Cum să creați o singură rețea privată pentru toți angajații mobili și sucursalele la distanță

Ce este un VPN?

Să presupunem că avem două birouri puncte diferite orașe, sau în diferite orașe sau țări și fiecare dintre ele este conectat la Internet. Pentru a opera, de exemplu, 1C ca un singur sistem corporativ, trebuie să le integrăm într-o singură rețea locală. (În ciuda faptului că oferim soluții pentru 1C sub formă de baze de date distribuite. Uneori este mai ușor să creați o singură rețea și să vă conectați direct pe serverul 1C ca și cum serverul se află în sediul dvs.)

Puteți, desigur, să cumpărați o linie personală între două orașe, dar această decizie cel mai probabil va fi super scump.
Soluția care utilizează o rețea privată virtuală (VPN - Virtual Private Network) ne invită să organizăm această linie dedicată prin crearea unui tunel criptat prin Internet. Principalul avantaj al unui VPN față de liniile de comunicare dedicate este economisirea banilor companiei în timp ce canalul este complet închis.
Din punctul de vedere al consumatorului, VPN este o tehnologie prin care puteți organiza accesul securizat de la distanță prin canale de internet deschise la servere, baze de date și orice resurse ale dvs. rețeaua corporativă. Să presupunem că un contabil din orașul A poate tipări cu ușurință o factură pe imprimanta unei secretare din orașul B la care a venit clientul. Angajații de la distanță care se conectează prin VPN de pe laptopurile lor vor putea, de asemenea, să lucreze în rețea ca și cum s-ar afla în rețeaua fizică a birourilor lor.

De foarte multe ori, clienții, care se confruntă cu *frânele* ale caselor de marcat atunci când folosesc Remote Desktop, vin la nevoia Instalări VPN. Acest lucru vă va permite să scăpați de trimiterea datelor pentru casa de marcat înainte și înapoi către server prin COM virtual prin Internet și va permite instalarea client slabîn orice moment care comunică direct cu casa de marcat, trimițând doar informațiile necesare către server printr-un canal închis. Iar difuzarea interfeței RDP direct pe Internet expune compania dumneavoastră la riscuri foarte mari.

Metode de conectare

Metodele de organizare a unui VPN sunt cele mai potrivite pentru a evidenția următoarele 2 metode principale:

• (Client - Rețea ) Accesul de la distanță al angajaților individuali la rețeaua corporativă a organizației printr-un modem sau o rețea publică.
• (Rețea - Rețea) Unirea a două sau mai multe birouri într-o singură rețea virtuală securizată prin Internet

Majoritatea manualelor, în special pentru Windows, descriu conexiunea conform primei scheme. În același timp, trebuie să înțelegi asta această legătură nu este un tunel, ci vă permite doar să vă conectați la o rețea VPN Pentru a organiza aceste tuneluri, avem nevoie doar de 1 IP alb și nu în funcție de numărul de birouri la distanță, așa cum cred în mod greșit mulți.

Figura arată ambele opțiuni pentru conectarea la biroul principal A.

A fost stabilit un canal între birourile A și B pentru a asigura integrarea birourilor într-o singură rețea. Acest lucru asigură transparența ambelor birouri pentru orice dispozitive situate într-unul dintre ele, ceea ce rezolvă multe probleme. De exemplu, organizarea unui singur număr de capacitate într-un singur PBX cu telefoane IP.

Toate serviciile biroului A sunt disponibile pentru clienții mobili, iar dacă biroul B este situat într-o singură rețea virtuală, serviciile sale sunt și ele disponibile.

În acest caz, metoda de conectare a clienților mobili este de obicei implementată de protocolul PPTP (Point-to-Point Tunneling Protocol) protocolul de tunelizare punct-la-punct și al doilea IPsec sau OpenVPN

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) este un protocol de tunelare punct-la-punct, creat de Microsoft, și este o extensie a PPP (Point-to-Point Protocol), prin urmare, folosind autentificarea, compresia și mecanisme de criptare. Protocolul PPTP este încorporat în client acces de la distanță Windows XP Cu alegerea standard a acestui protocol, Microsoft sugerează utilizarea metodei de criptare MPPE (Microsoft Point-to-Point Encryption). Puteți transfera date fără criptare în text clar. Încapsularea datelor folosind protocolul PPTP are loc prin adăugarea unui antet GRE (Generic Routing Encapsulation) și a unui antet IP la datele procesate de protocolul PPP.

Din cauza unor preocupări semnificative de securitate, nu există niciun motiv să alegeți PPTP față de alte protocoale, altele decât incompatibilitatea dispozitivului cu alte protocoale VPN. Dacă dispozitivul dvs. acceptă L2TP/IPsec sau OpenVPN, atunci este mai bine să alegeți unul dintre aceste protocoale.

Trebuie remarcat faptul că aproape toate dispozitivele, inclusiv cele mobile, au un client încorporat în sistemul de operare (Windows, iOS, Android) care vă permite să configurați instantaneu o conexiune.

L2TP

(Layer Two Tunneling Protocol) este un protocol mai avansat, născut din combinația dintre protocoalele PPTP (de la Microsoft) și L2F (de la Cisco), încorporând tot ce este mai bun din aceste două protocoale. Oferă o conexiune mai sigură decât prima opțiune; criptarea are loc folosind protocolul IPSec (securitate IP). L2TP este, de asemenea, încorporat în clientul de acces la distanță Windows XP, în plus, atunci când determină automat tipul de conexiune, clientul încearcă mai întâi să se conecteze la server folosind acest protocol, ceea ce este mai de preferat în ceea ce privește securitatea.

În același timp, protocolul IPsec are o problemă precum coordonarea parametrilor necesari Având în vedere că mulți producători își stabilesc parametrii implicit fără posibilitatea de configurare, hardware-ul care utilizează acest protocol va fi incompatibil.

OpenVPN

O soluție VPN deschisă avansată creată de tehnologiile OpenVPN, care este acum standardul de facto în tehnologiile VPN. Soluția folosește protocoale de criptare SSL/TLS. OpenVPN folosește biblioteca OpenSSL pentru a oferi criptare. OpenSSL acceptă un număr mare de algoritmi criptografici diferiți, cum ar fi 3DES, AES, RC5, Blowfish. Ca și în cazul IPSec, CheapVPN include un nivel extrem de ridicat de criptare - algoritmul AES cu o lungime a cheii de 256 de biți.
OpenVPN este singura soluție care vă permite să ocoliți acei furnizori care reduc sau percep taxe pentru deschiderea de protocoale suplimentare, altele decât WEB. Acest lucru face posibilă organizarea de canale care, în principiu, imposibil de urmăritȘi avem astfel de solutii

Acum aveți o idee despre ce este un VPN și cum funcționează. Dacă ești manager, gândește-te bine, poate că asta este exact ceea ce căutai

Un exemplu de configurare a unui server OpenVPN pe platforma pfSense

Crearea unui server

• Interfata: WAN(interfață de rețea de server conectată la Internet)
• Protocol: UDP
• Port local: 1194
• Descriere: pfSenseOVPN(orice nume convenabil)
• Rețeaua de tuneluri: 10.0.1.0/24
• Gateway de redirecționare: Porniți(Dezactivați această opțiune dacă nu doriți ca tot traficul de internet al clientului să fie redirecționat prin serverul VPN.)
• Retea locala: Lăsați necompletat(Dacă doriți ca rețeaua locală din spatele serverului pfSense să fie accesibilă clienților VPN la distanță, specificați spațiul de adresă al acelei rețele aici. Să spunem 192.168.1.0/24)
• Conexiuni simultane: 2 (Dacă ați achiziționat o licență suplimentară OpenVPN Remote Access Server, introduceți numărul corespunzător numărului de licențe achiziționate)
• Comunicații inter-clienți: Porniți(Dacă nu doriți ca clienții VPN să se vadă, dezactivați această opțiune)
• Server DNS 1 (2, etc.): specificați serverele DNS ale gazdei pfSense.(poți afla adresele lor în secțiunea Sistem > Configurare generală > Servere DNS)

Apoi, creăm clienți și pentru a simplifica procedurile de configurare pentru programele client, pfSense oferă un instrument suplimentar - „Utilitarul de export client OpenVPN”. Acest instrument pregătește automat pachetele și fișierele de instalare pentru clienți, evitând setări manuale Client OpenVPN.

Conexiunile VPN între birouri acoperă astfel de cerințe de securitate comercială precum:

• Posibilitatea de acces centralizat la informații din birouri, precum și din sediul principal
• Sistem informatic corporativ unificat
• Bazele corporative date cu un singur punct de intrare
• E-mail de afaceri cu conectare unică
• Confidențialitatea informațiilor transferate între birouri

Dacă întâmpinați dificultăți de configurare sau nu v-ați decis încă asupra tehnologiei VPN, sunați-ne!

Scară republicană pentru nevoile unei întreprinderi mijlocii. Nu căuta aici un ghid al tehnologiilor VPN - nu este aici, există manuale specializate pentru asta, disponibile online și formă tipărită. Voi încerca doar să-mi fac o idee, folosind un exemplu practic, despre ce fel de „fiară” este această VPN și să subliniez caracteristicile construirii unei astfel de infrastructuri în condițiile noastre, rezumând simultan experiența mea în acest domeniu. Tot ceea ce am spus nu pretinde a fi adevărul suprem și reflectă doar punctul meu de vedere.

De ce este necesar acest lucru?

