Ang konsepto ng mga pribadong virtual network, na dinaglat bilang VPN (mula sa Ingles, ay lumitaw sa teknolohiya ng computer kamakailan lamang. Ang paglikha ng isang koneksyon ng ganitong uri ay naging posible upang pagsamahin ang mga terminal ng computer at mga mobile device sa mga virtual network nang walang karaniwang mga wire, anuman ang lokasyon ng isang partikular na terminal. Ngayon isaalang-alang natin ang isyu ng Paano gumagana ang koneksyon ng VPN, at kasabay nito ay magbibigay kami ng ilang rekomendasyon para sa pag-set up ng mga naturang network at mga kaugnay na programa ng kliyente.

Ano ang isang VPN?

Tulad ng malinaw na, ang VPN ay isang virtual na pribadong network na may ilang mga device na nakakonekta dito. Hindi mo dapat linlangin ang iyong sarili - karaniwang hindi gumagana ang pagkonekta ng dalawa o tatlong dosenang mga terminal ng computer na gumagana nang sabay-sabay (tulad ng maaaring gawin sa isang lokal na lugar). Ito ay may mga limitasyon sa network setup o kahit na sa bandwidth ng router na responsable para sa pagtatalaga ng mga IP address at

Gayunpaman, ang ideya sa simula ay likas sa teknolohiya ng koneksyon ay hindi bago. Sinubukan nilang patunayan ito nang mahabang panahon. At maraming mga modernong gumagamit ng mga network ng computer ay hindi kahit na isipin na alam nila ang tungkol dito sa buong buhay nila, ngunit hindi lamang sinubukan na maunawaan ang kakanyahan ng isyu.

Paano gumagana ang isang koneksyon sa VPN: mga pangunahing prinsipyo at teknolohiya

Para sa isang mas mahusay na pag-unawa, bigyan natin ang pinakasimpleng halimbawa na alam ng sinuman sa modernong tao. Kunin ang radyo, halimbawa. Pagkatapos ng lahat, sa esensya, ito ay isang transmitting device (translator), isang intermediary unit (repeater) na responsable para sa paghahatid at pamamahagi ng signal, at isang receiving device (receiver).

Ang isa pang bagay ay ang signal ay nai-broadcast sa ganap na lahat ng mga mamimili, at ang virtual na network ay gumagana nang pili, na pinagsasama lamang ang ilang mga aparato sa isang network. Pakitandaan na hindi sa una o sa pangalawang kaso, ang mga wire ay kinakailangan upang kumonekta sa pagpapadala at pagtanggap ng mga device na nagpapalitan ng data sa isa't isa.

Ngunit may ilang mga subtleties din dito. Ang katotohanan ay sa una ang signal ng radyo ay hindi protektado, iyon ay, maaari itong matanggap ng anumang radio amateur na may gumaganang aparato sa naaangkop na dalas. Paano gumagana ang isang VPN? Oo, eksaktong pareho. Sa kasong ito lamang, ang papel ng repeater ay nilalaro ng isang router (router o ADSL modem), at ang papel ng receiver ay nilalaro ng isang nakatigil na terminal ng computer, laptop o mobile device na nilagyan ng isang espesyal na module. wireless na koneksyon(Wi-Fi).

Sa lahat ng ito, ang data na nagmumula sa pinagmulan ay unang naka-encrypt, at pagkatapos lamang, gamit ang isang espesyal na decryptor, ay muling ginawa sa isang partikular na aparato. Ang prinsipyong ito ng komunikasyon sa pamamagitan ng VPN ay tinatawag na tunneling. At ang prinsipyong ito ay pinaka-pare-pareho sa mga mobile na komunikasyon, kapag naganap ang pag-redirect sa isang partikular na subscriber.

Lokal na virtual network tunneling

Unawain natin kung paano gumagana ang VPN sa tunneling mode. Sa kaibuturan nito, nagsasangkot ito ng paglikha ng isang tiyak na tuwid na linya, halimbawa, mula sa puntong "A" hanggang sa "B", kapag, kapag nagpapadala ng data mula sa isang sentral na mapagkukunan (isang router na may koneksyon sa server), ang lahat ng mga aparato sa network ay awtomatikong nakikilala ayon sa sa isang paunang natukoy na pagsasaayos.

Sa madaling salita, ang isang tunnel ay nilikha gamit ang pag-encode kapag nagpapadala ng data at pag-decode kapag tumatanggap. Lumalabas na walang ibang user na sumusubok na humarang sa ganitong uri ng data sa panahon ng paghahatid ang makakapag-decrypt nito.

Paraan ng pagpapatupad

Isa sa mga pinakamakapangyarihang tool para sa ganitong uri ng mga koneksyon at sa parehong oras na tinitiyak ang seguridad ay mga Cisco system. Totoo, may tanong ang ilang walang karanasan na mga administrator tungkol sa kung bakit hindi gumagana ang kagamitan ng VPN-Cisco.

Pangunahing ito ay dahil sa maling setting at mga naka-install na driver para sa mga router gaya ng D-Link o ZyXEL, na nangangailangan lamang ng fine-tuning dahil nilagyan ang mga ito ng mga built-in na firewall.

Bilang karagdagan, dapat mong bigyang pansin ang mga diagram ng koneksyon. Maaaring mayroong dalawa sa kanila: ruta-papunta-ruta o malayuang pag-access. Sa unang kaso, pinag-uusapan natin ang tungkol sa pagsasama-sama ng ilang mga aparato sa pamamahagi, at sa pangalawa, pinag-uusapan natin ang pamamahala sa koneksyon o paglipat ng data gamit ang malayuang pag-access.

I-access ang mga protocol

Sa mga tuntunin ng mga protocol, ang mga tool sa pagsasaayos ay pangunahing ginagamit ngayon sa antas ng PCP/IP, bagama't ang mga panloob na protocol para sa mga VPN ay maaaring mag-iba.

Tumigil sa paggana ang VPN? Mayroong ilang mga nakatagong opsyon na titingnan. Halimbawa, ang mga karagdagang protocol na PPP at PPTP, batay sa teknolohiya ng TCP, ay nabibilang pa rin sa mga stack ng TCP/IP protocol, ngunit para kumonekta, sabihin nating, kapag gumagamit ng PPTP, dapat kang gumamit ng dalawang IP address sa halip na ang kinakailangan. Gayunpaman, sa anumang kaso, ang tunneling ay nagsasangkot ng paglipat ng data na nakapaloob sa mga panloob na protocol tulad ng IPX o NetBEUI, na lahat ay nilagyan ng mga espesyal na header na nakabatay sa PPP upang walang putol na maglipat ng data sa naaangkop na driver ng network.

Mga kagamitang pang-hardware

Ngayon tingnan natin ang isang sitwasyon kung saan lumitaw ang tanong kung bakit hindi gumagana ang VPN. Malinaw na ang problema ay maaaring nauugnay sa hindi tamang pagsasaayos ng kagamitan. Ngunit maaari ring lumitaw ang isa pang sitwasyon.

Ito ay nagkakahalaga ng pagbibigay pansin sa mga router mismo, na sinusubaybayan ang koneksyon. Gaya ng nabanggit sa itaas, dapat ka lang gumamit ng mga device na nakakatugon sa mga parameter ng koneksyon.

Halimbawa, ang mga router tulad ng DI-808HV o DI-804HV ay may kakayahang kumonekta ng hanggang apatnapung device nang sabay-sabay. Tulad ng para sa kagamitan ng ZyXEL, sa maraming mga kaso maaari itong tumakbo sa pamamagitan ng built-in na ZyNOS network operating system, ngunit gumagamit lamang ng command line mode sa pamamagitan ng Telnet protocol. Binibigyang-daan ka ng diskarteng ito na i-configure ang anumang mga device na may paghahatid ng data sa tatlong network sa isang karaniwang kapaligiran ng Ethernet na may paghahatid ng trapiko ng IP, at gumamit din ng natatanging teknolohiya Any-IP, na idinisenyo upang gumamit ng karaniwang talahanayan ng router na may ipinasa na trapiko bilang gateway para sa mga system na orihinal na na-configure upang gumana sa iba pang mga subnet.

Ano ang gagawin kung hindi gumagana ang VPN (Windows 10 at mas mababa)?

Ang pinakauna at pinakamahalagang kondisyon ay ang pagsusulatan ng output at input key (Pre-shared Keys). Dapat pareho ang mga ito sa magkabilang dulo ng tunnel. Ito rin ay nagkakahalaga ng pagbibigay pansin sa mga cryptographic encryption algorithm (IKE o Manual) na mayroon o walang function ng pagpapatunay.

Halimbawa, ang parehong AH protocol (sa English - Authentication Header) ay makakapagbigay lamang ng pahintulot nang walang posibilidad na gumamit ng encryption.

Mga kliyente ng VPN at ang kanilang pagsasaayos

Tulad ng para sa mga kliyente ng VPN, hindi lahat ay simple dito. Karamihan sa mga programang nakabatay sa naturang mga teknolohiya ay gumagamit ng mga karaniwang paraan ng pagsasaayos. Gayunpaman, may mga pitfalls dito.

Ang problema ay kahit paano mo i-install ang kliyente, kung ang serbisyo ay naka-off sa operating system mismo, walang magandang mangyayari dito. Iyon ang dahilan kung bakit kailangan mo munang paganahin ang mga setting na ito sa Windows, pagkatapos ay paganahin ang mga ito sa router (router), at pagkatapos lamang simulan ang pag-set up ng kliyente mismo.

Kakailanganin mong lumikha ng isang bagong koneksyon sa system mismo, sa halip na gumamit ng isang umiiral na. Hindi kami magtatagal dito, dahil ang pamamaraan ay pamantayan, ngunit sa router mismo kailangan mong puntahan karagdagang mga setting(madalas na matatagpuan ang mga ito sa menu ng Uri ng Koneksyon ng WLAN) at i-activate ang lahat ng nauugnay sa VPN server.

Ito rin ay nagkakahalaga ng pagpuna sa katotohanan na ito ay kailangang mai-install sa system bilang isang kasamang programa. Ngunit pagkatapos ay maaari itong gamitin kahit na wala manu-manong mga setting, pagpili lang ng pinakamalapit na lokasyon.

Ang isa sa pinakasikat at pinakamadaling gamitin ay isang VPN client-server na tinatawag na SecurityKISS. Naka-install ang program, ngunit hindi mo na kailangang pumunta sa mga setting upang matiyak ang normal na komunikasyon para sa lahat ng mga device na konektado sa distributor.

Nangyayari na ang medyo kilalang at tanyag na pakete ng Kerio VPN Client ay hindi gumagana. Dito kailangan mong bigyang pansin hindi lamang ang operating system mismo, kundi pati na rin ang mga parameter ng programa ng kliyente. Bilang isang patakaran, ang pagpasok ng tamang mga parameter ay nagbibigay-daan sa iyo upang mapupuksa ang problema. Bilang huling paraan, kakailanganin mong suriin ang mga setting ng pangunahing koneksyon at ang mga TCP/IP protocol na ginamit (v4/v6).

