP nadawcy i odbiorcy, algorytm kryptograficzny, kolejność wymiany kluczy, rozmiary kluczy, czas życia klucza, algorytm uwierzytelniania.

IPSec to spójny zestaw otwartych standardów, których rdzeń można łatwo rozszerzyć o nowe funkcje i protokoły. Rdzeń IPSec składa się z trzech protokołów:

· JAKIŚ lub Nagłówek uwierzytelniający - nagłówek uwierzytelniający - gwarantuje integralność i autentyczność danych. Głównym celem protokołu AH jest umożliwienie stronie odbierającej zapewnienia, że:

  • pakiet został wysłany przez stronę, z którą nawiązano bezpieczne powiązanie;
  • zawartość pakietu nie uległa zniekształceniu podczas transmisji w sieci;
  • pakiet nie jest duplikatem pakietu już odebranego.

Dwie pierwsze funkcje są obowiązkowe dla protokołu AH, a ostatnią wybiera się opcjonalnie przy ustanawianiu asocjacji. Aby wykonywać te funkcje, protokół AH wykorzystuje specjalny nagłówek. Jego strukturę rozważa się według następującego schematu:

  1. Kolejne pole nagłówka wskazuje kod protokołu wyższego poziomu, czyli protokołu, którego wiadomość znajduje się w polu danych pakietu IP.
  2. Pole długości ładunku zawiera długość nagłówka AH.
  3. Indeks parametrów bezpieczeństwa (SPI) służy do powiązania pakietu z zamierzonym powiązaniem bezpieczeństwa.
  4. Pole Numer sekwencyjny (SN) wskazuje numer kolejny pakietu i służy do ochrony przed fałszowaniem (kiedy strona trzecia próbuje ponownie wykorzystać przechwycone bezpieczne pakiety wysłane przez rzeczywistego uwierzytelnionego nadawcę).
  5. Pole danych uwierzytelniających, które zawiera tzw. wartość kontrolną integralności (ICV), służy do uwierzytelniania i sprawdzania integralności pakietu. Wartość ta, zwana także skrótem, jest obliczana przy użyciu jednej z dwóch nieodwracalnych obliczeniowo funkcji MD5 lub SAH-1, które są wymagane przez protokół AH, ale można zastosować dowolną inną funkcję.

· ESP lub enkapsulacyjny ładunek bezpieczeństwa- szyfrowana enkapsulacja danych - szyfruje przesyłane dane, zapewniając poufność, może także zachować uwierzytelnienie i integralność danych;

Protokół ESP rozwiązuje dwie grupy problemów.

  1. Pierwsza obejmuje zadania zbliżone do protokołu AH – zapewnienie uwierzytelnienia i integralności danych w oparciu o skrót,
  2. Drugi to przesyłane dane poprzez szyfrowanie ich przed nieupoważnionym przeglądaniem.

Nagłówek jest podzielony na dwie części oddzielone polem danych.

  1. Pierwsza część, zwana samym nagłówkiem ESP, składa się z dwóch pól (SPI i SN), których przeznaczenie jest podobne do pól o tej samej nazwie w protokole AH i jest umieszczona przed polem danych.
  2. Pozostałe pola usługi protokołu ESP, zwane zwiastunem ESP, znajdują się na końcu pakietu.

Dwa pola końcowe – następny nagłówek i dane uwierzytelniające – są podobne do pól nagłówka AH. Pole Dane uwierzytelniające jest nieobecne, jeśli podjęto decyzję o niekorzystaniu z możliwości integralności protokołu ESP podczas ustanawiania bezpiecznego powiązania. Oprócz tych pól zwiastun zawiera dwa dodatkowe pola- wypełniacz i długość wypełniacza.

Protokoły AH i ESP mogą chronić dane w dwóch trybach:

  1. w transporcie - transmisja odbywa się z oryginalnymi nagłówkami IP;
  2. w tunelu - oryginalny pakiet umieszczany jest w nowym pakiecie IP i transmisja odbywa się z nowymi nagłówkami.

