Главная › Интересное › Виртуальные частные сети (vpn). VPN-клиенты и их настройка. Что такое VPN

Виртуальные частные сети (vpn). VPN-клиенты и их настройка. Что такое VPN

Геннадий Махметов

Многие читали или слышали название «виртуальные частные сети» (VPN). Но многие либо не знают, что «это» такое, либо думают, что «это» - не для них, потому что «это» стоит очень дорого. На самом деле простейшую виртуальную частную сеть достаточно легко может создать даже небольшая фирма. При этом безопасность будет поднята на недостижимый другими средствами уровень. Такую возможность предоставляет наличие высококачественных свободно распространяемых продуктов. Для фирм, которые могут потратить деньги на обеспечение безопасности и для которых безопасность является настолько важной, чтобы потратить на нее деньги, на рынке сейчас предлагается большое количество продуктов. Для того чтобы понять, что может принести установка VPN, желательно иметь представление о том, что же такое VPN.

Как и за всяким «умным» названием, за названием «виртуальные частные сети» стоит совсем простая идея. Представим себе предприятие, имеющее несколько территориально отдаленных филиалов, складов, офисов, цехов. Сейчас подавляющее большинство организаций использует компьютерные сети для ведения учета и управления. Рано или поздно у них возникает необходимость объединить разрозненные филиалы в единую сеть. Сделать это достаточно просто: вы берете телефонные линии, ставите модемы в каждом филиале, и по мере необходимости связь организуется. Существует программное обеспечение, которое позволяет производить соединение автоматически по мере необходимости. Не всем организациям, однако, достаточно такой связи - некоторым нужна постоянная связь, некоторым - большая пропускная способность. И это не проблема - вы прокладываете кабель между филиалами и используете их для передачи информации (рис. 1).

Собственные каналы связи между подразделениями организации обеспечивают наилучший эффект - наибольшую пропускную способность, постоянное соединение. Чего же лучше? К сожалению, не многие фирмы могут позволить себе иметь связь по собственным каналам, особенно если подразделения фирмы территориально расположены далеко (например, офис находится в Москве, а производственные объекты раскиданы по всей Сибири). Более дешевой альтернативой выделенных каналов является подключение всех филиалов фирмы через Интернет (рис. 2). В этом случае решаются многие проблемы - филиалы могут располагаться где угодно по всему миру; те офисы, которые нуждаются в выделенных каналах, могут иметь их, остальные могут иметь выход в Интернет, используя телефонную связь. Появление IP-телефонии, дающей возможность телефонных разговоров через Интернет, делает такое решение еще более привлекательным.

Все было бы хорошо, но подключение к Интернету имеет и свои негативные последствия. Во-первых, вы открываете свою сеть возможным атакам со стороны различных взломщиков со всего мира - ведь Интернет - Всемирная сеть. Во-вторых, по Интернету все данные предаются в открытом виде, и, приложив достаточно усилий (не так уж и много), ваши недоброжелатели могут быть в курсе ваших дел. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Взломщик может нарушить целостность ваших баз данных, замаскировавшись в сети под один из ваших филиалов. Если все это представляет для вас реальную угрозу, а вам очень надо передавать свои данные через Интернет, виртуальные частные сети - это для вас.

Виртуальная частная сеть строится на основе использования криптографических протоколов.

Использование криптографии позволяет достичь нескольких целей, одновременно или по отдельности:

Скрыть информацию, передаваемую по сети от любопытных глаз. Это наиболее известное и понятное использование криптографии - данные на одном конце преобразуются так, чтобы только тот, кому они предназначены, мог их понять и прочитать.
Убедиться, что информация послана именно тем, кто обозначен отправителем в пакете. Обеспечить неизменность информации в процессе передачи. Действительно, что толку, если никто не знает, какая информация передается по сети, если при желании злоумышленник может подделать посылку и от имени клиента предложить банку произвести платеж или, перехватив запрос клиента, изменить сумму или адресата платежа.
Предотвратить повторное использование информации. Действительно, представим, что некто произвел платеж, использовав мобильный компьютер. Никто не может прочитать запрос на платеж, никто не может подделать платежное поручение, но, сделав копию информации и послав ее второй и третий раз, можно заставить банк произвести платеж второй, третий раз.

Конечно, и сейчас в сетях эти проблемы решаются. Создание VPN позволяет перенести решение части этих проблем с прикладных программ на уровень сетевого взаимодействия, создать единую точку контроля или же просто дополнить уже существующие средства, существенно увеличить их эффективность.

Здесь следует заметить, что использование технологий шифрования почти во всех странах регулируется законом. Так, в США существует закон, ограничивающий экспорт компьютерных продуктов, использующих сильные алгоритмы шифрования. Не является исключением и Россия. Российские законы достаточно запутанны, и поэтому, прежде чем использовать средства криптографии, лучше всего посоветоваться с экспертом-юристом. Очевидно, что каждый может использовать криптографические схемы, которые не скрывают информацию (то есть реализуют пункты 2, 3) без получения каких-либо лицензий.

