• hjem
  •  > 
  • Browser plugins
  •  > 
  • Sådan fungerer en VPN-forbindelse. VPN - hvad er det, serveropsætning

Sådan fungerer en VPN-forbindelse. VPN - hvad er det, serveropsætning

Internettet bliver i stigende grad brugt som kommunikationsmiddel mellem computere, fordi det tilbyder effektiv og billig kommunikation. Internettet er dog et offentligt netværk, og for at sikre sikker kommunikation gennem det, kræves der en eller anden mekanisme, der i det mindste opfylder følgende opgaver:

    fortrolighed af oplysninger;

    dataintegritet;

    tilgængelighed af information;

Disse krav opfyldes af en mekanisme kaldet VPN (Virtual Private Network) - et generaliseret navn for teknologier, der tillader en eller flere netværksforbindelser (logisk netværk) at blive leveret over et andet netværk (f.eks. internettet) ved hjælp af kryptografi (kryptering, autentificering). , infrastruktur) offentlige nøgler, betyder at beskytte mod gentagelser og ændringer i meddelelser, der transmitteres over det logiske netværk).

Oprettelse af en VPN kræver ikke yderligere investering og giver dig mulighed for at stoppe med at bruge dedikerede linjer. Afhængigt af de anvendte protokoller og formålet kan VPN give tre typer forbindelser: vært-til-vært, vært-til-netværk og netværk-til-netværk.

For klarhedens skyld, lad os forestille os følgende eksempel: en virksomhed har flere geografisk fjerntliggende filialer og "mobile" medarbejdere, der arbejder hjemme eller på vejen. Det er nødvendigt at forene alle medarbejdere i virksomheden i et enkelt netværk. Den nemmeste måde er at installere modemer i hver filial og organisere kommunikationen efter behov. Denne løsning er dog ikke altid praktisk og rentabel - nogle gange er der behov for konstant kommunikation og stor båndbredde. For at gøre dette skal du enten lægge en dedikeret linje mellem filialer eller leje dem. Begge er ret dyre. Og her kan du som et alternativ, når du bygger et enkelt sikkert netværk, bruge VPN-forbindelser fra alle virksomhedens filialer via internettet og konfigurere VPN-værktøjer på netværksværterne.

Ris. 6.4. Site-to-site VPN-forbindelse

Ris. 6.5. VPN-forbindelsestype værtsnetværk

I dette tilfælde er mange problemer løst - filialer kan være placeret overalt i verden.

Faren her er, at for det første, åbent netværk er åben for angreb fra angribere over hele verden. For det andet transmitteres alle data over internettet i klartekst, og angribere, der har hacket netværket, vil få al information transmitteret over netværket. Og for det tredje kan data ikke kun opsnappes, men også erstattes under transmission gennem netværket. En angriber kan for eksempel krænke databasers integritet ved at handle på vegne af klienter i en af ​​de betroede filialer.

For at forhindre dette i at ske, bruger VPN-løsninger funktioner som datakryptering for at sikre integritet og fortrolighed, autentificering og autorisation til at verificere brugerrettigheder og tillade adgang til det virtuelle private netværk.

En VPN-forbindelse består altid af en punkt-til-punkt-kanal, også kendt som en tunnel. Tunnelen er lavet på et ubeskyttet netværk, som oftest er internettet.

Tunnelering eller indkapsling er en metode til at overføre nyttig information gennem et mellemliggende netværk. Denne information kan være rammer (eller pakker) af en anden protokol. Med indkapsling transmitteres rammen ikke, som den blev genereret af den afsendende vært, men er forsynet med en ekstra header, der indeholder routinginformation, der tillader de indkapslede pakker at passere gennem det mellemliggende netværk (internettet). For enden af ​​tunnelen afkapsles rammerne og sendes til modtageren. Typisk er en tunnel skabt af to kant-enheder placeret ved indgangspunkter til et offentligt netværk. En af de klare fordele ved tunneling er, at denne teknologi giver dig mulighed for at kryptere hele kildepakken, inklusive headeren, som kan indeholde data, der indeholder information, som angribere bruger til at hacke netværket (for eksempel IP-adresser, antal undernet osv.). ).

Selvom en VPN-tunnel er etableret mellem to punkter, kan hver node etablere yderligere tunneler med andre noder. For eksempel, når tre fjernstationer skal kontakte det samme kontor, oprettes tre separate VPN-tunneler til det pågældende kontor. For alle tunneler kan noden på kontorsiden være den samme. Dette er muligt, fordi en node kan kryptere og dekryptere data på vegne af hele netværket, som vist i figuren:

Ris. 6.6. Oprettelse af VPN-tunneler til flere fjernplaceringer

Brugeren etablerer forbindelse til VPN-gatewayen, hvorefter brugeren har adgang til det interne netværk.

Inde i et privat netværk forekommer kryptering ikke i sig selv. Årsagen er, at denne del af netværket betragtes som sikker og under direkte kontrol, i modsætning til internettet. Dette gælder også, når du forbinder kontorer ved hjælp af VPN-gateways. Dette sikrer, at kun information transmitteret over en usikker kanal mellem kontorer er krypteret.

Der er mange forskellige løsninger til opbygning af virtuelle private netværk. De mest berømte og udbredte protokoller er:

    PPTP (Point-to-Point Tunneling Protocol) - denne protokol er blevet ret populær på grund af dens medtagelse i Microsoft-operativsystemer.

    L2TP (Layer-2 Tunneling Protocol) – kombinerer L2F (Layer 2 Forwarding)-protokollen og PPTP-protokollen. Anvendes typisk i forbindelse med IPSec.

    IPSec (Internet Protocol Security) er en officiel internetstandard udviklet af IETF-fællesskabet (Internet Engineering Task Force).

De anførte protokoller understøttes af D-Link-enheder.

PPTP-protokollen er primært beregnet til virtuelle private netværk baseret på opkaldsforbindelser. Protokollen giver mulighed for fjernadgang, hvilket giver brugerne mulighed for at etablere opkaldsforbindelser med internetudbydere og skabe en sikker tunnel til deres virksomhedsnetværk. I modsætning til IPSec var PPTP ikke oprindeligt beregnet til at skabe tunneler mellem lokale netværk. PPTP udvider mulighederne for PPP, en datalinkprotokol, der oprindeligt blev designet til at indkapsle data og levere dem over punkt-til-punkt-forbindelser.

PPTP-protokollen giver dig mulighed for at skabe sikre kanaler til udveksling af data over forskellige protokoller - IP, IPX, NetBEUI osv. Data fra disse protokoller er pakket i PPP-rammer og indkapslet ved hjælp af PPTP-protokollen i IP-protokolpakker. De overføres derefter ved hjælp af IP i krypteret form over ethvert TCP/IP-netværk. Den modtagende node udtrækker PPP-rammer fra IP-pakker og behandler dem derefter på en standard måde, dvs. udtrækker en IP-, IPX- eller NetBEUI-pakke fra en PPP-ramme og sender den over det lokale netværk. Således skaber PPTP-protokollen en punkt-til-punkt-forbindelse i netværket og transmitterer data over den oprettede sikre kanal. Den største fordel ved at indkapsle protokoller såsom PPTP er deres multi-protokol karakter. De der. Databeskyttelse på datalinklaget er gennemsigtig for netværks- og applikationslagsprotokoller. Derfor, inden for netværket, kan både IP-protokollen (som i tilfældet med VPN baseret på IPSec) og enhver anden protokol bruges som en transport.

På grund af den lette implementering er PPTP-protokollen i øjeblikket meget brugt både til at opnå pålidelig sikker adgang til virksomhedens netværk og til at få adgang til internetudbydernes netværk, når klienten skal etablere en PPTP-forbindelse med internetudbyderen for at få adgang til internettet.

Den krypteringsmetode, der bruges i PPTP, er angivet på PPP-niveau. Typisk er PPP-klienten stationær computer med Microsoft-operativsystemet, og krypteringsprotokollen er Microsoft Point-to-Point Encryption (MPPE). Denne protokol er baseret på RSA RC4-standarden og understøtter 40- eller 128-bit kryptering. Til mange applikationer af dette krypteringsniveau er brugen af ​​denne algoritme ganske tilstrækkelig, selvom den anses for mindre sikker end nogle af de andre krypteringsalgoritmer, der tilbydes af IPSec, især 168-bit Triple-Data Encryption Standard (3DES) .