Zastosowanie tego czy innego trybu zależy od wymagań dotyczących ochrony danych, a także od roli, jaką w sieci pełni węzeł kończący bezpieczny kanał. Zatem węzeł może być hostem (węzeł końcowy) lub bramą (węzeł pośredni).

W związku z tym istnieją trzy schematy korzystania z protokołu IPSec:

  1. gospodarz-gospodarz;
  2. brama-brama;
  3. brama hosta.

Możliwości protokołów AH i ESP częściowo się pokrywają: protokół AH odpowiada jedynie za zapewnienie integralności i uwierzytelnienia danych, protokół ESP może szyfrować dane, a ponadto realizuje funkcje protokołu AH (w uproszczonej formie ). ESP może obsługiwać funkcje szyfrowania i uwierzytelniania/integralności w dowolnej kombinacji, to znaczy albo całą grupę funkcji, tylko uwierzytelnianie/integralność, albo tylko szyfrowanie.

· IKE czyli Internet Key Exchange - internetowa wymiana kluczy - rozwiązuje pomocnicze zadanie automatycznego dostarczania punktom końcowym bezpiecznego kanału tajnych kluczy niezbędnych do działania protokołów uwierzytelniania i szyfrowania danych.

2.3 Warstwa transportowa

Warstwa transportowa wykorzystuje protokół SSL/TLS lub Secure Socket Layer/Transport Layer Security, który implementuje szyfrowanie i uwierzytelnianie pomiędzy warstwami transportowymi odbiornika i nadajnika. SSL/TLS można używać do zabezpieczania ruchu TCP, ale nie można go używać do zabezpieczania ruchu UDP. Aby obsługiwać VPN w oparciu o SSL/TLS, nie ma potrzeby instalowania specjalnego oprogramowania, ponieważ każda przeglądarka i klient poczty wyposażone w te protokoły. Dzięki zaimplementowaniu protokołu SSL/TLS w warstwie transportowej nawiązywane jest bezpieczne połączenie „end-to-end”.

Protokół TLS oparty jest na protokole Netscape SSL w wersji 3.0 i składa się z dwóch części – protokołu TLS Record Protocol i protokołu TLS Handshake. Różnice pomiędzy SSL 3.0 i TLS 1.0 są niewielkie.

SSL/TLS obejmuje trzy główne fazy:

  1. Dialog pomiędzy stronami, którego celem jest wybór algorytmu szyfrowania;
  2. Wymiana kluczy w oparciu o kryptosystemy klucza publicznego lub uwierzytelnianie w oparciu o certyfikaty;
  3. Przesyłanie danych zaszyfrowanych przy użyciu algorytmów szyfrowania symetrycznego.

2.4 Wdrożenie VPN: IPSec czy SSL/TLS?

Menedżerowie działów IT często stają przed pytaniem: jaki protokół wybrać do budowy korporacyjnej sieci VPN? Odpowiedź nie jest oczywista, ponieważ każde podejście ma zarówno zalety, jak i wady. Postaramy się przeprowadzić i określić kiedy konieczne jest zastosowanie IPSec, a kiedy SSL/TLS. Jak widać z analizy charakterystyki tych protokołów, nie są one wymienne i mogą funkcjonować zarówno osobno, jak i równolegle, definiując cechy funkcjonalne każdy z zaimplementowanych VPN.

Wyboru protokołu do budowy korporacyjnej sieci VPN można dokonać według następujących kryteriów:

· Rodzaj dostępu wymagany dla użytkowników VPN.

  1. W pełni funkcjonalne, zawsze aktywne połączenie z siecią firmową. Zalecanym wyborem jest protokół IPSec.
  2. Tymczasowe połączenie, na przykład użytkownika mobilnego lub użytkownika korzystającego z komputera publicznego, w celu uzyskania dostępu do niektórych usług, takich jak poczta elektroniczna lub baza danych. Zalecanym wyborem jest protokół SSL/TLS, który umożliwia zorganizowanie VPN dla każdej usługi z osobna.

· Czy użytkownik jest pracownikiem firmy.