Построить виртуальную частную сеть можно огромным числом способов, одно перечисление которых заняло бы достаточно много места. Так, пользователи UNIX давно используют для этих целей комбинацию ssh и ppp. Однако по-настоящему интерес представляют, конечно, стандартные решения. В настоящее время широко известны следующие из них:

PPTP (Point-to-Point Tunneling Protocol), разработанный совместно Microsoft, 3Com и Asced Communications. Этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.
L2F (Layer-2 Forwarding) - разработка фирмы Cisco.
L2TP (Layer-2 Tunneling Protocol) - разрабатываемый и продвигаемый официальный стандарт Интернет.
SKIP (Simple Key-management for Internet Protocols) - разработка фирмы Sun.
IPsec (Inernet Protocol Security) - официальный стандарт Интернет.

Первые три из перечисленных протоколов ориентированы в первую очередь на мобильных пользователей и не будут рассматриваться в этой статье.

Стандартом для Интернета является набор протоколов IPsec. Согласно стандарту все устройства, работающие с новым IP-протоколом IPv6, обязаны поддерживать IPsec.

В режиме построения VPN (режиме туннелирования) IPsec обеспечивает безопасность связи в Интернете «упаковкой» IP-пакета в новый IP-пакет с применением к нему различных преобразований - шифрации и электронных подписей (рис. 3). Дело в том, что передача данных в Интернете похожа на передачу информации на почтовых открытках без конверта - каждый заинтересованный почтовый работник может прочитать и даже добавить что-нибудь на эту открытку. Любой человек может послать открытку от имени другого человека. Упаковка IP-пакета в другой IP-пакет с применением средств криптографии похожа на упаковку открытки в конверт, его запечатывание и подписывание. Таким образом, вы можете гарантировать, что никто не читал информацию в конверте, никто не изменил информацию в нем, а подпись на конверте гарантирует личность отправителя.

В зависимости от требований к VPN используется два вида заголовков, и, соответственно, предоставляется два режима функциональности протокола. В одном случае ESP (Encapsulating Security Payload) предоставляется возможность передавать зашифрованные данные, электронно подписывать передаваемые данные и включать в заголовок специальный счетчик - число, которое увеличивается на 1 в каждом новом пакете, предотвращая повторное использование данных. Таким образом, обеспечивается секретность, неизменность предаваемых данных, невозможность их повторного использования и подтверждается личность их отправителя. Причем можно использовать все эти возможности как одновременно, так и по отдельности. Во втором случае AH (Authentication Header) позволяет включать электронную подпись всего пакета и счетчик. Таким образом, гарантируется все то, что обеспечивает ESP, кроме секретности. Но AH обеспечивает электронную подпись всего пакета, в том числе и внешнего IP-заголовка (адреса и другие надписи на конверте), в то время как ESP защищает только упакованный пакет. При необходимости эти два заголовка могут использоваться совместно, что применяется в случае, когда необходимо и обеспечить секретность данных, и гарантировать целостность всего пакета.

Для того чтобы два устройства могли обмениваться информацией с использованием шифрованных и подписанных данных, им необходимо знать ключ к шифру, который используется при передаче, а также ключ к электронным подписям. Вопрос обмена ключами вообще является одним из важнейших в любой системе, использующей криптографические методы защиты данных. Очевидно, что, как бы ни был силен протокол, если злоумышленник имеет возможность украсть или подменить ключи - все насмарку. Подобное положение можно сравнить со следующей бытовой ситуацией: кто-то поставил мощную входную дверь, но позволил кому угодно делать от нее копии ключей. Конечно, эта дверь ему не поможет. Другим требованием является достаточно частая смена ключа и ограничение на количество данных, которые могут быть переданы с использованием одного и того же ключа. Это ограничение связано с тем, что чем больше данных, зашифрованных одним ключом, и чем больше времени имеет злоумышленник, тем легче ему «сломать» шифр. Поэтому обмен ключами - одна из важнейших частей стандартов. И именно поэтому данные, которыми обмениваются устройства, шифруются так называемым ключом сессии - случайно выбранным числом, о котором стороны «договариваются» в начале обмена.

В IPsec не установлено единственного стандартного способа распределения ключей. Определено, что обязательно должны поддерживаться ручное распределение ключей и специальный протокол - IKE (Internet Key Exchange). Каждый поставщик вправе дополнить этот набор собственными протоколами обмена ключами, однако стандартные обязаны присутствовать.

Ручное распределение ключей - очень простая процедура: на дискете (или любом другом носителе) приносится информация и вносится в компьютер. Все просто. Но ключи надо менять. В некоторых ситуациях их меняют достаточно часто - например каждый час. Носить их каждый раз на дискете становится затруднительно. Можно, конечно, сгенерировать множество ключей (на целый год), разнести их один раз по всем филиалам и регулярно менять. Вообще говоря, это - не плохое решение. Возникает, правда, проблема синхронной смены ключа. Кроме того, этот метод годится только при небольшом количестве сторон, участвующих в обмене; при увеличении их количества неизбежно где-нибудь возникнет путаница. Исходя из этих соображений для распределения ключей были разработаны протоколы обмена ключами. Одним из подобных протоколов и является IKE.