Ano ang resulta?

Tiningnan namin kung paano gumagana ang isang VPN. Sa prinsipyo, walang kumplikado sa pagkonekta o paglikha ng mga network ng ganitong uri. Ang mga pangunahing paghihirap ay namamalagi sa pag-set up ng mga tiyak na kagamitan at pagtatakda ng mga parameter nito, na, sa kasamaang-palad, maraming mga gumagamit ang hindi napapansin, umaasa sa katotohanan na ang buong proseso ay mababawasan sa automation.

Sa kabilang banda, mas nakatuon kami ngayon sa mga isyung nauugnay sa mga diskarte sa pagpapatakbo ng mga virtual network ng VPN mismo, kaya kailangang gawin ang pag-set up ng kagamitan, pag-install ng mga driver ng device, atbp. gamit ang magkahiwalay na mga tagubilin at rekomendasyon.

Kumusta Mga Kaibigan! Maraming tao ang gumagamit ng Internet na may prinsipyong "Wala akong itinatago," ngunit ito ay katulad ng pagsasabi ng "Wala akong pakialam sa aking mga karapatan." Ang artikulong ito ay para sa mga nagmamalasakit sa kanilang mga karapatan, gayundin sa mga nag-iisip tungkol sa kaligtasan sa Internet. Sasabihin ko sa iyo sa mga simpleng salita kung ano ang isang VPN, bakit mo ito kailangan, at kung paano ito gamitin.

Ano ang VPN

Ang VPN ay nangangahulugang Virtual Private Network. Isinalin sa Russian – virtual pribadong network. Ang VPN ay isang teknolohiyang nagbibigay ng naka-encrypt na koneksyon sa iyong koneksyon sa Internet.

Salamat sa VPN, mapoprotektahan ka mula sa pagharang ng mga pag-login/password sa mga hindi secure o pampublikong WI-FI point, ang kasaysayan ng iyong mga pagbisita sa website ay hindi magiging available sa sinuman, at makakalimutan mo ang pagharang sa website na parang isang masamang panaginip. Nalalapat ito sa mga torrents at anumang iba pang pinaghihinalaang ipinagbabawal na mga site.

Ang mga kamay ng mga "blocker" ay umabot na rin sa industriya ng proyekto. Kamakailan, isang sikat na bitcoin exchange, isang malaking investment forum, at sino ang nakakaalam kung gaano karaming mga website ang na-block. Ang pag-access sa website ng anumang sistema ng pagbabayad, halimbawa, ay maaari ding i-block. Sa kabutihang palad, ang mga gumagamit ng VPN ay hindi apektado ng katawa-tawa na pagharang :)

Ano ang ginagawa ng VPN?

1. Pinapalitan ng VPN ang iyong totoong IP ng pekeng IP, halimbawa, Italyano o Dutch. Kung gumagamit ka ng VPN, halos hindi ka nakikita sa network. Pumunta ka sa site, ngunit nakikita nila na ikaw, halimbawa, ay hindi mula sa Russia, ngunit mula sa Alemanya. Dahil dito, hindi ka natatakot sa anumang pagharang ng site.

2. Ini-encrypt ang koneksyon - hindi malalaman ng iyong ISP o ng system administrator sa trabaho kung saan ka nagpunta.
- Ano ang nakikita ng system administrator/provider kahit na wala kang VPN? Ang buong kasaysayan ng iyong pag-surf, nang walang pagbubukod, ang lahat ng mga site na binibisita mo.
- Ano ang nakikita nito kapag nagtatrabaho ka sa pamamagitan ng VPN? Na kumonekta ka sa pamamagitan ng VPN at... ayun, wala na siyang ibang alam :)
Gayundin, kapag humarang ng data, hindi ito makikilala ng mga umaatake dahil sa pag-encrypt.

3. Kasama ng IP spoofing at traffic encryption, ganap kang hindi nakikilala.

Bakit kailangan mo ng VPN?

• Kung gusto mong bumisita sa mga cafe at mag-internet doon sa pamamagitan ng Wi-Fi o madalas maglakbay at kumonekta sa mga bukas na Wi-Fi point, walang mayabang na hacker na nakaupo sa susunod na mesa ang hahadlang sa data ng iyong plastic card na may CVV code o magnanakaw ng password mula sa iyong card sa pagbabayad. mga sistema kasama ng iyong pera. At hindi mahalaga kung nagtatrabaho ka mula sa isang laptop o mula sa isang mobile device - nang walang VPN, hindi sila pantay na protektado.
• Pinahahalagahan mo ang anonymity at hindi ka komportable sa katotohanang may access ang sinumang system administrator ng provider sa mga site na binibisita mo o kung saan ka nagdeposito/nag-withdraw ng malalaking halaga ng EPS. Hindi na malalaman ng ISP kung aling mga site ang binibisita mo, at hindi na malalaman ng mga site kung sino ang bumisita sa kanila.
• Sa trabaho, gusto mong gumamit ng YouTube/VKontakte/messenger, ngunit ayaw mong malaman ito ng iyong boss o system administrator. Alam kong successful investor ka at matagal ka ng hindi nakakapagtrabaho, ito lang ako, kung sakali :)
• Gusto mo bang makita ang Internet sa paraang nararapat - bisitahin ang mga site nang walang mga paghihigpit ng isang serbisyo na hinaharangan lamang ang mga site sa mga batch. Sa oras ng pagsulat, higit sa 2 milyong mga site ang na-block (pinapanatili ang mga istatistika). Karaniwan din kapag hinihiling nila ang pagharang sa isang partikular na pahina o seksyon, at ang provider, nang hindi nauunawaan, ay hinaharangan ang buong site.
• Pinaghihigpitan ba ng paborito mong serbisyo ang pag-access mula sa iyong bansa o nagbibigay ng mga pribilehiyo/bonus/diskwento sa mga partikular na bansa? Sa tulong ng isang VPN, maging residente ng anumang bansa at makuha ang lahat ng benepisyo ng mga serbisyo.

Paano gumamit ng VPN (gamit ang NordVPN bilang isang halimbawa)

Ako mismo ay nagsu-surf sa Internet sa pamamagitan lamang ng isang VPN at maaaring magrekomenda ng isang mahusay na serbisyo na tinatawag na NordVPN. Sasabihin ko kaagad na ang serbisyo ay binabayaran, ang gastos ay $12 bawat buwan, kapag nagbabayad para sa kalahating taon ang gastos bawat buwan ay $9, kapag nagbabayad para sa isang taon – $7.

Oo, ang Internet ay puno ng mga libreng serbisyo ng VPN, ngunit ang pagpapanatili ng mga server ay nagkakahalaga ng pera, kaya kung hindi ka sinisingil ng serbisyo, kumikita ito mula sa iyo sa ibang paraan, at ang "kung hindi man" ay maaaring magastos ng higit pa kaysa sa pagbabayad para sa isang maaasahang VPN. Ang seguridad ay hindi isang isyu upang magtipid.

Ang pagsusuri sa NordVPN, ang mga tampok nito

• Halos walang epekto sa bilis ng koneksyon, personal na na-verify :)
• Suportahan ang Windows, MacOS X, Linux, Android, iOS;
• Kakayahang gumamit ng isang account sa 6 na device nang sabay-sabay;
• Mayroong higit sa 50 mga bansa at higit sa 500 mga server na mapagpipilian;
• Kumonekta sa NordVPN sa isang pag-click;
• Kung nawala ang iyong koneksyon sa VPN, awtomatikong magsasara ang mga program na iyong tinukoy sa mga setting. Hindi mo kailangang mag-alala tungkol sa pagtagas ng data;
• Proteksyon laban sa pagkilala sa pamamagitan ng DNS at WebRTC (ito ang mga taong kung saan makikita ang iyong tunay na IP kahit na naka-on ang VPN);
• Suporta sa DoubleVPN (isang chain ng dalawang VPN server);
• Walang mga paghihigpit: torrents, tawag, HD video, Mga Online na Laro- lahat ay gumagana nang walang mga problema;
• Suporta para sa mga bitcoin at pagbabayad sa pamamagitan ng mga plastic card. Ngunit gusto namin ang hindi nagpapakilala, kaya kung hindi ka pa nakakakuha ng iyong sarili ng isang Bitcoin wallet, sundin ang mga tagubilin;
• Ang anumang mga kahilingan ay binabalewala dahil ang serbisyo ay nasa ilalim ng hurisdiksyon ng Panama at hindi napapailalim sa mga batas ng ibang mga bansa.

Gumawa ng account gamit ang NordVPN

1) Sundin ang link, i-click ang “Kumuha ng VPN” at pumili ng taripa.
2) Na-redirect kami sa form ng pagpaparehistro ng account. Pumili ng taripa, punan ang iyong email at password, pumili ng isang maginhawang opsyon sa pagbabayad at i-click ang "Magrehistro".
3) Kumpirmahin ang pagbabayad at mag-log in sa iyong personal na account gamit ang iyong login at password.

I-download ang kliyente at paganahin ang VPN (gamit ang Windows bilang isang halimbawa)

1) B personal na account Sa website, pumunta sa tab na "Download Area", hanapin ang iyong operating system at i-download ang client. Kung mayroon kang Windows, pagkatapos ay piliin ang linya sa tabi kung saan mayroong "inirerekomenda". Kung kailangan mo ng VPN sa iyong mobile device, hanapin ang NordVPN sa iyong app store at i-download.

2) I-install ang program at patakbuhin ito. Ang screenshot sa ibaba ay nagpapakita kung ano ang hitsura ng programa (i-click upang palakihin ang screen). Nasa " Mga server” maaari kang pumili ng anumang bansa upang kumonekta.

Pagse-set up ng NordVPN

Kung gusto mo ng maximum na proteksyon at i-customize ang lahat para sa iyong sarili, pagkatapos ay mag-click sa "Mga Setting":

Ano ang pananagutan ng bawat punto:

Awtomatikong pag-update - awtomatikong i-update ang programa kapag inilabas ang mga bagong bersyon;
Awtomatikong kumonekta sa – kapag inilunsad, awtomatikong kumonekta ang NordVPN sa napiling server;
Simulan ang NordVPN sa pagsisimula – simulan ang VPN kapag nagsimula ang system;
Kill switch – piliin ang mga program na awtomatikong magsasara kung mawawala ang koneksyon sa VPN. Upang pumili ng isang program, i-click ang "Magdagdag ng higit pang mga application" at hanapin ang nais na program sa iyong computer, halimbawa isang browser at instant messenger;
Mga Notification – tumanggap ng mga notification kapag may koneksyon o disconnection na nangyari mula sa NordVPN;
Ipakita ang icon ng tray - ipakita ang icon ng programa sa system tray;
Simulan ang minimize - simulan ang minimize;
Sistema ng pagsukat – piliin na ipakita ang distansya sa mga server sa sukatan (km) o imperial system (milya).