Așadar, condițiile inițiale sunt următoarele: organizația dumneavoastră are mai multe filiale situate la mare distanță una de alta în cadrul aceluiași oraș sau chiar în diferite orașe ale țării. Vi s-a dat, la prima vedere, o sarcină absolut fantastică: să uniți rețelele locale de sucursale într-una singură retea globala; astfel încât fiecare computer să poată accesa un alt computer din această rețea, indiferent de locul în care se află - în camera alăturată sau la o mie de kilometri distanță. Uneori, condiția sarcinii arată diferit: să ofere acces la o anumită resursă a unei ramuri de la computere dintr-o rețea de alte ramuri (dar esența problemei nu se schimbă).

Și cum să faci asta?

Acest lucru se face folosind tehnologia VPN. Pur și simplu, „se aruncă” peste rețelele tale individuale rețea logică, componente individuale (adică ramuri) ale cărora pot fi interconectate căi diferite: prin canale publice (Internet), prin linii dedicate, prin rețea wireless. Rezultatul este o rețea omogenă formată din componente eterogene.

Este clar că opțiunea de a așeza canale singur nu poate fi luată în considerare din cauza condițiilor stabilite, nimeni nu vă va lăsa să rulați un cablu în întreg orașul, iar aceasta este o muncă ingrată. Prin urmare, nu este altceva de făcut decât să contactați furnizorul de servicii de telecomunicații sau, mai simplu, furnizorul. Alegerea unui furnizor este un subiect separat de discuție care depășește domeniul de aplicare al acestui articol. Trebuie doar să rețineți că totul va depinde de mai mulți factori, dintre care cei mai importanți sunt volumul serviciilor oferite și calitatea comunicării. Prețurile pentru transferul de date vor fi de o importanță nu mică și aici trebuie să alegeți calea de mijloc între preț și calitate. Deoarece toată lumea își stabilește această bară individual (pentru unii, o oră întreagă fără comunicare nu este o problemă, dar pentru alții, cinci minute de pauză vor părea o tragedie), este imposibil să sfătuiești nimic aici.

În această etapă, trebuie să vă așezați și să luați în considerare cu atenție ce ramuri ale organizației dvs. vor fi incluse în rețea. Dacă sunt mai mult de două sau trei, pentru claritate, puteți chiar să desenați o diagramă cu un semn care indică adresele și contactele fiecărei filiale. Dacă trebuie să organizați o rețea distribuită într-un singur oraș, de obicei aveți la dispoziție mai multe opțiuni de conectare de la diferiți furnizori. În cazul meu, a fost necesară combinarea mai multor rețele situate în diferite orașe din regiune; aici, după cum se spune, nu există opțiuni - trebuie să apelați la compania de monopol Kazakhtelecom, singurul furnizor global al acestui tip de comunicații în toată Republica Kazahstan. Mai târziu în articol voi lua în considerare conectarea în mod specific prin Kazakhtelecom ca fiind cea mai universală modalitate de adaptare a recomandărilor pentru un anumit furnizor nu va fi dificilă.

ÎN În ultima vremeÎn lumea telecomunicațiilor, există un interes crescut pentru rețelele private virtuale (VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative prin conectarea mai ieftină a birourilor de la distanță și a utilizatorilor la distanță prin Internet. Într-adevăr, atunci când se compară costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele Frame Relay puteți observa o diferență semnificativă de cost. Cu toate acestea, trebuie menționat că la conectarea rețelelor prin Internet se pune imediat problema securității transmisiei de date, așa că a devenit necesară crearea unor mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN.

Mai mult, foarte des la omul modern, în timp ce îți dezvolți afacerea, trebuie să călătorești mult. Acestea ar putea fi excursii în colțuri îndepărtate ale țării noastre sau în țări străine. Adesea, oamenii au nevoie de acces la informațiile lor stocate pe computerul de acasă sau al companiei. Această problemă poate fi rezolvată prin organizarea accesului de la distanță la acesta folosind un modem și o linie. Utilizarea unei linii telefonice are propriile sale caracteristici. Dezavantajele acestei soluții sunt că apelul din altă țară costă foarte mulți bani. Există o altă soluție numită VPN. Avantaje tehnologii VPN este că organizarea accesului de la distanță nu se face prin linie telefonică, dar prin Internet, care este mult mai ieftin și mai bun. După părerea mea, tehnologia. VPN-ul are potențialul de a deveni răspândit în întreaga lume.

1. Conceptul și clasificarea rețelelor VPN, construcția acestora

1.1 Ce este un VPN

VPN(eng. Virtual Private Network - rețea privată virtuală) - o rețea logică creată deasupra unei alte rețele, de exemplu Internet. În ciuda faptului că comunicațiile sunt efectuate prin rețele publice folosind protocoale nesigure, criptarea creează canale de schimb de informații care sunt închise pentru cei din afară. VPN vă permite să combinați, de exemplu, mai multe birouri ale unei organizații într-o singură rețea folosind canale necontrolate pentru comunicarea între ele.

În felul său esența VPN are multe dintre proprietățile unei linii închiriate, dar este implementată într-o rețea publică, de exemplu. Cu tehnica tunelului, pachetele de date sunt difuzate prin rețeaua publică ca și cum ar fi o conexiune normală punct la punct. Se stabilește un fel de tunel între fiecare pereche emițător-receptor de date - o conexiune logică securizată care permite ca datele dintr-un protocol să fie încapsulate în pachete ale altuia. Principalele componente ale tunelului sunt:

• iniţiator;
• rețea direcționată;
• comutator de tunel;
• unul sau mai multe terminatoare de tunel.

Principiul în sine Funcționează VPN nu contrazice principalul tehnologii de rețeași protocoale. De exemplu, atunci când se stabilește o conexiune de acces la distanță, clientul trimite un flux de pachete de protocol PPP standard către server. În cazul organizării de linii virtuale închiriate între rețelele locale, routerele acestora schimbă și pachete PPP. Cu toate acestea, un aspect fundamental nou este transmiterea pachetelor printr-un tunel securizat organizat într-o rețea publică.

Tunnelarea vă permite să organizați transmiterea pachetelor din acestea protocol într-un mediu logic folosind un alt protocol. Ca urmare, devine posibilă rezolvarea problemelor de interacțiune între mai multe tipuri diferite de rețele, începând cu necesitatea asigurării integrității și confidențialității datelor transmise și terminând cu depășirea neconcordanțelor din protocoalele externe sau schemele de adresare.

Infrastructura de rețea existentă a unei corporații poate fi pregătită pentru utilizarea VPN folosind software sau hardware. Organizarea virtualului rețea privată poate fi comparat cu așezarea unui cablu printr-o rețea globală. De obicei, o conexiune directă între utilizatorul de la distanță și dispozitiv terminal Tunelul este stabilit folosind protocolul PPP.

Cea mai comună metodă de creație tuneluri VPN- încapsularea protocoalelor de rețea (IP, IPX, AppleTalk, etc.) în PPP și încapsularea ulterioară a pachetelor generate în protocolul de tunel. De obicei, acesta din urmă este IP sau (mult mai rar) ATM și Frame Relay. Această abordare se numește tunel de nivel al doilea, deoarece „pasagerul” aici este protocolul de nivel al doilea.

O abordare alternativă de încapsulare a pachetelor de protocol de rețea direct într-un protocol de tunelare (cum ar fi VTP) se numește tunelizare Layer 3.

Indiferent ce protocoale sunt folosite sau ce scopuri urmarit la organizarea unui tunel ramane tehnica de bazapractic neschimbat. În mod obișnuit, un protocol este utilizat pentru a stabili o conexiune cu un nod la distanță, iar altul este utilizat pentru a încapsula date și informații de serviciu pentru transmiterea prin tunel.

1.2 Clasificarea rețelelor VPN

Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

1. După tipul de mediu utilizat:

• Rețele VPN securizate. Cea mai comună versiune a rețelelor private private. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, OpenVPN și PPTP.
• Rețele VPN de încredere. Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesară doar rezolvarea problemei creării unei subrețele virtuale în cadrul unei rețele mai mari. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​MPLS și L2TP. Ar fi mai corect să spunem că aceste protocoale schimbă sarcina de a oferi securitate altora, de exemplu L2TP, de regulă, este utilizat împreună cu IPSec.

2. După metoda de implementare:

• Rețele VPN sub formă de software și hardware special. Implementarea unei rețele VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, grad înalt Securitate.
• Rețele VPN ca soluție software. Ei folosesc un computer personal cu software special care oferă funcționalitate VPN.
• Rețele VPN cu o soluție integrată. Funcționalitatea VPN este asigurată de un complex care rezolvă și problemele de filtrare trafic de rețea, organizarea unui firewall și asigurarea calității serviciului.

3. După scop:

• VPN pentru intranet. Acestea sunt folosite pentru a uni mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise.
• Remote Access VPN. Folosit pentru a crea un canal securizat între un segment de rețea corporativă (birou central sau sucursală) și un singur utilizator care, lucrând acasă, se conectează la resursele corporative cu computer de acasă sau, în timpul unei călătorii de afaceri, se conectează la resursele corporative folosind un laptop.
• VPN extranet. Folosit pentru rețelele la care utilizatorii „externi” (de exemplu, clienții sau clienții) se conectează. Nivelul de încredere în ei este mult mai scăzut decât în ​​angajații companiei, așa că este necesar să se asigure „linii” speciale de protecție care să împiedice sau să limiteze accesul acestora din urmă la informații deosebit de valoroase, confidențiale.

4. După tipul de protocol:

• Există implementări de rețele private virtuale pentru TCP/IP, IPX și AppleTalk. Dar astăzi există o tendință spre o tranziție generală la protocolul TCP/IP, iar marea majoritate a soluțiilor VPN îl acceptă.

5. După nivelul protocolului de rețea:

• Prin stratul de protocol de rețea bazat pe comparație cu straturile modelului de rețea de referință ISO/OSI.