IKE-протокол позволяет устройствам договориться о большинстве параметров, которые будут использованы в процессе обмена информацией, об алгоритме шифрования, о ключах. IKE достаточно сложен. Он заключается в обмене сообщениями, который должны осуществить стороны, прежде чем смогут обмениваться информацией в безопасном режиме. В ходе этой сессии стороны сначала обмениваются сообщениями, подтверждающими их личность. Определено несколько способов удостовериться, с кем мы имеем дело. Все они основаны на использовании криптографических методов. Используются электронные подписи на основе использования либо общих ключей (симметричные алгоритмы), либо секретных и публичных ключей (несимметричные алгоритмы).

При использовании симметричных алгоритмов обменивающиеся стороны знают один общий ключ. Cами по себе ключи никогда не посылаются по сети. Вместо этого ключ используется для электронной подписи случайного числа. После этого само число и подпись посылается собеседнику. Зная совместный ключ и случайное число, собеседник может вычислить электронную подпись. Если полученная подпись совпадает с присланной - значит, отправитель тот, за кого он себя выдает. Алгоритм, по которому вычисляется подпись в стандарте, жестко не зафиксирован, но определено, что должны поддерживаться как минимум MD5 и SHA. На каждую пару устройств в этом случае необходим один ключ. Например, если устройство осуществляет обмен с сотней других устройств, ему необходимо сто ключей. И опять же велика возможность путаницы при конфигурации. Конечно, в этом случае удобнее использовать электронную подпись с несимметричной криптографией.

При использовании электронной подписи каждое устройство имеет два ключа - секретный и публичный. Эти ключи рассчитываются по специальному алгоритму и взаимосвязаны. Секретный ключ известен только владельцу, публичный ключ может распространяться свободно. Существует как минимум две различные схемы с асимметричными ключами. В одном (алгоритм RSA) сообщение, зашифрованное секретным ключом, можно расшифровать, только используя соответствующий публичный ключ, и наоборот. Таким образом, если известное сообщение правильно расшифровывается публичным ключом, значит, автор сообщения - владелец этого ключа. В другом (алгоритм Diffie-Hellman) секретный ключ отправителя и публичный ключ получателя используются для вычисления так называемого взаимного ключа. Оказывается, что тот же самый взаимный ключ можно вычислить, зная секретный ключ получателя и публичный ключ отправителя. Таким образом, взаимный ключ можно вычислить, только зная одну из пар - секретный ключ отправителя и публичный ключ получателя или секретный ключ получателя и публичный ключ отправителя. А поскольку секретный ключ знает только его владелец (так должно быть!), только получатель и отправитель могут знать взаимный ключ. Руководствуясь этим фактом, получатель может быть уверен, что отправитель сообщения, зашифрованного взаимным ключом, - именно тот, за кого он себя выдает. Очевидно, в случае использования несимметричных алгоритмов шифрования каждому устройству необходима только пара ключей - независимо от числа собеседников. В стандарте и для этого случая также отсутствует жесткая фиксация конкретного алгоритма. Определено только, что реализация обязательно должна поддерживать алгоритм Diffie-Hellman.

Все эти методы требуют наличия предварительного знания некоторого ключа, который и используется для подтверждения личности. Но поскольку этим ключом шифруют очень мало информации, его можно менять намного реже (период действия ключа может составлять месяцы и даже годы). Предварительный обмен подтверждениями личности предотвращает возможность злоумышленнику подсунуть свой ключ и «взломать» систему.

Установив личность собеседника, устройства обмениваются предложениями по различным параметрам - алгоритмам шифрования, ключам сессии. Ключи сессии - временные и могут меняться достаточно часто. После того как договоренность достигнута, можно начинать передачу информации. Конечно, процедура обмена ключами занимает время, и, пока она не завершена, ни один пакет с данными не может быть передан между устройствами в безопасном режиме. В неблагоприятных случаях задержка, вызванная необходимостью предварительного открытия сессии, может составить несколько секунд, а в случае одновременного открытия многих сессий (например, в начале рабочего дня, после перезапуска системы) - и больше.

Несколько иначе подошли к обмену ключами разработчики протокола SKIP. SKIP (акроним от Simple Key-management for Internet Protocols - «простой протокол обмена ключами для Интернета») - разработка фирмы Sun и предназначен, как это следует из названия, для обмена ключами. Этот протокол может быть использован как совместно с IPsec вместе с другими протоколами, так и самостоятельно. Именно поэтому о нем и говорится как об отдельном протоколе.