Hvordan forbindelsen er etableretPPTP?

PPTP indkapsler IP-pakker til transmission over et IP-netværk. PPTP-klienter opretter en tunnelkontrolforbindelse, der holder kanalen kørende. Denne proces udføres ved OSI-modellens transportlag. Når tunnelen er oprettet, begynder klientcomputeren og serveren at udveksle servicepakker.

Udover PPTP-kontrolforbindelsen oprettes en forbindelse til at videresende data gennem tunnelen. Indkapsling af data, før de sendes ind i tunnelen, involverer to trin. Først oprettes informationsdelen af ​​PPP-rammen. Data flyder fra top til bund, fra OSI-applikationslaget til datalinklaget. De modtagne data sendes derefter op i OSI-modellen og indkapsles af øvre lags protokoller.

Data fra linklaget når transportlaget. Informationen kan dog ikke sendes til sin destination, da OSI-datalinklaget er ansvarlig for dette. Derfor krypterer PPTP pakkens nyttelastfelt og påtager sig det andet lags funktioner, der normalt hører til PPP, dvs. tilføjer en PPP-header og trailer til PPTP-pakken. Dette fuldender oprettelsen af ​​linklagsrammen. Dernæst indkapsler PPTP PPP-rammen i en Generic Routing Encapsulation (GRE)-pakke, som hører til netværkslaget. GRE indkapsler netværkslagsprotokoller såsom IP, IPX for at muliggøre deres transmission over IP-netværk. Brug af kun GRE-protokollen vil dog ikke sikre sessionsetablering og datasikkerhed. Dette bruger PPTP's evne til at skabe en tunnelkontrolforbindelse. Brug af GRE som en indkapslingsmetode begrænser omfanget af PPTP til kun IP-netværk.

Efter at PPP-rammen er blevet indkapslet i en ramme med en GRE-header, udføres indkapslingen i en ramme med en IP-header. IP-headeren indeholder pakkens kilde- og destinationsadresse. Til sidst tilføjer PPTP en PPP-header og -afslutning.

ris. 6.7 Datastrukturen for videresendelse over en PPTP-tunnel er vist:

Ris. 6.7. Datastruktur til videresendelse over en PPTP-tunnel

At organisere en VPN baseret på PPTP kræver ikke store udgifter og komplekse indstillinger: det er nok at installere en PPTP-server på hovedkontoret (PPTP-løsninger findes til både Windows- og Linux-platforme) og køre nødvendige indstillinger. Hvis du har brug for at kombinere flere grene, er det i stedet for at opsætte PPTP på alle klientstationer bedre at bruge en internetrouter eller en firewall med PPTP-understøttelse: indstillinger foretages kun på kantrouteren (firewall), der er forbundet til internettet, alt er helt gennemsigtigt for brugerne. Eksempler på sådanne enheder er multifunktionelle internetroutere i DIR/DSR-serien og firewalls i DFL-serien.

GRE-tunneler

Generic Routing Encapsulation (GRE) er en netværkspakkeindkapslingsprotokol, der giver tunneling af trafik gennem netværk uden kryptering. Eksempler på brug af GRE:

    transmission af trafik (herunder broadcasting) gennem udstyr, der ikke understøtter en specifik protokol;

    tunneling af IPv6-trafik over et IPv4-netværk;

    dataoverførsel via offentlige netværk at implementere en sikker VPN-forbindelse.

Ris. 6.8. Et eksempel på, hvordan en GRE-tunnel fungerer

Mellem to routere A og B ( ris. 6.8) der er flere routere, GRE-tunnelen giver dig mulighed for at give en forbindelse mellem lokale netværk 192.168.1.0/24 og 192.168.3.0/24, som om routere A og B var forbundet direkte.

L2 TP

L2TP-protokollen opstod som et resultat af kombinationen af ​​PPTP- og L2F-protokollerne. Den største fordel ved L2TP-protokollen er, at den giver dig mulighed for at oprette en tunnel ikke kun i IP-netværk, men også i ATM-, X.25- og Frame-relænetværk. L2TP bruger UDP som transport og bruger det samme meddelelsesformat til både tunnelkontrol og datavideresendelse.

Som med PPTP begynder L2TP at samle en pakke til transmission ind i tunnelen ved først at tilføje PPP-headeren til PPP-informationsdatafeltet og derefter L2TP-headeren. Den resulterende pakke er indkapslet af UDP. Afhængigt af den valgte type IPSec-sikkerhedspolitik kan L2TP kryptere UDP-meddelelser og tilføje en Encapsulating Security Payload (ESP) header og slutning samt en IPSec Authentication-afslutning (se afsnittet "L2TP over IPSec"). Så er det indkapslet i IP. Der tilføjes en IP-header, der indeholder afsender- og modtageradresserne. Endelig udfører L2TP en anden PPP-indkapsling for at forberede dataene til transmission. På ris. 6.9 viser datastrukturen for videresendelse over en L2TP-tunnel.

Ris. 6.9. Datastruktur til videresendelse over en L2TP-tunnel

Den modtagende computer modtager dataene, behandler PPP-headeren og afslutningen og fjerner IP-headeren. IPSec Authentication godkender IP-informationsfeltet, og IPSec ESP-headeren hjælper med at dekryptere pakken.

Computeren behandler derefter UDP-headeren og bruger L2TP-headeren til at identificere tunnelen. PPP-pakken indeholder nu kun nyttelastdata, der behandles eller videresendes til den angivne modtager.

IPsec (forkortelse for IP Security) er et sæt protokoller til at sikre beskyttelsen af ​​data transmitteret over Internet Protocol (IP), hvilket muliggør godkendelse og/eller kryptering af IP-pakker. IPsec inkluderer også protokoller til sikker nøgleudveksling over internettet.

IPSec-sikkerhed opnås gennem yderligere protokoller, der tilføjer deres egne headere til IP-pakken - indkapsling. Fordi IPSec er en internetstandard, og der er RFC'er til den:

    RFC 2401 (sikkerhedsarkitektur for Internetprotokol) – sikkerhedsarkitektur for IP-protokollen.

    RFC 2402 (IP Authentication Header) – IP Authentication Header.

    RFC 2404 (Brugen af ​​HMAC-SHA-1-96 inden for ESP og AH) – brug af SHA-1 hashing-algoritmen til at oprette godkendelsesheaderen.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - brug af DES-krypteringsalgoritmen.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – datakryptering.

    RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) er omfanget af nøglestyringsprotokollen.

    RFC 2408 ( internetsikkerhed Foreningen og nøgle Management Protocol (ISAKMP) – administration af nøgler og autentificeringer til sikre forbindelser.

    RFC 2409 (Internet Key Exchange (IKE)) – nøgleudveksling.

    RFC 2410 (NULL-krypteringsalgoritmen og dens brug med IPsec) – null-krypteringsalgoritmen og dens brug.

    RFC 2411 (IP Security Document Roadmap) er en videreudvikling af standarden.

    RFC 2412 (OAKLEY Key Determination Protocol) – kontrol af ægtheden af ​​en nøgle.

IPsec er en integreret del af Internet Protocol IPv6 og en valgfri udvidelse til Internet Protocol version IPv4.

IPSec-mekanismen løser følgende problemer:

    autentificering af brugere eller computere ved initialisering af en sikker kanal;

    kryptering og autentificering af data overført mellem endepunkter sikker kanal;

    automatisk levering af kanalendepunkter med hemmelige nøgler, der er nødvendige for driften af ​​autentificerings- og datakrypteringsprotokoller.

IPSec-komponenter

AH (Authentication Header) protokol – header-identifikationsprotokol. Sikrer integritet ved at verificere, at ingen bits i den beskyttede del af pakken blev ændret under transmissionen. Men brug af AH kan forårsage problemer, for eksempel når en pakke passerer gennem en NAT-enhed. NAT ændrer pakkens IP-adresse for at tillade internetadgang fra en lukket lokal adresse. Fordi I dette tilfælde vil pakken ændre sig, så bliver AH-kontrolsummen forkert (for at eliminere dette problem blev NAT-Traversal (NAT-T)-protokollen udviklet, som giver ESP-transmission via UDP og bruger UDP-port 4500 i sin drift) . Det er også værd at bemærke, at AH kun er designet til integritet. Det garanterer ikke fortrolighed ved at kryptere indholdet af pakken.