1.3. Construirea unui VPN

Există diverse opțiuni construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță ai constructorilor VPN. De exemplu, dacă un router funcționează deja la capacitatea sa maximă, atunci adăugarea de tuneluri VPN și aplicarea criptării/decriptării informațiilor poate opri întreaga rețea din cauza faptului că acest router nu va putea face față unui trafic simplu, darămite unui VPN. Experiența arată că pentru a construi VPN este mai bun Mai presus de toate, utilizați echipamente specializate, dar dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software. Să ne uităm la câteva opțiuni pentru construirea unui VPN.

• VPN bazat pe firewall-uri. Majoritatea furnizorilor de firewall acceptă tunelarea și criptarea datelor. Toate astfel de produse se bazează pe faptul că traficul care trece prin firewall este criptat. Un modul de criptare este adăugat la software-ul firewall în sine. Dezavantajul acestei metode este că performanța depinde de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, trebuie să vă amintiți că o astfel de soluție poate fi utilizată numai pentru rețele mici cu o cantitate mică de informații transmise.
• VPN bazat pe router. O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare acestui router.Un exemplu de echipament pentru construirea VPN pe routere este echipamentul de la Cisco Systems. Pornind de la versiunea de software software iOS 11.3, routerele Cisco acceptă protocoalele L2TP și IPSec. in afara de asta criptare simplă Cisco acceptă și alte caracteristici VPN, cum ar fi autentificarea atunci când se stabilește o conexiune la tunel și schimbul de chei.Poate fi folosit pentru a îmbunătăți performanța routerului modul suplimentar Criptare ESA. În plus, Cisco System a lansat un dispozitiv specializat pentru VPN, care se numește Cisco 1720 VPN Access Router (router de acces VPN), destinat instalării în companiile mici și mijlocii, precum și în sucursalele organizațiilor mari.
• VPN bazat pe software. Următoarea abordare a construirii unui VPN este doar soluții software. La implementarea unei astfel de soluții se folosește software specializat care rulează pe un computer dedicat și, în cele mai multe cazuri, acționează ca un server proxy. Computerul care rulează acest software poate fi situat în spatele unui firewall.
• VPN bazat pe sistemul de operare al rețelei.Vom analiza soluții bazate pe un sistem de operare de rețea folosind sistemul de operare Windows Microsoft ca exemplu. Pentru Crearea VPN Microsoft folosește protocolul PPTP, care este integrat în sistemul Windows. Această soluție este foarte atractivă pentru organizațiile care folosesc Windows ca sistem de operare corporativ. Trebuie remarcat faptul că costul unei astfel de soluții este semnificativ mai mic decât costul altor soluții. VPN bazat pe Windows utilizează o bază de utilizatori stocată pe Controlerul de domeniu principal (PDC). La conectarea la un server PPTP, utilizatorul este autentificat folosind protocoalele PAP, CHAP sau MS-CHAP. Pachetele transmise sunt încapsulate în pachete GRE/PPTP. Pentru a cripta pachetele, se folosește un protocol nestandard de la Microsoft Point-to-Point Encryption cu o cheie de 40 sau 128 de biți primită în momentul stabilirii conexiunii. Dezavantajele acestui sistem sunt lipsa verificării integrității datelor și incapacitatea de a schimba cheile în timpul conexiunii. Puncte pozitive sunt ușurința de integrare cu Windows și costuri reduse.
• VPN bazat pe hardware. Opțiunea de a construi un VPN pe dispozitive speciale poate fi utilizată în rețelele care necesită performanțe ridicate. Un exemplu de astfel de soluție este produsul IPro-VPN de la Radguard. Acest produs folosește criptarea hardware a informațiilor transmise, capabilă să transmită un flux de 100 Mbit/s. IPro-VPN acceptă protocolul IPSec și mecanismul de gestionare a cheilor ISAKMP/Oakley. Printre altele, acest dispozitiv acceptă instrumente de traducere a adreselor de rețea și poate fi extins tabla speciala, care adaugă funcționalitate firewall

2. Protocoale VPN

Rețelele VPN sunt construite folosind protocoale pentru tunelarea datelor prin Internetul public, iar protocoalele de tunelizare oferă criptarea datelor și asigură transmisie end-to-end între utilizatori. De regulă, astăzi sunt utilizate următoarele niveluri de protocoale pentru a construi rețele VPN:

• Stratul de legătură de date
• Stratul de rețea
• Stratul de transport.

2.1 Stratul de legătură

La nivelul de legătură de date, pot fi utilizate protocoale de tunel de date L2TP și PPTP, care utilizează autorizarea și autentificarea.

PPTP.

În prezent, cel mai comun protocol VPN este Point-to-Point Tunneling Protocol - PPTP. A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct. În practică, PPP rămâne protocolul de comunicare al sesiunii de conexiune PPTP. PPTP creează un tunel prin rețea către serverul NT al destinatarului și transmite pachete PPP de la utilizatorul de la distanță prin intermediul acestuia. Server și stație de lucru folosind o rețea privată virtuală și nu acordând atenție cât de sigur sau accesibil este WAN-ul dintre ele. Încheierea unei sesiuni de conexiune este inițiată de server, spre deosebire de servere specializate acces la distanță, permite administratorilor de rețele locale să împiedice utilizatorii de la distanță să părăsească sistemul de securitate Windows Server.

Deși PPTP este limitat la dispozitivele care rulează Windows, oferă companiilor posibilitatea de a interopera cu infrastructurile de rețea existente fără a provoca daune. propriul sistem Securitate. Astfel, un utilizator de la distanță se poate conecta la Internet folosind un ISP local printr-o linie telefonică analogică sau un circuit ISDN și poate stabili o conexiune la serverul NT. În același timp, compania nu trebuie să cheltuiască cantități mari pentru organizarea și întreținerea unui pool de modemuri care furnizează servicii de acces la distanță.

În cele ce urmează se discută funcționarea RRTR. PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP folosesc portul de destinație pentru a crea o conexiune de control tunel. Acest proces are loc la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii. În plus față de conexiunea de control PPTP care asigură că legătura este operațională, este creată o conexiune pentru a transmite datele prin tunel. Încapsularea datelor înainte de a le trimite printr-un tunel are loc oarecum diferit decât în ​​timpul transmisiei normale. Încapsularea datelor înainte de a le trimite în tunel implică doi pași:

1. În primul rând, este creată partea de informații PPP. Datele curg de sus în jos, de la nivelul de aplicare OSI la canal.
2. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoalele de nivel superior.

Astfel, în timpul celei de-a doua treceri, datele ajung în stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat atribuite de obicei PPP, adică. adaugă un antet PPP și se termină la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură.

Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să fie transmise prin rețele IP. Cu toate acestea, GRE nu are capacitatea de a stabili sesiuni și de a proteja datele de intruși. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Sistemul de trimitere trimite date prin tunel. Sistemul de recepție elimină toate anteturile de supraîncărcare, lăsând doar datele PPP.

L2TP

În viitorul apropiat, este de așteptat o creștere a numărului de rețele private virtuale, implementate pe baza noului protocol de tunel de nivel al doilea Layer 2 Tunneling Protocol - L2TP.

L2TP a apărut ca urmare a combinării protocoalelor PPTP și L2F (Layer 2 Forwarding). PPTP permite ca pachetele PPP să fie transmise prin tunel, iar pachetele L2F SLIP și PPP. Pentru a evita confuzia și problemele de interoperabilitate pe piața telecomunicațiilor, Internet Engineering Task Force (IETF) a recomandat ca Cisco Systems să combine PPTP și L2F. Din toate punctele de vedere, L2TP combină cele mai bune caracteristici ale PPTP și L2F. Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețelele IP, ci și în ATM, X.25 și Frame Relay. Din păcate, implementarea L2TP în Windows 2000 acceptă doar IP.

L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru redirecționarea datelor. L2TP, așa cum este implementat de Microsoft, utilizează pachete UDP care conțin pachete PPP criptate ca mesaje de control. Fiabilitatea livrării este garantată de controlul secvenței pachetelor.

Funcționalitatea PPTP și L2TP este diferită. L2TP poate fi folosit nu numai în rețelele IP, pentru a crea un tunel și pentru a trimite date prin intermediul acestuia, se utilizează același format și protocoale. PPTP poate fi utilizat numai pe rețele IP și necesită o conexiune TCP separată pentru a crea și utiliza tunelul. L2TP prin IPSec oferă mai multe straturi de securitate decât PPTP și poate garanta securitatea aproape 100% pentru datele critice ale organizației dumneavoastră. Caracteristicile L2TP îl fac un protocol foarte promițător pentru construirea de rețele virtuale.

Protocoalele L2TP și PPTP diferă de protocoalele de tunel de nivel al treilea prin mai multe caracteristici:

1. Oferirea corporațiilor posibilitatea de a alege în mod independent metoda de autentificare a utilizatorilor și de verificare a acreditărilor - pe propriul „teritoriu” sau cu un furnizor de servicii de internet. Prin procesarea pachetelor PPP tunelizate, serverele de rețea corporative primesc toate informațiile necesare pentru a identifica utilizatorii.
2. Suport pentru comutarea tunelului - terminarea unui tunel și inițierea altuia la unul dintre multele terminatoare potențiale. Comutarea tunelului vă permite să extindeți conexiunea PPP la punctul final necesar.
3. Permite administratorilor de rețele corporative să implementeze strategii de control al accesului utilizatorilor direct pe firewall și serverele interne. Deoarece terminatorii de tunel primesc pachete PPP care conțin informații despre utilizator, aceștia sunt capabili să aplice politici de securitate definite de administrator pentru traficul utilizatorului individual. (Tunelingul de nivel al treilea nu permite distingerea pachetelor care provin de la furnizor, astfel încât filtrele de politică de securitate trebuie aplicate stațiilor de lucru și dispozitivelor de rețea finale.) În plus, dacă utilizați un comutator de tunel, devine posibilă organizarea unei „continuări” a tunelul al doilea nivel pentru transmiterea directă a traficului de persoaneutilizatorii către serverele interne corespunzătoare. Astfel de servere pot fi însărcinate cu filtrarea suplimentară a pachetelor.