При использовании SKIP ключ, необходимый для расшифровки сообщения (ключ сессии), содержится в самом пакете, в заголовке SKIP (рис. 4). Для того чтобы пакет мог быть расшифрован только адресатом, этот ключ, в свою очередь, зашифрован. Алгоритм и ключ шифрования выбран так, чтобы его легко можно было вычислить без предварительного обмена. Для вычисления взаимного ключа используется уже упоминавшийся алгоритм Diffie-Hellman (взаимный ключ рассчитывается из секретного ключа отправителя и публичного ключа получателя или публичного ключа отправителя и секретного ключа получателя). Но и этот ключ для шифрования непосредственно не используется. Он используется совместно с некоторым числом-счетчиком для получения другого ключа. Для этого с взаимным ключом и счетчиком производится математическая операция по алгоритму MD5, дающая новый ключ. Именно этим ключом и производится шифровка ключа сессии. Значение счетчика также передается вместе с пакетом. Таким образом, вся информация, необходимая для расшифровки данных в пакете, содержится в заголовке пакета, и не требуется никакой предварительный обмен (кроме, конечно, знания соответствующих секретного и публичного ключа). Такая трехступенчатая схема позволяет менять ключи сессии достаточно часто. Ключ сессии может быть различным в разных пакетах, передаваемых по сети, - более частой смены представить себе трудно. Кроме того, наличие равномерно возрастающего счетчика позволяет избежать повторного использования шифрованного пакета. Очевидно, что SKIP существенно проще, чем IKE, хотя и менее гибок.

Как уже говорилось, SKIP может быть использован как с IPsec, так и без него. При использовании SKIP без IPsec IP-пакет, предназначенный для передачи, шифруется и упаковывается в новый IP-пакет. Новый IP-пакет содержит заголовок SKIP, в котором, как мы уже упоминали, содержится вся информация, необходимая для расшифровки упакованного пакета (рис. 5). В случае совместного использования SKIP и IPsec пакет-конверт содержит два заголовка - IPsec-заголовок и SKIP-заголовок. В заголовке SKIP передается ключ, а в заголовке IPsec передается дополнительная информация, требуемая для правильной расшифровки и обработки упакованного пакета.

В настоящее время на рынке много продуктов для построения VPN. Часть из них способна реализовывать IPsec с IKE, часть - со SKIP, некоторые - SKIP без IPsec. Некоторые включают поддержку и того и другого.

Кроме чисто технических соображений, при выборе того или иного протокола важно и наличие на рынке продуктов, реализующих этот протокол, их качество.

Хотя SKIP - разработка фирмы Sun, многие поставщики сетевого оборудования и операционных систем включают в свои продукты поддержку SKIP. В настоящее время SKIP доступен для Solaris, Sun OS, FreeBSD и Linux. При активном участии российской фирмы Elvis+ были созданы версии для Windows NT, Windows 98. Поскольку SKIP относительно прост и продукты на его основе выпускаются уже далеко не первый год, можно смело утверждать, что это достаточно зрелый, развитый протокол. Современный компьютер Pentium под управлением Solaris вполне может удовлетворить потребности достаточно большой организации, тем более что производительность все равно будет ограничена пропускной способностью внешнего канала. А компьютеры под управлением Windows 98 вполне могут обмениваться шифрованными сообщениями внутри организации, если существует такая потребность. Некоторая негибкость протокола компенсируется его простотой, и, скорее всего, у вас не возникнет проблем несовместимости продуктов разных поставщиков.

Продукты, реализующие протоколы IPsec и IKE, появляются на рынке все чаще и чаще. Сейчас, кажется, все ведущие производители объявили о выпуске реализаций стандарта. Доступны они и для свободно распространяемых систем Linux, OpenBSD. При этом OpenBSD содержит поддержку этого стандарта в базовой конфигурации. Любой желающий может установить OpenBSD, «скачав» его с одного из многочисленных ftp-серверов.

Однако, на мой взгляд, IKE еще достаточно молод; он все еще развивается. Это может привести к некоторой несовместимости между продуктами различных поставщиков. Кроме того, сложность самого протокола влечет за собой сложность его реализации и, следовательно, может привести к появлению ошибок. Тем не менее гибкость этого протокола делает его исключительно привлекательным.

Окончательное же решение, конечно, зависит от ваших потребностей.

В заключение хочется сказать, что, если ваша компания имеет несколько подразделений, удаленных географически и вам необходимо организовать обмен информацией между ними через Интернет, или если у вас есть пользователи, использующие Интернет для удаленного доступа к вашей сети и вы хоть немного заботитесь о безопасности вашей сети вам имеет смысл подумать об установке VPN в вашей организации. Тем более что сегодня доступно огромное количество высококачественных продуктов - от свободно распространяемых до полных комплексных коммерческих решений. Напомню также, что VPN без закрытия данных (только с подтверждением личности отправителя и целостности пакета) может быть установлена без всяких лицензий.

КомпьютерПресс 2"2000

Виртуальная частная сеть

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол - Ethernet (провайдерами «последней мили» для предоставления выхода в Интернет .

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

Структура VPN

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера . Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации , а затем процесса аутентификации . После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации .

Классификация VPN

Классифицировать VPN решения можно по нескольким основным параметрам:

По типу используемой среды

Защищённые

Наиболее распространённый вариант виртуальных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec , PPTP.

Доверительные

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: Multi-protocol label switching (L2TP (Layer 2 Tunnelling Protocol). (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации

В виде специального программно-аппаратного обеспечения

Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

В виде программного решения

Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

Интегрированное решение

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению

Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративнoго ноутбука , смартфона или интернет-киоскa.

Extranet VPN

Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

Internet VPN

Используется для предоставления доступа к интернету провайдерами .