  1. Jeśli użytkownik jest pracownikiem firmy, urządzenie, za pomocą którego uzyskuje dostęp do sieci firmowej za pośrednictwem protokołu IPSec VPN, można skonfigurować w określony sposób.
  2. Jeżeli użytkownik nie jest pracownikiem firmy, do której uzyskiwany jest dostęp do sieci korporacyjnej, zaleca się stosowanie protokołu SSL/TLS. Spowoduje to ograniczenie dostępu gości tylko do niektórych usług.

· Jaki jest poziom bezpieczeństwa sieci firmowej.

  1. Wysoki. Zalecanym wyborem jest protokół IPSec. Rzeczywiście, poziom bezpieczeństwa oferowany przez IPSec jest znacznie wyższy niż oferowany przez protokół SSL/TLS ze względu na zastosowanie konfigurowalnego oprogramowania po stronie użytkownika i bramy bezpieczeństwa po stronie sieci korporacyjnej.
  2. Przeciętny. Zalecanym wyborem jest protokół SSL/TLS, który umożliwia dostęp z dowolnego terminala.

· Poziom bezpieczeństwa danych przesyłanych przez użytkownika.

  1. Wysokie, na przykład zarządzanie firmą. Zalecanym wyborem jest protokół IPSec.
  2. Przeciętny, na przykład partner. Zalecanym wyborem jest protokół SSL/TLS.

W zależności od usługi - od średniego do wysokiego. Zalecanym wyborem jest kombinacja protokołów IPSec (dla usług wymagających wysokiego poziomu bezpieczeństwa) i SSL/TLS (dla usług wymagających średniego poziomu bezpieczeństwa).

· Co ważniejsze, szybkie wdrożenie VPN lub przyszła skalowalność rozwiązania.

  1. Szybkie wdrożenie VPN za pomocą minimalne koszty. Zalecanym wyborem jest protokół SSL/TLS. W tym przypadku nie ma konieczności wdrażania specjalnego oprogramowania po stronie użytkownika jak w przypadku protokołu IPSec.
  2. Skalowalność sieci VPN - dodanie dostępu do różnych usług. Zalecanym wyborem jest protokół IPSec, który umożliwia dostęp do wszystkich usług i zasobów sieci firmowej.
  3. Szybkie wdrożenie i skalowalność. Zalecanym wyborem jest połączenie IPSec i SSL/TLS: użycie protokołu SSL/TLS w pierwszym etapie w celu uzyskania dostępu do niezbędnych usług, a następnie wdrożenie protokołu IPSec.

3. Metody wdrażania sieci VPN

Wirtualna sieć prywatna opiera się na trzech metodach realizacji:

· Tunelowanie;

· Szyfrowanie;

· Uwierzytelnianie.

3.1 Tunelowanie

Tunelowanie zapewnia transfer danych pomiędzy dwoma punktami – końcami tunelu – w taki sposób, że cała infrastruktura sieciowa leżąca pomiędzy nimi jest ukryta przed źródłem i odbiorcą danych.

Medium transportowe tunelu, podobnie jak prom, odbiera pakiety protokołu sieciowego używanego przy wejściu do tunelu i dostarcza je w niezmienionej postaci do wyjścia. Zbudowanie tunelu wystarczy, aby połączyć dwa węzły sieci tak, aby z punktu widzenia działającego na nich oprogramowania sprawiały wrażenie podłączonych do tej samej (lokalnej) sieci. Nie można jednak zapominać, że tak naprawdę „prom” z danymi przepływa przez wiele węzłów pośrednich (routerów) otwartej sieci publicznej.