SA Kamakailan lamang Sa mundo ng telekomunikasyon, may tumaas na interes sa mga virtual private network (VPN). Ito ay dahil sa pangangailangang bawasan ang gastos sa pagpapanatili ng mga corporate network sa pamamagitan ng mas murang koneksyon ng mga malalayong opisina at malalayong gumagamit sa pamamagitan ng Internet. Sa katunayan, kapag inihambing ang halaga ng mga serbisyo para sa pagkonekta ng ilang network sa pamamagitan ng Internet, halimbawa, sa mga network ng Frame Relay, mapapansin mo ang isang makabuluhang pagkakaiba sa gastos. Gayunpaman, dapat tandaan na kapag kumokonekta sa mga network sa pamamagitan ng Internet, ang tanong ng seguridad sa paghahatid ng data ay agad na bumangon, kaya naging kinakailangan upang lumikha ng mga mekanismo upang matiyak ang pagiging kompidensiyal at integridad ng ipinadalang impormasyon. Ang mga network na binuo batay sa naturang mga mekanismo ay tinatawag na VPN.

Bilang karagdagan, madalas na ang isang modernong tao, na nagpapaunlad ng kanyang negosyo, ay kailangang maglakbay ng maraming. Ang mga ito ay maaaring mga paglalakbay sa malalayong sulok ng ating bansa o sa ibang bansa. Kadalasan ang mga tao ay nangangailangan ng access sa kanilang impormasyon na nakaimbak sa kanilang computer sa bahay o kumpanya. Ang problemang ito ay malulutas sa pamamagitan ng pag-aayos ng malayuang pag-access dito gamit ang isang modem at linya. Ang paggamit ng linya ng telepono ay may sariling katangian. Ang mga disadvantages ng solusyon na ito ay ang pagtawag mula sa ibang bansa ay nagkakahalaga ng maraming pera. May isa pang solusyon na tinatawag na VPN. Ang mga bentahe ng teknolohiya ng VPN ay ang organisasyon malayuang pag-access hindi tapos linya ng telepono, ngunit sa pamamagitan ng Internet, na mas mura at mas mahusay. Sa aking palagay, teknolohiya. Ang VPN ay may potensyal na maging laganap sa buong mundo.

1. Konsepto at pag-uuri ng mga network ng VPN, ang kanilang pagtatayo

1.1 Ano ang isang VPN

VPN(eng. Virtual Private Network - virtual private network) - isang lohikal na network na nilikha sa ibabaw ng isa pang network, halimbawa ang Internet. Sa kabila ng katotohanan na ang mga komunikasyon ay isinasagawa sa mga pampublikong network gamit ang hindi secure na mga protocol, ang pag-encrypt ay lumilikha ng mga channel ng pagpapalitan ng impormasyon na sarado mula sa mga tagalabas. Binibigyang-daan ka ng VPN na pagsamahin, halimbawa, ang ilang mga opisina ng isang organisasyon sa isang network gamit ang mga hindi nakokontrol na channel para sa komunikasyon sa pagitan nila.

Sa kaibuturan nito, ang isang VPN ay may marami sa mga katangian ng isang naupahang linya, ngunit ito ay naka-deploy sa loob ng isang pampublikong network, halimbawa. Gamit ang tunneling technique, ang mga data packet ay ibino-broadcast sa buong pampublikong network na para bang ang mga ito ay isang normal na point-to-point na koneksyon. Ang isang uri ng tunnel ay itinatag sa pagitan ng bawat data sender-receiver pair - isang secure na lohikal na koneksyon na nagpapahintulot sa data mula sa isang protocol na ma-encapsulated sa mga packet ng isa pa. Ang mga pangunahing bahagi ng tunel ay:

• initiator;
• rutang network;
• switch ng tunel;
• isa o higit pang tunnel terminator.

Ang prinsipyo ng pagpapatakbo ng VPN mismo ay hindi sumasalungat sa mga pangunahing teknolohiya at protocol ng network. Halimbawa, kapag nagtatatag ng isang malayuang koneksyon sa pag-access, ang kliyente ay nagpapadala ng isang stream ng mga karaniwang PPP protocol packet sa server. Sa kaso ng pag-aayos ng mga virtual leased na linya sa pagitan ng mga lokal na network, ang kanilang mga router ay nagpapalitan din ng mga PPP packet. Gayunpaman, ang isang panimula na bagong aspeto ay ang pagpapasa ng mga packet sa pamamagitan ng isang secure na tunnel na nakaayos sa loob ng isang pampublikong network.

Pinapayagan ka ng tunneling na ayusin ang paghahatid ng mga packet ng pareho protocol sa isang lohikal na kapaligiran gamit ang ibang protocol. Bilang resulta, nagiging posible na malutas ang mga problema sa pakikipag-ugnayan sa pagitan ng ilang iba't ibang uri ng network, simula sa pangangailangang tiyakin ang integridad at pagiging kumpidensyal ng ipinadalang data at nagtatapos sa pagtagumpayan ng mga hindi pagkakapare-pareho sa mga panlabas na protocol o mga scheme ng pagtugon.

Ang kasalukuyang imprastraktura ng network ng isang korporasyon ay maaaring ihanda para sa paggamit ng VPN gamit ang alinman sa software o hardware. Ang pag-set up ng virtual private network ay maihahambing sa paglalagay ng cable sa isang pandaigdigang network. Karaniwan, ang isang direktang koneksyon sa pagitan ng isang malayuang user at isang tunnel end device ay itinatag gamit ang PPP protocol.

Ang pinakakaraniwang paraan para sa paglikha ng mga VPN tunnel ay ang pag-encapsulate ng mga network protocol (IP, IPX, AppleTalk, atbp.) sa PPP at pagkatapos ay i-encapsulate ang mga resultang packet sa isang tunneling protocol. Kadalasan ang huli ay IP o (mas madalas) ATM at Frame Relay. Ang pamamaraang ito ay tinatawag na pangalawang antas ng tunneling, dahil ang "pasahero" dito ay ang pangalawang antas na protocol.

Ang isang alternatibong diskarte ng pag-encapsulate ng mga network protocol packet nang direkta sa isang tunneling protocol (tulad ng VTP) ay tinatawag na Layer 3 tunneling.

Anuman ang mga protocol na ginagamit o kung ano ang mga layunin hinahabol kapag nag-aayos ng isang tunel, ang pangunahing pamamaraan ay nananatilihalos hindi nagbabago. Karaniwan, ang isang protocol ay ginagamit upang magtatag ng isang koneksyon sa isang malayong node, at isa pa ay ginagamit upang i-encapsulate ang data at impormasyon ng serbisyo para sa paghahatid sa pamamagitan ng tunnel.

1.2 Pag-uuri ng mga network ng VPN

Ang mga solusyon sa VPN ay maaaring maiuri ayon sa ilang pangunahing mga parameter:

1. Ayon sa uri ng kapaligirang ginamit:

• Mga secure na VPN network. Ang pinakakaraniwang bersyon ng mga pribadong pribadong network. Sa tulong nito, posible na lumikha ng isang maaasahan at secure na subnet batay sa isang hindi mapagkakatiwalaang network, kadalasan ang Internet. Ang mga halimbawa ng mga secure na VPN ay: IPSec, OpenVPN at PPTP.
• Mga pinagkakatiwalaang VPN network. Ang mga ito ay ginagamit sa mga kaso kung saan ang transmission medium ay maituturing na maaasahan at ito ay kinakailangan lamang upang malutas ang problema ng paglikha ng isang virtual subnet sa loob ng isang mas malaking network. Ang mga isyu sa seguridad ay nagiging hindi nauugnay. Ang mga halimbawa ng naturang mga solusyon sa VPN ay: MPLS at L2TP. Mas tamang sabihin na ang mga protocol na ito ay inililipat ang gawain ng pagtiyak ng seguridad sa iba, halimbawa L2TP, bilang panuntunan, ay ginagamit kasabay ng IPSec.

2. Ayon sa paraan ng pagpapatupad:

• Mga network ng VPN sa anyo ng espesyal na software at hardware. Ang pagpapatupad ng isang VPN network ay isinasagawa gamit ang isang espesyal na hanay ng software at hardware. Ang pagpapatupad na ito ay nagbibigay ng mataas na pagganap at, bilang panuntunan, isang mataas na antas ng seguridad.
• Ang mga network ng VPN bilang isang solusyon sa software. Gumagamit sila ng personal na computer na may espesyal na software na nagbibigay ng functionality ng VPN.
• Mga network ng VPN na may pinagsamang solusyon. Ang pag-andar ng VPN ay ibinibigay ng isang kumplikadong nalulutas din ang mga problema sa pag-filter ng trapiko sa network, pag-aayos ng isang firewall at pagtiyak ng kalidad ng serbisyo.

3. Ayon sa layunin:

• Intranet VPN. Ginagamit ang mga ito upang pag-isahin ang ilang ipinamahagi na sangay ng isang organisasyon sa isang solong secure na network, pagpapalitan ng data sa pamamagitan ng bukas na mga channel ng komunikasyon.
• Remote Access VPN. Ginagamit ang mga ito para gumawa ng secure na channel sa pagitan ng segment ng corporate network (central office o branch) at isang user na, nagtatrabaho sa bahay, kumokonekta sa corporate resources mula sa isang home computer o, habang nasa business trip, kumokonekta sa corporate resources gamit ang isang laptop.
• Extranet VPN. Ginagamit para sa mga network kung saan kumokonekta ang mga "external" na user (halimbawa, mga customer o kliyente). Ang antas ng tiwala sa kanila ay mas mababa kaysa sa mga empleyado ng kumpanya, kaya kinakailangan na magbigay ng mga espesyal na "linya" ng proteksyon na pumipigil o naglilimita sa pag-access ng huli sa partikular na mahalaga, kumpidensyal na impormasyon.

4. Ayon sa uri ng protocol:

• May mga pagpapatupad ng virtual private network para sa TCP/IP, IPX at AppleTalk. Ngunit ngayon ay may posibilidad patungo sa isang pangkalahatang paglipat sa TCP/IP protocol, at ang karamihan sa mga solusyon sa VPN ay sumusuporta dito.

5. Ayon sa antas ng network protocol:

• Sa pamamagitan ng network protocol layer batay sa paghahambing sa mga layer ng ISO/OSI reference network model.

1.3. Pagbuo ng VPN

Mayroong iba't ibang mga pagpipilian para sa pagbuo ng isang VPN. Kapag pumipili ng solusyon, kailangan mong isaalang-alang ang mga salik ng pagganap ng mga tagabuo ng VPN. Halimbawa, kung ang isang router ay tumatakbo na sa pinakamataas na kapasidad nito, ang pagdaragdag ng mga VPN tunnel at paglalapat ng encryption/decryption ng impormasyon ay maaaring huminto sa buong network dahil sa ang katunayan na ang router na ito ay hindi makayanan ang simpleng trapiko, lalo na ang isang VPN. Ipinapakita ng karanasan na pinakamahusay na gumamit ng espesyal na kagamitan upang makabuo ng isang VPN, ngunit kung may limitasyon sa mga pondo, maaari kang magbayad ng pansin sa isang purong solusyon sa software. Tingnan natin ang ilang mga opsyon para sa pagbuo ng VPN.