Client/Server VPN

Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

По типу протокола

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

По уровню сетевого протокола

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Примеры VPN

Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.

Литература

Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. - М.: КУДИЦ-ОБРАЗ, 2001. - 368 с.
Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Питер, 2000. - 704 с.
Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. - СПб.: Питер, 2001. - 672 с.
Романец Ю. В.. Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. 2-е изд. - М: Радио и связь, 2002. −328 с.
Столлингс В. Основы защиты сетей. Приложения и стандарты = Network Security Essentials. Applications and Standards. - М.: «Вильямс» , 2002. - С. 432. - ISBN 0-13-016093-8
Продукты для виртуальных частных сетей [Электронный документ] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
Анита Карве Реальные виртуальные возможности // LAN. - 1999.- № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
Linux’s answer to MS-PPTP [Электронный документ] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
Джоул Снайдер VPN: поделенный рынок // Сети. - 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
VPN Primer [Электронный документ] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
PKI или PGP? [Электронный документ] / Наталья Сергеева. - http://www.citforum.ru/security/cryptography/pki_pgp/
IPSec - протокол защиты сетевого трафика на IP-уровне [Электронный документ] / Станислав Коротыгин. - http://www.ixbt.com/comm/ipsecure.shtml
OpenVPN FAQ [Электронный документ] - http://openvpn.net/faq.html
Назначение и структура алгоритмов шифрования [Электронный документ] / Панасенко Сергей. - http://www.ixbt.com/soft/alg-encryption.shtml
О современной криптографии [Электронный документ] / В. М. Сидельников. - http://www.citforum.ru/security/cryptography/crypto/
Введение в криптографию / Под ред. В. В. Ященко. - М.: МЦНМО, 2000. - 288 с http://www.citforum.ru/security/cryptography/yaschenko/
Подводные камни безопасности в криптографии [Электронный документ] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
IPSec: панацея или вынужденная мера? [Электронный документ] / Евгений Патий. - http://citforum.ru/security/articles/ipsec_standard/
VPN и IPSec на пальцах [Электронный документ] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
A Framework for IP Based Virtual Private Networks [Электронный документ] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
OpenVPN and the SSL VPN Revolution [Электронный документ] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
Маркус Файльнер Виртуальные частные сети нового поколения // LAN.- 2005.- № 11
Что такое SSL [Электронный документ] / Максим Дрогайцев. - http://www.ods.com.ua/win/rus/security/ssl.html
Cryptanalysis of Microsoft’s PPTP Authentication Extensions (MS-CHAPv2) [Электронный документ] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
Point to Point Tunneling Protocol (PPTP) Technical Specifications [Электронный документ] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
Райан Норманн Выбираем протокол VPN // Windows IT Pro. - 2001. - № 7 http://www.osp.ru/win2000/2001/07/010.htm
MPLS: новый порядок в сетях IP? [Электронный документ] / Том Нолле. - http://www.emanual.ru/get/3651/
Layer Two Tunneling Protocol «L2TP» [Электронный документ] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
Алексей Лукацкий Неизвестная VPN // Компьютер Пресс.- 2001.- № 10 http://abn.ru/inf/compress/network4.shtml
Первый кирпич в стене VPN Обзор устройств VPN начального уровня [Электронный документ] / Валерий Лукин. - http://www.ixbt.com/comm/vpn1.shtml
Обзор оборудования VPN [Электронный документ] - http://www.networkaccess.ru/articles/security/vpn_hardware/
Pure hardware VPNs rule high-availability tests [Электронный документ] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
VPN: Type of VPN [Электронный документ] - http://www.vpn-guide.com/type_of_vpn.htm
KAME FAQ [Электронный документ] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
Особенности российского рынка VPN [Электронный документ] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
Отечественные средства построения виртуальных частных сетей [?] / И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицын, С. Селезнев, Д. Шепелявый
Сергей Петренко Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных // Мир Internet. - 2001. - № 2

Virtual Private Network – это виртуальная частная сеть, которая используются для обеспечения защищенного подключения внутри корпоративных соединений и доступа в интернет. Главный плюс ВПН – высокая безопасность за счет шифрования внутреннего трафика, что важно при передаче данных.

Что такое VPN-подключение

Многие люди, когда сталкиваются с этой аббревиатурой, спрашивают: VPN – что это и зачем нужно? Данная технология открывает возможность создать сетевое соединение поверх другого. Работает ВПН в нескольких режимах:

узел-сеть;
сеть-сеть;
узел-узел.

Организация частной виртуальной сети на сетевых уровнях позволяет использовать TCP и UDP протоколы. Все данные, которые проходят через компьютеры, шифруются. Это дополнительная защита для вашего подключения. Есть множество примеров, которые объясняют, что такое VPN-соединение и зачем его нужно использовать. Ниже будет подробно освещен данный вопрос.