Stan ten stwarza dwa problemy. Po pierwsze, informacje przesyłane przez tunel mogą zostać przechwycone przez osoby atakujące. Jeśli jest to poufne (numery kart bankowych, sprawozdania finansowe, dane osobowe), wówczas groźba ich ujawnienia jest całkiem realna, co samo w sobie jest nieprzyjemne. Co gorsza, napastnicy mają możliwość modyfikowania danych przesyłanych tunelem, tak aby odbiorca nie był w stanie zweryfikować ich autentyczności. Konsekwencje mogą być najstraszniejsze. Biorąc pod uwagę powyższe dochodzimy do wniosku, że tunel w czystej postaci nadaje się tylko do niektórych typów sieci gry komputerowe i nie może mieć żadnego poważniejszego zastosowania. Obydwa problemy rozwiązują nowoczesne środki ochrony informacji kryptograficznej. Aby zapobiec nieautoryzowanym zmianom w pakiecie danych przesyłanym przez tunel, stosowana jest metoda elektronicznego podpisu cyfrowego (). Istota metody polega na tym, że do każdego przesyłanego pakietu dołączony jest dodatkowy blok informacji, który jest generowany zgodnie z algorytmem kryptografii asymetrycznej i jest unikalny ze względu na zawartość pakietu oraz tajny klucz podpisu cyfrowego nadawcy. Ten blok informacji stanowi cyfrowy podpis paczki i umożliwia uwierzytelnienie danych przez odbiorcę, który zna klucz publiczny podpisu cyfrowego nadawcy. Ochronę danych przesyłanych tunelem przed nieuprawnionym dostępem zapewnia zastosowanie silnych algorytmów szyfrowania.

3.2 Uwierzytelnianie

Bezpieczeństwo to główna funkcja VPN. Wszystkie dane z komputerów klienckich przesyłane są przez Internet do serwera VPN. Serwer taki może znajdować się w dużej odległości od komputera klienckiego, a dane w drodze do sieci organizacji przechodzą przez sprzęt wielu dostawców. Jak mogę się upewnić, że dane nie zostały odczytane ani zmodyfikowane? W tym celu stosuje się różne metody uwierzytelniania i szyfrowania.

PPTP może używać dowolnego protokołu używanego w protokole PPP do uwierzytelniania użytkowników

  • EAP lub protokół rozszerzonego uwierzytelniania;
  • MSCHAP lub protokół uwierzytelniania Microsoft Challenge Handshake (wersje 1 i 2);
  • CHAP lub protokół uwierzytelniania typu Challenge Handshake;
  • Protokół uwierzytelniania hasła SPAP lub Shiva;
  • Protokół uwierzytelniania PAP lub hasła.

Najlepsze protokoły to MSCHAP wersja 2 i Transport Layer Security (EAP-TLS), gdyż zapewniają wzajemne uwierzytelnianie, czyli tzw. Serwer VPN i klient identyfikują się wzajemnie. We wszystkich innych protokołach tylko serwer uwierzytelnia klientów.

Chociaż protokół PPTP zapewnia wystarczający poziom bezpieczeństwa, protokół L2TP w trybie IPSec jest bardziej niezawodny. L2TP przez IPSec zapewnia uwierzytelnianie na poziomie użytkownika i komputera, a także przeprowadza uwierzytelnianie i szyfrowanie danych.

Uwierzytelnianie odbywa się albo za pomocą testu otwartego (hasło w postaci zwykłego tekstu), albo za pomocą schematu wyzwanie/odpowiedź. Wszystko jest jasne dzięki bezpośredniemu tekstowi. Klient wysyła serwerowi hasło. Serwer porównuje to ze standardem i albo odmawia dostępu, albo mówi „witaj”. Prawie nigdy nie spotyka się otwartego uwierzytelniania.

Schemat żądania/odpowiedzi jest znacznie bardziej zaawansowany. Ogólnie wygląda to tak:

  • klient wysyła do serwera żądanie uwierzytelnienia;
  • serwer zwraca losową odpowiedź (wyzwanie);
  • klient pobiera hash ze swojego hasła (hash jest wynikiem działania funkcji haszującej, która konwertuje tablicę danych wejściowych o dowolnej długości na wyjściowy ciąg bitów o stałej długości), szyfruje nim odpowiedź i przesyła ją do serwera;
  • serwer robi to samo, porównując otrzymany wynik z odpowiedzią klienta;
  • jeśli zaszyfrowana odpowiedź jest zgodna, uwierzytelnienie uznaje się za udane;