• VPN batay sa mga firewall. Karamihan sa mga vendor ng firewall ay sumusuporta sa tunneling at pag-encrypt ng data. Ang lahat ng naturang produkto ay batay sa katotohanan na ang trapiko na dumadaan sa firewall ay naka-encrypt. Ang isang encryption module ay idinagdag sa firewall software mismo. Ang kawalan ng pamamaraang ito ay ang pagganap ay nakasalalay sa hardware kung saan tumatakbo ang firewall. Kapag gumagamit ng mga firewall na nakabatay sa PC, dapat mong tandaan na ang ganitong solusyon ay magagamit lamang para sa maliliit na network na may maliit na halaga ng impormasyong inilipat.
• VPN na nakabatay sa router. Ang isa pang paraan upang bumuo ng isang VPN ay ang paggamit ng mga router upang lumikha ng mga secure na channel. Dahil ang lahat ng impormasyon ay nanggagaling lokal na network, dumadaan sa isang router, pagkatapos ay ipinapayong magtalaga ng mga gawain sa pag-encrypt sa router na ito.Ang isang halimbawa ng kagamitan para sa pagbuo ng VPN sa mga router ay kagamitan mula sa Cisco Systems. Simula sa bersyon 11.3 ng software ng IOS, sinusuportahan ng mga router ng Cisco ang mga protocol ng L2TP at IPSec. Bilang karagdagan sa simpleng pag-encrypt ng trapiko, sinusuportahan ng Cisco ang iba pang mga tampok ng VPN tulad ng pagpapatunay sa panahon ng koneksyon sa tunnel at pagpapalitan ng susi.Upang mapabuti ang pagganap ng router, maaaring gumamit ng opsyonal na ESA encryption module. Bilang karagdagan, ang Cisco System ay naglabas ng isang espesyal na aparato para sa VPN, na tinatawag na Cisco 1720 VPN Access Router (VPN access router), na nilayon para sa pag-install sa mga maliliit at katamtamang laki ng mga kumpanya, gayundin sa mga sangay ng malalaking organisasyon.
• VPN na nakabatay sa software. Ang susunod na diskarte sa pagbuo ng isang VPN ay puro solusyon sa software. Kapag nagpapatupad ng ganoong solusyon, ginagamit ang espesyal na software na tumatakbo sa isang nakalaang computer, at sa karamihan ng mga kaso ay gumaganap bilang isang proxy server. Ang computer na nagpapatakbo ng software na ito ay maaaring matatagpuan sa likod ng isang firewall.
• VPN batay sa network OS.Titingnan natin ang mga solusyon batay sa isang network OS gamit ang Windows OS ng Microsoft bilang isang halimbawa. Upang lumikha ng VPN, ginagamit ng Microsoft ang PPTP protocol, na isinama sa Windows system. Ang solusyon na ito ay talagang kaakit-akit para sa mga organisasyong gumagamit ng Windows bilang isang korporasyon operating system. Dapat pansinin na ang halaga ng naturang solusyon ay makabuluhang mas mababa kaysa sa halaga ng iba pang mga solusyon. Gumagamit ang Windows-based na VPN ng user base na nakaimbak sa Primary Domain Controller (PDC). Kapag kumokonekta sa isang PPTP server, ang user ay napatotohanan gamit ang PAP, CHAP o MS-CHAP na mga protocol. Ang mga ipinadalang packet ay naka-encapsulate sa mga GRE/PPTP packet. Upang i-encrypt ang mga packet, ang isang hindi karaniwang protocol mula sa Microsoft Point-to-Point Encryption ay ginagamit na may 40 o 128 bit key na natanggap sa oras na maitatag ang koneksyon. Ang mga disadvantages ng system na ito ay ang kakulangan ng data integrity checking at ang kawalan ng kakayahan na baguhin ang mga key sa panahon ng koneksyon. Ang mga positibong aspeto ay kadalian ng pagsasama sa Windows at mababang gastos.
• VPN na nakabatay sa hardware. Ang opsyon ng pagbuo ng VPN sa mga espesyal na device ay maaaring gamitin sa mga network na nangangailangan ng mataas na pagganap. Ang isang halimbawa ng naturang solusyon ay ang produkto ng IPro-VPN mula sa Radguard. Gumagamit ang produktong ito ng hardware encryption ng ipinadalang impormasyon, na may kakayahang magpadala ng stream na 100 Mbit/s. Sinusuportahan ng IPro-VPN ang IPSec protocol at ang ISAKMP/Oakley key management mechanism. Bukod sa iba pang mga bagay, ang device na ito sumusuporta sa mga tool sa pagsasalin ng address ng network at maaaring dagdagan ng isang espesyal na card na nagdaragdag ng functionality ng firewall

2. Mga protocol ng VPN

Ang mga network ng VPN ay binuo gamit ang mga protocol para sa pag-tunnel ng data sa pamamagitan ng pampublikong Internet, at ang mga tunneling protocol ay nagbibigay ng data encryption at nagbibigay ng end-to-end na pagpapadala sa pagitan ng mga user. Bilang isang patakaran, ngayon ang mga sumusunod na antas ng mga protocol ay ginagamit upang bumuo ng mga network ng VPN:

• Layer ng Data Link
• Layer ng network
• Layer ng transportasyon.

2.1 Link layer

Sa layer ng data link, maaaring gamitin ang L2TP at PPTP data tunneling protocol, na gumagamit ng awtorisasyon at pagpapatunay.

PPTP.

Sa kasalukuyan, ang pinakakaraniwang VPN protocol ay ang Point-to-Point Tunneling Protocol - PPTP. Ito ay binuo ng 3Com at Microsoft upang magbigay ng secure na malayuang pag-access sa mga corporate network sa pamamagitan ng Internet. Gumagamit ang PPTP ng mga umiiral nang bukas na pamantayan ng TCP/IP at lubos na umaasa sa legacy na PPP point-to-point na protocol. Sa pagsasagawa, ang PPP ay nananatiling protocol ng komunikasyon ng session ng koneksyon ng PPTP. Lumilikha ang PPTP ng tunnel sa pamamagitan ng network patungo sa NT server ng tatanggap at nagpapadala ng mga PPP packet mula sa malayong user sa pamamagitan nito. Gumagamit ang server at workstation ng virtual private network at walang pagsasaalang-alang kung gaano ka-secure o accessible ang WAN sa pagitan nila. Ang pagwawakas ng session na pinasimulan ng server, hindi tulad ng mga dalubhasang remote access server, ay nagbibigay-daan sa mga administrator ng lokal na network na panatilihin ang mga malalayong user sa loob ng mga limitasyon ng seguridad ng Windows Server.

Kahit na ang kakayahan ng PPTP protocol ay umaabot lamang sa mga device na tumatakbo sa ilalim Kontrol sa Windows, nagbibigay ito sa mga kumpanya ng kakayahang makipag-ugnayan sa mga kasalukuyang imprastraktura ng network nang hindi nakompromiso ang kanilang sariling mga sistema ng seguridad. Kaya, ang isang malayong gumagamit ay maaaring kumonekta sa Internet sa pamamagitan ng isang lokal na ISP sa pamamagitan ng isang analogue na linya ng telepono o isang link ng ISDN at magtatag ng isang koneksyon sa NT server. Kasabay nito, ang kumpanya ay hindi kailangang gumastos ng malaking halaga sa pag-aayos at pagpapanatili ng isang pool ng mga modem na nagbibigay ng mga serbisyo ng malayuang pag-access.

Ang mga sumusunod ay tumatalakay sa pagpapatakbo ng RRTR. Inilalagay ng PPTP ang mga IP packet para sa paghahatid sa isang IP network. Ginagamit ng mga kliyente ng PPTP ang destination port upang lumikha ng koneksyon sa kontrol ng tunnel. Ang prosesong ito ay nangyayari sa transport layer ng OSI model. Matapos magawa ang tunnel, magsisimulang magpalitan ng mga service packet ang client computer at ang server. Bilang karagdagan sa koneksyon sa kontrol ng PPTP na tumitiyak na gumagana ang link, isang koneksyon ang nilikha upang ipasa ang data sa pamamagitan ng tunnel. Ang pag-encapsulate ng data bago ito ipadala sa isang tunnel ay medyo naiiba kaysa sa panahon ng normal na paghahatid. Ang pag-encapsulate ng data bago ito ipadala sa tunnel ay may kasamang dalawang hakbang:

1. Una, ang bahagi ng impormasyon ng PPP ay nilikha. Dumadaloy ang data mula sa itaas hanggang sa ibaba, mula sa OSI application layer hanggang sa data link layer.
2. Ang natanggap na data ay ipinadala sa modelo ng OSI at na-encapsulated ng mga protocol sa itaas na layer.

Kaya, sa ikalawang pass, ang data ay umabot sa transport layer. Gayunpaman, hindi maipapadala ang impormasyon sa patutunguhan nito, dahil ang layer ng link ng data ng OSI ay responsable para dito. Samakatuwid, ini-encrypt ng PPTP ang field ng payload ng packet at pinapalitan ang mga function ng pangalawang layer na karaniwang nauugnay sa PPP, i.e. nagdaragdag ng PPP header at nagtatapos sa isang PPTP packet. Kinukumpleto nito ang paglikha ng frame ng layer ng link.

Susunod, ini-encapsulate ng PPTP ang PPP frame sa isang Generic Routing Encapsulation (GRE) packet, na kabilang sa layer ng network. Pinagsasama-sama ng GRE ang mga protocol ng layer ng network tulad ng IPX, AppleTalk, DECnet upang payagan ang mga ito na maihatid sa mga IP network. Gayunpaman, walang kakayahan ang GRE na magtatag ng mga session at protektahan ang data mula sa mga nanghihimasok. Gumagamit ito ng kakayahan ng PPTP na lumikha ng koneksyon sa kontrol ng tunnel. Ang paggamit ng GRE bilang paraan ng encapsulation ay naglilimita sa saklaw ng PPTP sa mga IP network lamang.

Matapos ma-encapsulate ang PPP frame sa isang frame na may GRE header, isasagawa ang encapsulation sa isang frame na may IP header. Ang IP header ay naglalaman ng source at destination address ng packet. Sa wakas, ang PPTP ay nagdaragdag ng isang PPP header at nagtatapos.

Ang sistema ng pagpapadala ay nagpapadala ng data sa pamamagitan ng tunnel. Ang sistema ng pagtanggap ay nag-aalis ng lahat ng mga overhead na header, na naiwan lamang ang data ng PPP.

L2TP

Sa malapit na hinaharap, inaasahan ang pagtaas sa bilang ng mga virtual private network, na i-deploy batay sa bagong second-level tunneling protocol Layer 2 Tunneling Protocol - L2TP.

