IN pastaruoju metu Telekomunikacijų pasaulyje didėja susidomėjimas virtualūs privatūs tinklai(Virtualus privatus tinklas – VPN). Taip yra dėl to, kad reikia sumažinti įmonių tinklų priežiūros išlaidas, naudojant pigesnius ryšius su nuotoliniais biurais ir nuotoliniai vartotojai per internetą. Iš tiesų, lyginant kelių tinklų sujungimo internetu kainas, pavyzdžiui, su Frame Relay tinklais, galite pastebėti didelį kainų skirtumą. Tačiau pažymėtina, kad jungiantis tinklus internetu iš karto iškyla duomenų perdavimo saugumo klausimas, todėl iškilo būtinybė sukurti mechanizmus, užtikrinančius perduodamos informacijos konfidencialumą ir vientisumą. Tokių mechanizmų pagrindu sukurti tinklai vadinami VPN.

Be to, labai dažnai šiuolaikiniam žmogui, plėtojančiam savo verslą, tenka daug keliauti. Tai galėtų būti kelionės į atokius mūsų šalies kampelius ar į svečias šalis. Dažnai žmonėms reikia prieigos prie savo namų ar įmonės kompiuteryje saugomos informacijos. Šią problemą galima išspręsti organizuojant nuotolinę prieigą prie jos naudojant modemą ir telefono liniją. Telefono linijos naudojimas turi savo ypatybes. Šio sprendimo trūkumai yra tai, kad skambinti iš kitos šalies kainuoja daug pinigų. Yra dar vienas sprendimas, vadinamas VPN. VPN technologijos privalumai yra tai, kad nuotolinė prieiga organizuojama ne telefono linija, o internetu, kuris yra daug pigesnis ir geresnis. Mano nuomone, technologija

VPN gali išplisti visame pasaulyje.

1. Sąvoka ir klasifikacija VPN tinklai, jų konstravimas

1.1 Kas yra VPN

VPN(anglų kalba) VirtualusPrivatusTinklas– virtualus privatus tinklas) yra loginis tinklas, sukurtas ant kito tinklo, pvz., interneto. Nepaisant to, kad ryšiai vyksta viešaisiais tinklais naudojant nesaugius protokolus, šifruojant sukuriami informacijos mainų kanalai, kurie yra uždaryti nuo pašalinių asmenų. VPN leidžia sujungti, pavyzdžiui, kelis organizacijos biurus į vieną tinklą, naudojant nekontroliuojamus jų tarpusavio ryšio kanalus.

Iš esmės VPN turi daug tų pačių savybių kaip ir skirtoji linija, tačiau jis yra įdiegtas per viešąjį tinklą, pvz., internetą. Naudojant tuneliavimo techniką, duomenų paketai perduodami per viešasis tinklas kaip ir įprastas tiesioginis ryšys. Tarp kiekvienos duomenų siuntėjo-gavėjo poros sukuriamas tam tikras tunelis – saugus loginis ryšys, leidžiantis vieno protokolo duomenis supakuoti į kito protokolo paketus. Pagrindiniai tunelio komponentai yra šie:

· iniciatorius

· nukreiptas tinklas;

· tunelinis jungiklis;

· vienas ar daugiau tunelio galų.

Pats VPN veikimo principas neprieštarauja pagrindinėms tinklo technologijoms ir protokolams. Pavyzdžiui, užmezgant nuotolinės prieigos ryšį, klientas į serverį siunčia standartinių PPP protokolų paketų srautą. Organizuojant virtualias skirtąsias linijas tarp vietinių tinklų, jų maršrutizatoriai taip pat keičiasi PPP paketais. Tačiau iš esmės naujas aspektas yra paketų persiuntimas saugiu tuneliu, organizuotu viešajame tinkle.

Tuneliavimas leidžia organizuoti tų pačių paketų perdavimą

protokolą loginėje aplinkoje naudojant kitą protokolą. Dėl to atsiranda galimybė išspręsti kelių skirtingų tipų tinklų sąveikos problemas, pradedant būtinybe užtikrinti perduodamų duomenų vientisumą ir konfidencialumą ir baigiant išorinių protokolų ar adresų schemų neatitikimų įveikimu.

Korporacijos esama tinklo infrastruktūra gali būti paruošta naudoti VPN naudojant programinę įrangą arba aparatūra. Virtualaus privataus tinklo nustatymas gali būti lyginamas su kabelio tiesimu pasauliniu tinklu. Paprastai tiesioginis ryšys tarp nuotolinio vartotojo ir tunelio galinio įrenginio užmezgamas naudojant PPP protokolą.

Dažniausias VPN tunelių kūrimo būdas yra tinklo protokolų (IP, IPX, AppleTalk ir kt.) įterpimas į PPP ir gautų paketų įterpimas į tuneliavimo protokolą. Dažniausiai pastarasis yra IP arba (daug rečiau) ATM ir Frame Relay. Šis metodas vadinamas antrojo lygio tuneliu, nes „keleivis“ čia yra antrojo lygio protokolas.

Alternatyvus būdas yra paketų inkapsuliavimas. tinklo protokolas tiesiai į tuneliavimo protokolą (pvz., VTP) vadinamas 3 sluoksnio tuneliu.

Nesvarbu, kokie protokolai naudojami ar kokiais tikslais

kurių siekiama organizuojant tunelį, pagrindinė technika išlieka

praktiškai nepakito. Paprastai vienas protokolas naudojamas ryšiui su nuotoliniu mazgu užmegzti, o kitas naudojamas duomenims ir paslaugų informacijai įterpti, kad būtų galima perduoti per tunelį.

1.2 VPN tinklų klasifikacija

VPN sprendimus galima klasifikuoti pagal kelis pagrindinius parametrus:

1. Pagal naudojamos aplinkos tipą:

· ApsaugotasVPNtinklus. Labiausiai paplitusi privačių privačių tinklų versija. Jos pagalba galima sukurti patikimą ir saugų potinklį, pagrįstą nepatikimu tinklu, dažniausiai internetu. Saugių VPN pavyzdžiai: IPSec, OpenVPN ir PPTP.

· PatikimasVPNtinklus. Jie naudojami tais atvejais, kai perdavimo terpė gali būti laikoma patikima ir tereikia išspręsti virtualaus potinklio sukūrimo didesniame tinkle problemą. Saugumo klausimai tampa nebeaktualūs. Tokių VPN sprendimų pavyzdžiai: MPLS ir L2TP. Teisingiau būtų sakyti, kad šie protokolai saugumo užtikrinimo užduotį perkelia kitiems, pavyzdžiui, L2TP, kaip taisyklė, naudojamas kartu su IPSec.

2. Pagal įgyvendinimo būdą:

· VPNtinklai specialios programinės ir techninės įrangos pavidalu. VPN tinklo diegimas atliekamas naudojant specialų programinės ir techninės įrangos rinkinį. Šis įgyvendinimas užtikrina aukštą našumą ir, kaip taisyklė, aukštą saugumo lygį.

· VPNtinklus programinės įrangos sprendimo forma. Naudokite asmeninis kompiuteris su specialia programine įranga, kuri užtikrina VPN funkcijas.

· VPNtinklai su integruotu sprendimu. VPN funkcionalumą teikia kompleksas, sprendžiantis ir filtravimo problemas tinklo srautą, organizuoti užkardą ir užtikrinti paslaugų kokybę.

3. Pagal paskirtį:

· Intraneto VPN. Jie naudojami kelių paskirstytų vienos organizacijos šakų sujungimui į vieną saugų tinklą, keičiantis duomenimis atvirais ryšio kanalais.

· Nuotolinės prieigos VPN. Naudojamas sukurti saugų kanalą tarp įmonės tinklo segmento (centrinio biuro ar filialo) ir vieno vartotojo, kuris, dirbdamas namuose, prisijungia prie įmonės išteklių su namų kompiuteris arba komandiruotės metu prisijungia prie įmonės išteklių, naudodamas nešiojamąjį kompiuterį.

· Ekstraneto VPN. Naudojamas tinklams, prie kurių jungiasi „išoriniai“ vartotojai (pavyzdžiui, klientai ar klientai). Pasitikėjimo jais lygis yra daug žemesnis nei įmonės darbuotojais, todėl būtina numatyti specialias apsaugos „linijas“, kurios užkerta kelią arba apriboja pastarųjų prieigą prie ypač vertingos, konfidencialios informacijos.

4. Pagal protokolo tipą:

Yra virtualių privačių tinklų diegimas TCP/IP, IPX Ir AppleTalk. Tačiau šiandien pastebima visuotinio perėjimo prie protokolo tendencija TCP/IP, ir didžioji dauguma VPN sprendimų jį palaiko.

5. Pagal tinklo protokolo lygį:

Pagal tinklo protokolo sluoksnį, pagrįstą palyginimu su ISO/OSI etaloninio tinklo modelio sluoksniais.

1.3. VPN kūrimas

Yra įvairių variantų kurti VPN. Renkantis sprendimą, turite atsižvelgti į VPN įrankio našumo veiksnius. Pavyzdžiui, jei maršrutizatorius jau veikia neviršydamas procesoriaus galios, tada pridedant VPN tunelius ir pritaikius informacijos šifravimą / iššifravimą, visas tinklas gali būti sustabdytas dėl to, kad maršrutizatorius negalės susidoroti su paprastu srautu. jau nekalbant apie VPN. Patirtis rodo, kad VPN kūrimui geriausia naudoti specializuotą įrangą, tačiau jei yra lėšų apribojimų, galite atkreipti dėmesį į grynai programinį sprendimą. Pažvelkime į kai kurias VPN kūrimo parinktis.

· Užkarda pagrįstas VPN

Dauguma ugniasienės pardavėjų palaiko tuneliavimą ir duomenų šifravimą. Visi tokie produktai yra pagrįsti tuo, kad srautas, einantis per užkardą, yra užšifruotas. Šifravimo modulis pridedamas prie pačios ugniasienės programinės įrangos. Šio metodo trūkumas yra tas, kad našumas priklauso nuo aparatinės įrangos, kurioje veikia ugniasienė. Naudodami asmeninio kompiuterio užkardas, turite atsiminti, kad toks sprendimas gali būti naudojamas tik mažiems tinklams, kuriuose yra nedidelis perduodamos informacijos kiekis.

Užkarda pagrįsto VPN pavyzdys yra „Check Point Software Technologies“ ugniasienė-1. „FairWall-1“ naudoja standartinį „IPSec“ metodą, kad sukurtų VPN. Į ugniasienę patenkantis srautas iššifruojamas ir taikomos standartinės prieigos kontrolės taisyklės. „FireWall-1“ veikia „Solaris“ ir „Windows NT 4.0“ operacinėse sistemose.

· Maršrutizatoriaus pagrindu sukurtas VPN

Kitas būdas sukurti VPN yra naudoti maršrutizatorius saugiems kanalams kurti. Kadangi visa informacija gaunama iš vietinis tinklas, praeina per maršrutizatorių, tada patartina šiam maršrutizatoriui priskirti šifravimo užduotis.

Kaip sukurti vieną privatų tinklą visiems mobiliems darbuotojams ir nutolusiems filialams

Kas yra VPN?