ESP-protokollen (Encapsulation Security Payload) giver ikke kun integriteten og autentificeringen af ​​transmitterede data, men også datakryptering samt beskyttelse mod falsk genafspilning af pakker.

ESP-protokollen er en indkapslende sikkerhedsprotokol, der giver både integritet og fortrolighed. I transporttilstand er ESP-headeren placeret mellem den originale IP-header og TCP- eller UDP-headeren. I tunneltilstand placeres ESP-headeren mellem den nye IP-header og den fuldt krypterede originale IP-pakke.

Fordi Begge protokoller - AH og ESP - tilføjer deres egne IP-headere, hver af dem har sit eget protokolnummer (ID), som kan bruges til at bestemme, hvad der følger efter IP-headeren. Hver protokol har ifølge IANA (Internet Assigned Numbers Authority - den organisation, der er ansvarlig for internetadresserummet), sit eget nummer (ID). For eksempel er dette tal for TCP 6, og for UDP er det 17. Når du arbejder gennem en firewall, er det derfor meget vigtigt at konfigurere filtre på en sådan måde, at pakker med ID AH og/eller ESP-protokol kan passere igennem.

For at angive, at AH er til stede i IP-headeren, er protokol-id'et sat til 51, og for ESP er tallet 50.

OPMÆRKSOMHED: Protokol-id er ikke det samme som portnummer.

IKE (Internet Key Exchange)-protokollen er en standard IPsec-protokol, der bruges til at sikre sikker kommunikation i virtuelle private netværk. Formålet med IKE er sikkert at forhandle og levere identificeret materiale til en sikkerhedsforening (SA).

SA er IPSec-betegnelsen for forbindelse. En etableret SA (en sikker kanal kaldet en Security Association eller SA) inkluderer en delt hemmelig nøgle og et sæt kryptografiske algoritmer.

IKE-protokollen udfører tre hovedopgaver:

    giver et middel til autentificering mellem to VPN-endepunkter;

    etablerer nye IPSec-forbindelser (opretter et SA-par);

    administrerer eksisterende forbindelser.

IKE bruger UDP-portnummer 500. Ved brug af NAT Traversal-funktionen, som tidligere nævnt, bruger IKE-protokollen UDP-portnummer 4500.

Dataudveksling i IKE foregår i 2 faser. I første fase etableres IKE SA. I dette tilfælde autentificeres kanalendepunkterne, og databeskyttelsesparametre vælges, såsom en krypteringsalgoritme, sessionsnøgle osv.

I anden fase bruges IKE SA til at forhandle en protokol (normalt IPSec).

Når en VPN-tunnel er konfigureret, oprettes et SA-par for hver anvendt protokol. SA'er oprettes i par, fordi Hver SA er en ensrettet forbindelse, og data skal overføres i to retninger. De resulterende SA-par lagres på hver knude.

Da hver node er i stand til at etablere flere tunneler med andre noder, har hver SA et unikt nummer til at identificere, hvilken node den tilhører. Dette tal kaldes SPI (Security Parameter Index).

SA er gemt i en database (DB) TRIST.(Sikkerhedsforeningens database).

Hver IPSec-node har også en anden DB − SPD(Security Policy Database) – sikkerhedspolitikdatabase. Den indeholder den konfigurerede webstedspolitik. De fleste VPN-løsninger tillader oprettelsen af ​​flere politikker med kombinationer af passende algoritmer for hver vært, som der skal oprettes forbindelse til.

Fleksibiliteten ved IPSec ligger i, at der for hver opgave er flere måder at løse den på, og de metoder, der vælges til én opgave, er normalt uafhængige af metoderne til at implementere andre opgaver. Det har IETF-arbejdsgruppen dog bestemt grundsæt understøttede funktioner og algoritmer, som skal implementeres på samme måde i alle produkter, der understøtter IPSec. AH- og ESP-mekanismerne kan bruges med en række forskellige autentificerings- og krypteringsordninger, hvoraf nogle er obligatoriske. For eksempel specificerer IPSec, at pakker godkendes ved hjælp af enten en envejs MD5-funktion eller en envejs SHA-1-funktion, og kryptering udføres ved hjælp af DES-algoritmen. Producenter af produkter, der kører IPSec, kan tilføje andre godkendelses- og krypteringsalgoritmer. For eksempel understøtter nogle produkter krypteringsalgoritmer som 3DES, Blowfish, Cast, RC5 osv.

For at kryptere data i IPSec kan enhver symmetrisk krypteringsalgoritme, der bruger hemmelige nøgler, bruges.

Transmitterede strømbeskyttelsesprotokoller (AH og ESP) kan fungere i to tilstande: transportform og i tunneling mode. Ved drift i transporttilstand fungerer IPsec kun med transportlagsinformation, dvs. kun datafeltet for pakken, der indeholder TCP protokoller/ UDP (IP-pakkehovedet ændres ikke (ikke krypteret)). Transporttilstand bruges typisk til at etablere forbindelser mellem værter.

I tunneling-tilstand er hele IP-pakken krypteret, inklusive headeren netværkslag. For at det kan transmitteres over netværket, placeres det i en anden IP-pakke. Grundlæggende er det en sikker IP-tunnel. Tunneltilstand kan bruges til at forbinde fjerncomputere til et virtuelt privat netværk (værtsnetværksforbindelsesskema) eller til at organisere sikker dataoverførsel via åbne kanaler kommunikation (f.eks. internet) mellem gateways for at forbinde forskellige dele af et virtuelt privat netværk (site-to-site forbindelsesdiagram).

IPsec-tilstande udelukker ikke hinanden. På den samme node kan nogle SA'er bruge transporttilstand, mens andre bruger tunneltilstand.

Under godkendelsesfasen beregnes pakkens ICV (Integrity Check Value). Dette forudsætter, at begge noder kender den hemmelige nøgle, hvilket gør det muligt for modtageren at beregne ICV og sammenligne den med resultatet sendt af afsenderen. Hvis ICV-sammenligningen lykkes, anses afsenderen af ​​pakken for at være autentificeret.

I tilstanden transportereA.H.

    hele IP-pakken, bortset fra nogle felter i IP-headeren, der kan blive ændret under transmissionen. Disse felter, som er sat til 0 til ICV-beregning, kan være Type of Service (TOS), flag, fragment offset, time to live (TTL) og checksum header;

    alle felter i AH;

    IP-pakke nyttelast.

AH i transporttilstand beskytter IP-headeren (undtagen felter, hvor ændringer er tilladt) og nyttelasten i den originale IP-pakke (figur 3.39).

I tunneltilstand placeres den originale pakke i en ny IP-pakke, og datatransmission udføres baseret på headeren på den nye IP-pakke.

Til tunneltilstandA.H. Når du udfører en beregning, inkluderer ICV-kontrolsummen følgende komponenter:

    alle felter i den ydre IP-header, undtagen nogle felter i IP-headeren, der kan blive ændret under transmissionen. Disse felter, som er sat til 0 til ICV-beregning, kan være Type of Service (TOS), flag, fragment offset, time to live (TTL) og checksum header;

    alle felter AH;

    original IP-pakke.

Som du kan se i den følgende illustration, beskytter AH-tunneltilstand hele den originale IP-pakke ved at bruge en ekstra ydre header, som AH-transporttilstand ikke bruger:

Ris. 6.10. Tunnel- og transportformer for drift af AN-protokollen

I tilstanden transportereESP autentificerer ikke hele pakken, men beskytter kun IP-nyttelasten. ESP-headeren i ESP-transporttilstand tilføjes til IP-pakken umiddelbart efter IP-headeren, og ESP-traileren (ESP-traileren) tilføjes derfor efter dataene.