MPLS

De asemenea, la nivelul legăturii de date, tehnologia MPLS poate fi utilizată pentru organizarea tunelurilor ( Din engleza Multiprotocol Label Switching - comutare multiprotocol label - un mecanism de transfer de date care emulează diferite proprietăți ale rețelelor cu comutare de circuite peste rețelele cu comutare de pachete). MPLS operează la un strat care ar putea fi poziționat între stratul de legătură de date și al treilea strat de rețea al modelului OSI și, prin urmare, este denumit în mod obișnuit protocol de nivel de legătură de date. A fost conceput pentru a oferi un serviciu de date universal atât pentru clienții de rețea cu comutare de circuite, cât și pentru cei cu comutare de pachete. MPLS poate transporta o mare varietate de trafic, cum ar fi pachete IP, ATM, SONET și cadre Ethernet.

Soluțiile pentru organizarea VPN la nivel de link au un domeniu de aplicare destul de limitat, de obicei în domeniul furnizorului.

2.2 Stratul de rețea

Stratul de rețea (stratul IP). Este utilizat protocolul IPSec, care implementează criptarea și confidențialitatea datelor, precum și autentificarea abonaților. Utilizarea protocolului IPSec permite un acces complet echivalent cu o conexiune fizică la rețeaua corporativă. Pentru a stabili un VPN, fiecare participant trebuie să configureze anumiți parametri IPSec, de ex. Fiecare client trebuie să aibă software care implementează IPSec.

IPSec

Desigur, nicio companie nu ar dori să se transfere în mod deschis Internet financiar sau alte informații confidențiale. Canalele VPN sunt protejate de algoritmi de criptare puternici bazați pe standardele de protocol de securitate IPsec. IPSec sau Protocol Internet Securitate - un standard ales de comunitatea internațională, IETF - Internet Engineering Task Force, creează cadrul de securitate pentru Internet Protocol (protocolul IP/IPSec asigură securitatea pe nivel de rețeași necesită suport pentru standardul IPSec numai de la dispozitivele care comunică de pe ambele părți ale conexiunii. Toate celelalte dispozitive situate între ele furnizează pur și simplu trafic de pachete IP.

Metoda de interacțiune între persoanele care utilizează Tehnologia IPSec, este de obicei definit prin termenul „asociație sigură” - Asociația de securitate (SA). O asociere sigură funcționează pe baza unui acord între părți, care folosesc IPSec pentru a proteja informațiile transmise reciproc. Acest acord reglementează mai mulți parametri: adrese IP ale expeditorului și destinatarului, algoritmul criptografic, ordinea de schimb de chei, dimensiunile cheilor, durata de viață a cheii, algoritmul de autentificare.

IPSec este un set negociat standarde deschise, care are un nucleu care poate fi suplimentat pur și simplu cu noi funcții și protocoale. Nucleul IPSec este format din trei protocoale:

· UN sau Authentication Header - antet de autentificare - garantează integritatea și autenticitatea datelor. Scopul principal al protocolului AH este acela că permite părții de recepție să se asigure că:

• pachetul a fost trimis de o parte cu care s-a stabilit o asociere sigură;
• conținutul pachetului nu a fost distorsionat în timpul transmiterii acestuia prin rețea;
• pachetul nu este un duplicat al unui pachet deja primit.

Primele două funcții sunt obligatorii pentru protocolul AH, iar ultima este selectată opțional la stabilirea unei asocieri. Pentru a îndeplini aceste funcții, protocolul AH utilizează un antet special. Structura sa este considerată conform următoarei scheme:

1. Următorul câmp de antet indică codul protocolului de nivel superior, adică protocolul al cărui mesaj se află în câmpul de date al pachetului IP.
2. Câmpul pentru lungimea sarcinii utile conține lungimea antetului AH.
3. Indexul parametrilor de securitate (SPI) este utilizat pentru a asocia un pachet cu asocierea de securitate prevăzută.
4. Câmpul Număr de secvență (SN) indică numărul de secvență al pachetului și este utilizat pentru a proteja împotriva falsificării (atunci când o terță parte încearcă să refolosească pachetele securizate interceptate trimise de expeditorul real autentificat).
5. Câmpul de date de autentificare, care conține așa-numita valoare de verificare a integrității (ICV), este utilizat pentru autentificarea și verificarea integrității pachetului. Această valoare, numită și digest, este calculată folosind una dintre cele două funcții ireversibile din punct de vedere computațional MD5 sau SAH-1 care sunt cerute de protocolul AH, dar poate fi utilizată orice altă funcție.

· ESP sau Încapsulating Security Payload- încapsularea datelor criptate - criptează datele transmise, asigurând confidențialitatea, poate menține și autentificarea și integritatea datelor;

Protocolul ESP rezolvă două grupuri de probleme.

1. Prima include sarcini similare cu cele ale protocolului AN - asigurarea autentificării și integrității datelor pe baza rezumatului,
2. Al doilea este datele transmise prin criptarea lor de la vizualizare neautorizată.

Antetul este împărțit în două părți, separate printr-un câmp de date.

1. Prima parte, numită antetul ESP în sine, este formată din două câmpuri (SPI și SN), al căror scop este similar cu câmpurile cu același nume din protocolul AH și este plasat înaintea câmpului de date.
2. Câmpurile de serviciu de protocol ESP rămase, numite trailer ESP, sunt situate la sfârșitul pachetului.

Cele două câmpuri de trailer - antetul următor și datele de autentificare - sunt similare cu câmpurile antetului AH. Câmpul Date de autentificare este absent dacă se ia decizia de a nu folosi capacitățile de integritate ale protocolului ESP la stabilirea unei asocieri sigure. Pe lângă aceste câmpuri, remorca conține două câmpuri suplimentare - umplere și lungime de umplere.

Protocoalele AH și ESP pot proteja datele în două moduri:

1. în transport - transmisia se realizează cu anteturi IP originale;
2. într-un tunel - pachetul original este plasat într-un nou pachet IP și transmisia se realizează cu anteturi noi.

Utilizarea unui mod sau altuia depinde de cerințele pentru protecția datelor, precum și de rolul jucat în rețea de nodul care încheie canalul securizat. Astfel, un nod poate fi o gazdă (nod final) sau o poartă (nod intermediar).

În consecință, există trei scheme pentru utilizarea protocolului IPSec:

1. gazdă-gazdă;
2. gateway-gateway;
3. poarta gazdă.

Capacitățile protocoalelor AH și ESP se suprapun parțial: protocolul AH este responsabil doar pentru asigurarea integrității și autentificarea datelor, protocolul ESP poate cripta datele și, în plus, poate îndeplini funcțiile protocolului AH (într-o formă redusă). ). Un ESP poate suporta funcții de criptare și autentificare/integritate în orice combinație, adică fie întregul grup de funcții, numai autentificare/integritate, fie numai criptare.

· IKE sau Internet Key Exchange - Internet Key Exchange - rezolvă sarcina auxiliară de a furniza automat punctelor terminale ale unui canal securizat cheile secrete necesare funcționării protocoalelor de autentificare și criptare a datelor.

2.3 Stratul de transport

Stratul de transport utilizează protocolul SSL/TLS sau Secure Socket Layer/Transport Layer Security, care implementează criptarea și autentificarea între straturile de transport ale receptorului și ale transmițătorului. SSL/TLS poate fi folosit pentru a securiza traficul TCP, dar nu poate fi folosit pentru a securiza traficul UDP. Pentru a opera un VPN bazat pe SSL/TLS, nu este nevoie să implementați software special, deoarece fiecare browser și client de mail echipate cu aceste protocoale. Datorită faptului că SSL/TLS este implementat la nivelul transportului, se stabilește o conexiune securizată „end-to-end”.

Protocolul TLS se bazează pe protocolul Netscape SSL versiunea 3.0 și constă din două părți - Protocolul de înregistrare TLS și Protocolul TLS Handshake. Diferențele dintre SSL 3.0 și TLS 1.0 sunt minore.

SSL/TLS include trei faze principale:

1. Dialog între părți, al cărui scop este selectarea unui algoritm de criptare;
2. Schimb de chei bazat pe criptosisteme cu chei publice sau autentificare bazată pe certificate;
3. Transmiterea datelor criptate folosind algoritmi simetrici criptare.

2.4 Implementarea VPN: IPSec sau SSL/TLS?

Managerii departamentelor IT se confruntă adesea cu întrebarea: ce protocol să aleagă pentru construirea unei rețele VPN corporative? Răspunsul nu este evident, deoarece fiecare abordare are atât argumente pro, cât și dezavantaje. Vom încerca să conducem și să identificăm când este necesar să folosim IPSec și când SSL/TLS. După cum se poate observa din analiza caracteristicilor acestor protocoale, acestea nu sunt interschimbabile și pot funcționa atât separat, cât și în paralel, definind caracteristicile funcționale ale fiecăruia dintre VPN-urile implementate.

Alegerea protocolului pentru construirea unei rețele VPN corporative se poate face în funcție de următoarele criterii:

· Tipul de acces necesar pentru utilizatorii VPN.