Зачем нужен VPN

Каждый провайдер способен предоставить по запросу соответствующих органов логи деятельности пользователей. Ваша интернет-компания записывает все действия, которые вы совершали в сети. Это помогает снять провайдеру любую ответственность за действия, которые проводил клиент. Существует много ситуаций, при которых нужно защитить свои данные и получить свободу, к примеру:

ВПН-сервис используется для отправки конфиденциальных данных компании между филиалами. Это помогает защитить важную информацию от перехвата.
Если вам необходимо обойти привязку сервиса по географической местности. К примеру, сервис «Яндекс Музыка» доступен только жителям России и жителям бывших стран СНГ. Если вы русскоязычный житель США, то послушать записи у вас не получится. VPN-сервис поможет обойти этот запрет, подменяя адрес сети на российский.
Скрыть от провайдера посещение сайтов. Не каждый человек готов делиться своей деятельностью в интернете, поэтому будет защищать свои посещения при помощи ВПН.

Как работает VPN

Когда вы задействуете другой VPN-канал, ваш IP будет принадлежать стране, где находится данная защищенная сеть. При подключении будет создан туннель между ВПН-сервером и вашим компьютером. После этого в логах (записях) провайдера будет набор непонятных символов. Анализ данных специальной программой не даст результатов. Если не использовать эту технологию, то проток HTTP сразу же укажет, к какому сайту вы подключаетесь.

Структура VPN

Состоит это подключение из двух частей. Первая называется «внутренняя» сеть, можно создать несколько таких. Вторая – «внешняя», по которой происходит инкапсулированное соединение, как правило, используется интернет. Еще существует возможность подсоединиться к сети отдельного компьютера. Производится соединение пользователя к конкретному VPN через сервер доступа, подключенный одновременно к внешней и внутренней сети.

Когда программа для VPN подключает удаленного пользователя, сервер требует прохождения двух важных процессов: сначала идентификации, затем – аутентификации. Это необходимо для получения прав пользоваться данным соединением. Если вы полностью прошли успешно эти два этапа, ваша сеть наделяется полномочиями, которые открывают возможность работы. По сути – это процесс авторизации.

Классификация VPN

Есть несколько видов виртуальных частных сетей. Существуют варианты по степени защищенности, способу реализации, уровню работы по модели ISO/OSI, задействованному протоколу. Можно использовать платный доступ или бесплатный VPN-сервис от Google. Исходя из степени защищенности, каналы могут быть «защищенными» или «доверительными». Последние нужны, если само по себе соединение обладает нужным уровнем защиты. Для организации первого варианта следует использовать следующие технологии:

PPTP;
OpenVPN;
IPSec.

Как создать VPN-сервер

Для всех пользователей компьютера есть способ, как подключить VPN самостоятельно. Ниже будет рассмотрен вариант на операционной системе Виндовс. Эта инструкция не предусматривает использование дополнительного ПО. Настройка проводится следующим образом:

Чтобы сделать новое подключение, необходимо открыть панель просмотра сетевых доступов. Начните вбивать в поиске слова «Сетевых подключений».
Нажмите на кнопку «Alt», в меню нажмите на раздел «Файл» и выберите пункт «Новое входящее подключение».
Затем выставите пользователя, которому будет предоставлено соединение с этим компьютером через VPN (если у вас только одна учетная запись на ПК, то нужно создать обязательно пароль для нее). Установите птичку и нажмите «Далее».
Далее будет предложено выбрать тип подключения, можно оставить галочку напротив «Интернет».
Следующим шагом станет включение сетевых протоколов, которые на данном ВПН будут работать. Выставите галочки на всех пунктах, кроме второго. При желании можно установить конкретный IP, шлюзы DNS и порты в протоколе IPv4, но легче оставить автоматическое назначение.
Когда кликните по кнопке «Разрешить доступ», операционка самостоятельно создаст сервер, отобразит окно с именем компьютера. Оно понадобится для соединения.
На этом создание домашнего VPN-сервера завершено.

Как настроить VPN на Андроиде

Выше был описан способ, как создать VPN-подключение на персональном компьютере. Однако многие уже давно выполняют все действия при помощи телефона. Если не знаете, что такое VPN на Андроид, то все вышеописанные факты о данном типе подключения справедливы и для смартфона. Конфигурация современных аппаратов обеспечивает комфортное пользование интернетом на высокой скорости. В некоторых случаях (для запуска игр, открытия сайтов) используют подмену прокси или анонимайзеры, но для стабильного и быстрого подключения VPN подходит лучше.

Если вам уже ясно, что такое VPN в телефон, то можно перейти непосредственно к созданию туннеля. Выполнить это можно на любом устройстве с поддержкой Андроид. Производится подключение следующим образом:

Зайдите в раздел с настройками, нажмите на раздел «Сеть».
Найдите пункт под названием «Дополнительные настройки» и перейдите на раздел «VPN». Далее нужен будет пин-код или пароль, который разблокирует возможность создания сети.
Следующий шаг – добавление VPN-соединения. Укажите название в поле «Server», имя в поле «username», установите тип подключения. Тапните по кнопке «Сохранить».
После этого в списке появится новое подключение, которое можете использовать для смены своего стандартного соединения.
На экране появится значок, который будет указывать на наличие подключения. Если по нему тапнуть, вам будет предоставлена статистика полученных/переданных данных. Здесь же можно отключить соединение VPN.