ESP-transporttilstand krypterer følgende dele af pakken:

    IP nyttelast;

En krypteringsalgoritme, der bruger tilstanden Cipher Block Chaining (CBC) har et ukrypteret felt mellem ESP-headeren og nyttelasten. Dette felt kaldes IV (initialiseringsvektor) for den CBC-beregning, der udføres på modtageren. Da dette felt bruges til at starte dekrypteringsprocessen, kan det ikke krypteres. Selvom angriberen har mulighed for at se IV, er der ingen måde for ham at dekryptere den krypterede del af pakken uden krypteringsnøglen. For at forhindre angribere i at ændre initialiseringsvektoren er den beskyttet af en ICV-kontrolsum. I dette tilfælde udfører ICV følgende beregninger:

    alle felter i ESP-headeren;

    nyttige data, herunder simpel tekst IV;

    alle felter i ESP Trailer undtagen godkendelsesdatafeltet.

ESP-tunneltilstand indkapsler hele den originale IP-pakke i den nye IP-header, ESP-header og ESP Trailer. For at indikere, at ESP er til stede i IP-headeren, sættes IP-protokol-identifikationen til 50, hvilket efterlader den originale IP-header og nyttelast uændret. Som med AH-tunneltilstand er den ydre IP-header baseret på IPSec-tunnelkonfigurationen. I tilfælde af ESP-tunneltilstand viser autentificeringsområdet for IP-pakken, hvor signaturen blev placeret for at bekræfte dens integritet og ægthed, og den krypterede del viser, at oplysningerne er sikre og fortrolige. Kildehovedet er placeret efter ESP-hovedet. Efter at den krypterede del er indkapslet i en ny tunnelheader, som ikke er krypteret, transmitteres IP-pakken. Når den sendes over et offentligt netværk, dirigeres pakken til IP-adressen på det modtagende netværks gateway, og gatewayen dekrypterer pakken og kasserer ESP-headeren ved hjælp af den originale IP-header for derefter at rute pakken til en computer på det interne netværk. ESP-tunneling-tilstand krypterer følgende dele af pakken:

    original IP-pakke;

  • For ESP-tunneltilstand beregnes ICV som følger:

    alle felter i ESP-headeren;

    original IP-pakke inklusive klartekst IV;

    alle ESP-headerfelter undtagen godkendelsesdatafeltet.

Ris. 6.11. Tunnel- og transportform for ESP-protokollen

Ris. 6.12. Sammenligning af ESP- og AH-protokoller

Oversigt over anvendelsestilstandeIPSec:

    Protokol – ESP (AH).

    Mode – tunnel (transport).

    Nøgleudvekslingsmetoden er IKE (manuel).

    IKE-tilstand – hoved (aggressiv).

    DH-tast – gruppe 5 (gruppe 2, gruppe 1) – gruppenummer til valg af dynamisk oprettede sessionsnøgler, gruppelængde.

    Autentificering – SHA1 (SHA, MD5).

    Kryptering – DES (3DES, Blowfish, AES).

Når du opretter en politik, er det normalt muligt at oprette en ordnet liste over algoritmer og Diffie-Hellman-grupper. Diffie-Hellman (DH) er en krypteringsprotokol, der bruges til at etablere delte hemmelige nøgler til IKE, IPSec og PFS (Perfect Forward Secrecy). I dette tilfælde vil den første position, der matcher på begge noder, blive brugt. Det er meget vigtigt, at alt i sikkerhedspolitikken giver mulighed for denne tilpasning. Hvis alt andet stemmer overens med undtagelse af én del af politikken, vil noderne stadig ikke være i stand til at etablere en VPN-forbindelse. Når du opsætter en VPN-tunnel mellem forskellige systemer, skal du finde ud af, hvilke algoritmer der understøttes af hver side, så du kan vælge den mest sikre politik som muligt.

Grundlæggende indstillinger, som sikkerhedspolitikken omfatter:

    Symmetriske algoritmer til datakryptering/dekryptering.

    Kryptografisk kontrolsummer for at kontrollere dataintegriteten.

    Node identifikation metode. De mest almindelige metoder er foruddelte hemmeligheder eller CA-certifikater.

    Om du skal bruge tunneltilstand eller transporttilstand.

    Hvilken Diffie-Hellman-gruppe skal bruges (DH-gruppe 1 (768-bit); DH-gruppe 2 (1024-bit); DH-gruppe 5 (1536-bit)).

    Om du skal bruge AH, ESP eller begge dele.

    Om man skal bruge PFS.

En begrænsning ved IPSec er, at den kun understøtter IP-protokollagskommunikation.

Der er to hovedskemaer til brug af IPSec, der adskiller sig i rollen for de noder, der danner den sikre kanal.

I det første skema dannes en sikker kanal mellem netværkets endeværter. I dette skema beskytter IPSec-protokollen den node, den kører på:

Ris. 6.13. Opret en sikker kanal mellem to endepunkter

I det andet skema etableres en sikker kanal mellem to sikkerhedsgateways. Disse gateways modtager data fra slutværter, der er forbundet til netværk, der er placeret bag gateways. Slutværterne i dette tilfælde understøtter ikke IPSec-protokollen; trafik sendt til det offentlige netværk passerer gennem sikkerhedsgatewayen, som udfører beskyttelse på dens vegne.

Ris. 6.14. Oprettelse af en sikker kanal mellem to gateways

For værter, der understøtter IPSec, kan både transport- og tunneltilstande bruges. Gateways må kun bruge tunneltilstand.

Installation og supportVPN

Som nævnt ovenfor er installation og vedligeholdelse af en VPN-tunnel en to-trins proces. I den første fase (fase) bliver to noder enige om en identifikationsmetode, en krypteringsalgoritme, en hash-algoritme og en Diffie-Hellman-gruppe. De identificerer også hinanden. Alt dette kan ske som et resultat af udvekslingen af ​​tre ukrypterede meddelelser (den såkaldte aggressive tilstand, Aggressiv mode) eller seks meddelelser med udveksling af krypterede identifikationsoplysninger (standardtilstand, Hoved mode).

I Main Mode er det muligt at koordinere alle konfigurationsparametre for afsender- og modtagerenhederne, mens der i Aggressive Mode ikke er en sådan mulighed, og nogle parametre (Diffie-Hellman-gruppe, krypterings- og autentificeringsalgoritmer, PFS) skal konfigureres identisk i gå videre på hver enhed. I denne tilstand er både antallet af udvekslinger og antallet af sendte pakker imidlertid lavere, hvilket resulterer i mindre tid, der kræves til at etablere en IPSec-session.

Ris. 6.15. Beskeder i standard (a) og aggressiv (b) tilstande

Forudsat at operationen er gennemført med succes, oprettes den første fase SA − Fase 1 S.A.(også kaldet IKES.A.), og processen går til anden fase.

I anden fase genereres nøgledata, og noder bliver enige om, hvilken politik der skal bruges. Denne tilstand, også kaldet Quick mode, adskiller sig fra den første fase ved, at den først kan etableres efter den første fase, når alle pakker i anden fase er krypteret. Korrekt afslutning af anden fase resulterer i fremkomsten af Fase 2 S.A. eller IPSecS.A. og på dette tidspunkt anses installationen af ​​tunnelen for at være afsluttet.

Først ankommer en pakke med en destinationsadresse i et andet netværk til noden, og noden starter den første fase med den node, der er ansvarlig for det andet netværk. Lad os sige, at en tunnel mellem noder er blevet etableret med succes og venter på pakker. Noder skal dog genidentificere hinanden og sammenligne politikker efter en vis periode. Denne periode kaldes Phase One lifetime eller IKE SA lifetime.

Noder skal også ændre nøglen for at kryptere data efter en periode kaldet Phase Two eller IPSec SA lifetime.

Fase 2 levetid er kortere end den første fase, fordi... nøglen skal skiftes oftere. Du skal indstille de samme levetidsparametre for begge noder. Hvis du ikke gør dette, er det muligt, at tunnelen i første omgang bliver etableret med succes, men efter den første inkonsistente levetid vil forbindelsen blive afbrudt. Der kan også opstå problemer, når den første fases levetid er kortere end den anden fases. Hvis en tidligere konfigureret tunnel holder op med at fungere, så er det første, der skal kontrolleres, levetiden på begge noder.