Na pierwszym etapie uwierzytelniania klientów i serwerów VPN protokół L2TP przez IPSec wykorzystuje lokalne certyfikaty uzyskane od urzędu certyfikacji. Klient i serwer wymieniają certyfikaty i tworzą bezpieczne połączenie ESP SA (stowarzyszenie bezpieczeństwa). Po zakończeniu procesu uwierzytelniania komputera przy użyciu protokołu L2TP (przez IPSec) przeprowadzane jest uwierzytelnianie na poziomie użytkownika. Do uwierzytelnienia można użyć dowolnego protokołu, nawet PAP, który przesyła nazwę użytkownika i hasło w postaci zwykłego tekstu. Jest to całkiem bezpieczne, ponieważ L2TP przez IPSec szyfruje całą sesję. Jednakże uwierzytelnianie użytkownika przy użyciu protokołu MSCHAP, który wykorzystuje różne klucze szyfrowania do uwierzytelniania komputera i użytkownika, może zwiększyć bezpieczeństwo.

3.3. Szyfrowanie

Szyfrowanie PPTP gwarantuje, że nikt nie będzie miał dostępu do Twoich danych przesyłanych przez Internet. Obecnie obsługiwane są dwie metody szyfrowania:

  • Szyfrowanie MPPE lub Microsoft Point-to-Point jest kompatybilne tylko z MSCHAP (wersje 1 i 2);
  • EAP-TLS może automatycznie wybrać długość klucza szyfrowania podczas negocjowania parametrów między klientem a serwerem.

MPPE obsługuje klucze o długości 40, 56 lub 128 bitów. Stary system operacyjny System Windows obsługuje tylko szyfrowanie o długości klucza 40 bitów, więc mieszane Środowisko Windowsa należy wybrać minimalną długość klucza.

PPTP zmienia wartość klucza szyfrowania po odebraniu każdego pakietu. Protokół MMPE został zaprojektowany z myślą o łączach komunikacyjnych typu punkt-punkt, w których pakiety przesyłane są sekwencyjnie i straty danych są bardzo małe. W tej sytuacji wartość klucza dla kolejnego pakietu zależy od wyników deszyfrowania poprzedniego pakietu. Podczas budowania sieci wirtualnych za pośrednictwem sieci dostęp publiczny warunki te nie mogą zostać spełnione, ponieważ pakiety danych często docierają do odbiorcy w innej kolejności niż zostały wysłane. Dlatego protokół PPTP wykorzystuje numery sekwencji pakietów do zmiany klucza szyfrowania. Umożliwia to wykonanie deszyfrowania niezależnie od wcześniej odebranych pakietów.

Obydwa protokoły są zaimplementowane jak w Microsoft Windows, a poza nim (na przykład w BSD) algorytmy działania VPN mogą się znacznie różnić.

Zatem kombinacja „tunelowanie + uwierzytelnianie + szyfrowanie” umożliwia przesyłanie danych między dwoma punktami za pośrednictwem sieci publicznej, symulując działanie sieci prywatnej (lokalnej). Innymi słowy, rozważane narzędzia pozwalają na zbudowanie wirtualnej sieci prywatnej.

Dodatkowym przyjemnym efektem połączenia VPN jest możliwość (a nawet konieczność) wykorzystania systemu adresowania przyjętego w sieci lokalnej.

Implementacja wirtualnej sieci prywatnej w praktyce wygląda następująco: W lokalnym śieć komputerowa W biurze firmy zainstalowany jest serwer VPN. Zdalny użytkownik (lub router w przypadku połączenia dwóch biur) korzystający z oprogramowania klienckiego VPN inicjuje procedurę połączenia z serwerem. Następuje uwierzytelnienie użytkownika – pierwsza faza nawiązania połączenia VPN. Jeżeli uprawnienie zostanie potwierdzone, rozpoczyna się druga faza - pomiędzy klientem a serwerem uzgadniane są szczegóły zapewnienia bezpieczeństwa połączenia. Następnie organizowane jest połączenie VPN, zapewniające wymianę informacji pomiędzy klientem a serwerem w postaci, gdy każdy pakiet danych przechodzi procedury szyfrowania/deszyfrowania i sprawdzania integralności – uwierzytelnianie danych.