Tarkime, kad turime du biurus skirtingose ​​miesto vietose arba skirtinguose miestuose ar šalyse, ir kiekvienas iš jų yra prijungtas prie interneto. Norėdami, tarkime, 1C valdyti kaip vieną įmonės sistemą, turime juos integruoti į vieną vietinį tinklą. (Nepaisant to, kad mes siūlome sprendimus 1C paskirstytų duomenų bazių pavidalu. Kartais lengviau sukurti vieną tinklą ir prisijungti tiesiai į 1C serverį tarsi serveris yra jūsų patalpose)

Žinoma, galite nusipirkti asmeninę liniją tarp dviejų miestų, bet šį sprendimą greičiausiai tai bus labai brangu.
Sprendimas virtualiai privatus tinklas(VPN – virtualus privatus tinklas) siūlo mums organizuoti šią dedikuotą liniją sukuriant šifruotą tunelį per internetą Pagrindinis VPN pranašumas, palyginti su dedikuotomis ryšio linijomis, yra įmonės pinigų taupymas, kol kanalas yra visiškai uždarytas.
Vartotojo požiūriu, VPN yra technologija, su kuria galite organizuoti nuotolinę saugią prieigą per atvirus interneto kanalus prie serverių, duomenų bazių ir bet kokių įmonės tinklo išteklių. Tarkime, buhalteris mieste A gali nesunkiai atspausdinti sąskaitą faktūrą B mieste esančio sekretoriaus, pas kurį klientas atvyko, spausdintuvu. Nuotoliniai darbuotojai, prisijungiantys per VPN iš savo nešiojamųjų kompiuterių, taip pat galės dirbti tinkle taip, lyg būtų fiziniame savo biurų tinkle.

Labai dažnai klientai, susidūrę su kasos aparatų *stabdžiais* naudodami nuotolinį darbalaukį, susiduria su būtinybe įdiegti VPN. Tai leis atsikratyti kasos aparato duomenų siuntimo pirmyn ir atgal į serverį per virtualų COM internetu ir leis įdiegti plonąjį klientą bet kuriame taške, kuris tiesiogiai bendrauja su kasos aparatu, siunčiant tik reikiamus duomenis. informaciją į serverį per uždarą kanalą. O transliuojant KPP sąsają tiesiai į internetą, jūsų įmonei kyla labai didelė rizika.

Prisijungimo būdai

VPN organizavimo metodai yra tinkamiausi norint pabrėžti šiuos 2 pagrindinius metodus:

• (Klientas – tinklas ) Atskirų darbuotojų nuotolinė prieiga prie organizacijos įmonės tinklo per modemą arba viešąjį tinklą.
• (Tinklas – tinklas) Dviejų ar daugiau biurų sujungimas į vieną saugų virtualų tinklą internetu

Daugumoje vadovų, ypač skirtų „Windows“, jungtis aprašoma pagal pirmąją schemą. Tuo pačiu metu jūs turite tai suprasti šis ryšys nėra tunelis, o tik leidžia prisijungti prie VPN tinklo Norint sutvarkyti šiuos tunelius, mums reikia tik 1 balto IP, o ne pagal nutolusių biurų skaičių, kaip daugelis klaidingai mano.

Paveikslėlyje parodytos abi galimybės prisijungti prie pagrindinio biuro A.

Tarp biurų A ir B sukurtas kanalas, užtikrinantis biurų integraciją į vieną tinklą. Tai užtikrina abiejų biurų skaidrumą bet kokiems viename iš jų esantiems įrenginiams, o tai išsprendžia daugybę problemų. Pavyzdžiui, vieno numerio talpos organizavimas viename PBX su IP telefonais.

Visos A biuro paslaugos yra prieinamos mobiliesiems klientams, o jei biuras B yra viename virtualiame tinkle, galimos ir jo paslaugos.

Šiuo atveju mobiliųjų klientų prijungimo būdas dažniausiai įgyvendinamas naudojant PPTP protokolą (Point-to-Point Tunneling Protocol) Taškas į tašką tuneliavimo protokolą, o antrasis IPsec arba OpenVPN

PPTP

(„Point-to-Point Tunneling Protocol“ bumagin-lohg) yra „Microsoft“ sukurtas tunelio protokolas iš taško į tašką ir yra PPP (taškas į tašką protokolo) plėtinys, todėl naudojant jo autentifikavimą, glaudinimą ir šifravimo mechanizmai. PPTP protokolas yra integruotas nuotolinio valdymo pulte „Windows“ prieiga XP. Standartiškai pasirinkus šį protokolą, Microsoft siūlo naudoti MPPE (Microsoft Point-to-Point Encryption) šifravimo metodą. Galite perkelti duomenis be šifravimo aiškiu tekstu. Duomenų inkapsuliavimas naudojant PPTP protokolą įvyksta pridedant GRE (Generic Routing Encapsulation) antraštę ir IP antraštę prie duomenų, apdorojamų PPP protokolu.

Dėl didelių saugumo problemų nėra jokios priežasties rinktis PPTP, o ne kitus protokolus, išskyrus įrenginio nesuderinamumą su kitais VPN protokolais. Jei jūsų įrenginys palaiko L2TP/IPsec arba OpenVPN, tuomet geriau pasirinkti vieną iš šių protokolų.

Pažymėtina, kad beveik visuose įrenginiuose, taip pat ir mobiliuosiuose, OS (Windows, iOS, Android) yra įmontuotas klientas, leidžiantis akimirksniu užmegzti ryšį.

L2TP

(Layer Two Tunneling Protocol) yra pažangesnis protokolas, sukurtas iš PPTP (iš Microsoft) ir L2F (iš Cisco) protokolų, apimantis visus geriausius iš šių dviejų protokolų. Užtikrina saugesnį ryšį nei pirmoji parinktis šifruojama naudojant IPSec protokolą (IP sauga). L2TP taip pat yra integruotas į Windows XP nuotolinės prieigos klientą, be to, kai automatinis aptikimas ryšio tipą, klientas pirmiausia bando prisijungti prie serverio naudodamas šį protokolą, nes tai labiau pageidautina saugumo požiūriu.

Tuo pačiu metu IPsec protokolas turi tokią problemą kaip būtinų parametrų derinimas Atsižvelgiant į tai, kad daugelis gamintojų nustato savo parametrus pagal numatytuosius nustatymus be galimybės konfigūruoti, aparatinė įranga, naudojanti šį protokolą, bus nesuderinama.

OpenVPN

Pažangus atviro VPN sprendimas, sukurtas naudojant OpenVPN technologijas, kuris dabar yra de facto VPN technologijų standartas. Sprendimas naudoja SSL/TLS šifravimo protokolus. „OpenVPN“ naudoja „OpenSSL“ biblioteką šifravimui užtikrinti. OpenSSL palaiko didelis skaičiusįvairūs kriptografiniai algoritmai, tokie kaip 3DES, AES, RC5, Blowfish. Kaip ir IPSec, CheapVPN apima itin aukštą šifravimo lygį – AES algoritmą su 256 bitų raktu.
OpenVPN yra vienintelis sprendimas, leidžiantis apeiti tuos teikėjus, kurie sumažina arba ima mokesčius už papildomų protokolų, išskyrus WEB, atidarymą. Tai leidžia organizuoti kanalus, kurie iš esmės neįmanoma susekti Ir turime tokių sprendimų

Dabar jūs žinote, kas yra VPN ir kaip jis veikia. Jei esate vadybininkas, pagalvokite, galbūt kaip tik to ir ieškojote

OpenVPN serverio nustatymo pfSense platformoje pavyzdys

Serverio kūrimas

• Sąsaja: WAN(serverio tinklo sąsaja prijungta prie interneto)
• Protokolas: UDP
• Vietinis uostas: 1194
• Aprašymas: pfSenseOVPN(bet koks patogus pavadinimas)
• Tunelio tinklas: 10.0.1.0/24
• Peradresavimo šliuzas: Įjungti(Išjunkite šią parinktį, jei nenorite, kad visas kliento interneto srautas būtų peradresuojamas per VPN serverį.)
• Vietinis tinklas: Palikite tuščią(Jei norite, kad už pfSense serverio esantis vietinis tinklas būtų pasiekiamas nuotoliniams VPN klientams, čia nurodykite to tinklo adresų erdvę. Tarkime, 192.168.1.0/24)
• Lygiagreti jungtys: 2 (Jei įsigijote papildomą OpenVPN nuotolinės prieigos serverio licenciją, įveskite numerį, atitinkantį įsigytų licencijų skaičių)
• Bendravimas tarp klientų: Įjungti(Jei nenorite, kad VPN klientai matytų vienas kitą, išjunkite šią parinktį)
• DNS serveris 1 (2 ir kt.): nurodykite pfSense pagrindinio kompiuterio DNS serverius.(jų adresus galite sužinoti skiltyje Sistema > Bendroji sąranka > DNS serveriai)

Toliau sukuriame klientus ir, norėdami supaprastinti kliento programų konfigūravimo procedūras, siūlo pfSense papildoma priemonė – „OpenVPN Client Export Utility“. Šis įrankis automatiškai paruošia diegimo paketus ir failus klientams, vengdamas rankiniai nustatymai OpenVPN klientas.

VPN ryšiai tarp biurų apima tokius verslo saugumo reikalavimus, kaip:

• Galimybė centralizuotai gauti informaciją iš biurų, taip pat iš pagrindinio biuro
• Vieninga įmonė informacinė sistema
• Įmonių duomenų bazės su vienu įėjimo tašku
• Verslo el. paštas su vienu prisijungimu
• Tarp biurų perduodamos informacijos konfidencialumas

Jei kyla kokių nors sunkumų nustatant arba dar neapsisprendėte dėl VPN technologijos, skambinkite mums!

Kasmet elektroniniai ryšiai tobulėja, o informacijos mainams keliami vis aukštesni reikalavimai duomenų apdorojimo greičiui, saugumui ir kokybei.

Ir čia mes išsamiai apžvelgsime VPN ryšį: kas tai yra, kodėl reikalingas VPN tunelis ir kaip naudoti VPN ryšį.

Ši medžiaga yra savotiškas įvadinis žodis į straipsnių seriją, kurioje mes jums pasakysime, kaip sukurti VPN įvairiose operacinėse sistemose.

VPN ryšys kas tai yra?

Taigi, virtualus privatus tinklas vpn yra technologija, užtikrinanti saugų (uždarą nuo išorinės prieigos) loginio tinklo ryšį per privatų ar viešąjį tinklą, esant didelės spartos internetui.

Tai tinklo ryšį kompiuteriai (geografiškai nutolę vienas nuo kito dideliu atstumu) naudoja ryšį „taškas-taškas“ (kitaip tariant, „kompiuteris-kompiuteris“).

Moksliškai šis prisijungimo būdas vadinamas VPN tuneliu (arba tunelio protokolu). Galite prisijungti prie tokio tunelio, jei turite kompiuterį su bet kokia operacine sistema, kurioje yra integruotas VPN klientas, galintis „persiųsti“ virtualius prievadus naudodamas TCP/IP protokolą į kitą tinklą.

Kodėl jums reikia VPN?