Det skal også bemærkes, at hvis politikken ændres på en af ​​noderne, vil ændringerne først træde i kraft næste gang den første fase indtræffer. For at ændringerne kan træde i kraft med det samme, skal SA for denne tunnel fjernes fra SAD-databasen. Dette vil medføre, at aftalen mellem noder genforhandles med nye sikkerhedspolitikindstillinger.

Nogle gange, når der opsættes en IPSec-tunnel mellem udstyr fra forskellige producenter, opstår der vanskeligheder på grund af koordineringen af ​​parametre ved etablering af den første fase. Du bør være opmærksom på en sådan parameter som Local ID - dette er en unik identifikator for tunnelens slutpunkt (afsender og modtager). Dette er især vigtigt, når du opretter flere tunneler og bruger NAT Traversal-protokollen.

DødPeerOpdagelse

Under VPN-driften, i mangel af trafik mellem endepunkterne i tunnelen, eller når de indledende data for den fjerne node ændres (for eksempel ændring af en dynamisk tildelt IP-adresse), kan der opstå en situation, hvor tunnelen i det væsentlige ikke længere er en tunnel, der ligesom bliver til en spøgelsestunnel . For at opretholde konstant beredskab til dataudveksling i den oprettede IPSec-tunnel, giver IKE-mekanismen (beskrevet i RFC 3706) dig mulighed for at overvåge tilstedeværelsen af ​​trafik fra en fjernknude i tunnelen, og hvis den er fraværende i et bestemt tidsrum, der sendes en hej-besked (i firewalls Beskeden "DPD-R-U-THERE" sendes til D-Link. Hvis der ikke er noget svar på denne meddelelse inden for et bestemt tidsrum, i D-Link-firewalls specificeret af indstillingerne for "DPD Expire Time", afmonteres tunnelen. D-Link firewalls efter dette ved at bruge indstillingerne "DPD Keep Time" ( ris. 6.18), forsøger automatisk at genoprette tunnelen.

ProtokolNATTraversering

IPsec-trafik kan dirigeres efter de samme regler som andre IP-protokoller, men da routeren ikke altid kan udtrække information, der er specifik for transportlagsprotokoller, kan IPsec ikke passere gennem NAT-gateways. Som tidligere nævnt, for at løse dette problem, definerede IETF en måde at indkapsle ESP i UDP, kaldet NAT-T (NAT Traversal).

NAT Traversal-protokollen indkapsler IPSec-trafik og skaber samtidig UDP-pakker, som NAT videresender korrekt. For at gøre dette placerer NAT-T en ekstra UDP-header før IPSec-pakken, så den behandles som en almindelig UDP-pakke i hele netværket, og modtagerværten udfører ingen integritetstjek. Når pakken ankommer til sin destination, fjernes UDP-headeren, og datapakken fortsætter på sin vej som en indkapslet IPSec-pakke. Ved hjælp af NAT-T-mekanismen er det således muligt at etablere kommunikation mellem IPSec-klienter på sikre netværk og offentlige IPSec-værter gennem firewalls.

Når du konfigurerer D-Link firewalls på modtagerenheden, skal to punkter bemærkes:

    I felterne Fjernnetværk og Fjernendepunkt skal du angive netværket og IP-adressen på den fjernafsendende enhed. Det er nødvendigt at tillade oversættelse af initiatorens (afsenderens) IP-adresse ved hjælp af NAT-teknologi (figur 3.48).

    når du bruger delte nøgler med flere tunneler forbundet til én fjernbetjening firewall som er blevet NATeret til den samme adresse, er det vigtigt at sikre, at det lokale ID er unikt for hver tunnel.

Lokal ID kan være en af:

    Auto– IP-adressen på den udgående trafikgrænseflade bruges som en lokal identifikator.

    IP– IP-adressen på WAN-porten på den eksterne firewall

    DNS– DNS-adresse

    I vores store land blokerer de gerne for alt. Hvis tidligere blokering kun var begrænset til websteder, er det nu instant messengers tur. Og mens instant messengers allerede er blokeret, og VPN'er stadig planlægges at blive forbudt, vil jeg fortælle dig, hvorfor disse tre bogstaver er nødvendige. Derudover vil du lære, hvordan du opsætter en VPN på enhver enhed gratis eller mod betaling. Sådan vælger du korrekt VPN og hvorfor det skal gøres nu.

    Hvad er en VPN?

    Hvorfor har jeg brug for en VPN, hvis jeg ikke går til forbudte ressourcer?

    For de fleste af os har jeg udarbejdet en liste, som beviser, at alle har brug for en VPN:

    1. Adgang til ressourcer blokeret i landet;
    2. Sikkerhed i offentlige netværk;
    3. Hjemnetværkssikkerhed;
    4. Sikker forbindelse med venner;
    5. Anonymitet.

    De vigtigste punkter er det første og det femte. Mens folk, der er bekymrede over anonymitet, udmærket forstår, hvad og hvordan. Resten af ​​jer bliver nødt til at læse artikler som denne.

    Blokering af adgang til bestemte websteder eller applikationer på internettet er ikke altid en dårlig ting. Blokering kommer heller ikke altid fra staten. Nogle tjenester, som Spotify, virker simpelthen ikke i Rusland og begrænser i sig selv adgangen for os. Internetudbyderen kan selv blokere adgangen til ressourcer af sine egne årsager. Og selvfølgelig kan staten blokere adgangen til ressourcer, der er forbudt i landet.

    Jeg vil ikke diskutere her, om dette er korrekt eller ej. Og giver sådan en blokering overhovedet mening? Det er vigtigt at forstå, at når en ressource er blokeret, kan adgangen til flere andre absolut lovlige websteder ved et uheld blive begrænset. Ofte bemærkes sådanne fejl ikke af den gennemsnitlige netværksgæst. Men nogle gange falder så store ressourcer som Google under distributionen ved en fejl.

    Herfra er det nemt at konkludere, at du altid skal have en VPN ved hånden. Ved i det mindste indtil VPN'er også blev forbudt.

    Hvordan vælger man en VPN?

    Det er meget svært at vælge en VPN-tjeneste. En uerfaren bruger kan ikke se forskel på hundredvis forskellige programmer(og det er hun). Avancerede brugere sammenligner tjenester baseret på parametre som anonymitet, adgangshastighed, loglagring og meget, meget mere. Denne tabel hjælper med at forenkle opgaven lidt:

    Udviklerne garanterer fuldstændig sikkerhed og anonymitet (med korrekt brug). Samtidig er hastigheden ikke begrænset, men torrentelskere er ikke velkomne her. Sikkerheden er garanteret af, at IVPN er medlemmer af EFF (Electronic Frontier Foundation), og virksomheden selv er registreret i Gibraltar og er klar til at tage af sted ved det mindste pres. Serverne gemmer ingen personlige oplysninger, der kan afsløre brugere. Derfor, når staten anmoder om det, vil de simpelthen ikke have noget at give. Der er også understøttelse af OpenVPN, hvilket betyder, at VPN kan konfigureres på enhver enhed.

    Men for en sådan fornøjelse skal du betale $8,33 om måneden, hvilket er betydeligt dyrere end konkurrenterne.

    Blandt fordelene ved programmet:

    • rimelige priser for en licens (5 enheder);
    • Russisk sprog;
    • på tværs af platforme;
    • ingen begrænsninger på hastighed og trafik, selv for torrents;
    • der er en gratis version.

    I den gratis version finder du annoncering og "aflytning" af trafik for at vise denne reklame. Men de fleste mennesker er ligeglade med det, tag fat i det. I mobil version- dette er en salgsfremmende video, når forbindelsen er slået til, og i browseren - bannere fra partnere. Bortset fra det kan du kun oprette forbindelse til en server i USA.

    Programmet kan også slå selve VPN-forbindelsen til (når du arbejder med visse applikationer). På denne måde kan du arbejde gennem en VPN med en liste over programmer, mens resten vil bruge en almindelig forbindelse.

    Den betalte version koster €6,99 pr. måned eller €139,99 for en livstidslicens. Du kan stadig købe en livstidslicens til 10 enheder for $69,99.

    Et sted mellem de to muligheder ovenfor. Her i den gratis version får du flere servere at vælge imellem: Tyskland, Hong Kong, Rumænien og USA. Valgfrihed kompenseres af begrænsninger på forbindelseshastighed, men ikke trafik.