Lumitaw ang L2TP bilang resulta ng pagsasama-sama ng mga protocol ng PPTP at L2F (Layer 2 Forwarding). Pinapayagan ng PPTP ang mga PPP packet na maipadala sa pamamagitan ng tunnel, at L2F packets SLIP at PPP. Upang maiwasan ang pagkalito at mga problema sa interoperability sa merkado ng telekomunikasyon, inirerekomenda ng Internet Engineering Task Force (IETF) na pagsamahin ng Cisco Systems ang PPTP at L2F. Sa lahat ng mga account, pinagsasama ng L2TP ang pinakamahusay na mga tampok ng PPTP at L2F. Ang pangunahing bentahe ng L2TP ay ang protocol na ito ay nagpapahintulot sa iyo na lumikha ng isang tunel hindi lamang sa mga IP network, kundi pati na rin sa tulad ng ATM, X.25 at Frame Relay. Sa kasamaang palad, ang Windows 2000 na pagpapatupad ng L2TP ay sumusuporta lamang sa IP.

Ginagamit ng L2TP ang UDP bilang isang transportasyon at gumagamit ng parehong format ng mensahe para sa parehong kontrol ng tunnel at pagpapasa ng data. Ang L2TP na ipinatupad ng Microsoft ay gumagamit ng mga UDP packet na naglalaman ng mga naka-encrypt na PPP packet bilang mga control message. Ang pagiging maaasahan ng paghahatid ay ginagarantiyahan ng packet sequence control.

Iba ang functionality ng PPTP at L2TP. Maaaring gamitin ang L2TP hindi lamang sa mga IP network; ang mga mensahe ng serbisyo para sa paglikha ng tunnel at pagpapadala ng data sa pamamagitan nito ay gumagamit ng parehong format at protocol. Magagamit lang ang PPTP sa mga IP network at nangangailangan ng hiwalay na koneksyon sa TCP para magawa at magamit ang tunnel. Ang L2TP over IPSec ay nag-aalok ng higit pang mga layer ng seguridad kaysa sa PPTP at magagarantiyahan ang halos 100 porsiyentong seguridad para sa kritikal na data ng iyong organisasyon. Ang mga tampok ng L2TP ay ginagawa itong isang napaka-promising na protocol para sa pagbuo ng mga virtual network.

Ang mga protocol ng L2TP at PPTP ay naiiba sa mga protocol ng tunneling sa ikatlong antas sa ilang mga tampok:

1. Ang pagbibigay sa mga korporasyon ng pagkakataon na malayang pumili ng paraan ng pagpapatunay ng mga user at pag-verify ng kanilang mga kredensyal - sa kanilang sariling "teritoryo" o sa isang Internet service provider. Sa pamamagitan ng pagpoproseso ng mga tunneled na PPP packet, natatanggap ng mga corporate network server ang lahat ng impormasyong kinakailangan upang makilala ang mga user.
2. Suporta para sa paglipat ng tunnel - pagwawakas ng isang tunnel at pagsisimula ng isa pa sa isa sa maraming potensyal na terminator. Ang paglipat ng tunel ay nagpapahintulot sa iyo na palawigin ang koneksyon ng PPP sa kinakailangang endpoint.
3. Pag-enable sa mga corporate network administrator na ipatupad ang mga diskarte sa kontrol sa pag-access ng user nang direkta sa firewall at mga panloob na server. Dahil tumatanggap ang mga tunnel terminator ng mga PPP packet na naglalaman ng impormasyon ng user, nagagawa nilang ilapat ang mga patakaran sa seguridad na tinukoy ng administrator sa indibidwal na trapiko ng user. (Hindi pinapayagan ng third-level tunneling ang pagkilala sa pagitan ng mga packet na nagmumula sa provider, kaya dapat ilapat ang mga filter ng patakaran sa seguridad sa mga end workstation at mga aparato sa network.) Bilang karagdagan, kung gagamit ka ng switch ng tunnel, magiging posible na ayusin ang isang "pagpapatuloy" ng tunnel pangalawang antas para sa direktang paghahatid ng indibidwal na trapikomga user sa kaukulang mga panloob na server. Ang mga naturang server ay maaaring atasan ng karagdagang packet filtering.

MPLS

Gayundin sa antas ng link ng data, maaaring gamitin ang teknolohiya ng MPLS upang ayusin ang mga tunnel ( Mula sa English Multiprotocol Label Switching - multiprotocol label switching - isang mekanismo ng paglilipat ng data na tumutulad sa iba't ibang katangian ng mga circuit-switched network sa mga packet-switched network). Gumagana ang MPLS sa isang layer na maaaring iposisyon sa pagitan ng layer ng data link at ng ikatlong layer ng network ng modelo ng OSI, at samakatuwid ay karaniwang tinutukoy bilang protocol ng layer ng data link. Ito ay idinisenyo upang magbigay ng isang unibersal na serbisyo ng data para sa parehong circuit-switched at packet-switched network client. Ang MPLS ay maaaring magdala ng iba't ibang uri ng trapiko, tulad ng mga IP packet, ATM, SONET, at Ethernet frame.

Ang mga solusyon para sa pag-aayos ng VPN sa antas ng link ay may medyo limitadong saklaw, kadalasan sa loob ng domain ng provider.

2.2 Layer ng network

Layer ng network (layer ng IP). Ginagamit ang IPSec protocol, na nagpapatupad ng data encryption at confidentiality, pati na rin ang subscriber authentication. Ang paggamit ng IPSec protocol ay nagbibigay-daan para sa ganap na tampok na access na katumbas ng pisikal na koneksyon sa corporate network. Upang magtatag ng VPN, dapat i-configure ng bawat kalahok ang ilang partikular na parameter ng IPSec, ibig sabihin. Ang bawat kliyente ay dapat may software na nagpapatupad ng IPSec.

IPSec

Naturally, walang kumpanya ang magnanais na hayagang lumipat Internet pinansyal o iba pang kumpidensyal na impormasyon. Ang mga channel ng VPN ay protektado ng makapangyarihang mga algorithm ng pag-encrypt batay sa mga pamantayan ng protocol ng seguridad ng IPsec. Ang IPSec o Internet Protocol Security - isang pamantayang pinili ng internasyonal na komunidad, ang IETF - Internet Engineering Task Force, ay lumilikha ng balangkas ng seguridad para sa Internet Protocol (Ang IP / IPSec protocol ay nagbibigay ng seguridad sa antas ng network at nangangailangan ng suporta para sa pamantayan ng IPSec mula lamang sa mga device na nakikipag-ugnayan sa isa't isa sa magkabilang panig ng koneksyon. Ang lahat ng iba pang device na matatagpuan sa pagitan ng mga ito ay nagbibigay lamang ng trapiko ng mga IP packet.

Ang paraan ng pakikipag-ugnayan sa pagitan ng mga taong gumagamit ng teknolohiyang IPSec ay karaniwang tinutukoy ng terminong "secure association" - Security Association (SA). Ang isang ligtas na asosasyon ay nagpapatakbo batay sa isang kasunduan sa pagitan ng mga partido, na gumagamit ng IPSec upang protektahan ang impormasyong ipinadala sa isa't isa. Kinokontrol ng kasunduang ito ang ilang parameter: mga IP address ng nagpadala at tatanggap, cryptographic algorithm, key exchange order, key sizes, key lifetime, authentication algorithm.

Ang IPSec ay isang pare-parehong hanay ng mga bukas na pamantayan na may core na madaling mapalawak gamit ang mga bagong feature at protocol. Ang core ng IPSec ay binubuo ng tatlong protocol:

· AN o Authentication Header - authentication header - ginagarantiyahan ang integridad at pagiging tunay ng data. Ang pangunahing layunin ng AH protocol ay na pinapayagan nito ang tumatanggap na panig na tiyakin na:

• ang packet ay ipinadala ng isang partido kung saan naitatag ang isang secure na asosasyon;
• ang mga nilalaman ng packet ay hindi nasira sa panahon ng paghahatid nito sa network;
• ang packet ay hindi isang duplicate ng isang natanggap na packet.

Ang unang dalawang function ay sapilitan para sa AH protocol, at ang huli ay opsyonal na pinili kapag nagtatatag ng isang asosasyon. Upang maisagawa ang mga function na ito, ang AH protocol ay gumagamit ng isang espesyal na header. Ang istraktura nito ay isinasaalang-alang ayon sa sumusunod na pamamaraan:

1. Ang susunod na field ng header ay nagpapahiwatig ng code ng mas mataas na antas ng protocol, iyon ay, ang protocol na ang mensahe ay matatagpuan sa field ng data ng IP packet.
2. Ang field ng haba ng payload ay naglalaman ng haba ng header ng AH.
3. Ginagamit ang Security Parameters Index (SPI) upang iugnay ang isang packet sa nilalayong asosasyon ng seguridad nito.
4. Ang field ng Sequence Number (SN) ay nagpapahiwatig ng sequence number ng packet at ginagamit upang maprotektahan laban sa spoofing (kapag sinubukan ng isang third party na muling gamitin ang mga naharang na secure na packet na ipinadala ng aktwal na authenticated na nagpadala).
5. Ang field ng data ng pagpapatunay, na naglalaman ng tinatawag na Integrity Check Value (ICV), ay ginagamit upang patunayan at suriin ang integridad ng packet. Ang halagang ito, na tinatawag ding digest, ay kinakalkula gamit ang isa sa dalawang computationally irreversible function na MD5 o SAH-1 na kinakailangan ng AH protocol, ngunit maaaring gamitin ang anumang iba pang function.

· ESP o Encapsulating Security Payload- naka-encrypt na encapsulation ng data - nag-encrypt ng ipinadalang data, tinitiyak ang pagiging kumpidensyal, maaari ring mapanatili ang pagpapatunay at integridad ng data;

Ang ESP protocol ay nilulutas ang dalawang grupo ng mga problema.

1. Kasama sa una ang mga gawaing katulad ng sa AH protocol - tinitiyak ang pagpapatunay at integridad ng data batay sa digest,
2. Ang pangalawa ay ang ipinadalang data sa pamamagitan ng pag-encrypt nito mula sa hindi awtorisadong pagtingin.

Ang header ay nahahati sa dalawang bahagi, na pinaghihiwalay ng isang field ng data.

1. Ang unang bahagi, na tinatawag na ESP header mismo, ay nabuo ng dalawang field (SPI at SN), ang layunin nito ay katulad ng mga field ng parehong pangalan sa AH protocol, at inilalagay bago ang field ng data.
2. Ang natitirang ESP protocol service field, na tinatawag na ESP trailer, ay matatagpuan sa dulo ng packet.

Ang dalawang field ng trailer - ang susunod na header at ang data ng pagpapatotoo - ay katulad ng mga field ng AH header. Ang field ng Authentication Data ay wala kung ang isang desisyon ay ginawa na hindi gamitin ang mga kakayahan sa integridad ng ESP protocol kapag nagtatatag ng isang secure na asosasyon. Bilang karagdagan sa mga patlang na ito, ang trailer ay naglalaman ng dalawang karagdagang mga patlang - tagapuno at haba ng tagapuno.