Видео: бесплатный VPN-сервис

Резервное копирование шифрованных файлов

Важный аспект разработки любого механизма шифрования файлов заключается в том, что приложения не могут получить доступ к расшифрованным данным иначе, чем через механизмы шифрования. Это ограничение особенно важно для утилит резервного копирования, с помощью которых файлы сохраняются на архивных носителях. EFS решает эту проблему, предоставляя утилитам резервного копирования механизм, с помощью которого они могут создавать резервные копии файлов и восстанавливать их в шифрованном виде. Таким образом, утилитам резервного копирования не обязательно зашифровывать или расшифровывать данные файлов в процессе резервного копирования.

EFS применяется, когда необходимо зашифровать содержимое файлов при хранении. Для обеспечения безопасной передачи файлов и других данных по сети используются другие механизмы. Один из них ¾ виртуальные частные сети.

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

В Microsoft Windows термином «VPN» обозначают одну из реализаций виртуальной сети - PPTP, причём используемую зачастую не для создания частных сетей. Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол - IP или Ethernet (PPPoE). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» для предоставления выхода в Интернет.

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классификация VPN

Классифицировать VPN решения можно по нескольким основным параметрам:

1. По типу используемой среды

· Защищённые

· Доверительные

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). (Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

2. По способу реализации

· В виде специального программно-аппаратного обеспечения

· В виде программного решения

· Интегрированное решение

3. По назначению

· Remote Access VPN

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.

Используют для сетей, к которым подключаются «внешние» пользователи. Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, ограничивающих доступ последних к особо ценной, конфиденциальной информации.

4. По типу протокола

5. По уровню сетевого протокола

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Контрольные вопросы

1. Какие действия выполняются при первом шифровании файла EFS?

2. Как в EFS решается проблема резервного копирования шифрованных файлов?

3. Какие алгоритмы шифрования используются в EFS?

4. Для чего используется VPN?

5. Как классифицируются VPN по назначению?

Лекция 8.

МЕХАНИЗМЫ КОНТРОЛЯ ЦЕЛОСТНОСТИ
В ОС СЕМЕЙСТВА WINDOWS

Механизмы контроля целостности появились в последней версии MS Windows ¾ Vista.

С каждым годом электронная связь совершенствуется, и к информационному обмену предъявляются все более высокие требования скорости, защищенности и качества обработки данных.

И здесь мы подробно рассмотрим vpn подключение: что это такое, для чего нужен vpn туннель, и как использовать впн соединение.

Данный материал является своего рода вступительным словом к циклу статей, где мы расскажем, как создать vpn на различных ОС.

vpn подключение что это такое?

Итак, виртуальная частная сеть vpn – это технология, обеспечивающая защищённую (закрытую от внешнего доступа) связь логической сети поверх частной или публичной при наличии высокоскоростного интернета.

Такое сетевое соединение компьютеров (географически удаленных друг от друга на солидное расстояние) использует подключение типа «точка - точка» (иными словами, «компьютер-компьютер»).

Научно, такой способ соединения называется vpn туннель (или туннельный протокол). Подключиться к такому туннелю можно при наличии компьютера с любой операционной системой, в которую интегрирован VPN-клиент, способный делать «проброс» виртуальных портов с использованием протокола TCP/IP в другую сеть.

Для чего нужен vpn?

Основное преимущество vpn заключается в том, что согласующим сторонам необходима платформа подключения, которая не только быстро масштабируется, но и (в первую очередь) обеспечивает конфиденциальность данных, целостность данных и аутентификацию.

На схеме наглядно представлено использование vpn сетей.

Предварительно на сервере и маршрутизаторе должны быть прописаны правила для соединений по защищённому каналу.

Принцип работы vpn

Когда происходит подключение через vpn, в заголовке сообщения передаётся информация об ip-адресе VPN-сервера и удалённом маршруте.

Инкапсулированные данные, проходящие по общей или публичной сети, невозможно перехватить, поскольку вся информация зашифрована.

Этап VPN шифрования реализуется на стороне отправителя, а расшифровываются данные у получателя по заголовку сообщения (при наличии общего ключа шифрования).

После правильной расшифровки сообщения между двумя сетями устанавливается впн соединение, которое позволяет также работать в публичной сети (например, обмениваться данными с клиентом 93.88.190.5).

Что касается информационной безопасности, то интернет является крайне незащищенной сетью, а сеть VPN с протоколами OpenVPN, L2TP /IPSec ,PPTP, PPPoE – вполне защищенным и безопасным способом передачи данных.

Для чего нужен vpn канал?

vpn туннелирование используется:

Внутри корпоративной сети;

Для объединения удалённых офисов, а также мелких отделений;

Для обслуживания цифровой телефонии с большим набором телекоммуникационных услуг;

Для доступа к внешним IT-ресурсам;

Для построения и реализации видеоконференций.

Зачем нужен vpn?

vpn соединение необходимо для:

Анонимной работы в сети интернет;

Загрузки приложений, в случае, когда ip адрес расположен в другой региональной зоне страны;

Безопасной работы в корпоративной среде с использованием коммуникаций;

Простоты и удобства настройки подключения;

Обеспечения высокой скорости соединения без обрывов;

Создания защищённого канала без хакерских атак.