    Et betalt abonnement koster 2.100 rubler om året.

    Last VPN

    Hastighedsmåling ved tilslutning via VPN

    Mange mennesker ønsker ikke at installere en VPN, fordi de er bange for at miste forbindelseshastigheden. Ja, sådan et problem kan eksistere. Hastigheden kan være begrænset til gratis planer VPN-tjenester. Men store VPN-udbydere garanterer en forbindelse uden tab af hastighed, men i dette tilfælde skal du betale et abonnement. På den anden side anbefaler jeg under alle omstændigheder at købe et VPN-abonnement. Fordi gratis tjenester på en eller anden måde forsøger de at "tjene penge" på deres brugere. I dette tilfælde lider sikkerheden af ​​forbindelsen, dine personlige data eller endda oplysningerne på enheden.

    Når den er tilsluttet den rigtige VPN-tjeneste du vil ikke opleve et mærkbart fald i hastigheden eller øget trafikforbrug.

    Hvad nu?

    For det meste ingenting. Installer den klient, du har brug for, på alle enheder og nyd livet uden begrænsninger, aflytning og overvågning. Brug alle programmer, gå til alle websteder og vær dig selv!

    I dag bruger internetbrugere i stigende grad udtrykket VPN. Nogle anbefaler at bruge det oftere, mens andre anbefaler at undgå det. Lad os se nærmere på, hvad der gemmer sig bag dette udtryk.

    VPN-forbindelse, hvad er det?

    VPN(Virtuelt privat netværk) er teknologi, som giver kommunikation lukket fra ekstern adgang ved tilstedeværelse af en høj forbindelseshastighed. Denne forbindelse udføres efter princippet " prik - prik" I videnskaben kaldes denne forbindelsesmetode tunnel. Du kan komme med i tunnelen kl PC med ethvert OS, hvori VPN-klient installeret. Dette program "sender" en virtuel port ved hjælp af TCP/IP til et andet netværk.

    For at implementere en sådan forbindelse har du brug for en platform, der hurtigt skalerer og sikrer dataintegritet og fortrolighed.

    For at pc'en kan IP-adresse 192.168.1.1-100 tilsluttet via en gateway til et eksternt netværk, skal du indstille forbindelsesreglerne på routeren. Når der oprettes en VPN-forbindelse, indeholder meddelelseshovedet adressen på den eksterne pc. Beskeden krypteres af afsenderen og dekrypteres af modtageren ved hjælp af en delt nøgle. Herefter etableres en sikker forbindelse mellem de to netværk.

    Sådan forbinder du en VPN

    Et kort diagram over protokollens funktion er tidligere beskrevet. Nu finder vi ud af, hvordan du forbinder en klient på en bestemt enhed.

    På en computer og bærbar

    Før du sætter op VPN forbindelse til Windows 7 pc, bør angiv IP-adresse eller servernavn. For at gøre dette i " Netværksdelingscenter" på " Kontrolpaneler" behøver " Opret en ny forbindelse».

    Vælg element "" - " (VPN)».

    På næste trin skal du specificere Navn Og serveradresse.

    Du skal vente på, at forbindelsen er fuldført.

    Lad os tjekke VPN-forbindelsen. For at gøre dette i " Kontrolpanel"I kapitel" Netværksforbindelser " opkald kontekstmenu, Dobbeltklik efter etiket.

    På den " detaljer"skal tjekkes IPv4-adresse. Det skal være inden for det IP-område, der er angivet i VPN-indstillingerne.

    På din telefon, iPhone eller tablet

    Lad os nu se på, hvordan man opretter en VPN-forbindelse og konfigurerer den på gadgets, der kører Android OS.

    Til dette har du brug for:

      smartphone, tablet; login, netværksadgangskode; serveradresse.

    For at konfigurere en VPN-forbindelse skal du vælge "" i dine telefonindstillinger og oprette en ny.

    Et ikon med en ny forbindelse vises på skærmen.

    Systemet kræver login og adgangskode. Du skal indtaste parametrene og vælge "". Så ved næste session behøver du ikke bekræfte disse data igen.

    Når VPN-forbindelsen er aktiveret, vises et karakteristisk ikon på værktøjslinjen.

    Hvis du klikker på ikonet, vises forbindelsesdetaljerne.

    Sådan konfigurerer du en VPN til at fungere korrekt

    Lad os se nærmere på, hvordan du automatisk konfigurerer VPN på computere med Windows 10 OS.

    Gå til pc-indstillinger.

    I kapitel " Muligheder"gå til underafsnittet ".

    ... og tilføje en ny VPN-forbindelse.

    Næste side du skal angive VPN-forbindelsesparametrene:

      Tjenesteudbyder - Windows;Forbindelsesnavn;Serveradresse;VPN-type;Brugernavn og adgangskode.

    Når forbindelsen er etableret, skal du oprette forbindelse til den.

    Sådan opretter du en VPN-server

    Alle udbydere registrerer deres kunders aktiviteter. Hvis der modtages en anmodning fra retshåndhævende myndigheder, vil de give fuldstændige oplysninger om, hvilke websteder gerningsmanden har besøgt. Udbyderen fritager således sig selv for ethvert juridisk ansvar. Men nogle gange opstår der situationer, hvor brugeren skal beskytte sine data:

      Virksomheder transmitterer deres data via internettet via en krypteret kanal Mange tjenester på internettet opererer baseret på geografisk placering. For eksempel fungerer Yandex.Music-tjenesten kun på IP fra Den Russiske Føderation og CIS-lande. En russer, mens han er i Europa, vil ikke være i stand til at lytte til sin yndlingsmusik På kontorer, adgang til sociale netværk.
    Du kan selvfølgelig rydde din browserhistorik, hver gang du besøger et websted. Men det er nemmere at oprette og konfigurere en VPN-server. For at gøre dette skal du kalde kommandolinjen ( Win+R), og indtast derefter din forespørgsel ncpa.cpl og tryk Gå ind. Klik i et nyt vindue Alt og vælg "".

    Dernæst skal du oprette en bruger og give ham begrænsede rettigheder kun til VPN. Du skal også komme med en ny lang adgangskode. Vælg en bruger fra listen. På næste trin skal du vælge forbindelsesmuligheden " Gennem internettet" Dernæst skal du angive forbindelsesparametrene. Hvis du ikke har brug for adgang til filer og mapper, når du arbejder med en VPN, kan du fjerne markeringen i alle felterne og klikke på knappen "".

    Sådan bruger du en VPN

    Når en ny forbindelse er oprettet, skal du blot åbne browseren og indlæse en side. Begyndere kan springe over oprettelsen af ​​forbindelsen og straks downloade VPN-klienten fra internettet eller installere særlig forlængelse til browseren. Når du har downloadet programmet, skal du starte det og klikke på " Forbinde" Klienten vil tilslutte sig et andet netværk, og brugeren vil være i stand til at se websteder, der er forbudt i hans område denne metode er, at IP'en udstedes automatisk. Brugeren kan ikke vælge et land. Men forbindelsen oprettes meget hurtigt, ved blot at trykke på én knap. Muligheden for at tilføje en udvidelse har også ulemper. For det første skal brugeren være registreret på programmets officielle hjemmeside, og for det andet går udvidelsen ofte ned. Men brugeren kan vælge det land, hvorigennem forbindelsen til det eksterne netværk skal foretages. Tilslutningsprocessen i sig selv rejser heller ingen spørgsmål. Bare tryk på knappen " Start" og browseren genstarter til nyt netværk. Lad os se på, hvordan du installerer udvidelsen ved hjælp af et eksempel ZenMate VPN.Download programmet fra den officielle hjemmeside. Efter installationen vises følgende ikon i browseren:

    Klik på ikonet. Udvidelsesvinduet vises:

    Hvis du flytter musemarkøren til ikon med det russiske flag, så vises skærmen nuværende IP. Hvis du flytter markøren over ikonet med det rumænske flag, vises IP-adressen for den valgte server. Hvis det ønskes, kan du ændre forbindelseslandet. For at gøre dette skal du klikke på kloden og vælge en af ​​de automatiske adresser.

    Ulempen ved den gratis version af programmet er det lille antal tilgængelige servere og opfordring til reklame.