Głównym problemem sieci VPN jest brak ustalonych standardów uwierzytelniania i wymiany szyfrowanych informacji. Standardy te są wciąż w fazie rozwoju i dlatego produkty różnych producentów nie mogą nawiązywać połączeń VPN i automatycznie wymieniać kluczy. Ten problem pociąga za sobą spowolnienie rozprzestrzeniania się VPN, gdyż trudno jest zmusić różne firmy do korzystania z produktów jednego producenta, dlatego też proces łączenia sieci firm partnerskich w tzw. sieci ekstranetowe jest utrudniony.

Zaletami technologii VPN jest to, że zdalny dostęp organizowany jest nie przez linię telefoniczną, ale przez Internet, który jest znacznie tańszy i lepszy. Wadą technologii VPN jest to, że narzędzia do tworzenia VPN nie są pełnoprawnymi środkami wykrywania i blokowania ataków. Mogą zapobiec wielu nieautoryzowanym działaniom, ale nie wszystkim możliwościom, które można wykorzystać do penetracji sieci korporacyjnej. Ale mimo to technologia VPN ma perspektywy dalszego rozwoju.

Czego możemy się spodziewać w przyszłości w zakresie rozwoju technologii VPN? Bez wątpienia zostanie opracowany i zatwierdzony jednolity standard budowy takich sieci. Najprawdopodobniej podstawą tego standardu będzie sprawdzony już protokół IPSec. Następnie producenci skupią się na poprawie wydajności swoich produktów i stworzeniu przyjaznych dla użytkownika narzędzi do zarządzania VPN. Najprawdopodobniej rozwój narzędzi do tworzenia VPN będzie szedł w kierunku sieci VPN opartych na routerach ta decyzjałączy w sobie dość wysoką wydajność, integrację VPN i routingu w jednym urządzeniu. Jednak rozwijane będą również niskokosztowe rozwiązania dla małych organizacji. Podsumowując, trzeba stwierdzić, że pomimo tego, że technologia VPN jest jeszcze bardzo młoda, ma przed sobą wielką przyszłość.

Zostaw swój komentarz!

Jak stworzyć jedną sieć prywatną dla wszystkich pracowników mobilnych i oddziałów zdalnych

Co to jest VPN?

Załóżmy, że mamy dwa biura w różnych częściach miasta, w różnych miastach lub krajach i każde z nich jest podłączone do Internetu. Aby obsługiwać, powiedzmy, 1C jako pojedynczy system korporacyjny, musimy zintegrować je w jedną sieć lokalną. (Pomimo tego, że oferujemy rozwiązania dla 1C w postaci rozproszonych baz danych. Czasami łatwiej jest stworzyć jedną sieć i połączyć się bezpośrednio do serwera 1C tak jakby serwer znajdował się w Twojej siedzibie)

Można oczywiście wykupić linię prywatną pomiędzy dwoma miastami, jednak takie rozwiązanie najprawdopodobniej będzie niezwykle kosztowne.
Rozwiązanie wykorzystujące wirtualną sieć prywatną (VPN - Virtual Private Network) zaprasza nas do zorganizowania tej dedykowanej linii poprzez utworzenie szyfrowanego tunelu przez Internet.Główną zaletą VPN w stosunku do dedykowanych linii komunikacyjnych jest oszczędność pieniędzy firmy przy całkowitym Zamknięte.
Z punktu widzenia konsumenta VPN to technologia, która pozwala organizować zdalny bezpieczny dostęp za pośrednictwem otwarte kanały Internet do serwerów, baz danych, dowolnych zasobów sieci firmowej. Załóżmy, że księgowy w mieście A może z łatwością wydrukować fakturę na drukarce sekretarki w mieście B, do której przyszedł klient. Pracownicy zdalniłącząc się poprzez VPN ze swoich laptopów, będą mogli także pracować w sieci tak, jakby znajdowali się w fizycznej sieci swoich biur.