Как пользоваться vpn?

Примеры того, как работает vpn, можно приводить бесконечно. Так, на любом компьютере в корпоративной сети при установке защищенного vpn соединения можно использовать почту для проверки сообщений, публикации материалов из любой точки страны или загрузки файлов из torrent-сетей.

Vpn: что это такое в телефоне?

Доступ через vpn в телефоне (айфоне или любом другом андроид-устройстве) позволяет при использовании интернета в общественных местах сохранить анонимность, а также предотвратить перехват трафика и взлом устройства.

VPN-клиент, установленный на любой ОС, позволяет обойти многие настройки и правила провайдера (если тот установил какие-то ограничения).

Какой vpn выбрать для телефона?

Мобильные телефоны и смартфоны на ОС Android могут использовать приложения из Google Playmarket:

- vpnRoot, droidVPN,
- браузер tor для сёрфинга сетей,он же orbot
- InBrowser, orfox (firefox+tor),
- SuperVPN Free VPN Client
- OpenVPN Connect
- TunnelBear VPN
- Hideman VPN

Большинство таких программ служат для удобства «горячей» настройки системы, размещения ярлыков запуска, анонимного сёрфинга интернета, выбора типа шифрования подключения.

Но основные задачи использования VPN в телефоне – это проверка корпоративной почты, создание видеоконференций с несколькими участниками, а также проведение совещаний за пределами организации (например, когда сотрудник в командировке).

Что такое vpn в айфоне?

Рассмотрим, какой впн выбрать и как его подключить в айфоне более подробно.

В зависимости от типа поддерживаемой сети, при первом запуске конфигурации VPN в iphone можно выбрать следующие протоколы: L2TP, PPTP и Cisco IPSec (кроме того, «сделать» vpn подключение можно при помощи сторонних приложений).

Все перечисленные протоколы поддерживают ключи шифрования, осуществляется идентификация пользователя при помощи пароля и сертификация.

Среди дополнительных функций при настройке VPN-профиля в айфоне можно отметить: безопасность RSA, уровень шифрования и правила авторизации для подключения к серверу.

Для телефона iphone из магазина appstore стоит выбрать:

- бесплатное приложение Tunnelbear, с помощью которого можно подключаться к серверам VPN любой страны.
- OpenVPN connect – это один из лучших VPN-клиентов. Здесь для запуска приложения необходимо предварительно импортировать rsa-ключи через itunes в телефон.
- Cloak – это условно бесплатное приложение, поскольку некоторое время продукт можно «юзать» бесплатно, но для использования программы по истечении демо-срока ее придется купить.

Создания VPN: выбор и настройка оборудования

Для корпоративной связи в крупных организациях или объединения удалённых друг от друга офисов используют аппаратное оборудование, способное поддерживать беспрерывную, защищённую работу в сети.

Для реализации vpn-технологий в роли сетевого шлюза могут выступать: сервера Unix, сервера Windows, сетевой маршрутизатор и сетевой шлюз на котором поднят VPN.

Сервер или устройство, используемое для создания vpn сети предприятия или vpn канала между удаленными офисами, должно выполнять сложные технические задачи и обеспечивать весь спектр услуг пользователям как на рабочих станциях, так и на мобильных устройствах.

Любой роутер или vpn маршрутизатор должен обеспечивать надёжную работу в сети без «зависаний». А встроенная функция впн позволяет изменять конфигурацию сети для работы дома, в организации или удалённом офисе.

Настройка vpn на роутере

В общем случае настройка впн на роутере осуществляется с помощью веб-интерфейса маршрутизатора. На «классических» устройствах для организации vpn нужно зайти в раздел «settings» или «network settings», где выбрать раздел VPN, указать тип протокола, внести настройки адреса вашей подсети, маски и указать диапазон ip-адресов для пользователей.

Кроме того, для безопасности соединения потребуется указать алгоритмы кодирования, методы аутентификации, сгенерировать ключи согласования и указать сервера DNS WINS. В параметрах «Gateway» нужно указать ip-адрес шлюза (свой ip) и заполнить данные на всех сетевых адаптерах.

Если в сети несколько маршрутизаторов необходимо заполнить таблицу vpn маршрутизации для всех устройств в VPN туннеле.

Приведём список аппаратного оборудовании, используемого при построении VPN-сетей:

Маршрутизаторы компании Dlink: DIR-320, DIR-620, DSR-1000 с новыми прошивками или Роутер D-Link DI808HV.

Маршрутизаторы Cisco PIX 501, Cisco 871-SEC-K9

Роутер Linksys Rv082 с поддержкой около 50 VPN-туннелей

Netgear маршрутизатор DG834G и роутеры моделей FVS318G, FVS318N, FVS336G, SRX5308

Маршрутизатор Mikrotik с функцией OpenVPN. Пример RouterBoard RB/2011L-IN Mikrotik

Vpn оборудование RVPN S-Terra или VPN Gate

Маршрутизаторы ASUS моделей RT-N66U, RT-N16 и RT N-10

ZyXel маршрутизаторы ZyWALL 5, ZyWALL P1, ZyWALL USG