Pagrindinis vpn pranašumas yra tas, kad derybininkams reikalinga ryšio platforma, kuri ne tik greitai keičiasi, bet ir (pirmiausia) užtikrina duomenų konfidencialumą, duomenų vientisumą ir autentifikavimą.

Diagramoje aiškiai parodytas VPN tinklų naudojimas.

Ryšių saugiu kanalu taisyklės pirmiausia turi būti parašytos serveryje ir maršrutizatoriuje.

Kaip veikia VPN

Kai prisijungiama per VPN, pranešimo antraštėje pateikiama informacija apie VPN serverio IP adresą ir nuotolinį maršrutą.

Inkapsuliuotų duomenų, perduodamų per bendrą ar viešąjį tinklą, negalima perimti, nes visa informacija yra užšifruota.

Scena VPN šifravimas yra įdiegtas siuntėjo pusėje, o gavėjo duomenys iššifruojami naudojant pranešimo antraštę (jei yra bendras šifravimo raktas).

Teisingai iššifravus pranešimą, tarp dviejų tinklų užmezgamas VPN ryšys, kuris taip pat leidžia dirbti viešajame tinkle (pavyzdžiui, keistis duomenimis su klientu 93.88.190.5).

Kalbant apie informacijos saugumas, tada internetas yra itin neapsaugotas tinklas, o VPN tinklas su OpenVPN, L2TP / IPSec, PPTP, PPPoE protokolais yra visiškai saugus ir saugiu būdu duomenų perdavimas.

Kodėl jums reikia VPN kanalo?

VPN tuneliavimas naudojamas:

Įmonės tinklo viduje;

Sujungti nuotolinius biurus, taip pat nedidelius filialus;

Skaitmeninės telefonijos paslaugoms su įvairiomis telekomunikacijų paslaugomis;

Prieiti prie išorinių IT išteklių;

Vaizdo konferencijoms kurti ir įgyvendinti.

Kodėl jums reikia VPN?

VPN ryšys reikalingas:

Anoniminis darbas internete;

Programų atsisiuntimas, kai IP adresas yra kitoje šalies regioninėje zonoje;

Saugus darbas įmonės aplinkoje naudojant komunikacijas;

Ryšio nustatymo paprastumas ir patogumas;

Nuostatos didelis greitis ryšiai be pertrūkių;

Sukurti saugų kanalą be įsilaužėlių atakų.

Kaip naudotis VPN?

Pavyzdžių, kaip veikia VPN, galima pateikti be galo. Taigi, bet kuriame įmonės tinkle esančiame kompiuteryje, kai sukuriate saugų VPN ryšį, galite naudoti paštą, norėdami patikrinti pranešimus, skelbti medžiagą iš bet kurios šalies vietos arba atsisiųsti failus iš torrent tinklų.

VPN: kas tai yra jūsų telefone?

Prieiga per VPN telefone („iPhone“ ar bet kuriame kitame „Android“ įrenginyje) leidžia išlaikyti anonimiškumą naudojantis internetu viešose vietose, taip pat išvengti eismo perėmimo ir įrenginių įsilaužimo.

Bet kurioje OS įdiegtas VPN klientas leidžia apeiti daugelį teikėjo nustatymų ir taisyklių (jei teikėjas nustatė kokius nors apribojimus).

Kurį VPN pasirinkti savo telefonui?

Mobilieji telefonai ir išmanieji telefonai, kuriuose veikia „Android“ OS, gali naudoti „Google Playmarket“ programas:

• - vpnRoot, droidVPN,
• - tor naršyklėje naršymo tinkluose, dar žinomas kaip orbot
• - InBrowser, orfox (firefox+tor),
• - SuperVPN nemokamas VPN klientas
• - „OpenVPN Connect“.
• - „TunnelBear“ VPN
• - Hideman VPN

Dauguma šių programų yra skirtos „karštosios“ sistemos sąrankos patogumui, paleidimo nuorodų išdėstymui, anoniminis naršymas Internetas, pasirenkant ryšio šifravimo tipą.

Tačiau pagrindinės VPN naudojimo telefone užduotys yra tikrinimas įmonės paštas, kuriant vaizdo konferencijas su keliais dalyviais, taip pat rengiant susitikimus už organizacijos ribų (pavyzdžiui, darbuotojui išvykus į komandiruotę).

Kas yra VPN „iPhone“?

Pažiūrėkime, kokį VPN pasirinkti ir kaip jį prijungti prie „iPhone“.

Priklausomai nuo palaikomo tinklo tipo, pirmą kartą paleidę VPN konfigūraciją savo iPhone, galite pasirinkti šiuos protokolus: L2TP, PPTP ir Cisco IPSec (be to, galite „užmegzti“ VPN ryšį naudodami trečiųjų šalių programas) .

Visi aukščiau išvardinti protokolai palaiko šifravimo raktus, atliekamas vartotojo identifikavimas naudojant slaptažodį ir sertifikavimas.

Papildomos funkcijos nustatant VPN profilį iPhone yra: RSA sauga, šifravimo lygis ir prisijungimo prie serverio prieigos teisės taisyklės.

Už iPhone telefonas Iš Appstore turėtumėte pasirinkti:

• - nemokama programa Tunnelbear, su kuriuo galite prisijungti prie VPN serverių bet kurioje šalyje.
• - „OpenVPN connect“ yra vienas geriausių VPN klientų. Čia, norėdami paleisti programą, pirmiausia turite importuoti RSA raktus per iTunes į savo telefoną.
• - „Cloak“ yra „shareware“ programa, nes kurį laiką gaminį galima „naudoti“ nemokamai, tačiau norėdami naudotis programa pasibaigus demonstraciniam laikotarpiui, turėsite ją nusipirkti.

VPN kūrimas: įrangos parinkimas ir konfigūravimas

Korporatyviniam bendravimui didelėse organizacijose ar asociacijose ištrintas draugas iš kitų biurų naudoja aparatinę įrangą, galinčią palaikyti nuolatinį, saugų darbą tinkle.

Norint įdiegti VPN technologijas, tinklo šliuzo vaidmuo gali būti: Unix serveriai, Windows serveris, tinklo maršruto parinktuvas ir tinklo šliuzas, kuriame įdiegtas VPN.

Serveris arba įrenginys, naudojamas kuriant VPN įmonės tinklą arba VPN kanalą tarp nuotolinių biurų, turi atlikti sudėtingas technines užduotis ir teikti visą paslaugų spektrą vartotojams tiek darbo vietose, tiek mobiliuosiuose įrenginiuose.

Bet koks maršrutizatorius arba VPN maršrutizatorius turi užtikrinti patikimą veikimą tinkle be užšalimo. O integruota VPN funkcija leidžia keisti tinklo konfigūraciją darbui namuose, organizacijoje ar nuotoliniame biure.

VPN nustatymas maršrutizatoriuje

IN bendras atvejis VPN konfigūracija maršrutizatoriuje atliekama naudojant maršrutizatoriaus žiniatinklio sąsają. „Klasikiniuose“ įrenginiuose, norėdami organizuoti VPN, turite eiti į skyrių „Nustatymai“ arba „Tinklo nustatymai“, kur pasirenkate VPN skyrių, nurodote protokolo tipą, įveskite potinklio adreso nustatymus, užmaskuokite ir nurodykite. vartotojų IP adresų diapazonas.

Be to, norėdami apsaugoti ryšį, turėsite nurodyti kodavimo algoritmus, autentifikavimo metodus, sugeneruoti sutarties raktus ir nurodyti DNS serveris LAIMĖS. „Gateway“ parametruose turite nurodyti šliuzo IP adresą (savo IP) ir užpildyti duomenis apie visus tinklo adapterius.

Jei tinkle yra keli maršrutizatoriai, turite užpildyti visų VPN tunelyje esančių įrenginių VPN maršruto parinkimo lentelę.

Štai aparatinės įrangos, naudojamos VPN tinklams kurti, sąrašas:

Dlink maršrutizatoriai: DIR-320, DIR-620, DSR-1000 su nauja programine įranga arba D-Link maršrutizatorius DI808HV.

Maršrutizatoriai Cisco PIX 501, Cisco 871-SEC-K9

Linksys Rv082 maršrutizatorius su maždaug 50 VPN tunelių palaikymu

Netgear maršrutizatorius DG834G ir maršrutizatorių modeliai FVS318G, FVS318N, FVS336G, SRX5308

Mikrotik maršrutizatorius su OpenVPN funkcija. RouterBoard RB/2011L-IN Mikrotik pavyzdys

VPN įranga RVPN S-Terra arba VPN Gate

ASUS maršrutizatorių modeliai RT-N66U, RT-N16 ir RT N-10

ZyXel maršrutizatoriai ZyWALL 5, ZyWALL P1, ZyWALL USG

Pastaruoju metu telekomunikacijų pasaulyje išaugo susidomėjimas virtualiais privačiais tinklais (VPN). Taip yra dėl poreikio sumažinti įmonių tinklų išlaikymo kaštus pigiau prijungiant nuotolinius biurus ir nutolusius vartotojus internetu. Iš tiesų, lyginant kelių tinklų sujungimo internetu kainas, pavyzdžiui, su Frame Relay tinklais, galite pastebėti didelį kainų skirtumą. Tačiau pažymėtina, kad jungiantis tinklus internetu iš karto iškyla duomenų perdavimo saugumo klausimas, todėl iškilo būtinybė sukurti mechanizmus, užtikrinančius perduodamos informacijos konfidencialumą ir vientisumą. Tokių mechanizmų pagrindu sukurti tinklai vadinami VPN.

Be to, labai dažnai šiuolaikiniam žmogui, plėtojančiam savo verslą, tenka daug keliauti. Tai galėtų būti kelionės į atokius mūsų šalies kampelius ar į svečias šalis. Dažnai žmonėms reikia prieigos prie savo namų ar įmonės kompiuteryje saugomos informacijos. Šią problemą galima išspręsti organizuojant nuotolinę prieigą prie jos naudojant modemą ir liniją. Telefono linijos naudojimas turi savo ypatybes. Šio sprendimo trūkumai yra tai, kad skambinti iš kitos šalies kainuoja daug pinigų. Yra dar vienas sprendimas, vadinamas VPN. VPN technologijos privalumai yra tai, kad nuotolinė prieiga organizuojama ne telefono linija, o internetu, kuris yra daug pigesnis ir geresnis. Mano nuomone, technologija. VPN gali išplisti visame pasaulyje.

1. VPN tinklų samprata ir klasifikacija, jų konstrukcija

1.1 Kas yra VPN

VPN(angl. Virtual Private Network – virtualus privatus tinklas) – loginis tinklas, sukurtas ant kito tinklo, pavyzdžiui, interneto. Nepaisant to, kad ryšiai vyksta viešaisiais tinklais naudojant nesaugius protokolus, šifruojant sukuriami informacijos mainų kanalai, kurie yra uždaryti nuo pašalinių asmenų. VPN leidžia sujungti, pavyzdžiui, kelis organizacijos biurus į vieną tinklą, naudojant nekontroliuojamus jų tarpusavio ryšio kanalus.