Bardzo często klienci spotykają się z *hamulcami* kasy fiskalne Korzystając z Pulpitu zdalnego, pojawia się potrzeba zainstalowania VPN. Pozwoli to pozbyć się przesyłania danych do kasy tam i z powrotem na serwer poprzez wirtualny COM przez Internet oraz umożliwi instalację cienki klient w dowolnym punkcie komunikującym się bezpośrednio z kasą, przesyłając do serwera jedynie niezbędne informacje kanałem zamkniętym. Natomiast nadawanie interfejsu RDP bezpośrednio do Internetu naraża Twoją firmę na bardzo duże ryzyko.

Metody połączenia

Metody organizacji VPN są najbardziej odpowiednie do wyróżnienia następujących 2 głównych metod:

  • (Klient - Sieć ) Zdalny dostęp poszczególnych pracowników do sieci korporacyjnej organizacji poprzez modem lub sieć publiczną.
  • (Sieć - Sieć) Połączenie dwóch lub więcej biur w jedną bezpieczną sieć wirtualną za pośrednictwem Internetu

Większość instrukcji, szczególnie dla Windows, opisuje połączenie według pierwszego schematu. Jednocześnie musisz to zrozumieć to połączenie nie jest tunelem, a jedynie umożliwia połączenie z siecią VPN.Do zorganizowania tych tuneli potrzebujemy tylko 1 białego adresu IP, a nie liczby zdalnych biur, jak wiele osób błędnie sądzi.

Rysunek przedstawia obie opcje połączenia z biurem głównym A.

Utworzono kanał pomiędzy biurami A i B, aby zapewnić integrację biur w jedną sieć. Zapewnia to przejrzystość obu biur dla wszelkich urządzeń znajdujących się w jednym z nich, co rozwiązuje wiele problemów. Na przykład zorganizowanie jednego numeru w ramach jednej centrali z telefonami IP.

Wszystkie usługi biura A są dostępne dla klientów mobilnych, a jeśli biuro B znajduje się w jednej sieci wirtualnej, jego usługi są również dostępne.

W tym przypadku sposób łączenia klientów mobilnych jest zwykle realizowany poprzez protokół PPTP (Point-to-Point Tunneling Protocol) protokół tunelowania punkt-punkt, a drugi IPsec lub OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) to protokół tunelowy typu punkt-punkt, pomysł firmy Microsoft, będący rozszerzeniem protokołu PPP (Point-to-Point Protocol), dlatego wykorzystujący jego uwierzytelnianie, kompresję i mechanizmy szyfrujące. Protokół PPTP jest wbudowany w pilota Dostęp do systemu Windows XP. Przy standardowym wyborze tego protokołu Microsoft sugeruje użycie metody szyfrowania MPPE (Microsoft Point-to-Point Encryption). Możesz przesyłać dane bez szyfrowania w postaci zwykłego tekstu. Hermetyzacja danych przy użyciu protokołu PPTP następuje poprzez dodanie nagłówka GRE (Generic Routing Encapsulation) i nagłówka IP do danych przetwarzanych przez protokół PPP.

Ze względu na istotne względy bezpieczeństwa nie ma powodu, aby wybierać PPTP zamiast innych protokołów, chyba że urządzenie jest niezgodne z innymi protokołami VPN. Jeśli Twoje urządzenie obsługuje L2TP/IPsec lub OpenVPN, lepiej wybrać jeden z tych protokołów.

Warto zaznaczyć, że niemal wszystkie urządzenia, także mobilne, posiadają wbudowanego w system operacyjny klienta (Windows, iOS, Android), który umożliwia błyskawiczne nawiązanie połączenia.

L2TP

(Layer Two Tunneling Protocol) to bardziej zaawansowany protokół, powstały z połączenia protokołów PPTP (firmy Microsoft) i L2F (firmy Cisco), zawierający wszystko, co najlepsze z tych dwóch protokołów. Zapewnia bezpieczniejsze połączenie niż pierwsza opcja; szyfrowanie odbywa się przy użyciu protokołu IPSec (bezpieczeństwo IP). Co więcej, protokół L2TP jest również wbudowany w klienta zdalnego dostępu w systemie Windows XP automatyczne wykrywanie rodzaju połączenia, klient najpierw próbuje połączyć się z serwerem przy użyciu tego protokołu, ponieważ jest to bardziej preferowane pod względem bezpieczeństwa.