    De mest almindelige fejl

    Forskellige antivirus programmer, og firewalls kan blokere forbindelsen. I dette tilfælde vises en fejlkode på skærmen. Lad os se på de mest populære problemer og måder at løse dem på.
    Fejl årsag Løsning
    678 Kryptering er ikke tilladt i OS Du skal åbne kommandolinjen og kontrollere parameteren "ProhibitIpSec" i registreringsdatabasen "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters". Det skal være lig med 0. Hvis udbyderen selv bruger en krypteringskanal til at levere tjenester, vil ændring af denne indstilling påvirke internetadgangen.
    691 Forkert login/adgangskode indtastet Du skal logge på netværket igen
    692 Firewall fejl Deaktiver din firewall
    720/738 Brugeren er allerede tilsluttet Fejl 720 opstår kun på Windows 7. Alle andre operativsystemer viser kode 738. Hvis du skal arbejde fra forskellige pc'er gennem én klient, skal du oprette flere brugernavne.
    734 Automatisk VPN Du skal ændre forbindelsestypen fra "Automatisk" til "L2TP" i forbindelsesegenskaberne IPSec VPN" Hvis fejlen ikke forsvinder, skal du genoprette forbindelsen.
    766/781 Nøglen er ikke gemt/ikke indtastet Åbn VPN-egenskaberne, på fanen "Sikkerhed", vælg " Ekstra muligheder"og indtast nøglen i det nye vindue
    768/789 (Windows 7, Vista, XP) IPSec virker ikke RMB på genvejen "My Computer" - "Management". I afsnittet "Tjenester" skal du vælge "IPSec". Indstil forbindelsestypen til Auto.

    "Vi har fremhævet de 5 mest kendte metoder til at bevare anonymitet og privatliv på internettet.
    I dag ønsker vi at dvæle mere detaljeret på, efter vores mening, den mest bekvemme og pålidelige metode for den gennemsnitlige internetbruger, ved hjælp af en VPN.

    En VPN-tunnel er en virtuel forbindelse, der er krypteret med en stærk algoritme. Visuelt kan det præsenteres i form af et uigennemsigtigt rør, eller endnu bedre, en slags tunnel, hvis den ene ende hviler på en almindelig brugers computer og den anden på en specialiseret server, der som regel er placeret, i et andet land.

    Lad os starte med, at du på whoer.net-tjenesten hurtigt kan finde ud af din IP og tjekke din anonymitet på internettet.

    VPN-tjenester betales normalt; ved at google internettet kan du altid finde billige VPN-tjenester (omkostningerne varierer fra $5-50 per måned, afhængigt af kvaliteten af ​​tjenesterne).
    Inden vi begynder at teste, lad os finde ud af, hvilke typer VPN-tjenester der vil være tilgængelige for os mod betaling VPN-tjeneste ah for i dag:

    Moderne typer af VPN-forbindelser:
    * PPTP (punkt-til-punkt tunneling protokol)
    *ÅbenVPN
    * L2TP (Layer 2 Tunneling Protocol)


    PPTP (punkt-til-punkt tunneling protokol) er en punkt-til-punkt tunnelprotokol, der gør det muligt for brugerens computer at etablere en sikker forbindelse med serveren ved at skabe en speciel tunnel i et standard, usikret netværk. Denne protokol (PPTP) blev berømt, fordi det var den første VPN-protokol, der blev understøttet af Microsoft. Alle Windows versioner, startende med Windows 95 OSR2, inkluderer allerede en PPTP-klient. Dette er den mest berømte og nemmeste at konfigurere mulighed for at oprette forbindelse til en VPN-tjeneste. Men, som de siger, er der også et negativt punkt: mange internetudbydere blokerer PPTP-forbindelser.

    OpenVPN- dette er en gratis implementering af teknologi Virtuelt privat netværk (VPN) open source til at skabe krypterede punkt-til-punkt- eller server-klientkanaler mellem computere. Den kan etablere forbindelser mellem computere, der er bag en NAT-firewall uden at skulle ændre dens indstillinger. Men brug af denne teknologi vil kræve, at du installerer en ekstra software for alle operativsystemer.

    L2TP (Layer 2 Tunneling Protocol)- Det her netværksprotokol link layer tunneling, der kombinerer L2F (layer 2 Forwarding) protokollen udviklet af virksomheden og protokollen af ​​Microsoft Corporation. Giver dig mulighed for at oprette en VPN med specificerede adgangsprioriteter, men indeholder ikke krypteringsværktøjer eller godkendelsesmekanismer (den bruges sammen med IPSec til at skabe en sikker VPN). Ifølge eksperter er det den mest sikre VPN-forbindelsesmulighed, på trods af vanskeligheden ved at konfigurere den.

    VPN-tjenester leverer som regel 2 typer protokoller i dag: OpenVPN eller PPTP. Forbindelsestypen samt valget af server (i USA, Holland, Storbritannien osv.), vil blive tilgængelige for dig, så snart du aktiverer dit abonnement på VPN-tjenester.

    Så hvad skal du vælge, og hvad er den væsentlige forskel mellem OpenVPN og PPTP-forbindelser?

    Det viser sig, at OpenVPN har en række fordele i forhold til PPTP VPN-teknologi, nemlig:
    2048 bit kryptering, implementeret via SSL ved hjælp af PKI-certifikater;
    Adaptiv datakomprimering i forbindelsen ved hjælp af LZO-komprimeringsalgoritmen, og dataoverførselshastigheden gennem OpenVPN er højere end PPTP;
    Mulighed for at bruge én TCP/UDP-port (uden at være bundet til en specifik port);
    Ethernet-grænsefladen kan fungere i brotilstand og transmittere broadcast-pakker;
    Det er også nemt at sætte det op (selvfølgelig med lidt erfaring).

    Derudover er GRE-protokollen en integreret del af PPTP VPN. Og på dette øjeblik, er sådanne hændelser kendt, at nogle internetudbydere (inklusive udbydere cellulær kommunikation) blokerer sådan trafik fuldstændigt.
    Hvis du stiller et direkte spørgsmål til den tekniske service. udbydersupport, så vil du modtage et snedigt svar: "De siger, vi blokerer ikke noget." Derfor, hvis du har netop sådan en udbyder, så anbefaler vi, at du bruger OpenVPN.

    Selv før du bruger en VPN-tjeneste (såvel som andre), skal du forstå dette spørgsmål: "Hvad præcis skal du bruge denne service til?"

    Hvis du har til hensigt i første omgang at begå kriminelle handlinger (, bryde , og SPAM), så er du det forkerte sted. Med kunder, der opfører sig sådan ulovlige handlinger enhver VPN-tjenesteafbryder forretningsforbindelser.

    Det er vigtigt at forstå, at en anonymiseringstjeneste er nødvendig først og fremmest:

    For at beskytte dit privatliv og fortrolighed (din trafik) mod for meget,
    - at omgå latterlige begrænsninger for at downloade torrents, besøge sociale netværk, bruge programmer som osv.
    Vi nævnte alle grundene til at bruge VPN-tjenester i vores sidste artikel " "

    Nå, lad os nu gå direkte videre til at teste en af ​​de betalte VPN-tjenester:

    1) Når du har aktiveret dit abonnement og besluttet dig for typen af ​​VPN-forbindelse (OpenVPN eller PPTP), skal du downloade programmet for at oprette en VPN-forbindelse.

    Du kan bruge f.eks gratis program OpenVPN GUI.

    VPNService Agent indlæst

    Når du bruger VPNServiceAgent, behøver du praktisk talt ikke at konfigurere noget; når du installerer dette program, vil du modtage følgende besked (driverinstallation).

    Du vil modtage en besked med login og adgangskode for din forbindelse til den e-mail, som du indtastede ved tilmelding til tjenesten. Hvis abonnementet er aktivt, skal du i VPNServiceAgent-programmet kun klikke på knappen "Opret forbindelse" og vent, indtil VPN-forbindelsen med serveren er etableret.

    Hvis du beslutter dig for at bruge programmet OpenVPN GUI:

    At downloade konfigurationsfil gå til " Personligt område", til sektionen "Mine abonnementer". Klik på OpenVPN-protokolabonnementet, og klik på ikonet "Download konfigurationsfil og nøgler (i én fil)". Når du har downloadet filen, skal du gemme den i undermappen \config\ (f.eks. , C:\Program Files\OpenVPN \config).