Iš esmės VPN turi daug skirtosios linijos savybių, tačiau, pavyzdžiui, jis yra įdiegtas viešajame tinkle. Naudojant tuneliavimo techniką, duomenų paketai transliuojami viešajame tinkle taip, lyg tai būtų įprastas ryšys tarp taško. Tarp kiekvienos duomenų siuntėjo-gavėjo poros sukuriamas tam tikras tunelis – saugus loginis ryšys, leidžiantis vieno protokolo duomenis supakuoti į kito protokolo paketus. Pagrindiniai tunelio komponentai yra šie:

• iniciatorius;
• nukreiptas tinklas;
• tunelio jungiklis;
• vienas ar daugiau tunelio galų.

Pats VPN veikimo principas neprieštarauja pagrindinėms tinklo technologijoms ir protokolams. Pavyzdžiui, užmezgant nuotolinės prieigos ryšį, klientas į serverį siunčia standartinių PPP protokolų paketų srautą. Organizuojant virtualias skirtąsias linijas tarp vietinių tinklų, jų maršrutizatoriai taip pat keičiasi PPP paketais. Tačiau iš esmės naujas aspektas yra paketų persiuntimas saugiu tuneliu, organizuotu viešajame tinkle.

Tuneliavimas leidžia organizuoti tų pačių paketų perdavimą protokolą loginėje aplinkoje naudojant kitą protokolą. Dėl to atsiranda galimybė išspręsti kelių skirtingų tipų tinklų sąveikos problemas, pradedant būtinybe užtikrinti perduodamų duomenų vientisumą ir konfidencialumą ir baigiant išorinių protokolų ar adresų schemų neatitikimų įveikimu.

Esama korporacijos tinklo infrastruktūra gali būti paruošta naudoti VPN naudojant programinę arba techninę įrangą. Virtualaus privataus tinklo nustatymas gali būti lyginamas su kabelio tiesimu pasauliniu tinklu. Paprastai tiesioginis ryšys tarp nuotolinio vartotojo ir tunelio galinio įrenginio užmezgamas naudojant PPP protokolą.

Dažniausias VPN tunelių kūrimo būdas yra tinklo protokolų (IP, IPX, AppleTalk ir kt.) įterpimas į PPP ir gautų paketų įterpimas į tuneliavimo protokolą. Dažniausiai pastarasis yra IP arba (daug rečiau) ATM ir Frame Relay. Šis metodas vadinamas antrojo lygio tuneliu, nes „keleivis“ čia yra antrojo lygio protokolas.

Alternatyvus būdas įtraukti tinklo protokolo paketus tiesiai į tuneliavimo protokolą (pvz., VTP), vadinamas 3 lygmens tuneliu.

Nesvarbu, kokie protokolai naudojami ar kokiais tikslais kurių siekiama organizuojant tunelį, pagrindinė technika išliekapraktiškai nepakito. Paprastai vienas protokolas naudojamas ryšiui su nuotoliniu mazgu užmegzti, o kitas naudojamas duomenims ir paslaugų informacijai įterpti, kad būtų galima perduoti per tunelį.

1.2 VPN tinklų klasifikacija

VPN sprendimus galima klasifikuoti pagal kelis pagrindinius parametrus:

1. Pagal naudojamos aplinkos tipą:

• Saugūs VPN tinklai. Labiausiai paplitusi privačių privačių tinklų versija. Jos pagalba galima sukurti patikimą ir saugų potinklį, pagrįstą nepatikimu tinklu, dažniausiai internetu. Saugių VPN pavyzdžiai: IPSec, OpenVPN ir PPTP.
• Patikimi VPN tinklai. Jie naudojami tais atvejais, kai perdavimo terpė gali būti laikoma patikima ir tereikia išspręsti virtualaus potinklio sukūrimo didesniame tinkle problemą. Saugumo klausimai tampa nebeaktualūs. Tokių VPN sprendimų pavyzdžiai: MPLS ir L2TP. Teisingiau būtų sakyti, kad šie protokolai saugumo užtikrinimo užduotį perkelia kitiems, pavyzdžiui, L2TP, kaip taisyklė, naudojamas kartu su IPSec.

2. Pagal įgyvendinimo būdą:

• VPN tinklai specialios programinės ir techninės įrangos pavidalu. VPN tinklo diegimas atliekamas naudojant specialų programinės ir techninės įrangos rinkinį. Šis įgyvendinimas užtikrina aukštą našumą ir, kaip taisyklė, aukštą saugumo lygį.
• VPN tinklai kaip programinės įrangos sprendimas. Jie naudoja asmeninį kompiuterį su specialia programine įranga, kuri užtikrina VPN funkcijas.
• VPN tinklai su integruotu sprendimu. VPN funkcionalumą teikia kompleksas, sprendžiantis ir tinklo srauto filtravimo, užkardos organizavimo bei paslaugų kokybės užtikrinimo problemas.

3. Pagal paskirtį:

• Intraneto VPN. Jie naudojami kelių paskirstytų vienos organizacijos šakų sujungimui į vieną saugų tinklą, keičiantis duomenimis atvirais ryšio kanalais.
• Nuotolinės prieigos VPN. Jie naudojami sukurti saugų kanalą tarp įmonės tinklo segmento (centrinio biuro ar filialo) ir vieno vartotojo, kuris, dirbdamas namuose, prisijungia prie įmonės išteklių iš namų kompiuterio arba komandiruotės metu prisijungia prie įmonės išteklių naudodamas nešiojamasis kompiuteris.
• Ekstraneto VPN. Naudojamas tinklams, prie kurių jungiasi „išoriniai“ vartotojai (pavyzdžiui, klientai ar klientai). Pasitikėjimo jais lygis yra daug žemesnis nei įmonės darbuotojais, todėl būtina numatyti specialias apsaugos „linijas“, kurios užkerta kelią arba apriboja pastarųjų prieigą prie ypač vertingos, konfidencialios informacijos.

4. Pagal protokolo tipą:

• Yra virtualių privačių tinklų diegimas TCP/IP, IPX ir AppleTalk. Tačiau šiandien yra tendencija bendrai pereiti prie TCP/IP protokolo, ir didžioji dauguma VPN sprendimų jį palaiko.

5. Pagal tinklo protokolo lygį:

• Pagal tinklo protokolo sluoksnį, pagrįstą palyginimu su ISO/OSI etaloninio tinklo modelio sluoksniais.

1.3. VPN kūrimas

Yra įvairių VPN kūrimo parinkčių. Renkantis sprendimą, turite atsižvelgti į VPN įrankio našumo veiksnius. Pavyzdžiui, jei maršruto parinktuvas jau veikia neviršydamas savo pajėgumo, tada VPN tunelių pridėjimas ir informacijos šifravimas / iššifravimas gali sustabdyti visą tinklą dėl to, kad šis maršrutizatorius negalės susidoroti su paprastu srautu, jau nekalbant apie VPN. Patirtis rodo, kad VPN kūrimui geriausia naudoti specializuotą įrangą, tačiau jei yra lėšų apribojimų, galite atkreipti dėmesį į grynai programinį sprendimą. Pažvelkime į kai kurias VPN kūrimo parinktis.

• VPN, pagrįstas ugniasienėmis. Dauguma ugniasienės pardavėjų palaiko tuneliavimą ir duomenų šifravimą. Visi tokie produktai yra pagrįsti tuo, kad srautas, einantis per užkardą, yra užšifruotas. Šifravimo modulis pridedamas prie pačios ugniasienės programinės įrangos. Šio metodo trūkumas yra tas, kad našumas priklauso nuo aparatinės įrangos, kurioje veikia ugniasienė. Naudodami asmeninio kompiuterio užkardas, turite atsiminti, kad toks sprendimas gali būti naudojamas tik mažiems tinklams, kuriuose yra nedidelis perduodamos informacijos kiekis.
• Maršrutizatoriaus pagrindu sukurtas VPN. Kitas būdas sukurti VPN yra naudoti maršrutizatorius saugiems kanalams kurti. Kadangi visa informacija, gaunama iš vietinio tinklo, pereina per maršrutizatorių, patartina šiam maršruto parinktuvui priskirti šifravimo užduotis.Įrangos, skirtos VPN kurti maršrutizatoriuose, pavyzdys yra „Cisco Systems“ įranga. Nuo versijos programinė įranga IOS 11.3, Cisco maršrutizatoriai palaiko L2TP ir IPSec protokolus. Be paprasto srauto šifravimo, Cisco palaiko ir kitas VPN funkcijas, tokias kaip autentifikavimas tunelinio ryšio metu ir raktų keitimas.Norint pagerinti maršrutizatoriaus veikimą, galima naudoti papildomą ESA šifravimo modulį. Be to, „Cisco System“ išleido specializuotą VPN įrenginį, kuris vadinamas „Cisco 1720 VPN Access Router“ (VPN prieigos maršrutizatorius), skirtą diegti mažose ir vidutinėse įmonėse, taip pat didelių organizacijų filialuose.
• Programinės įrangos pagrindu sukurtas VPN. Kitas VPN kūrimo būdas yra grynai programinės įrangos sprendimai. Diegiant tokį sprendimą naudojama specializuota programinė įranga, kuri veikia tam skirtame kompiuteryje ir dažniausiai veikia kaip tarpinis serveris. Kompiuteris, kuriame veikia ši programinė įranga, gali būti už ugniasienės.
• VPN, pagrįstas tinklo OS.Apžvelgsime sprendimus, pagrįstus tinklo OS, kaip pavyzdį naudodami Microsoft Windows OS. Norėdami sukurti VPN, Microsoft naudoja PPTP protokolą, kuris yra integruotas į Windows sistemą. Šis sprendimas labai patrauklus organizacijoms, naudojančioms Windows kaip įmonės operacinę sistemą. Pažymėtina, kad tokio sprendimo kaina yra žymiai mažesnė nei kitų sprendimų kaina. „Windows“ VPN naudoja vartotojų bazę, saugomą pirminiame domeno valdiklyje (PDC). Prisijungus prie PPTP serverio, vartotojas autentifikuojamas naudojant PAP, CHAP arba MS-CHAP protokolus. Perduoti paketai yra supakuoti į GRE/PPTP paketus. Norint užšifruoti paketus, naudojamas nestandartinis Microsoft Point-to-Point Encryption protokolas su 40 arba 128 bitų raktu, gautu užmezgant ryšį. Šios sistemos trūkumai yra duomenų vientisumo tikrinimo trūkumas ir nesugebėjimas pakeisti raktų prisijungimo metu. Teigiami aspektai yra paprastas integravimas su „Windows“ ir maža kaina.
• Aparatinės įrangos VPN. Galimybė sukurti VPN specialiuose įrenginiuose gali būti naudojama tinkluose, kuriems reikalingas didelis našumas. Tokio sprendimo pavyzdys yra „Radguard“ gaminys IPro-VPN. Šiame gaminyje naudojamas aparatinis perduodamos informacijos šifravimas, galintis perduoti 100 Mbit/s srautą. IPro-VPN palaiko IPSec protokolą ir ISAKMP/Oakley raktų valdymo mechanizmą. Be kita ko, šį įrenginį palaiko transliuojamą mediją tinklo adresus ir gali būti papildyta specialia plokšte, kuri prideda ugniasienės funkcionalumo

2. VPN protokolai

VPN tinklai kuriami naudojant protokolus, skirtus duomenims perduoti per ryšių tinklą viešajam naudojimui Internetas su tuneliavimo protokolais, užtikrinančiais duomenų šifravimą ir tiesioginį perdavimą tarp vartotojų. Paprastai šiandien VPN tinklams kurti naudojami šie protokolų lygiai:

• Duomenų nuorodos sluoksnis
• Tinklo sluoksnis
• Transporto sluoksnis.