Jednocześnie protokół IPsec ma taki problem, jak koordynacja niezbędnych parametrów.Biorąc pod uwagę, że wielu producentów ustawia swoje parametry domyślnie bez możliwości konfiguracji, sprzęt korzystający z tego protokołu będzie niekompatybilny.

Otwórz VPN

Zaawansowane rozwiązanie open VPN stworzone przez technologie OpenVPN, które obecnie jest de facto standardem w technologiach VPN. Rozwiązanie wykorzystuje protokoły szyfrowania SSL/TLS. OpenVPN korzysta z biblioteki OpenSSL w celu zapewnienia szyfrowania. OpenSSL obsługuje dużą liczbę różnych algorytmów kryptograficznych, takich jak 3DES, AES, RC5, Blowfish. Podobnie jak w przypadku protokołu IPSec, CheapVPN zapewnia wyjątkowo wysoki poziom szyfrowania – algorytm AES z 256-bitowym kluczem.
OpenVPN to jedyne rozwiązanie, które pozwala ominąć tych dostawców, którzy obcinają lub pobierają opłaty za otwieranie dodatkowych protokołów innych niż WEB. Umożliwia to organizowanie kanałów, które w zasadzie niemożliwe do wyśledzenia I mamy takie rozwiązania

Teraz masz pojęcie o tym, czym jest VPN i jak działa. Jeśli jesteś menadżerem, zastanów się, może to jest dokładnie to, czego szukałeś

Przykład ustawienia serwera OpenVPN na platformie pfSense

Tworzenie serwera

  • Interfejs: BLADY(interfejs sieciowy serwera podłączony do Internetu)
  • Protokół: UDP
  • Port lokalny: 1194
  • Opis: pfSenseOVPN(dowolna dogodna nazwa)
  • Sieć tuneli: 10.0.1.0/24
  • Brama przekierowania: Włączyć coś(Wyłącz tę opcję, jeśli nie chcesz, aby cały ruch internetowy klienta był przekierowywany przez serwer VPN.)
  • Lokalna sieć: Zostaw puste(Jeśli chcesz, aby sieć lokalna za serwerem pfSense była dostępna dla zdalnych klientów VPN, określ tutaj przestrzeń adresową tej sieci. Powiedzmy 192.168.1.0/24)
  • Równoczesne połączenia: 2 (Jeśli kupiłeś dodatkowa licencja Serwer dostępu zdalnego OpenVPN, wprowadź liczbę odpowiadającą liczbie zakupionych licencji)
  • Komunikacja między klientami: Włączyć coś(Jeśli nie chcesz, aby klienci VPN się widzieli, wyłącz tę opcję)
  • Serwer DNS 1 (2 itd.): określ serwery DNS hosta pfSense.(ich adresy znajdziesz w dziale System > Konfiguracja ogólna > Serwery DNS)

Następnie tworzymy klientów i dla uproszczenia procedur konfiguracji programów klienckich pfSense udostępnia dodatkowe narzędzie - „Narzędzie do eksportu klienta OpenVPN”. To narzędzie automatycznie przygotowuje pakiety instalacyjne i pliki dla klientów, unikając ustawienia ręczne Klient OpenVPN.

Połączenia VPN pomiędzy biurami spełniają takie wymogi bezpieczeństwa biznesowego jak:

  • Możliwość scentralizowanego dostępu do informacji z urzędów, a także z centrali
  • Ujednolicona korporacja System informacyjny
  • Korporacyjne bazy danych z jednym punktem wejścia
  • Zbiorowy E-mail z jednym punktem wejścia
  • Poufność informacji przekazywanych pomiędzy urzędami

Jeśli masz trudności z konfiguracją lub nie zdecydowałeś się jeszcze na technologię VPN, zadzwoń do nas!

Podziel się z przyjaciółmi:
Powiązane publikacje