1. Conexiune complet funcțională, permanentă la rețeaua corporativă. Alegerea recomandată este protocolul IPSec.
2. Conectare temporară, de ex. utilizator mobil sau un utilizator care folosește un computer public pentru a obține acces la anumite servicii, de exemplu, e-mail sau baza de date. Alegerea recomandată este protocolul SSL/TLS, care vă permite să organizați un VPN pentru fiecare serviciu individual.

· Dacă utilizatorul este angajat al companiei.

1. Dacă utilizatorul este angajat al companiei, dispozitivul prin care accesează rețeaua corporativă VPN IPSec poate fi configurat într-un mod specific.
2. Dacă utilizatorul nu este angajat al companiei la care este accesată rețeaua corporativă, se recomandă utilizarea SSL/TLS. Acest lucru va limita accesul oaspeților numai la anumite servicii.

· Care este nivelul de securitate al rețelei corporative.

1. Înalt. Alegerea recomandată este protocolul IPSec. Într-adevăr, nivelul de securitate oferit de IPSec este mult mai mare decât cel oferit de protocolul SSL/TLS datorită utilizării software-ului configurabil pe partea utilizatorului și a unui gateway de securitate pe partea rețelei corporative.
2. In medie. Alegerea recomandată este protocolul SSL/TLS, care permite accesul de pe orice terminal.

· Nivelul de securitate al datelor transmise de utilizator.

1. Înalt, de exemplu, managementul companiei. Alegerea recomandată este protocolul IPSec.
2. Mediu, de exemplu, partener. Alegerea recomandată este protocolul SSL/TLS.

În funcție de serviciu - de la mediu la mare. Alegerea recomandată este o combinație a protocoalelor IPSec (pentru serviciile care necesită un nivel ridicat de securitate) și SSL/TLS (pentru servicii care necesită un nivel mediu de securitate).

· Ce este mai important, implementarea VPN rapidă sau scalabilitatea viitoare a soluției.

1. Implementați rapid o rețea VPN la costuri minime. Alegerea recomandată este protocolul SSL/TLS. În acest caz, nu este nevoie să implementați software special din partea utilizatorului, ca în cazul IPSec.
2. Scalabilitatea rețelei VPN - adăugarea accesului la diverse servicii. Alegerea recomandată este protocolul IPSec, care permite accesul la toate serviciile și resursele rețelei corporative.
3. Implementare rapidă și scalabilitate. Alegerea recomandată este o combinație de IPSec și SSL/TLS: utilizarea SSL/TLS în prima etapă pentru a accesa serviciile necesare, urmată de implementarea IPSec.

3. Metode de implementare a rețelelor VPN

O rețea privată virtuală se bazează pe trei metode de implementare:

· Tunele;

· Criptare;

· Autentificare.

3.1 Tunele

Tunnelarea asigură transferul de date între două puncte - capetele tunelului - în așa fel încât întreaga infrastructură de rețea aflată între ele să fie ascunsă de sursa și receptorul datelor.

Mijlocul de transport al tunelului, ca un feribot, preia pachete din protocolul de rețea folosit la intrarea în tunel și le livrează neschimbate la ieșire. Construirea unui tunel este suficientă pentru a conecta două noduri de rețea, astfel încât, din punctul de vedere al software-ului care rulează pe ele, acestea să pară conectate la aceeași rețea (locală). Totuși, nu trebuie să uităm că de fapt „feribul” cu date trece prin multe nodurile intermediare(routere) unei rețele publice deschise.

Această stare de fapt pune două probleme. Prima este că informațiile transmise prin tunel pot fi interceptate de atacatori. Dacă este confidențial (numerele cardurilor bancare, rapoarte financiare, informații personale), atunci amenințarea compromiterii sale este destul de reală, ceea ce în sine este neplăcut. Mai rău încă, atacatorii au capacitatea de a modifica datele transmise prin tunel, astfel încât destinatarul nu va putea verifica autenticitatea acestora. Consecințele pot fi cele mai grave. Având în vedere cele de mai sus, ajungem la concluzia că tunelul în forma sa pură este potrivit doar pentru unele tipuri de rețea jocuri pe calculatorși nu poate pretinde nicio cerere mai serioasă. Ambele probleme pot fi rezolvate cu mijloace moderne protecţie criptografică informație. Pentru a preveni modificarea neautorizată a pachetului de date pe măsură ce acesta traversează tunelul, se utilizează metoda semnăturii digitale electronice (). Esența metodei este că fiecare pachet transmis este furnizat cu un bloc suplimentar de informații, care este generat în conformitate cu un algoritm criptografic asimetric și este unic pentru conținutul pachetului și cheia secretă a semnăturii digitale a expeditorului. Acest bloc de informații este semnătura digitală a pachetului și permite ca datele să fie autentificate de către un destinatar care știe cheie publică Semnătura digitală a expeditorului. Protecția datelor transmise prin tunel împotriva vizualizării neautorizate se realizează prin utilizarea unor algoritmi puternici de criptare.

3.2 Autentificare

Securitatea este funcția principală a unui VPN. Toate datele de la computerele client trec prin Internet către serverul VPN. Un astfel de server poate fi situat la o distanță mare de computer client, iar datele în drum spre rețeaua unei organizații trec prin echipamente de la mai mulți furnizori. Cum pot să mă asigur că datele nu au fost citite sau modificate? Pentru aceasta, sunt folosite diverse metode de autentificare și criptare.

PPTP poate folosi oricare dintre protocoalele utilizate pentru PPP pentru a autentifica utilizatorii

• EAP sau Extensible Authentication Protocol;
• Protocolul de autentificare MSCHAP sau Microsoft Challenge Handshake (versiunile 1 și 2);
• CHAP sau Protocolul de autentificare prin strângere de mână Challenge;
• Protocolul de autentificare prin parolă SPAP sau Shiva;
• PAP sau Protocolul de autentificare cu parolă.

Cele mai bune protocoale sunt MSCHAP versiunea 2 și Transport Layer Security (EAP-TLS), deoarece oferă autentificare reciprocă, de exemplu. Serverul VPN și clientul se identifică reciproc. În toate celelalte protocoale, doar serverul autentifică clienții.

Deși PPTP oferă un grad suficient de securitate, L2TP prin IPSec este mai fiabil. L2TP prin IPSec oferă autentificare la nivel de utilizator și computer și, de asemenea, realizează autentificare și criptare a datelor.

Autentificarea se realizează fie printr-un test deschis (parolă cu text clar), fie printr-o schemă de provocare/răspuns. Totul este clar cu textul direct. Clientul trimite serverului o parolă. Serverul compară acest lucru cu standardul și fie refuză accesul, fie spune „bun venit”. Deschideți autentificarea practic nu se întâmplă niciodată.

Schema cerere/răspuns este mult mai avansată. ÎN vedere generala arata cam asa:

• clientul trimite serverului o cerere de autentificare;
• serverul returnează un răspuns aleator (provocare);
• clientul ia un hash din parola sa (un hash este rezultatul unei funcții hash care convertește o matrice de date de intrare de lungime arbitrară într-un șir de biți de ieșire de lungime fixă), criptează răspunsul cu acesta și îl transmite serverului;
• serverul face același lucru, comparând rezultatul primit cu răspunsul clientului;
• dacă răspunsul criptat se potrivește, autentificarea este considerată reușită;

În primul pas de autentificare a clienților și serverelor VPN, L2TP prin IPSec utilizează certificate locale obținute de la o autoritate de certificare. Clientul și serverul schimbă certificate și creează o conexiune securizată ESP SA (asociație de securitate). După ce L2TP (peste IPSec) finalizează procesul de autentificare a computerului, se realizează autentificarea la nivel de utilizator. Pentru autentificare, puteți utiliza orice protocol, chiar și PAP, care transmite numele de utilizator și parola în text clar. Acest lucru este destul de sigur, deoarece L2TP prin IPSec criptează întreaga sesiune. Cu toate acestea, efectuarea autentificării utilizatorului folosind MSCHAP, care utilizează diferite chei de criptare pentru a autentifica computerul și utilizatorul, poate îmbunătăți securitatea.

3.3. Criptare

Criptarea PPTP asigură că nimeni nu vă poate accesa datele în timp ce acestea sunt trimise prin Internet. În prezent, există două metode de criptare acceptate:

• MPPE sau Microsoft Point-to-Point Encryption este compatibil doar cu MSCHAP (versiunile 1 și 2);
• EAP-TLS poate selecta automat lungimea cheii de criptare atunci când negociază parametrii între client și server.

MPPE acceptă chei cu lungimi de 40, 56 sau 128 de biți. Sistemele de operare Windows mai vechi acceptă doar criptarea cu lungimea cheii de 40 de biți, așa că într-un mediu Windows mixt ar trebui să alegeți lungimea minimă a cheii.

PPTP modifică valoarea cheii de criptare după fiecare pachet primit. Protocolul MMPE a fost proiectat pentru legăturile de comunicație punct la punct în care pachetele sunt transmise secvenţial și există o pierdere foarte mică de date. În această situație, valoarea cheii pentru următorul pachet depinde de rezultatele decriptării pachetului anterior. Când construiți rețele virtuale prin intermediul rețelelor acces public aceste condiții nu pot fi îndeplinite, deoarece pachetele de date ajung adesea la destinatar într-o ordine diferită de cea în care au fost trimise. Prin urmare, PPTP utilizează numere de secvență de pachete pentru a schimba cheia de criptare. Acest lucru permite decriptarea să fie efectuată indiferent de pachetele primite anterioare.

Ambele protocoale sunt implementate atât în ​​Microsoft Windows, cât și în afara acestuia (de exemplu, în BSD), algoritmii de operare VPN pot diferi semnificativ.