2.1 Nuorodų sluoksnis

Duomenų ryšio lygmenyje gali būti naudojami L2TP ir PPTP duomenų tuneliavimo protokolai, kuriuose naudojamas autorizavimas ir autentifikavimas.

PPTP.

Šiuo metu labiausiai paplitęs VPN protokolas yra taško-taško tuneliavimo protokolas – PPTP. Jį sukūrė 3Com ir Microsoft, kad suteiktų saugią nuotolinę prieigą prie įmonių tinklų internetu. PPTP naudoja esamus atvirus TCP/IP standartus ir labai priklauso nuo senojo PPP taško-taško protokolo. Praktiškai PPP išlieka PPTP ryšio seanso ryšio protokolu. PPTP sukuria tunelį per tinklą į gavėjo NT serverį ir per jį perduoda PPP paketus iš nuotolinio vartotojo. Serveris ir darbo stotis naudoja virtualų privatų tinklą ir nekreipia dėmesio į tai, kaip saugus ar pasiekiamas pasaulinis tinklas tarp jų. Ryšio seanso pabaiga serverio iniciatyva, skirtingai nei specializuoti nuotolinės prieigos serveriai, leidžia vietinio tinklo administratoriams neleisti nuotoliniams vartotojams išeiti iš sistemos. Windows sauga Serveris.

Nors PPTP protokolo kompetencija apima tik įrenginius, veikiančius pagal „Windows“ valdymas, ji suteikia įmonėms galimybę sąveikauti su esama tinklo infrastruktūra nedarant žalos savo sistema saugumo. Taigi nuotolinis vartotojas gali prisijungti prie interneto naudodamas vietinį IPT per analoginę telefono liniją arba ISDN grandinę ir užmegzti ryšį su NT serveriu. Tuo pačiu metu įmonei nereikia išleisti didelių sumų modemų telkinio, teikiančio nuotolinės prieigos paslaugas, organizavimui ir priežiūrai.

Toliau aptariamas RRTR veikimas. PPTP apima IP paketus, skirtus perduoti per IP tinklą. PPTP klientai naudoja paskirties prievadą tunelio valdymo ryšiui sukurti. Šis procesas vyksta OSI modelio transporto lygmenyje. Sukūrus tunelį, kliento kompiuteris ir serveris pradeda keistis paslaugų paketais. Be PPTP valdymo ryšio, užtikrinančio ryšio veikimą, sukuriamas ryšys duomenims perduoti tuneliu. Duomenų inkapsuliavimas prieš siunčiant juos tuneliu vyksta kiek kitaip nei įprasto perdavimo metu. Duomenų inkapsuliavimas prieš siunčiant juos į tunelį apima du veiksmus:

1. Pirmiausia sukuriama PPP informacijos dalis. Duomenys teka iš viršaus į apačią, iš OSI taikomųjų programų sluoksnio į duomenų ryšio sluoksnį.
2. Tada gauti duomenys siunčiami į OSI modelį ir apklijuojami viršutinio sluoksnio protokolais.

Taigi antrojo praėjimo metu duomenys pasiekia transporto sluoksnį. Tačiau informacija negali būti siunčiama į paskirties vietą, nes už tai atsakingas kanalas OSI sluoksnis. Todėl PPTP užšifruoja paketo naudingosios apkrovos lauką ir perima antrojo sluoksnio funkcijas, paprastai priskiriamas PPP, t.y. prideda PPP antraštę ir pabaigą prie PPTP paketo. Tai užbaigia nuorodos sluoksnio rėmelio kūrimą.

Tada PPTP įtraukia PPP kadrą į bendrąjį maršruto įterpimo (GRE) paketą, kuris priklauso tinklo sluoksniui. GRE apima tinklo sluoksnio protokolus, tokius kaip IPX, AppleTalk, DECnet, kad juos būtų galima perkelti IP tinklais. Tačiau GRE neturi galimybės nustatyti seansų ir apsaugoti duomenų nuo įsibrovėlių. Tam naudojama PPTP galimybė sukurti tunelio valdymo ryšį. Naudojant GRE kaip inkapsuliavimo metodą, PPTP taikymo sritis apribojama tik IP tinklais.

Po to, kai PPP rėmelis buvo įdėtas į kadrą su GRE antrašte, inkapsuliavimas atliekamas kadre su IP antrašte. IP antraštėje yra paketo šaltinio ir paskirties adresai. Galiausiai PPTP prideda PPP antraštę ir pabaigą.

Siunčianti sistema siunčia duomenis per tunelį. Priimanti sistema pašalina visas pridėtines antraštes, palikdama tik PPP duomenis.

L2TP

Artimiausiu metu tikimasi virtualių privačių tinklų, įdiegtų remiantis nauju antrojo lygio tuneliavimo protokolu Layer 2 Tunneling Protocol – L2TP, skaičiaus padidėjimas.

L2TP atsirado sujungus PPTP ir L2F (2 sluoksnio persiuntimo) protokolus. PPTP leidžia per tunelį perduoti PPP paketus, o L2F – SLIP ir PPP. Siekiant išvengti painiavos ir sąveikos problemų telekomunikacijų rinkoje, Interneto inžinerijos darbo grupė (IETF) rekomendavo Cisco Systems sujungti PPTP ir L2F. Apskritai, L2TP protokolas apima geriausios savybės PPTP ir L2F. Pagrindinis L2TP privalumas yra tas, kad šis protokolas leidžia sukurti tunelį ne tik IP tinkluose, bet ir tokiuose kaip ATM, X.25 ir Frame Relay. Deja, „Windows 2000“ L2TP diegimas palaiko tik IP.

L2TP naudoja UDP kaip transportavimą ir naudoja tą patį pranešimų formatą tiek tunelio valdymui, tiek duomenų perdavimui. „Microsoft“ įdiegtas L2TP kaip valdymo pranešimus naudoja UDP paketus, kuriuose yra užšifruoti PPP paketai. Pristatymo patikimumą garantuoja paketų sekos valdymas.

PPTP ir L2TP funkcionalumas skiriasi. L2TP gali būti naudojamas ne tik IP tinkluose, skirtuose tuneliui sukurti ir duomenims siųsti naudojant tą patį formatą ir protokolus. PPTP galima naudoti tik IP tinkluose ir norint sukurti ir naudoti tunelį, reikalingas atskiras TCP ryšys. L2TP per IPSec siūlo daugiau saugumo lygių nei PPTP ir gali garantuoti beveik 100 procentų svarbiausių jūsų organizacijos duomenų saugumą. Dėl L2TP funkcijų jis yra labai perspektyvus virtualių tinklų kūrimo protokolas.

L2TP ir PPTP protokolai nuo trečiojo lygio tuneliavimo protokolų skiriasi keliomis savybėmis:

1. Suteikti korporacijoms galimybę savarankiškai pasirinkti vartotojų autentifikavimo ir jų kredencialų patikrinimo būdą - savo „teritorijoje“ arba su interneto paslaugų teikėju. Apdorodami tunelinius PPP paketus, įmonių tinklo serveriai gauna visą informaciją, reikalingą naudotojams identifikuoti.
2. Tunelio perjungimo palaikymas – vieno tunelio užbaigimas ir kito inicijavimas viename iš daugelio galimų galūnių. Tunelio perjungimas leidžia išplėsti PPP ryšį iki reikiamo galinio taško.
3. Teikiant sistemos administratoriai korporatyvinis tinklas, galintis įgyvendinti strategijas, skirtas prieigos teisių priskyrimui vartotojams tiesiai užkardoje ir vidiniuose serveriuose. Kadangi tunelio užbaigimo įrenginiai gauna PPP paketus su vartotojo informacija, jie gali pritaikyti administratoriaus nustatytas saugos strategijas srautui. individualūs vartotojai. (Trečiojo sluoksnio tuneliavimas neleidžia atskirti paketų, gaunamų iš tiekėjo, todėl galinėse darbo vietose ir tinklo įrenginiuose turi būti taikomi saugos politikos filtrai.) Be to, jei naudojate tunelinį jungiklį, tampa įmanoma organizuoti „tęsinį“ tunelis antrasis lygis, skirtas tiesioginiam individualaus srauto perdavimuivartotojus į atitinkamus vidinius serverius. Tokiems serveriams gali būti pavesta papildomai filtruoti paketus.

MPLS

Taip pat duomenų perdavimo lygmeniu MPLS technologija gali būti naudojama tuneliams organizuoti ( Iš anglų kalbos Multiprotocol Label Switching – kelių protokolų etikečių perjungimas – duomenų perdavimo mechanizmas, imituojantis įvairias grandinės komutavimo tinklų savybes per paketinius tinklus). MPLS veikia lygyje, kuris gali būti išdėstytas tarp duomenų ryšio sluoksnio ir trečiojo OSI modelio tinklo sluoksnio, todėl paprastai vadinamas duomenų ryšio sluoksnio protokolu. Jis buvo sukurtas teikti universalią duomenų paslaugą tiek grandinės, tiek paketinio komutavimo tinklo klientams. MPLS gali perduoti platų srauto įvairovę, pvz., IP paketus, bankomatus, SONET ir Ethernet rėmelius.

VPN organizavimo nuorodų lygiu sprendimai yra gana riboti, paprastai teikėjo domene.

2.2 Tinklo sluoksnis

Tinklo sluoksnis (IP sluoksnis). Naudojamas IPSec protokolas, kuris įgyvendina duomenų šifravimą ir konfidencialumą bei abonento autentifikavimą. IPSec protokolo naudojimas leidžia pasiekti visas funkcijas, lygiavertes fiziniam prisijungimui prie įmonės tinklo. Norint sukurti VPN, kiekvienas dalyvis turi sukonfigūruoti tam tikrus IPSec parametrus, t.y. Kiekvienas klientas turi turėti programinę įrangą, kuri įdiegia IPSec.

IPSec

Natūralu, kad jokia įmonė nenorėtų atvirai perleisti Interneto finansų ar kt konfidencialią informaciją. VPN kanalai yra apsaugoti galingais šifravimo algoritmais, paremtais IPsec saugos protokolo standartais. IPSec arba Internet Protocol Security – standartas, kurį pasirinko tarptautinė bendruomenė, IETF – Internet Engineering Task Force, sukuria interneto protokolo saugumo sistemą (IP / IPSec protokolas užtikrina saugumą tinklo lygiu ir reikalauja IPSec standarto palaikymo tik nuo įrenginiai, bendraujantys vienas su kitu abiejose ryšio pusėse. Visi kiti įrenginiai, esantys tarp jų, tiesiog teikia IP paketų srautą.