Maaaring protektahan ng mga protocol ng AH at ESP ang data sa dalawang mode:

1. sa transportasyon - ang paghahatid ay isinasagawa gamit ang orihinal na mga header ng IP;
2. sa isang tunnel - ang orihinal na packet ay inilagay sa isang bagong IP packet at ang paghahatid ay isinasagawa gamit ang mga bagong header.

Ang paggamit ng isang mode o isa pa ay nakasalalay sa mga kinakailangan para sa proteksyon ng data, gayundin sa papel na ginagampanan sa network ng node na nagtatapos sa secure na channel. Kaya, ang isang node ay maaaring isang host (end node) o isang gateway (intermediate node).

Alinsunod dito, mayroong tatlong mga scheme para sa paggamit ng IPSec protocol:

1. host-host;
2. gateway-gateway;
3. gateway ng host.

Ang mga kakayahan ng AH at ESP protocol ay bahagyang nagsasapawan: ang AH protocol ay may pananagutan lamang para sa pagtiyak ng integridad at pagpapatunay ng data, ang ESP protocol ay maaaring mag-encrypt ng data at, bilang karagdagan, gawin ang mga function ng AH protocol (sa isang stripped down na form ). Maaaring suportahan ng ESP ang pag-encrypt at pagpapatunay/integridad na mga function sa anumang kumbinasyon, iyon ay, alinman sa buong pangkat ng mga function, pagpapatunay/integridad lamang, o pag-encrypt lamang.

· IKE o Internet Key Exchange - Internet key exchange - nilulutas ang pantulong na gawain ng awtomatikong pagbibigay ng mga endpoint ng isang secure na channel na may mga lihim na key na kinakailangan para sa pagpapatakbo ng authentication at data encryption protocol.

2.3 Transport layer

Ginagamit ng transport layer ang SSL/TLS o Secure Socket Layer/Transport Layer Security protocol, na nagpapatupad ng encryption at authentication sa pagitan ng transport layer ng receiver at transmitter. Maaaring gamitin ang SSL/TLS upang ma-secure ang trapiko ng TCP, ngunit hindi magagamit upang ma-secure ang trapiko ng UDP. Upang magpatakbo ng VPN batay sa SSL/TLS, hindi na kailangang magpatupad ng espesyal na software dahil ang bawat browser at email client ay nilagyan ng mga protocol na ito. Dahil sa ang katunayan na ang SSL/TLS ay ipinatupad sa layer ng transportasyon, isang secure na koneksyon ay itinatag "end-to-end".

Ang TLS protocol ay batay sa Netscape SSL protocol na bersyon 3.0 at binubuo ng dalawang bahagi - ang TLS Record Protocol at ang TLS Handshake Protocol. Ang mga pagkakaiba sa pagitan ng SSL 3.0 at TLS 1.0 ay maliit.

Kasama sa SSL/TLS ang tatlong pangunahing yugto:

1. Dialogue sa pagitan ng mga partido, ang layunin kung saan ay upang pumili ng isang encryption algorithm;
2. Key exchange batay sa public key cryptosystems o certificate-based authentication;
3. Paglipat ng data na naka-encrypt gamit ang simetriko na mga algorithm ng pag-encrypt.

2.4 Pagpapatupad ng VPN: IPSec o SSL/TLS?

Ang mga tagapamahala ng departamento ng IT ay madalas na nahaharap sa tanong: aling protocol ang pipiliin para sa pagbuo ng isang corporate VPN network? Ang sagot ay hindi halata dahil ang bawat diskarte ay may parehong kalamangan at kahinaan. Susubukan naming magsagawa at tukuyin kung kailan kinakailangan gamitin ang IPSec, at kapag SSL/TLS. Tulad ng makikita mula sa pagsusuri ng mga katangian ng mga protocol na ito, ang mga ito ay hindi mapapalitan at maaaring gumana nang magkahiwalay at magkatulad, na tumutukoy sa mga functional na tampok ng bawat isa sa mga ipinatupad na VPN.

Ang pagpili ng protocol para sa pagbuo ng isang corporate VPN network ay maaaring gawin ayon sa mga sumusunod na pamantayan:

· Uri ng access na kinakailangan para sa mga gumagamit ng VPN.

1. Ganap na gumagana, palaging naka-on na koneksyon sa corporate network. Ang inirerekomendang pagpipilian ay ang IPSec protocol.
2. Pansamantalang koneksyon, halimbawa, ng isang mobile user o isang user na gumagamit ng isang pampublikong computer, upang makakuha ng access sa ilang mga serbisyo, halimbawa, e-mail o database. Ang inirerekomendang pagpipilian ay ang SSL/TLS protocol, na nagbibigay-daan sa iyong ayusin ang isang VPN para sa bawat indibidwal na serbisyo.

· Kung ang gumagamit ay empleyado ng kumpanya.

1. Kung ang user ay empleyado ng isang kumpanya, ang device na ginagamit niya para ma-access ang corporate network sa pamamagitan ng IPSec VPN ay maaaring i-configure sa ilang partikular na paraan.
2. Kung ang user ay hindi empleyado ng kumpanya kung saan ina-access ang corporate network, inirerekomendang gamitin ang SSL/TLS. Nililimitahan nito ang pag-access ng bisita sa ilang partikular na serbisyo lamang.

· Ano ang antas ng seguridad ng corporate network.

1. Mataas. Ang inirerekomendang pagpipilian ay ang IPSec protocol. Sa katunayan, ang antas ng seguridad na inaalok ng IPSec ay mas mataas kaysa sa iniaalok ng SSL/TLS protocol dahil sa paggamit ng na-configure na software sa gilid ng user at isang gateway ng seguridad sa panig ng corporate network.
2. Katamtaman. Ang inirerekomendang pagpipilian ay ang SSL/TLS protocol, na nagbibigay-daan sa pag-access mula sa anumang terminal.

· Antas ng seguridad ng data na ipinadala ng user.

1. Mataas, halimbawa, pamamahala ng kumpanya. Ang inirerekomendang pagpipilian ay ang IPSec protocol.
2. Karaniwan, halimbawa, kasosyo. Ang inirerekomendang pagpipilian ay ang SSL/TLS protocol.

Depende sa serbisyo - mula sa katamtaman hanggang sa mataas. Ang inirerekomendang pagpipilian ay isang kumbinasyon ng mga IPSec protocol (para sa mga serbisyong nangangailangan mataas na lebel seguridad) at SSL/TLS (para sa mga serbisyong nangangailangan average na antas seguridad).

· Ano ang mas mahalaga, mabilis na pag-deploy ng VPN o scalability ng solusyon sa hinaharap.

1. Mabilis na mag-deploy ng VPN network sa minimal na gastos. Ang inirerekomendang pagpipilian ay ang SSL/TLS protocol. Sa kasong ito, hindi na kailangang magpatupad ng espesyal na software sa panig ng gumagamit tulad ng sa kaso ng IPSec.
2. scalability ng VPN network - pagdaragdag ng access sa iba't ibang serbisyo. Ang inirerekomendang pagpipilian ay ang IPSec protocol, na nagbibigay-daan sa pag-access sa lahat ng mga serbisyo at mapagkukunan ng corporate network.
3. Mabilis na deployment at scalability. Ang inirerekomendang pagpipilian ay isang kumbinasyon ng IPSec at SSL/TLS: gamit ang SSL/TLS sa unang yugto upang ma-access ang mga kinakailangang serbisyo, na sinusundan ng pagpapatupad ng IPSec.

3. Mga pamamaraan para sa pagpapatupad ng mga network ng VPN

Ang isang virtual pribadong network ay batay sa tatlong paraan ng pagpapatupad:

· Tunneling;

· Pag-encrypt;

· Pagpapatunay.

3.1 Tunneling

Tinitiyak ng tunneling ang paglipat ng data sa pagitan ng dalawang punto - ang mga dulo ng tunnel - sa paraang ang buong imprastraktura ng network na nasa pagitan ng mga ito ay nakatago mula sa pinagmulan at tagatanggap ng data.

Ang transport medium ng tunnel, tulad ng isang ferry, ay kumukuha ng mga packet ng network protocol na ginagamit sa pasukan sa tunnel at inihahatid ang mga ito nang hindi nagbabago sa exit. Ang pagbuo ng tunnel ay sapat na upang ikonekta ang dalawang network node upang, mula sa punto ng view ng software na tumatakbo sa mga ito, lumilitaw na konektado sila sa parehong (lokal) na network. Gayunpaman, hindi natin dapat kalimutan na sa katunayan ang "ferry" na may data ay dumadaan sa maraming mga intermediate node (router) ng isang bukas na pampublikong network.

Ang kalagayang ito ay nagdudulot ng dalawang problema. Ang una ay ang impormasyong ipinadala sa pamamagitan ng tunnel ay maaaring maharang ng mga umaatake. Kung ito ay kumpidensyal (mga numero mga bank card, mga ulat sa pananalapi, personal na impormasyon), kung gayon ang banta ng kompromiso nito ay medyo totoo, na sa kanyang sarili ay hindi kanais-nais. Mas malala pa, may kakayahan ang mga attacker na baguhin ang data na ipinadala sa pamamagitan ng tunnel para hindi ma-verify ng tatanggap ang pagiging tunay nito. Ang mga kahihinatnan ay maaaring ang pinakakatakut-takot. Isinasaalang-alang ang nasa itaas, nakarating kami sa konklusyon na ang tunel sa dalisay nitong anyo ay angkop lamang para sa ilang uri ng network. mga laro sa Kompyuter at hindi maaaring mag-claim ng anumang mas seryosong aplikasyon. Ang parehong mga problema ay nalutas sa pamamagitan ng modernong paraan ng proteksyon ng cryptographic na impormasyon. Upang maiwasan ang mga hindi awtorisadong pagbabago na gagawin sa data packet habang naglalakbay ito sa tunnel, isang electronic digital na lagda(). Ang kakanyahan ng pamamaraan ay ang bawat ipinadala na packet ay binibigyan ng karagdagang bloke ng impormasyon, na nabuo alinsunod sa isang asymmetric cryptographic algorithm at natatangi para sa mga nilalaman ng packet at ang lihim na susi ng digital signature ng nagpadala. Ang bloke ng impormasyong ito ay ang digital signature ng package at nagbibigay-daan sa data na mapatotohanan ng tatanggap, na nakakaalam ng public key ng digital signature ng nagpadala. Ang proteksyon ng data na ipinadala sa pamamagitan ng tunnel mula sa hindi awtorisadong pagtingin ay nakakamit sa pamamagitan ng paggamit ng malakas na mga algorithm ng pag-encrypt.

3.2 Pagpapatunay

Ang seguridad ay ang pangunahing pag-andar ng isang VPN. Ang lahat ng data mula sa mga computer ng kliyente ay dumadaan sa Internet patungo sa VPN server. Ang nasabing server ay maaaring matatagpuan sa malayong distansya mula sa computer ng kliyente, at ang data sa daan patungo sa network ng organisasyon ay dumadaan sa kagamitan ng maraming provider. Paano ko matitiyak na ang data ay hindi nabasa o nabago? Para dito, ginagamit ang iba't ibang paraan ng pagpapatunay at pag-encrypt.