Astfel, combinația „tunel + autentificare + criptare” vă permite să transferați date între două puncte printr-o rețea publică, simulând funcționarea unei rețele private (locale). Cu alte cuvinte, instrumentele luate în considerare vă permit să construiți o rețea privată virtuală.

Un efect suplimentar plăcut al unei conexiuni VPN este posibilitatea (și chiar necesitatea) utilizării sistemului de adresare adoptat în rețeaua locală.

Implementarea unei rețele private virtuale în practică arată astfel: În local rețea de calculatoare Un server VPN este instalat la biroul companiei. Utilizatorul de la distanță (sau routerul, dacă conectează două birouri) care utilizează software-ul client VPN inițiază procedura de conectare cu serverul. Are loc autentificarea utilizatorului - prima fază a stabilirii unei conexiuni VPN. Dacă autoritatea este confirmată, începe a doua fază - detaliile de asigurare a securității conexiunii sunt convenite între client și server. După aceasta, se organizează o conexiune VPN, asigurând schimbul de informații între client și server în forma în care fiecare pachet de date trece prin criptare/decriptare și verificări de integritate - autentificarea datelor.

Principala problemă a rețelelor VPN este lipsa standardelor stabilite pentru autentificare și schimbul de informații criptate. Aceste standarde sunt încă în curs de dezvoltare și, prin urmare, produsele de la diferiți producători nu pot stabili conexiuni VPN și nu pot schimba automat cheile. Această problemă face ca adoptarea VPN să încetinească, deoarece este dificil de forțat diverse companii utilizați produsele unui producător și, prin urmare, procesul de combinare a rețelelor companiilor partenere în așa-numitele rețele extranet este dificil.

Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. Dezavantajul tehnologiei VPN este că instrumentele de construire VPN nu sunt mijloace cu drepturi depline de detectare și blocare a atacurilor. Ele pot preveni o serie de acțiuni neautorizate, dar nu toate posibilitățile care pot fi folosite pentru a pătrunde într-o rețea corporativă. Dar, în ciuda tuturor acestor lucruri, tehnologia VPN are perspective de dezvoltare ulterioară.

La ce ne putem aștepta în ceea ce privește dezvoltarea tehnologiei VPN în viitor? Fără îndoială, va fi dezvoltat și aprobat un standard unificat pentru construirea unor astfel de rețele. Cel mai probabil, baza acestui standard va fi protocolul IPSec deja dovedit. În continuare, producătorii se vor concentra pe îmbunătățirea performanței produselor lor și pe crearea unor instrumente de management VPN ușor de utilizat. Cel mai probabil, dezvoltarea instrumentelor de construire VPN va merge în direcția VPN-urilor bazate pe router, deoarece această soluție combină performanțe destul de ridicate, integrarea VPN și rutare într-un singur dispozitiv. Totuși, va exista și dezvoltare solutii low cost pentru organizațiile mici. În concluzie, trebuie spus că, în ciuda faptului că tehnologia VPN este încă foarte tânără, are un viitor mare în față.

Lasă comentariul tău!

Organizarea canalelor VPN între ramurile companiei este de mare importanță în munca oricărui specialist IT. Acest articol discută una dintre modalitățile de implementare a acestei sarcini pe baza produs software OpenVPN.

Mai jos ne vom uita la topologia rețelei în care vom organiza un tunel VPN, vom analiza caracteristicile de configurare a programului OpenVPN și vom configura pas cu pas rutarea pentru birourile noastre. Articolul a fost scris pe baza presupunerii că OpenVPN va fi instalat pe platformele Windows 7 și Windows Server 2008.

Topologie de rețea.

Folosit de noi topologie de rețea standard. Există o rețea de birouri centrale (să-i spunem SCO) și o rețea de filiale (să-i spunem SF). Sarcina este de a conecta birourile astfel încât computerul utilizatorului final (denumit în continuare PC1) al biroului centrului de servicii să aibă acces la resurse partajate computer utilizator (denumit în continuare PC2) SF.

SSC include:

• Gateway de internet (să-l numim ISH1) cu două interfețe de rețea:
• 111.111.111.111 - emis de furnizor, caută pe Internet.
• 192.168.0.1 - atribuit de noi, se uită la centrul de service.
• OpenVPN Server (denumit în continuare OS) pe care vom instala OpenVPN cu o interfață virtuală și una fizică:
• 10.8.0.1 - adresa interfeței virtuale (interfața este instalată în timpul instalării programului OpenVPN). Adresa acestei interfețe este atribuită de program. Tu și cu mine nu ar trebui să schimbăm adresa de la gestionarea adaptoarelor de rețea.
• 192.168.0.2 - interfata fizica, parametrii sunt setati de noi, se uita la statia centrala.
• PC1 - calculator utilizator 1, cu interfata retea 192.168.0.3, arată la fel în SCO.

Consiliul Federației include:

• Gateway de internet (denumit în continuare ISH2) cu două interfețe de rețea:
• 222.222.222.222 - emis de furnizor, caută pe Internet.
• 192.168.1.2 - numit de noi, se uită la Consiliul Federației.
• OpenVPN Client (denumit în continuare OK) pe care vom instala OpenVPN cu o interfață virtuală și una fizică:
• 10.8.0.2 - adresa interfeței de rețea virtuală (interfața este instalată în timpul instalării programului OpenVPN). Adresa pentru această interfață este, de asemenea, atribuită de programul OpenVPN.
• 192.168.1.2 - interfața fizică, parametrii sunt stabiliți de noi, se uită la SF.
• PC2 - computerul utilizatorului 2, cu interfață de rețea 192.168.1.3, se uită la SF.

Configurarea unui server OpenVPN.

Acum să trecem la programul în sine, la elementele de bază și la caracteristicile configurației sale. OpenVPN este disponibil în versiunile Linux și Windows. Poti descarca pachet de instalare pe .

Procesul de instalare în sine nu va cauza probleme. Singurul lucru este să dezactivați antivirusul în timpul instalării pentru a evita probleme suplimentare. La momentul scrierii, de exemplu, produsele Kaspersky Lab nu blocau instalarea, ci doar ridicau suspiciuni cu privire la unele componente instalate.

În timpul procesului de instalare, pe sistem este instalat un adaptor de rețea virtuală. Adaptor TAP-Win32 V9și, în consecință, șoferul pentru aceasta. Programul OpenVPN va atribui acestei interfețe o adresă IP și o mască de rețea virtuală OpenVPN. În cazul nostru, i se atribuie adresa 10.8.0.1 cu o mască de 255.255.255.0 pe serverul OS și 10.8.0.2 cu o mască similară pe clientul OK.

Conform standardului, programul este instalat în C:\ProgramFiles\OpenVPN. În acest director ar trebui să creați imediat un folder suplimentar chei(aici vom stoca cheile de autentificare) folder ccd(aici vor fi configurațiile setărilor serverului pentru client).

În director C:\ProgramFiles\OpenVPN\sample-config sunt prezentate configurații standard. Configurațiile pe care le vom crea trebuie să fie plasate în director C:\Program Files\OpenVPN\config.

Configurarea OpenVPN începe cu generarea cheilor. Cheile generate sunt împărțite în:

• certificatul master CertificateAuthority (CA) și cheia utilizate pentru a semna fiecare certificat de server și client.
• cheile publice și private pentru server și fiecare (acest lucru este important) client separat.

Secvența de creare a cheilor este următoarea (numele certificatelor și fișierelor cheie sunt indicate în paranteze):

• Generăm certificatul principal CA (ca.crt) și cheia CA (ca.key).
• Generarea unei chei tls-auth (ta.key) pentru autentificarea pachetelor.

Să ne uităm la fiecare punct mai detaliat.

Generați certificatul CA principal și cheia CA:

Să mergem la Start - Run apelare cmd, faceți clic pe OK, accesați linia de comandă. Noi scriem:

Cd C:/Fișiere de program/OpenVPN/easy-rsa

Deci suntem în director uşor-rsa:

În timpul tuturor etapelor de generare a cheilor, trebuie să fii în ea. Executăm comanda:

Init-config

Fără a închide linia de comandă, să trecem la C:\ProgramFiles\OpenVpn\easy-rsași editați fișierul vars.bat, completând următorii parametri (indicând, desigur, datele dvs.):

KEY_COUNTRY=RF
KEY_PROVINCE=LU
KEY_CITY=Malinino
KEY_ORG =Organizare
[email protected]

Acum să creăm un certificat CA și o cheie CA. Deschidem linia de comandă, care a stat undeva pe desktop în tot acest timp și continuăm să introducem comenzile:

Vars
curata tot
construi-ca

Ultima comandă este cea care generează certificatul CA și cheia CA. În timpul procesului de creare a unei chei, vi se vor pune întrebări, la care puteți răspunde pur și simplu apăsând Enter"a (apoi valorile vor fi preluate din fișierul vars.bat pe care l-am editat mai sus) sau introduceți-le pe ale dvs. merită să fiți atenți la întrebarea:

Nume comun (de exemplu, numele dvs. sau numele de gazdă al serverului dvs.): OpenVPNS

Aici trebuie să specificați un nume pentru server - în exemplul am introdus OpenVPNS.

Generăm un certificat (server.crt) și o cheie (server.key) pentru server.

Fără a părăsi directorul, vom continua să introducem comenzi în linia noastră de comandă. Să generăm un certificat de server și o cheie cu comanda:

Build-cheie-server

Răspundem la întrebări în același mod ca în primul paragraf. La intrebare:

Nume comun *: server

Sa intram: Server. Pentru intrebari:

Semnează certificatul?