Sąveikos tarp asmenų, naudojančių IPSec technologiją, metodas paprastai apibrėžiamas terminu „saugi asociacija“ – saugumo asociacija (SA). Saugi asociacija veikia pagal susitarimą tarp šalių, kurios naudoja IPSec priemones, kad apsaugotų viena kitai perduodamą informaciją. Ši sutartis reglamentuoja kelis parametrus: siuntėjo ir gavėjo IP adresus, kriptografinį algoritmą, raktų mainų tvarką, raktų dydžius, rakto gyvavimo laiką, autentifikavimo algoritmą.

IPSec yra nuoseklus atvirų standartų rinkinys, kurio branduolys gali būti lengvai išplėstas naujomis funkcijomis ir protokolais. IPSec branduolį sudaro trys protokolai:

· AN arba Authentication Header – autentifikavimo antraštė – garantuoja duomenų vientisumą ir autentiškumą. Pagrindinis AH protokolo tikslas yra leisti priimančiajai pusei užtikrinti, kad:

• paketą išsiuntė šalis, su kuria buvo sudaryta saugi asociacija;
• siuntimo tinkle metu paketo turinys nebuvo iškraipytas;
• paketas nėra jau gauto paketo dublikatas.

Pirmosios dvi funkcijos yra privalomos AH protokolui, o paskutinė pasirenkama steigiant asociaciją. Šioms funkcijoms atlikti AH protokolas naudoja specialią antraštę. Jo struktūra svarstoma pagal šią schemą:

1. Kitame antraštės lauke nurodomas aukštesnio lygio protokolo kodas, tai yra protokolas, kurio pranešimas yra IP paketo duomenų lauke.
2. Naudingojo krovinio ilgio lauke yra AH antraštės ilgis.
3. Saugos parametrų indeksas (SPI) naudojamas susieti paketą su numatytu saugos ryšiu.
4. Laukas Sekos numeris (SN) nurodo paketo eilės numerį ir yra naudojamas apsaugoti nuo klastojimo (kai trečioji šalis bando pakartotinai panaudoti perimtus saugius paketus, kuriuos siunčia tikrasis autentifikuotas siuntėjas).
5. Autentifikavimo duomenų laukas, kuriame yra vadinamoji vientisumo patikrinimo reikšmė (ICV), naudojamas autentifikuoti ir patikrinti paketo vientisumą. Ši vertė, dar vadinama santrauka, apskaičiuojama naudojant vieną iš dviejų skaičiavimo negrįžtamų funkcijų MD5 arba SAH-1, kurių reikalauja AH protokolas, tačiau galima naudoti bet kurią kitą funkciją.

· ESP arba Encapsulating Security Payload- šifruotų duomenų inkapsuliavimas - užšifruoja perduodamus duomenis, užtikrindamas konfidencialumą, taip pat gali palaikyti autentifikavimą ir duomenų vientisumą;

ESP protokolas išsprendžia dvi problemų grupes.

1. Pirmasis apima užduotis, panašias į AN protokolo užduotis – autentifikavimo ir duomenų vientisumo užtikrinimą remiantis santrauka,
2. Antrasis – perduodami duomenys užšifruojant juos nuo neteisėto peržiūrėjimo.

Antraštė padalinta į dvi dalis, atskirtas duomenų lauku.

1. Pirmoji dalis, vadinama pačia ESP antrašte, sudaryta iš dviejų laukų (SPI ir SN), kurių paskirtis yra panaši į AH protokolo to paties pavadinimo laukus ir dedama prieš duomenų lauką.
2. Likę ESP protokolo paslaugų laukai, vadinami ESP priekaba, yra paketo pabaigoje.

Du priekabos laukai – kita antraštė ir autentifikavimo duomenys – yra panašūs į AH antraštės laukus. Lauko Autentifikavimo duomenys nėra, jei priimamas sprendimas nenaudoti ESP protokolo vientisumo galimybių kuriant saugią sąsają. Be šių laukų, priekaboje yra du papildomi laukai – užpildas ir užpildo ilgis.

AH ir ESP protokolai gali apsaugoti duomenis dviem režimais:

1. transporte - perdavimas atliekamas su originaliomis IP antraštėmis;
2. tunelyje – originalus paketas dedamas į naują IP paketą ir perdavimas vykdomas su naujomis antraštėmis.

Vieno ar kito režimo naudojimas priklauso nuo duomenų apsaugos reikalavimų, taip pat nuo mazgo, kuris baigia saugų kanalą, vaidmens tinkle. Taigi mazgas gali būti pagrindinis (galinis mazgas) arba šliuzas (tarpinis mazgas).

Atitinkamai, yra trys IPSec protokolo naudojimo schemos:

1. šeimininkas-šeimininkas;
2. vartai-vartai;
3. pagrindinio kompiuterio vartai.

AH ir ESP protokolų galimybės iš dalies sutampa: AH protokolas atsakingas tik už duomenų vientisumo ir autentifikavimo užtikrinimą, ESP protokolas gali šifruoti duomenis ir papildomai atlikti AH protokolo funkcijas (sumažinta forma). ). ESP gali palaikyti šifravimo ir autentifikavimo / vientisumo funkcijas bet kokiame derinyje, tai yra, visą funkcijų grupę, tik autentifikavimą / vientisumą arba tik šifravimą.

· IKE arba Internet Key Exchange – Interneto raktų mainai – išsprendžia pagalbinę užduotį – automatiškai aprūpinti saugaus kanalo galutinius taškus slaptaisiais raktais, reikalingais autentifikavimo ir duomenų šifravimo protokolų veikimui.

2.3 Transporto sluoksnis

Transporto sluoksnis naudoja SSL/TLS arba Secure Socket Layer/Transport Layer Security protokolą, kuris įgyvendina šifravimą ir autentifikavimą tarp imtuvo ir siųstuvo transportavimo sluoksnių. SSL/TLS gali būti naudojamas TCP srautui apsaugoti, bet negali būti naudojamas UDP srautui apsaugoti. Norint valdyti VPN, pagrįstą SSL/TLS, nereikia diegti specialios programinės įrangos, nes kiekviena naršyklė ir pašto klientas aprūpintas šiais protokolais. Kadangi SSL/TLS yra įdiegtas transportavimo lygmenyje, užmezgamas saugus ryšys nuo galo iki galo.

TLS protokolas yra pagrįstas Netscape SSL protokolo 3.0 versija ir susideda iš dviejų dalių – TLS įrašo protokolo ir TLS rankų paspaudimo protokolo. Skirtumai tarp SSL 3.0 ir TLS 1.0 yra nedideli.

SSL/TLS apima tris pagrindinius etapus:

1. Šalių dialogas, kurio tikslas – parinkti šifravimo algoritmą;
2. Keitimasis raktais remiantis viešojo rakto kriptosistemomis arba sertifikatu pagrįsta autentifikacija;
3. Duomenų, užšifruotų naudojant simetrinius šifravimo algoritmus, perdavimas.

2.4 VPN diegimas: IPSec ar SSL/TLS?

IT skyrių vadovai dažnai susiduria su klausimu: kokį protokolą pasirinkti kuriant įmonės VPN tinklą? Atsakymas nėra akivaizdus, ​​nes kiekvienas metodas turi ir privalumų, ir trūkumų. Stengsimės atlikti ir nustatyti, kada reikia naudoti IPSec, o kada – SSL/TLS. Kaip matyti iš šių protokolų charakteristikų analizės, jie nėra keičiami ir gali veikti tiek atskirai, tiek lygiagrečiai, apibrėždami kiekvieno iš įdiegtų VPN funkcines savybes.

Įmonės VPN tinklo kūrimo protokolą galima pasirinkti pagal šiuos kriterijus:

· VPN vartotojams reikalingas prieigos tipas.

1. Pilnai veikiantis, visada įjungtas ryšys su įmonės tinklu. Rekomenduojamas pasirinkimas yra IPSec protokolas.
2. Laikinas prisijungimas, pavyzdžiui, mobiliojo ryšio naudotojo arba vartotojo, kuris naudojasi viešuoju kompiuteriu, norint gauti prieigą prie tam tikrų paslaugų, pvz. paštu arba duomenų bazėje. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas, leidžiantis organizuoti VPN kiekvienai atskirai paslaugai.

· Ar vartotojas yra įmonės darbuotojas.

1. Jei vartotojas yra įmonės darbuotojas, įrenginys, kurį jis naudoja norėdamas prisijungti prie įmonės tinklo per IPSec VPN, gali būti konfigūruotas tam tikru konkrečiu būdu.
2. Jei vartotojas nėra įmonės, prie kurios prisijungiama prie įmonės tinklo, darbuotojas, rekomenduojama naudoti SSL/TLS. Tai apribos svečių prieigą tik prie tam tikrų paslaugų.

· Koks yra įmonės tinklo saugumo lygis.

1. Aukštas. Rekomenduojamas pasirinkimas yra IPSec protokolas. Iš tiesų, IPSec saugumo lygis yra daug aukštesnis nei SSL/TLS protokolas, nes vartotojo pusėje naudojama konfigūruojama programinė įranga ir įmonės tinklo pusėje saugos šliuzas.
2. Vidutinis. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas, leidžiantis pasiekti bet kurį terminalą.

· Vartotojo perduodamų duomenų saugumo lygis.

1. Aukštas, pavyzdžiui, įmonės valdymas. Rekomenduojamas pasirinkimas yra IPSec protokolas.
2. Vidutinis, pavyzdžiui, partneris. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas.

Priklausomai nuo paslaugos – nuo ​​vidutinio iki aukšto. Rekomenduojamas pasirinkimas yra IPSec protokolų (paslaugoms, kurioms reikalingas aukštas saugumo lygis) ir SSL/TLS (paslaugoms, kurioms reikalingas vidutinis saugumo lygis) derinys.

· Kas svarbiau, greitas VPN diegimas ar būsimo sprendimo mastelio keitimas.

1. Greitai įdiekite VPN tinklą minimaliomis sąnaudomis. Rekomenduojamas pasirinkimas yra SSL/TLS protokolas. Šiuo atveju nereikia diegti specialios programinės įrangos vartotojo pusėje, kaip IPSec atveju.
2. VPN tinklo mastelio keitimas – pridedant prieigą prie įvairių paslaugų. Rekomenduojamas pasirinkimas yra IPSec protokolas, leidžiantis pasiekti visas įmonės tinklo paslaugas ir išteklius.
3. Greitas diegimas ir mastelio keitimas. Rekomenduojamas pasirinkimas yra IPSec ir SSL/TLS derinys: pirmame etape naudojant SSL/TLS norint pasiekti reikiamas paslaugas, o po to diegti IPSec.

3. VPN tinklų diegimo metodai

Virtualus privatus tinklas yra pagrįstas trimis įgyvendinimo būdais:

· Tuneliavimas;

· Šifravimas;

· Autentifikavimas.

3.1 Tuneliavimas

Tuneliavimas užtikrina duomenų perdavimą tarp dviejų taškų – tunelio galų – tokiu būdu, kad visa tarp jų esanti tinklo infrastruktūra būtų paslėpta nuo duomenų šaltinio ir imtuvo.