Maaaring gamitin ng PPTP ang alinman sa mga protocol na ginagamit para sa PPP upang patotohanan ang mga user

• EAP o Extensible Authentication Protocol;
• MSCHAP o Microsoft Challenge Handshake Authentication Protocol (mga bersyon 1 at 2);
• CHAP o Challenge Handshake Authentication Protocol;
• SPAP o Shiva Password Authentication Protocol;
• PAP o Password Authentication Protocol.

Ang pinakamahusay na mga protocol ay MSCHAP bersyon 2 at Transport Layer Security (EAP-TLS), dahil nagbibigay ang mga ito ng mutual na pagpapatotoo, i.e. Ang VPN server at kliyente ay nagpapakilala sa isa't isa. Sa lahat ng iba pang protocol, ang server lang ang nagpapatotoo sa mga kliyente.

Bagama't nagbibigay ang PPTP ng sapat na antas ng seguridad, mas maaasahan ang L2TP sa IPSec. Nagbibigay ang L2TP sa IPSec ng pagpapatunay sa antas ng user at computer, at nagsasagawa rin ng pagpapatunay at pag-encrypt ng data.

Ang pagpapatunay ay isinasagawa alinman sa pamamagitan ng isang bukas na pagsubok (malinaw na password ng teksto) o sa pamamagitan ng isang pamamaraan ng hamon/pagtugon. Ang lahat ay malinaw sa direktang teksto. Nagpapadala ang kliyente ng password sa server. Ikinukumpara ito ng server sa pamantayan at maaaring tumanggi sa pag-access o sabihing "maligayang pagdating." Ang bukas na pagpapatotoo ay halos hindi nakikita.

Ang scheme ng kahilingan/tugon ay mas advanced. Sa pangkalahatan, ganito ang hitsura:

• ang kliyente ay nagpapadala sa server ng isang kahilingan para sa pagpapatunay;
• nagbabalik ang server ng random na tugon (hamon);
• ang kliyente ay kumukuha ng hash mula sa kanyang password (ang hash ay ang resulta ng isang hash function na nagko-convert ng input data array ng di-makatwirang haba sa isang output bit string ng isang nakapirming haba), ini-encrypt ang tugon kasama nito at ipinapadala ito sa server;
• pareho ang ginagawa ng server, inihahambing ang natanggap na resulta sa tugon ng kliyente;
• kung ang naka-encrypt na tugon ay tumutugma, ang pagpapatunay ay itinuturing na matagumpay;

Sa unang hakbang ng pag-authenticate ng mga kliyente at server ng VPN, ang L2TP sa IPSec ay gumagamit ng mga lokal na sertipiko na nakuha mula sa isang awtoridad sa sertipiko. Ang kliyente at server ay nagpapalitan ng mga sertipiko at lumikha ng isang secure na koneksyon na ESP SA (security association). Pagkatapos makumpleto ng L2TP (sa IPSec) ang proseso ng pagpapatunay ng computer, isasagawa ang pagpapatunay sa antas ng user. Para sa pagpapatunay, maaari mong gamitin ang anumang protocol, maging ang PAP, na nagpapadala ng username at password sa malinaw na teksto. Ito ay medyo ligtas, dahil ang L2TP sa IPSec ay naka-encrypt sa buong session. Gayunpaman, ang pagsasagawa ng user authentication gamit ang MSCHAP, na gumagamit ng iba't ibang encryption key upang patotohanan ang computer at ang user, ay maaaring mapahusay ang seguridad.

3.3. Pag-encrypt

Tinitiyak ng PPTP encryption na walang makaka-access sa iyong data habang ipinapadala ito sa Internet. Kasalukuyang mayroong dalawang sinusuportahang paraan ng pag-encrypt:

• Ang MPPE o Microsoft Point-to-Point Encryption ay katugma lamang sa MSCHAP (bersyon 1 at 2);
• Maaaring awtomatikong piliin ng EAP-TLS ang haba ng encryption key kapag nakikipagnegosasyon sa mga parameter sa pagitan ng client at server.

Sinusuportahan ng MPPE ang mga key na may haba na 40, 56 o 128 bits. Ang mga lumang operating system ng Windows ay sumusuporta lamang sa 40-bit na key length encryption, kaya sa isang halo-halong Windows environment dapat mong piliin ang pinakamababang haba ng key.

Binabago ng PPTP ang halaga ng encryption key pagkatapos matanggap ang bawat packet. Ang MMPE protocol ay idinisenyo para sa point-to-point na mga link ng komunikasyon kung saan ang mga packet ay ipinapadala nang sunud-sunod at mayroong napakakaunting pagkawala ng data. Sa sitwasyong ito, ang pangunahing halaga para sa susunod na packet ay nakasalalay sa mga resulta ng pag-decryption ng nakaraang packet. Kapag nagtatayo ng mga virtual network sa pamamagitan ng mga network pampublikong pag-access ang mga kundisyong ito ay hindi maaaring matugunan, dahil ang mga data packet ay kadalasang dumarating sa tatanggap sa ibang pagkakasunud-sunod kaysa sa ipinadala sa kanila. Samakatuwid, ang PPTP ay gumagamit ng mga packet sequence number upang baguhin ang encryption key. Ito ay nagpapahintulot sa decryption na maisagawa anuman ang mga nakaraang natanggap na packet.

Ang parehong mga protocol ay ipinatupad pareho sa Microsoft Windows at sa labas nito (halimbawa, sa BSD), ang mga algorithm ng pagpapatakbo ng VPN ay maaaring magkaiba nang malaki.

Kaya, ang kumbinasyon ng "tunneling + authentication + encryption" ay nagpapahintulot sa iyo na maglipat ng data sa pagitan ng dalawang punto sa pamamagitan ng isang pampublikong network, na ginagaya ang pagpapatakbo ng isang pribadong (lokal) na network. Sa madaling salita, pinapayagan ka ng mga itinuturing na tool na bumuo ng isang virtual na pribadong network.

Ang isang karagdagang kaaya-ayang epekto ng isang koneksyon sa VPN ay ang posibilidad (at maging ang pangangailangan) ng paggamit ng addressing system na pinagtibay sa lokal na network.

Ang pagpapatupad ng isang virtual pribadong network sa pagsasanay ay ganito ang hitsura: Ang isang VPN server ay naka-install sa lokal na network ng computer ng opisina ng kumpanya. Ang malayong user (o router, kung kumokonekta sa dalawang opisina) gamit ang VPN client software ay nagpasimula ng pamamaraan ng koneksyon sa server. Nangyayari ang pagpapatunay ng user - ang unang yugto ng pagtatatag ng koneksyon sa VPN. Kung nakumpirma ang awtoridad, magsisimula ang pangalawang yugto - ang mga detalye ng pagtiyak ng seguridad ng koneksyon ay napagkasunduan sa pagitan ng kliyente at ng server. Pagkatapos nito, ang isang koneksyon sa VPN ay isinaayos, na tinitiyak ang pagpapalitan ng impormasyon sa pagitan ng kliyente at ng server sa anyo kapag ang bawat packet ng data ay dumaan sa pag-encrypt/decryption at mga pamamaraan ng pagsusuri ng integridad - pagpapatunay ng data.

Ang pangunahing problema sa mga network ng VPN ay ang kakulangan ng mga itinatag na pamantayan para sa pagpapatunay at naka-encrypt na pagpapalitan ng impormasyon. Ang mga pamantayang ito ay nasa ilalim pa rin ng pagbuo at samakatuwid ang mga produkto mula sa iba't ibang mga tagagawa ay hindi makapagtatag ng mga koneksyon sa VPN at awtomatikong makipagpalitan ng mga susi. Itong problema nagsasangkot ng pagbagal sa pagkalat ng mga VPN, dahil mahirap pilitin ang iba't ibang kumpanya na gamitin ang mga produkto ng isang tagagawa, at samakatuwid ay mahirap ang proseso ng pagsasama-sama ng mga network ng mga kasosyong kumpanya sa tinatawag na mga extranet network.

Ang mga bentahe ng teknolohiya ng VPN ay ang malayuang pag-access ay nakaayos hindi sa pamamagitan ng linya ng telepono, ngunit sa pamamagitan ng Internet, na mas mura at mas mahusay. Ang kawalan ng teknolohiya ng VPN ay ang mga tool sa pagbuo ng VPN ay hindi ganap na paraan ng pag-detect at pagharang ng mga pag-atake. Maaari nilang pigilan ang isang bilang ng mga hindi awtorisadong aksyon, ngunit hindi lahat ng mga posibilidad na maaaring magamit upang tumagos sa isang corporate network. Ngunit sa kabila ng lahat ng ito, ang teknolohiya ng VPN ay may mga prospect para sa karagdagang pag-unlad.

Ano ang maaari nating asahan sa mga tuntunin ng pag-unlad ng teknolohiya ng VPN sa hinaharap? Walang anumang pag-aalinlangan, ang isang pinag-isang pamantayan para sa pagbuo ng mga naturang network ay bubuo at maaaprubahan. Malamang, ang batayan ng pamantayang ito ay ang napatunayan nang IPSec protocol. Susunod, tututukan ang mga tagagawa sa pagpapabuti ng pagganap ng kanilang mga produkto at paglikha ng mga tool sa pamamahala ng VPN na madaling gamitin. Malamang, ang pagbuo ng mga tool sa pagbuo ng VPN ay pupunta sa direksyon ng mga VPN na nakabase sa router, dahil pinagsasama ng solusyon na ito ang medyo mataas na pagganap, pagsasama ng VPN at pagruruta sa isang device. Gayunpaman, bubuo din ang mga murang solusyon para sa maliliit na organisasyon. Sa konklusyon, dapat sabihin na, sa kabila ng katotohanan na ang teknolohiya ng VPN ay napakabata pa, mayroon itong magandang kinabukasan.

Iwanan ang iyong komento!

Maraming mga tao ang interesadong malaman kung ano ang isang koneksyon sa VPN at kung bakit ito kinakailangan. Haharapin natin ito sa simpleng wika ng karaniwang tao, nang hindi gumagamit ng propesyonal na terminolohiya, upang maunawaan ng lahat kung ano ito. Ang koneksyon sa VPN ay isang secure na network (tunnel) na nilikha sa loob ng Internet, na hindi protektado. Kung isasaalang-alang namin ang pinakasimpleng uri, ito ay isang tunel na binubuo ng isang VPN client, na matatagpuan sa PC ng gumagamit, at isang VPN server. Ano ang nangyayari sa tunnel:

Pag-encrypt;

Pagbabago ng impormasyong ipinagpapalit sa pagitan ng PC ng gumagamit at mga site na matatagpuan sa Internet.