1 din 1 solicită certificat certificat, comite?

trebuie sa dai un raspuns pozitiv: Y.

Generăm un certificat (office1.crt) și o cheie (office1.key) pentru client.

Evident, pot fi mulți clienți, în exemplul nostru există doar unul - birou1. În funcție de numărul de clienți, următoarea comandă de pe linia de comandă este executată de mai multe ori și, de asemenea, se schimbă numele cheilor generate:

Build-key office1

dacă sunt necesare mai multe certificate și chei, să spunem pentru al doilea client, apoi introduceți:

Build-key office2

În procesul de răspuns la întrebări, nu uitați că fiecare client Denumirea comună ar trebui să primească un nume unic, de exemplu: office1, office2 etc.

Generarea parametrilor DiffieHellman (dh1024.pem).

Intrăm pe linia de comandă, îl găsim în același director easy-rsa:

Construire-dh

Generarea unei chei tls-auth (ta.key) pentru autentificarea pachetelor

La sfârșit, creăm o cheie pentru autentificarea tls cu comanda:

Openvpn --genkey --secret ta.key

Acum să ne dăm seama ce fișiere să lăsați pe server și pe care să le transferăm către client. Pe server (OC) doar următoarele fișiere ar trebui să fie în folderul chei pe care l-am creat:

• ca.crt
• ca.cheie
• dh1024.pem
• server.crt
• server.cheie
• ta.cheie

Pe clientul OK, similar cu serverul OS, vom crea și un folder de chei, ar trebui să existe:

• ca.crt
• office1.crt
• birou1.cheie
• ta.cheie

Toate fișierele cu extensia .key sunt secrete. Acestea ar trebui transmise numai prin canale securizate, de preferință pe medii fizice.

În continuare, să începem să creăm o configurație pentru serverul nostru de sistem de operare și clientul OK. În directorul de configurare, creați un fișier cu următorul nume și extensie: server.ovpn Deschideți-l cu notepad și începeți să scrieți configurația:

Selectați protocolul pentru transferul de date - în acest caz upd:

Proto udp

Port standard pentru OpenVPN:

Portul 1194

Modul de operare al programului este tunelul L3. În acest mod, routerul OpenVPN:

Mod client-server:

Tls-server

Această topologie este disponibilă din versiunea 2.1 și constă în faptul că fiecărui client i se atribuie 1 adresă, fără porturi de router virtual:

Subrețea topologie

Rutele sunt adăugate prin .exe - acest lucru este important:

Ruta-metoda exe

Întârzierea la adăugarea unei rute poate fi redusă la 5:

Întârziere traseu 10

Această opțiune specifică organizarea rețelei. Acum avem o rețea virtuală 10.8.0.0 /24. Prima adresă din această rețea, adică 10.8.0.1, este emisă către server, cele ulterioare (10.8.0.2, 10.8.0.3 etc.) către clienți. Serverul DHPC primește adresa 10.8.0.254:

Server 10.8.0.0 255.255.255.0

Setați gateway-ul în rețeaua openvpn:

Route-gateway 10.8.0.1

Directorul în care trebuie să plasăm fișierul cu numele clientului nostru, adică office1 fără extensie, iar în el să scriem comenzile care vor fi executate pe client:

Client-config-dir „C:\\Program Files\\OpenVPN\\ccd”

cert "C:\\Program Files\\OpenVPN\\keys\\server.crt"
tasta „C:\\Program Files\\OpenVPN\\keys\\server.key”
dh "C:\\Program Files\\OpenVPN\\keys\\dh1024.pem"
tls-auth „C:\\Program Files\\OpenVPN\\keys\\ta.key” 0

Setăm serverului OS o rută către întreaga rețea:

Traseul 10.8.0.0 255.255.255.0

Selectați metoda de compresie:

Cifrul BF-CBC

Setați compresia traficului:

Comp-lzo

OpenVPN raportează erorile de rețea necritice către sistemul de înregistrare a evenimentelor din program. În practică, acest lucru va reduce conținutul ferestrei de stare care apare la pornirea serverului OpenVPN:

Serverul face ping pe partea opusă cu un interval de 10 secunde și dacă partea nu răspunde în 60 de secunde, serverul va începe o reconectare:

Keepalive 5 60

Apoi, mergeți în directorul ccd și creați un fișier care va conține comenzile trimise clientului de pe server. Ar trebui să se numească la fel cum am numit însuși clientul, de exemplu birou1. Fișierul nu va avea extensie.

Îl edităm folosind notepad. Toți parametrii specificați mai jos vor fi transferați automat către client:

Setăm ip-ul și masca pentru biroul nostru client1:

Ifconfig-push 10.8.0.2 255.255.255.0

Îi trecem traseul pentru întreaga rețea:

Apăsați „route 10.8.0.0 255.255.255.0”

Am stabilit o poartă de acces pentru aceasta:

Apăsați „route-gateway 10.8.0.1”

Această comandă îi spune serverului OS că în spatele acestui client, și anume OK (office1), există o rețea 192.168.1.0:

Iroute 192.168.1.0 255.255.255.0

Astfel, am terminat de configurat serverul din partea sistemului de operare.

Configurarea clientului.

În continuare, să începem să schimbăm parametrii clientului. Să mergem la folderul OK de pe aparat config. Să creăm un fișier în el office1.ovpn Să începem să-l edităm o serie de opțiuni sunt similare cu cele de pe server, așa că nu le vom explica:

Melodia dezvoltatorului
proto udp
portul 1194

Indicăm adresa externă a ISH1:

Telecomanda 111.111.111.111

Clientul va lucra în modul TLS-client:

Tls-client

Această opțiune protejează împotriva falsificării serverului de către o terță parte:

Serverul Remote-cert-tls

Aceste opțiuni sunt similare cu serverul:

Ruta-metoda exe
traseu-întârziere 10

Setați ruta către rețea 192.168.0.0:

Cu această comandă permitem primirea configurației clientului de la server:

Căi către chei:

Ca „C:\\Fișiere de program\\OpenVPN\\keys\\ca.crt”
cert „C:\\Program Files\\OpenVPN\\keys\\office1.crt”
tasta „C:\\Program Files\\OpenVPN\\keys\\office1.key”
tls-auth „C:\\Program Files\\OpenVPN\\keys\\ta.key” 1

Opțiunile rămase sunt, de asemenea, similare cu serverul:

Cifrul BF-CBC
comp-lzo
verb 1
menține în viață 5 60

Aceasta finalizează configurarea programului pe partea client OK.

Configurare și rutare firewall.

Și așa, am configurat configurații pentru OK și OS. Acum să aruncăm o privire mai atentă Puncte importante. Să facem o rezervare în avans dacă utilizați KIS 2011 sau similar programe antivirus, apoi în setările firewall-ului ar trebui să permiteți trecerea pachetelor ICMP. Acest lucru ne va permite să facem ping fără probleme gazdelor din rețelele noastre.

De asemenea, merită să adăugăm interfata virtuala Programele OpenVPN la lista de rețele de încredere.

Pe ISH1 trebuie efectuate următoarele acțiuni:

• Redirecționarea configurată a portului 1194 al protocolului UDP de la interfața 111.111.111.111 la interfața serverului OS 192.168.0.2
• Firewall-ul trebuie să permită transmiterea pe portul 1194 al protocolului UDP, altfel ping-ul nu va trece nici măcar între OS și OK.

La IS2, trebuie întreprinse acțiuni similare:

• Configurați redirecționarea portului 1194 al protocolului UDP de la interfața 222.222.222.222 la interfața client OK 192.168.1.2
• Verificați dacă portul UDP 1194 este deschis în firewall.

În Usergate 5.2, de exemplu, configurarea redirecționării pachetelor pe portul 1194 al protocolului UDP arată astfel:

În această etapă, trimitem deja ping OK și OS la adresele lor OpenVPN, adică 10.8.0.1 și 10.8.0.2. În continuare, trebuie să asigurăm ruta corectă a pachetelor de la clientul OK la rețeaua de la distanță 192.168.0.0. Facem acest lucru într-unul din mai multe moduri:

Sau setăm o rută permanentă către această rețea pe clientul OK însuși:

Ruta -p adauga 192.168.0.0 masca 255.255.255.0 10.8.0.1

Sau setăm această rută în configurația ccd a clientului către server și anume în fișierul office1 adăugăm:

Apăsați „route 192.168.0.0 255.255.255.0”

Acest lucru se poate face și prin adăugarea unei linii direct la configurația clientului OK:

Traseul 192.168.0.0 255.255.255.0

Apoi, trebuie să furnizați o rută pentru pachete de la serverul OS la rețeaua de la distanță 192.168.1.0. Acest lucru se face în mod similar cu opțiunea de mai sus, cu câteva excepții.

Adăugați comanda la configurația serverului OS:

Traseu 192.168.1.0 255.255.255.0 10.8.0.2

sau adăugați comanda direct pe linia de comandă:

Ruta -p adauga 192.168.1.0 masca 255.255.255.0 10.8.0.2

De asemenea, este necesar să activați serviciul în serviciile de pe serverul OS și clientul OK Rutare și acces la distanță, oferind astfel rutare către rețeaua internă(redirecționare). Fără aceasta, adresele interne din rețelele SCO și SF ale clientului OK și ale serverului OS nu vor face ping.