Tunelio transportavimo terpė kaip keltas paima prie įėjimo į tunelį naudojamo tinklo protokolo paketus ir nepakeistus pristato į išėjimą. Sukurti tunelį pakanka sujungti du tinklo mazgus, kad juose veikiančios programinės įrangos požiūriu jie atrodytų prijungti prie to paties (vietinio) tinklo. Tačiau nereikia pamiršti, kad iš tikrųjų „keltas“ su duomenimis eina per daugelį atviro viešojo tinklo tarpinių mazgų (maršrutizatorių).

Tokia padėtis kelia dvi problemas. Pirma, per tunelį perduodamą informaciją gali perimti užpuolikai. Jei tai yra konfidenciali (banko kortelių numeriai, finansinės ataskaitos, asmeninė informacija), tada jo sukompromitavimo grėsmė yra gana reali, o tai savaime yra nemalonu. Dar blogiau, kad užpuolikai turi galimybę modifikuoti tuneliu perduodamus duomenis taip, kad gavėjas negalėtų patikrinti jų autentiškumo. Pasekmės gali būti pačios baisiausios. Atsižvelgdami į tai, kas išdėstyta pirmiau, darome išvadą, kad gryna tunelis yra tinkamas tik kai kurių tipų tinklams kompiuteriniai žaidimai ir negali reikalauti rimtesnio prašymo. Abi problemos gali būti išspręstos šiuolaikinėmis priemonėmis kriptografinė apsauga informacija. Siekiant išvengti neleistinų duomenų paketo pakeitimų jam keliaujant tuneliu, elektroninis skaitmeninis parašas(). Metodo esmė ta, kad kiekvienam perduotam paketui pateikiamas papildomas informacijos blokas, kuris generuojamas pagal asimetrinį kriptografinį algoritmą ir yra unikalus paketo turiniui bei slaptajam siuntėjo skaitmeninio parašo raktui. Šis informacijos blokas yra skaitmeninis paketo parašas ir leidžia gavėjui, žinančiam atvirą informaciją, autentifikuoti duomenis. EDS raktas siuntėjas. Duomenų, perduodamų per tunelį, apsauga nuo neteisėtos peržiūros pasiekiama naudojant stiprius šifravimo algoritmus.

3.2 Autentifikavimas

Saugumas yra pagrindinė VPN funkcija. Visi duomenys iš klientų kompiuterių internetu perduodami į VPN serverį. Toks serveris gali būti labai nutolęs nuo kliento kompiuteris, o duomenys pakeliui į organizacijos tinklą perduodami per kelių tiekėjų įrangą. Kaip galiu įsitikinti, kad duomenys nebuvo nuskaityti ar pakeisti? Šiuo tikslu jie naudoja įvairių metodų autentifikavimas ir šifravimas.

PPTP gali naudoti bet kurį iš PPP naudojamų protokolų vartotojų autentifikavimui

• EAP arba Extensible Authentication Protocol;
• MSCHAP arba Microsoft Challenge Handshake Authentication Protocol (1 ir 2 versijos);
• CHAP arba Challenge Handshake Authentication Protocol;
• SPAP arba Shiva slaptažodžio autentifikavimo protokolas;
• PAP arba slaptažodžio autentifikavimo protokolas.

Geriausi protokolai yra MSCHAP versija 2 ir Transport Layer Security (EAP-TLS), nes jie užtikrina abipusį autentifikavimą, t.y. VPN serveris ir klientas identifikuoja vienas kitą. Visuose kituose protokoluose tik serveris autentifikuoja klientus.

Nors PPTP užtikrina pakankamą saugumo lygį, L2TP per IPSec yra patikimesnis. L2TP per IPSec užtikrina autentifikavimą vartotojo ir kompiuterio lygiu, taip pat atlieka autentifikavimą ir duomenų šifravimą.

Autentifikavimas atliekamas atviru testu (aiškaus teksto slaptažodžiu) arba iššūkio/atsakymo schema. Su tiesioginiu tekstu viskas aišku. Klientas siunčia serveriui slaptažodį. Serveris lygina tai su standartu ir atsisako prieigos arba sako „sveiki atvykę“. Atviras autentifikavimas beveik niekada nematomas.

Prašymo/atsakymo schema yra daug pažangesnė. Apskritai tai atrodo taip:

• klientas siunčia serveriui autentifikavimo užklausą;
• serveris grąžina atsitiktinį atsakymą (iššūkį);
• klientas paima maišą iš savo slaptažodžio (maiša yra maišos funkcijos, kuri paverčia savavališko ilgio įvesties duomenų masyvą į fiksuoto ilgio išvesties bitų eilutę, rezultatas), užšifruoja ja atsakymą ir perduoda jį serveriui;
• serveris daro tą patį, palygindamas gautą rezultatą su kliento atsakymu;
• jei šifruotas atsakymas sutampa, autentifikavimas laikomas sėkmingu;

Pirmajame VPN klientų ir serverių autentifikavimo etape L2TP per IPSec naudoja vietinius sertifikatus, gautus iš sertifikatų institucijos. Klientas ir serveris keičiasi sertifikatais ir sukuria saugų ryšį ESP SA (saugumo asociacija). L2TP (per IPSec) užbaigus kompiuterio autentifikavimo procesą, atliekamas vartotojo lygio autentifikavimas. Autentifikavimui galite naudoti bet kurį protokolą, net PAP, kuris vartotojo vardą ir slaptažodį perduoda aiškiu tekstu. Tai gana saugu, nes L2TP per IPSec užšifruoja visą seansą. Tačiau vartotojo autentifikavimas naudojant MSCHAP, kuris naudoja skirtingus šifravimo raktus kompiuteriui ir vartotojui autentifikuoti, gali padidinti saugumą.

3.3. Šifravimas

PPTP šifravimas užtikrina, kad niekas negalėtų pasiekti jūsų duomenų, kol jie siunčiami internetu. Šiuo metu palaikomi du šifravimo metodai:

• MPPE arba Microsoft Point-to-Point Encryption yra suderinamas tik su MSCHAP (1 ir 2 versijos);
• EAP-TLS gali automatiškai pasirinkti šifravimo rakto ilgį derantis dėl parametrų tarp kliento ir serverio.

MPPE palaiko 40, 56 arba 128 bitų ilgio raktus. Senos operacinės Windows sistemos palaiko šifravimą, kurio rakto ilgis yra tik 40 bitų, todėl mišrus Windows aplinka reikia pasirinkti minimalų rakto ilgį.

PPTP keičia šifravimo rakto reikšmę po kiekvieno gauto paketo. MMPE protokolas buvo sukurtas taškas-taškas ryšio ryšiams, kuriuose paketai perduodami nuosekliai ir labai mažai prarandami duomenys. Esant tokiai situacijai, kito paketo rakto reikšmė priklauso nuo ankstesnio paketo iššifravimo rezultatų. Kuriant virtualius tinklus per tinklus vieša prieigaŠios sąlygos negali būti įvykdytos, nes duomenų paketai dažnai pasiekia gavėją kita tvarka, nei buvo išsiųsti. Todėl PPTP naudoja paketų eilės numerius, kad pakeistų šifravimo raktą. Tai leidžia iššifruoti, neatsižvelgiant į anksčiau gautus paketus.

Abu protokolai įgyvendinami taip, kaip nurodyta Microsoft Windows, o už jos ribų (pavyzdžiui, BSD) VPN veikimo algoritmai gali labai skirtis.

Taigi, derinys „tunelis + autentifikavimas + šifravimas“ leidžia perduoti duomenis tarp dviejų taškų per viešąjį tinklą, imituojant privataus (vietinio) tinklo veikimą. Kitaip tariant, svarstomi įrankiai leidžia sukurti virtualų privatų tinklą.

Papildomas malonus VPN ryšio efektas yra galimybė (ir net būtinybė) naudoti vietiniame tinkle priimtą adresavimo sistemą.

Praktiškai virtualaus privataus tinklo įgyvendinimas atrodo taip: Įmonės biuro vietiniame kompiuterių tinkle įdiegtas VPN serveris. Nuotolinis vartotojas (arba maršrutizatorius, jei jungia du biurus), naudodamas VPN kliento programinę įrangą, inicijuoja prisijungimo prie serverio procedūrą. Įvyksta vartotojo autentifikavimas – pirmasis VPN ryšio užmezgimo etapas. Patvirtinus įgaliojimą, prasideda antrasis etapas – klientas ir serveris susitaria dėl ryšio saugumo užtikrinimo detalių. Po to organizuojamas VPN ryšys, užtikrinantis informacijos apsikeitimą tarp kliento ir serverio tokia forma, kai kiekvienas duomenų paketas praeina šifravimo/iššifravimo ir vientisumo tikrinimo procedūras – duomenų autentifikavimą.

Pagrindinė VPN tinklų problema yra nustatytų autentifikavimo ir šifruotos informacijos mainų standartų trūkumas. Šie standartai vis dar kuriami, taigi ir produktai įvairių gamintojų negali užmegzti VPN ryšių ir automatiškai apsikeisti raktais. Dėl šios problemos sulėtėja VPN plitimas, nes sunku priversti skirtingas įmones naudoti vieno gamintojo produktus, todėl kompanijų partnerių tinklų sujungimas į vadinamuosius ekstraneto tinklus yra sudėtingas.

VPN technologijos privalumai yra tai, kad nuotolinė prieiga organizuojama ne telefono linija, o internetu, kuris yra daug pigesnis ir geresnis. VPN technologijos trūkumas yra tas, kad VPN kūrimo įrankiai nėra visavertė atakų aptikimo ir blokavimo priemonė. Jie gali užkirsti kelią daugeliui neteisėtų veiksmų, bet ne visoms galimybėms, kurias galima panaudoti norint patekti į įmonės tinklą. Tačiau nepaisant viso to, VPN technologija turi tolesnio vystymosi perspektyvų.

Ko galime tikėtis plėtojant VPN technologijas ateityje? Be jokios abejonės, bus parengtas ir patvirtintas vieningas tokių tinklų tiesimo standartas. Labiausiai tikėtina, kad šio standarto pagrindas bus jau patikrintas IPSec protokolas. Toliau gamintojai sutelks dėmesį į savo produktų našumo gerinimą ir patogių VPN valdymo įrankių kūrimą. Greičiausiai VPN kūrimo įrankių kūrimas bus nukreiptas į maršrutizatorių pagrįstus VPN, nes šis sprendimas apjungia gana didelį našumą, VPN integravimą ir maršruto parinkimą viename įrenginyje. Tačiau bus kuriami ir nebrangūs sprendimai mažoms organizacijoms. Apibendrinant reikia pasakyti, kad nepaisant to, kad VPN technologija dar labai jauna, jos laukia puiki ateitis.

Palikite savo komentarą!