Mga kalamangan ng proteksyon na ito

At ano ang merito nito? Minsan ang isang VPN ay kinakailangan upang itago ang iyong IP address upang maging isang hindi kilalang user. May mga kaso kung kailan kinakailangan na mag-download ng mga file mula sa isang network na nagbabawal dito mula sa mga IP address ng mga bansa kung saan matatagpuan ang mga kliyente. Mayroon ding pangangailangan na i-encrypt ang trapiko na ipinadala mula sa PC ng gumagamit patungo sa patutunguhan. Lumalabas na may kaunting mga sitwasyon kung saan ginagamit ang isang koneksyon sa VPN.

Mekanismo para sa paggamit ng koneksyon sa VPN

Tingnan natin ang isang halimbawa na madalas nating makaharap totoong buhay. Ang mga libre at madalas na bukas na mga Wi-Fi network ay lumalaki sa katanyagan sa mga araw na ito. Sila ay nasa lahat ng dako:

Sa mga restawran;

Sa mga hotel;

Sa ibang pampublikong lugar.

Ang bilang ng mga device na nagpapahintulot sa iyo na kumonekta sa Internet ay patuloy na tumataas. May mga PDA, mobile phone, netbook at iba pang device. Ito ang nagpapasaya sa akin modernong tao, dahil pinapayagan ka nitong madaling kumonekta sa iyong email at mag-log in sa mga social network sa maraming lugar, at ngayon ay maaari kang magtrabaho habang nasa bakasyon, na pinagsasama ang negosyo nang may kasiyahan.

Ngunit naisip mo na ba kung gaano ito kaligtas? Sigurado ka ba na sa bukas na espasyo ng mga hindi secure na network ay walang magnanakaw ng iyong mga kredensyal at password? Hindi alam ng lahat, ngunit sa pamamagitan ng pagsusuri sa gayong hindi protektadong trapiko, madaling makakuha ng access sa personal na impormasyon, na nagtatatag ng kontrol sa iyong PC. Ito ay kung saan dumating ang isang koneksyon sa VPN upang iligtas. Dapat itong mai-install bago kumonekta sa pamamagitan ng isang hindi secure na network.

Paano mag-install ng VPN

Ang Windows 7 ay hindi mahirap. Ang prinsipyo ay halos pareho sa anumang kaso. Kakailanganin mo ang isang control panel, doon pumunta sa seksyong tinatawag na "Network at Internet", kung saan mag-click sa "Mag-set up ng isang bagong koneksyon o network". Pagkatapos nito, pumili ng opsyon sa koneksyon. Pinag-uusapan natin ang item na "Kumonekta sa isang lugar ng trabaho", na magbibigay-daan sa iyong mag-set up ng VPN. Pagkatapos ay kailangan mong magbigay ng impormasyon tungkol sa kung paano gagawin ang koneksyon sa VPN. Sa isang umiiral nang koneksyon sa Internet o isang nakalaang numero ng telepono. Kung may pagdududa, piliin ang unang opsyon. Sa susunod na hakbang, ipasok ang IP address (maaari mong gamitin ang pangalan ng PC) kung saan ka ikokonekta gamit ang VPN tunnel. Alamin mula sa Pagkatapos ay ilagay ang iyong mga kredensyal sa pag-access. Susunod, i-click ang pindutang "Kumonekta".

Mahalagang lumikha ng isang koneksyon sa VPN; pagkatapos mag-install ng isang secure na channel, wala nang anumang panganib ng pagharang ng data. Maaari mong ligtas na suriin ang iyong email at ma-access ang mga kinakailangang site gamit ang iyong password.

VPN (Virtual Private Networks) – mga virtual private network. Ang VPN ay isa sa mga teknolohiyang iyon na hindi alam kung saan ito nanggaling. Gayunpaman, kapag nag-ugat ang mga naturang teknolohiya sa imprastraktura ng isang kumpanya, lahat ay nagtataka kung paano sila nakayanan nang wala ang mga ito. Binibigyang-daan ka ng mga virtual private network na gamitin ang Internet bilang iyong sariling pribadong network. Kaya, ang paglaganap ng mga VPN ay nauugnay sa pag-unlad ng Internet. Ang teknolohiya mismo ay gumagamit ng TCP/IP protocol stack bilang batayan para sa trabaho nito.

Upang maunawaan kung ano ang isang VPN, kailangan mong maunawaan ang dalawang konsepto: pag-encrypt at virtuality.

Ang pag-encrypt ay ang nababaligtad na pagbabago ng isang mensahe upang itago ito mula sa mga hindi awtorisadong tao.

Ang virtuality ay isang bagay o estado na hindi talaga umiiral, ngunit maaaring lumitaw sa ilalim ng ilang mga kundisyon.

Kino-convert ng pag-encrypt ang isang mensahe mula sa isang uri, halimbawa, “Hello!” sa isa pang anyo na “*&878hJf7*&8723”. Sa kabilang banda, mayroon ding inverse transformation, na tinatawag na decryption, i.e. kino-convert ang mensaheng “*&878hJf7*&8723” sa isang mensaheng “Hello!”. Ipinapalagay ng diskarte sa seguridad sa mga VPN na walang sinuman maliban sa nilalayong tatanggap ang makakagawa ng pag-decryption.

Ang konsepto ng "virtuality" ay tumutukoy sa "parang" sitwasyon. Halimbawa, isang sitwasyon kung saan ka nag-a-access malayong computer gamit ang isang tablet. Sa kasong ito, ginagaya ng tablet ang pagpapatakbo ng isang malayuang computer.

Ang terminong VPN ay may tumpak na kahulugan:

Ang VPN ay isang naka-encrypt o naka-encapsulated na proseso ng komunikasyon na ligtas na naglilipat ng data mula sa isang punto patungo sa isa pa; Ang seguridad ng data na ito ay sinisiguro ng malakas na teknolohiya ng pag-encrypt at ang ipinadalang data ay dumadaan sa isang bukas, hindi secure, at naka-ruta na network.

Dahil ang VPN ay naka-encrypt, kapag nakikipag-usap sa pagitan ng mga node, ang data ay naipapadala nang ligtas at ang integridad nito ay ginagarantiyahan. Dumadaloy ang data sa isang bukas, hindi secure, naka-ruta na network, kaya kapag ipinadala sa isang nakabahaging link, maaari itong dumaan sa maraming landas patungo sa huling destinasyon nito. Kaya, ang VPN ay maaaring isipin bilang proseso ng pagpapadala ng naka-encrypt na data mula sa isang punto patungo sa isa pa sa Internet.

Ang Encapsulation ay ang proseso ng paglalagay ng data packet sa loob ng IP packet. Pinapayagan ka ng encapsulation na magdagdag ng karagdagang layer ng proteksyon. Binibigyang-daan ka ng Encapsulation na lumikha ng mga VPN tunnel at maglipat ng data sa isang network gamit ang iba pang mga protocol. Ang pinakakaraniwang paraan upang lumikha ng mga VPN tunnel ay ang pag-encapsulate ng mga protocol ng network (IP, IPX, AppleTalk, atbp.) sa PPP at pagkatapos ay i-encapsulate ang mga resultang packet sa mga tunneling protocol. Ang huli ay kadalasang ang IP protocol, bagaman sa sa mga bihirang kaso, ATM at Frame Relay protocol ay maaari ding gamitin. Ang pamamaraang ito ay tinatawag na second-layer tunneling, dahil ang pasahero dito ay ang second layer protocol (PPP).

Ang isang alternatibong diskarte ay ang pag-encapsulate ng mga network protocol packet nang direkta sa isang tunneling protocol (tulad ng VTP), na tinatawag na Layer 3 tunneling.

Ang mga VPN ay nahahati sa tatlong uri batay sa kanilang layunin:

1. Ang intranet ay ginagamit upang pag-isahin ang ilang ipinamahagi na sangay ng isang organisasyon sa iisang secure na network, pagpapalitan ng data sa pamamagitan ng bukas na mga channel ng komunikasyon.
2. Extranet – ginagamit para sa mga network kung saan kumokonekta ang mga external na user (halimbawa, mga customer o kliyente). Dahil sa katotohanan na ang antas ng tiwala sa mga naturang user ay mas mababa kaysa sa mga empleyado ng kumpanya, kinakailangan ang espesyal na proteksyon upang maiwasan ang mga panlabas na user na ma-access ang partikular na mahalagang impormasyon.
3. Malayong pag-access – ginawa sa pagitan ng mga sentral na opisina ng korporasyon at mga remote na gumagamit ng mobile. Sa pag-encrypt ng software na na-load sa isang malayuang laptop, ang malayuang gumagamit ay nagtatatag ng isang naka-encrypt na tunnel na may isang VPN device sa mga sentral na tanggapan ng korporasyon.

Mayroong maraming mga pagpipilian para sa pagpapatupad ng isang VPN. Kapag pumipili kung paano ipatupad ang isang VPN, kailangan mong isaalang-alang ang mga kadahilanan ng pagganap ng mga sistema ng VPN. Halimbawa, kung tumatakbo ang isang router sa limitasyon ng lakas ng processor nito, ang pagdaragdag ng mga karagdagang VPN tunnel at paglalapat ng encryption/decryption ay maaaring huminto sa buong network dahil hindi mahawakan ng router ang normal na trapiko.

Mga opsyon sa pagpapatupad ng VPN:

1. VPN batay sa mga firewall. Ang firewall (firewall) ay isang software o hardware-software na elemento network ng kompyuter, na kumokontrol at nagsasala ng trapiko sa network na dumadaan dito alinsunod sa mga tinukoy na panuntunan. Ngayon, karamihan sa mga vendor ng firewall ay sumusuporta sa tunneling at pag-encrypt ng data. Ang lahat ng naturang produkto ay batay sa katotohanan na ang trapiko na dumadaan sa firewall ay naka-encrypt.
2. VPN na nakabatay sa router. Dahil ang lahat ng impormasyon na nagmumula sa lokal na network ay unang dumating sa router, ipinapayong magtalaga ng mga function ng pag-encrypt dito. Ang mga Cisco router, halimbawa, ay sumusuporta sa mga protocol ng pag-encrypt ng L2TP at IPSec. Bilang karagdagan sa simpleng pag-encrypt, sinusuportahan din nila ang iba pang mga tampok ng VPN tulad ng pagpapatunay sa pagtatatag ng koneksyon at pagpapalit ng susi.
3. VPN batay sa isang network operating system. Sa Linux, ang mga teknolohiya tulad ng OpenVPN, OpenConnect o NetworkManager ay karaniwang ginagamit upang kumonekta sa isang VPN. Ang paggawa ng VPN sa Windows ay gumagamit ng PPTP protocol, na isinama sa Windows system.

Nagbibigay kami ng mga serbisyo sa pagkukumpuni at pag-setup para sa mga computer, smartphone, tablet, mga wi-fi router, mga modem, IP-TV, mga printer. Mataas na kalidad at mura. Nagkakaroon ng problema? Punan ang form sa ibaba at tatawagan ka namin pabalik.