În această etapă, putem deja ping liber adresele interne ale sistemului nostru de operare și OK, adică. tastând ping 192.168.1.2 pe serverul OS și OK ping 192.168.0.2 pe client, primim rezultat pozitiv la fel de:

Astfel, OK și OS fac ping reciproc folosind OpenVPN și adresele interne SCO și SF. Apoi, trebuie să înregistrăm ruta pe linia de comandă către rețeaua 10.8.0.0 pe PC-ul nostru 1 și PC2. Acest lucru se face cu următoarele comenzi:

Ruta -p adauga 192.168.1.0 masca 255.255.255.0 192.168.0.2

Ruta -p adauga 192.168.0.0 masca 255.255.255.0 192.168.1.2

Ca urmare, resursele partajate din PC1 și PC2 vor fi disponibile la adresa lor de intranet:

• Etichete:

Vă rugăm să activați JavaScript pentru a vizualiza

Recent, în lumea telecomunicațiilor a crescut interesul pentru rețele private virtuale (Rețea privată virtuală - VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative prin conectarea mai ieftină a birourilor de la distanță și a utilizatorilor la distanță prin Internet. Într-adevăr, când comparăm costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele Frame Relay, puteți observa o diferență semnificativă de cost. Cu toate acestea, trebuie menționat că la conectarea rețelelor prin Internet se pune imediat problema securității transmisiei de date, așa că a devenit necesară crearea unor mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN.

În plus, de foarte multe ori o persoană modernă, care își dezvoltă afacerea, trebuie să călătorească mult. Acestea ar putea fi excursii în colțuri îndepărtate ale țării noastre sau în țări străine. Adesea, oamenii au nevoie de acces la informațiile lor stocate pe computerul de acasă sau al companiei. Această problemă poate fi rezolvată prin organizarea accesului de la distanță la acesta folosind un modem și o linie telefonică. Utilizarea unei linii telefonice are propriile sale caracteristici. Dezavantajele acestei soluții sunt că apelul din altă țară costă foarte mulți bani. Există o altă soluție numită VPN. Avantajele tehnologiei VPN sunt că accesul la distanță este organizat nu printr-o linie telefonică, ci prin Internet, care este mult mai ieftin și mai bun. După părerea mea, tehnologia

VPN-ul are potențialul de a deveni răspândit în întreaga lume.

1. Concept și clasificare Rețele VPN, construcția lor

1.1 Ce este un VPN

VPN(Engleză) Virtual Privat Reţea– rețea privată virtuală) este o rețea logică creată deasupra unei alte rețele, cum ar fi Internetul. În ciuda faptului că comunicațiile sunt efectuate prin rețele publice folosind protocoale nesigure, criptarea creează canale de schimb de informații care sunt închise pentru cei din afară. VPN vă permite să combinați, de exemplu, mai multe birouri ale unei organizații într-o singură rețea folosind canale necontrolate pentru comunicarea între ele.

În esență, un VPN are multe dintre aceleași proprietăți ca o linie închiriată, dar este implementat într-o rețea publică, cum ar fi Internetul. Cu tehnica tunelului, pachetele de date sunt difuzate prin rețeaua publică ca și cum ar fi o conexiune normală punct la punct. Se stabilește un fel de tunel între fiecare pereche emițător-receptor de date - o conexiune logică securizată care permite ca datele dintr-un protocol să fie încapsulate în pachete ale altuia. Principalele componente ale tunelului sunt:

· initiator

· rețea direcționată;

· comutator de tunel;

· unul sau mai multe terminatoare de tunel.

Principiul funcționării VPN în sine nu contrazice tehnologiile și protocoalele de bază ale rețelei. De exemplu, atunci când se stabilește o conexiune de acces la distanță, clientul trimite un flux de pachete de protocol PPP standard către server. În cazul organizării de linii virtuale închiriate între rețelele locale, routerele acestora schimbă și pachete PPP. Cu toate acestea, un aspect fundamental nou este transmiterea pachetelor printr-un tunel securizat organizat într-o rețea publică.

Tunnelarea vă permite să organizați transmiterea pachetelor din acestea

protocol într-un mediu logic folosind un alt protocol. Ca urmare, devine posibilă rezolvarea problemelor de interacțiune între mai multe tipuri diferite de rețele, începând cu necesitatea asigurării integrității și confidențialității datelor transmise și terminând cu depășirea neconcordanțelor din protocoalele externe sau schemele de adresare.

Infrastructura de rețea existentă a unei corporații poate fi pregătită pentru utilizarea VPN folosind software sau hardware. Configurarea unei rețele private virtuale poate fi comparată cu așezarea unui cablu într-o rețea globală. De obicei, o conexiune directă între un utilizator de la distanță și un dispozitiv terminal de tunel este stabilită folosind protocolul PPP.

Cea mai comună metodă de creare a tunelurilor VPN este încapsularea protocoalelor de rețea (IP, IPX, AppleTalk etc.) în PPP și apoi încapsularea pachetelor rezultate într-un protocol de tunel. De obicei, acesta din urmă este IP sau (mult mai rar) ATM și Frame Relay. Această abordare se numește tunel de nivel al doilea, deoarece „pasagerul” aici este protocolul de nivel al doilea.

O abordare alternativă este încapsularea pachetelor de protocol de rețea direct într-un protocol de tunel (cum ar fi VTP), numit tunelizare Layer 3.

Indiferent ce protocoale sunt folosite sau ce scopuri

urmarit la organizarea unui tunel ramane tehnica de baza

practic neschimbat. În mod obișnuit, un protocol este utilizat pentru a stabili o conexiune cu un nod la distanță, iar altul este utilizat pentru a încapsula date și informații de serviciu pentru transmiterea prin tunel.

1.2 Clasificarea rețelelor VPN

Soluțiile VPN pot fi clasificate în funcție de mai mulți parametri principali:

1. După tipul de mediu utilizat:

· Protejat VPN retelelor. Cea mai comună versiune a rețelelor private private. Cu ajutorul acestuia, este posibil să se creeze o subrețea fiabilă și sigură bazată pe o rețea nesigură, de obicei Internet. Exemple de VPN-uri securizate sunt: ​​IPSec, OpenVPN și PPTP.

· De încredere VPN retelelor. Ele sunt utilizate în cazurile în care mediul de transmisie poate fi considerat fiabil și este necesară doar rezolvarea problemei creării unei subrețele virtuale în cadrul unei rețele mai mari. Problemele de securitate devin irelevante. Exemple de astfel de soluții VPN sunt: ​​MPLS și L2TP. Ar fi mai corect să spunem că aceste protocoale schimbă sarcina de a oferi securitate altora, de exemplu L2TP, de regulă, este utilizat împreună cu IPSec.

2. După modalitatea de implementare :

· VPN rețele sub formă de software și hardware special. Implementarea unei rețele VPN se realizează folosind un set special de software și hardware. Această implementare oferă performanțe ridicate și, de regulă, un grad ridicat de securitate.

· VPN rețele sub forma unei soluții software. Ei folosesc un computer personal cu software special care oferă funcționalitate VPN.

· VPN rețele cu o soluție integrată. Funcționalitatea VPN este asigurată de un complex care rezolvă și problemele de filtrare a traficului de rețea, organizarea unui firewall și asigurarea calității serviciului.

3. După scop:

· VPN pentru intranet. Acestea sunt folosite pentru a uni mai multe ramuri distribuite ale unei organizații într-o singură rețea securizată, schimbând date prin canale de comunicare deschise.

· Remote Access VPN. Acestea sunt folosite pentru a crea un canal securizat între un segment de rețea corporativă (birou central sau sucursală) și un singur utilizator care, lucrând acasă, se conectează la resurse corporative de pe un computer de acasă sau, în timpul unei călătorii de afaceri, se conectează la resursele corporative folosind un laptop.

· VPN extranet. Folosit pentru rețelele la care utilizatorii „externi” (de exemplu, clienții sau clienții) se conectează. Nivelul de încredere în ei este mult mai scăzut decât în ​​angajații companiei, așa că este necesar să se asigure „linii” speciale de protecție care să împiedice sau să limiteze accesul acestora din urmă la informații deosebit de valoroase, confidențiale.

4. După tipul de protocol:

Există implementări de rețele private virtuale sub TCP/IP, IPXȘi AppleTalk. Dar astăzi există o tendință spre o tranziție universală la protocol TCP/IP, iar marea majoritate a soluțiilor VPN îl acceptă.

5. După nivelul protocolului de rețea:

Prin stratul de protocol de rețea bazat pe comparație cu straturile modelului de rețea de referință ISO/OSI.

1.3. Construirea unui VPN

Există diferite opțiuni pentru construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță ai constructorilor VPN. De exemplu, dacă un router rulează deja la limita puterii procesorului său, atunci adăugarea de tuneluri VPN și aplicarea de criptare/decriptare a informațiilor poate opri întreaga rețea din cauza faptului că routerul nu va putea face față unui trafic simplu, darămite un VPN. Experiența arată că cel mai bine este să folosiți echipamente specializate pentru a construi un VPN, dar dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software. Să ne uităm la câteva opțiuni pentru construirea unui VPN.

· VPN bazat pe firewall

Majoritatea furnizorilor de firewall acceptă tunelarea și criptarea datelor. Toate astfel de produse se bazează pe faptul că traficul care trece prin firewall este criptat. Un modul de criptare este adăugat la software-ul firewall în sine. Dezavantajul acestei metode este că performanța depinde de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, trebuie să vă amintiți că o astfel de soluție poate fi utilizată numai pentru rețele mici cu o cantitate mică de informații transmise.

Un exemplu de VPN bazat pe firewall este FireWall-1 de la Check Point Software Technologies. FairWall-1 este folosit pentru a construi un VPN abordare standard bazat pe IPSec. Traficul care intră în firewall este decriptat și se aplică regulile standard de control al accesului. FireWall-1 rulează sub sistemele de operare Solaris și Windows NT 4.0.

· VPN bazat pe router

O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare acestui router.