Kanalų nuoma iš tiekėjo: įprasta ir patikima galimybė. Teikėjas nuomoja tam skirtus fizinius arba loginius ryšio kanalus. Tokie kanalai dažnai vadinami „iš taško į tašką“

Privalumai:

1. Prisijungimo ir naudojimo paprastumas – už įrangos ir kanalų priežiūrą visiškai atsako tiekėjas;
2. Garantuotas kanalo plotis – duomenų perdavimo greitis visada atitinka nurodytą teikėjo;

Trūkumai:

1. Saugumas ir kontrolė – įmonė negali kontroliuoti įrangos tiekėjo pusėje.

Savo (fizinio) ryšio linijų kūrimas: patikimas ir ekonomiškas sprendimas, nes už fizinio ryšio kanalo sukūrimą yra atsakinga tik įmonė. Šiuo sprendimu įmonė visiškai kontroliuoja ir aptarnauja nutiestus kanalus.

Privalumai:

1. Lankstumas – galimybė diegti visus būtinus reikalavimus atitinkančius kanalus;
2. Apsauga ir kontrolė – visiška kanalo kontrolė, nes jis priklauso įmonei;

Trūkumai:

1. Diegimas – tokių privačių kanalų kūrimas yra daug darbo reikalaujantis ir brangus sprendimas. Kilometrai optikos tiesimas išilgai stulpų gali kainuoti nemažus pinigus. Net jei neatsižvelgsite į leidimų gavimą iš visų valstybės institucijų. valdžios institucijos;
2. Priežiūra – kanalo priežiūra yra visiškai įmonės atsakomybė, todėl jos našumui užtikrinti darbuotojai turi turėti aukštos kvalifikacijos specialistus;
3. Žemas atsparumas gedimams – dažnai netyčia pažeidžiamos išorinės optinio ryšio linijos (statybinė įranga, komunalinės paslaugos ir kt.). Gali praeiti kelios savaitės, kol optinis ryšys bus aptiktas ir ištaisytas.
4. Apribota viena vieta – išorinių optinio ryšio linijų tiesimas aktualus tik tuo atveju, jei objektai yra kelių dešimčių kilometrų atstumu. Pratęsti komunikacijas iki kito miesto šimtus ir tūkstančius kilometrų dėl sveiko proto neįmanoma.

Saugaus kanalo per internetą (VPN) kūrimas: šis sprendimas yra palyginti nebrangus ir lankstus. Norint sujungti nutolusius biurus, pakanka interneto ryšio ir tinklo įrangos su galimybe kurti VPN ryšius.

Privalumai:

1. Maža kaina – įmonė moka tik už interneto prieigą;
2. Mastelio keitimas – norint prijungti naują biurą reikia interneto ir maršrutizatoriaus;

Trūkumai:

1. Kanalo talpa – duomenų perdavimo greitis gali skirtis (negarantuojamas pralaidumas);

Šiame straipsnyje bus atidžiau pažvelgta į paskutinį dalyką, ty kokią naudą VPN technologija teikia įmonėms.
Virtualus privatus tinklas (VPN) – tai technologijų rinkinys, užtikrinantis saugų dviejų ar daugiau nutolusių vietinių tinklų ryšį (tunelį) per viešąjį tinklą (pvz., internetą).

Unikalūs geografiškai paskirstytų VPN tinklų pranašumai

Perduoto srauto apsauga: saugu perduoti srautą per VPN tunelį naudojant stiprius šifravimo protokolus (3DES, AES). Be šifravimo, tikrinamas duomenų vientisumas ir siuntėjo autentiškumas, pašalinant galimybę užpuolikui pakeisti informaciją ir prisijungti.

Ryšio patikimumas: pirmaujantys įrangos gamintojai tobulina VPN ryšio technologijas, teikdami automatinis atkūrimas VPN tuneliai trumpam nutrūkus prisijungimui prie viešojo tinklo.
Mobilumas ir paprastas prisijungimas: prie įmonės vietinio tinklo galite prisijungti iš bet kurios pasaulio vietos ir beveik iš bet kurio modernaus įrenginio (išmaniojo telefono, planšetinis kompiuteris, nešiojamasis kompiuteris), ir ryšys bus saugus. Daugelis daugialypės terpės įrenginių gamintojų pridėjo VPN palaikymą prie savo produktų.

Atleidimas ir apkrovos balansavimas: jei jungdamiesi prie interneto naudojate du tiekėjus (balansavimui / perkrovimui), galima subalansuoti VPN tunelio srautą tarp tiekėjų. Jei vienam iš teikėjų nepavyks, tunelis naudos atsarginį ryšį.

Eismo prioritetų nustatymas: galimybė valdyti srautą naudojant QoS – balso, vaizdo srauto prioritetų nustatymas esant didelei tunelio apkrovai.

VPN tinklai versle

Vieningas tinklas

Įmonės geografiškai paskirstytų vietinių tinklų sujungimas į vieną tinklą (filialų prijungimas prie pagrindinio biuro) žymiai supaprastina sąveiką ir duomenų mainus įmonės viduje, sumažina priežiūros išlaidas. Bet kuriai įmonės sistemai reikia vienos tinklo erdvės, kad darbuotojai galėtų dirbti. Tai gali būti IP telefonija, apskaitos ir finansinės apskaitos sistemos, CRM, vaizdo konferencijos ir kt.

Mobilioji prieiga

Nepriklausomai nuo darbuotojo buvimo vietos, jei jis turi internetą ir nešiojamąjį kompiuterį/išmanųjį telefoną/planšetę, darbuotojas gali prisijungti prie vidinių įmonės resursų. Dėl šio pranašumo darbuotojai turi galimybę atlikti darbus ir greitai išspręsti iškilusias problemas būdami ne biure.

Įvairių įmonių tinklų konsolidavimas

Neretai tenka derinti verslo partnerių tinklus, tokia sąjunga gali būti organizuojama tiek su kiekvienos įmonės vidinių išteklių prieinamumu, tiek jo neapribojant. Ši asociacija supaprastina įmonių sąveiką.

Nuotolinis IT infrastruktūros valdymas

Dėkojame apsaugotam nuotolinė prieiga prie įmonės IT infrastruktūros įrangos, administratorius geba greitai išspręsti pavestas užduotis ir reaguoti į iškylančias problemas.

Aptarnavimo kokybė

Vaizdo konferencijų, IP telefonijos ir kai kurių kitų programų srautui reikalingas garantuotas kanalo plotis. Pavyzdžiui, dėl QoS naudojimo VPN tuneliuose galite sujungti įmonės vietinio tinklo ir nuotolinio biuro IP telefoniją.

Paskirstytų VPN tinklų ir įmonių duomenų tinklų (CDN) taikymo sritys

Išanalizavęs organizacijų reikalavimus ir tikslus įvairios svarstyklės, mes sudarėme bendrą kiekvieno iš jų sprendimų vaizdą. Žemiau pateikiamas tipiškų VPN technologijos diegimų įmonės tinklo infrastruktūroje aprašymas.

Sprendimai mažoms įmonėms. Dažnai tokiam sprendimui keliami reikalavimai yra galimybė prijungti nuotolinius vartotojus (iki 10) prie vidinio tinklo ir/ar sujungti kelių biurų tinklus. Tokie sprendimai yra paprasti ir greitai įdiegiami. Tokiam tinklui rekomenduojama turėti atsarginį kanalą, kurio greitis būtų mažesnis arba toks pat kaip pagrindinis. Atsarginis kanalas yra pasyvus ir naudojamas tik atjungus pagrindinį (VPN tunelis automatiškai sukuriamas virš atsarginio kanalo). Kraštinės įrangos perteklius tokiems sprendimams naudojamas retai ir dažnai nepagrįstas.

Tuneliu perduodamas srautas – vidinių programų srautas (paštas, žiniatinklis, dokumentai), balso srautas.

Kanalo rezervavimo reikalavimas: vidutinis

Įrangos atleidimo reikalavimas: mažas

Sprendimai vidutiniam verslui. Kartu su nuotolinių darbuotojų (iki 100) prijungimu, tinklo infrastruktūra turi užtikrinti ryšį su keletu nutolusių biurų. Tokiems sprendimams interneto kanalo rezervacija yra privaloma, o atsarginio kanalo talpa turi būti palyginama su pagrindinio kanalo sparta. Daugeliu atvejų atsarginis kanalas yra aktyvus (atliekamas apkrovos balansavimas tarp kanalų). Rekomenduojama rezervuoti kritinių tinklo mazgų įrangą (pvz., krašto maršrutizatorių centrinis biuras). VPN tinklo topologija – žvaigždutė arba dalinis tinklelis.

Reikalavimas įrangos dubliavimui: vidutinis

Sprendimai stambioms įmonėms, paskirstytas filialų tinklas. Tokius gana didelio masto tinklus sunku įdiegti ir palaikyti. Tokio tinklo topologija VPN tunelių organizavimo požiūriu gali būti: žvaigždutė, dalinis tinklelis, pilnas tinklelis (diagramoje parodyta viso tinklo parinktis). Kanalo rezervavimas yra privalomas (galimi daugiau nei 2 teikėjai), kaip ir kritinių tinklo mazgų įrangos rezervavimas. Visi arba keli kanalai yra aktyvūs. Tokio lygio tinkluose skirta fiziniai kanalai(skirtosios linijos) arba tiekėjų teikiamas VPN. Tokiame tinkle būtina užtikrinti maksimalų patikimumą ir atsparumą gedimams, kad būtų sumažintos verslo prastovos. Tokiems tinklams skirta įranga yra pagrindinė įmonės klasės arba tiekėjo įrangos linija.

Per tunelį perduodamas srautas – vidinių programų srautas (paštas, žiniatinklis, dokumentai), balso srautas, vaizdo konferencijų srautas.

Kanalo rezervavimo reikalavimas: didelis

Įrangos atleidimo reikalavimas: didelis

Švietimo įstaigos. Švietimo įstaigoms būdinga prisijungti prie tinklo valdymo centro. Eismo intensyvumas dažniausiai nėra didelis. Rezervacijos reikalavimai nustatomi retais atvejais.

Medicinos įstaigos. Medicinos įstaigoms aktuali ryšio kanalų ir įrangos patikimumo ir didelio atsparumo gedimams problema. Visose geografiškai paskirstyto tinklo šakose naudojama perteklinė kanalų formavimo įranga ir keli tiekėjai.

Sprendimai mažmeninei prekybai (parduotuvių tinklas). Parduotuvių tinklai išsiskiria dideliu vietų skaičiumi (parduotuvių gali būti tūkstančiai) ir santykinai mažu srautu į pagrindinį biurą (duomenų centrą). Rezervuoti įrangą parduotuvėse dažniausiai nepatartina. Pakanka rezervuoti ryšį su teikėju (formatu „antrasis teikėjas). Tačiau duomenų centre (pagrindinėje būstinėje) esančiai įrangai keliami aukšti reikalavimai. Kadangi šis taškas baigia tūkstančius VPN tunelių. Būtinas nuolatinis kanalų, ataskaitų sistemų stebėjimas, saugos politikos laikymasis ir kt.

Paskirstytų VPN tinklų ir įmonių duomenų tinklų (CDN) diegimas

Reikalingos įrangos parinkimas ir teisingas paslaugos įgyvendinimas yra sudėtinga užduotis, reikalaujanti aukšto rangovo kompetencijos. Kompanija LanKey jau daugelį metų vykdo sudėtingus projektus ir turi didelę tokių projektų patirtį.

Kai kurių KSPD ir VPN diegimo projektų pavyzdžiai, įgyvendinami LanKey