    Kør derefter OpenVPN GUI som administrator. For at gøre dette skal du højreklikke på programikonet og vælge "Kør som administrator". Højreklik klik med musen på programikonet i bakken, vælg serveren og klik på "Forbind".
    Nå, det handler om indstillinger og indstillinger. VPN-forbindelsen virker!!!

    2) Lad os tjekke din IP gennem enhver populær tjeneste til kontrol af IP-adresser:
    http://2ip.ru eller http://ip-whois.net/ip.php
    Og vi ser, at vores IP er helt anderledes, ikke den, der tidligere blev udstedt til os af udbyderen :)
    108.XX.5.XXX Dette er cirka den IP, vi modtog.

    3) Så laver vi en rutesporing for at kontrollere, hvilke mellemværter din trafik går igennem. Lad os bruge traceroute-værktøjet.

    For Windows gøres det sådan:

    Start-knap -> Kør -> cmd.exe
    indtast kommandoen "tracert google.com"

    Sporingsresultaterne er på skærmbilledet.

    4) Nå, surfing er selvfølgelig allerede anonymt for os :) Men hvordan går det med anonymiseringen af ​​applikationer?

    Vi vil udføre forsendelsen E-mail med hjælpen
    Nå, postkasser på mail.ru, yahoo såvel som firmapostkasser udstedt af vores hostingudbyder bandede ikke engang, da IP-adressen blev ændret!!!
    Og her gmail- Jeg besluttede at "spille det sikkert", ja, det er rigtigt... "Gud beskytter de forsigtige."
    Her er hvad vi fik:

    Så jeg var nødt til at gå ind i gmail gennem en browser og bekræfte pr mobiltelefon, så vi fjernede blokeringen af ​​kontoen.

    Generelt er vores post sendt fra mail klient uden at angive vores rigtige IP:

    5) Hvad angår applikationer, hvor sikkerhedsindstillingerne inkluderer "blokering af adgang via IP", lancerede vi Webmoney-pungen som et eksempel.
    Vi fik straks en besked, se fig.

    Alle yderligere transaktioner skulle bekræftes via mobiltelefon. Men du kan stadig arbejde med tegnebogen uden problemer ved at bruge den IP, der er udstedt til os via VPN-tjenesten.

    Den samme mulighed vil eksistere, hvis du er på en konto i

    I denne artikel vil vi besvare de oftest stillede spørgsmål om, hvad en VPN-server er, fortælle dig om en VPN kan øge din sikkerhed, om du skal bruge Double VPN og hvordan du tjekker om VPN-tjenesten fører logs, samt hvad moderne teknologier eksisterer for at beskytte personlige oplysninger.

    VPN er et virtuelt privat netværk, der giver kryptering mellem klienten og VPN-serveren.


    Hovedformålet med en VPN er at kryptere trafik og ændre IP-adressen.

    Lad os finde ud af hvorfor og hvornår det er nødvendigt.

    Hvorfor har du brug for en VPN?

    Alle internetudbydere logger deres kunders aktiviteter på internettet. Det vil sige, at internetudbyderen ved, hvilke sider du har besøgt. Dette er nødvendigt for at give alle oplysninger om krænkeren i tilfælde af anmodninger fra politiet, og også for at fritage sig selv for ethvert juridisk ansvar for brugerens handlinger.

    Der er mange situationer, hvor en bruger skal beskytte sine personlige data på internettet og opnå kommunikationsfrihed.

    Eksempel 1. Der er en virksomhed, og det er nødvendigt at overføre fortrolige data over internettet, så ingen kan opsnappe dem. De fleste virksomheder bruger VPN-teknologi til at overføre oplysninger mellem virksomhedens filialer.

    Eksempel 2. Mange tjenester på internettet opererer på en geo-reference basis og forbyder adgang til brugere fra andre lande.

    For eksempel fungerer Yandex Music-tjenesten kun for IP-adresser fra Rusland og de tidligere CIS-lande. Derfor har hele den russisktalende befolkning, der bor i andre lande, ikke adgang til denne service.

    Eksempel 3. Blokering af visse websteder på kontoret og i landet. Kontorer blokerer ofte adgangen til sociale netværk for at forhindre medarbejderne i at bruge penge arbejdstid til kommunikation.

    For eksempel er mange i Kina blokeret Google-tjenester. Hvis en kinesisk bosiddende arbejder med en virksomhed fra Europa, så er der behov for at bruge tjenester som Google Disk.

    Eksempel 4: Skjul besøgte websteder fra din internetudbyder. Der er tidspunkter, hvor du har brug for at skjule listen over besøgte websteder fra din internetudbyder. Al trafik vil blive krypteret.


    Ved at kryptere din trafik vil din internetudbyder ikke vide, hvilke websteder du har besøgt på internettet. I dette tilfælde vil din IP-adresse på internettet tilhøre VPN-serverens land.

    Når du opretter forbindelse til en VPN, oprettes en sikker kanal mellem din computer og VPN-serveren. Alle data i denne kanal er krypteret.


    Med en VPN får du kommunikationsfrihed og beskytter dine personlige data.

    ISP-logfilerne vil indeholde et sæt forskellige tegn. Billedet nedenfor viser en analyse af de data, der er opnået ved et særligt program.

    HTTP-headeren viser med det samme, hvilket websted du opretter forbindelse til. Disse data registreres af internetudbydere.


    Følgende billede viser HTTP-headeren, når du bruger en VPN. Dataene er krypteret, og det er umuligt at finde ud af, hvilke sider du har besøgt.

    Sådan opretter du forbindelse til en VPN

    Der er flere måder at oprette forbindelse til et VPN-netværk på.

    • PPTP er en forældet protokol. De fleste moderne operativsystemer har udelukket det fra listen over understøttede. Ulemper ved PPTP - lav forbindelsesstabilitet. Forbindelsen kan mislykkes, og ubeskyttede data kan lække til internettet.
    • L2TP (IPSec) forbindelse er mere pålidelig. Også indbygget i de fleste operativsystemer (Windows, Mac OS, Linux, iOS, Android, Windows telefon og andre). Er anderledes bedre pålidelighed i modsætning til PPTP-forbindelser.
    • SSTP-forbindelse blev udviklet relativt for nylig. Det er kun understøttet på Windows, så det er ikke meget brugt.
    • IKEv2 er en moderne protokol baseret på IPSec. Denne protokol erstattet PPTP protokol og understøttes af alle populære OS.
    • OpenVPN-forbindelse anses for at være den mest pålidelige. Denne teknologi kan konfigureres fleksibelt, og hvis forbindelsen falder, blokerer OpenVPN for at sende ubeskyttede data til internettet.

    Der er 2 dataoverførselsprotokoller til OpenVPN-teknologi:

    • UDP-protokol – er hurtig (anbefales til VoiP-telefoni, Skype, onlinespil)
    • TCP-protokol – karakteriseret ved pålideligheden af ​​transmitterede data (kræver bekræftelse af modtagelse af pakken). Lidt langsommere end UDP.

    Sådan opsætter du en VPN

    Opsætning af en VPN-forbindelse tager et par minutter og varierer VPN måde forbindelser.

    På vores tjeneste bruger vi PPTP og OpenVPN forbindelser.

    Sikkerhed ved at arbejde med et VPN-program

    Vi vil altid tale om en integreret tilgang til sikkerhed. Brugersikkerhed består af mere end blot selve VPN-forbindelsen. Det er vigtigt, hvilket program du bruger til at oprette forbindelse til VPN-serveren.

    I øjeblikket tilbyder tjenester bekvemme VPN-klienter – det er programmer, der gør det nemmere at oprette en VPN-forbindelse. Vi tilbyder selv en praktisk VPN-klient. Takket være sådanne programmer tager det ikke mere end 1 minut at oprette en VPN-forbindelse.


    Da vi først begyndte at levere VPN-tjenester i 2006, oprettede alle vores brugere den officielle OpenVPN-applikation. Det er open source. Selvfølgelig, oprettelse af den officielle OpenVPN klient tager længere tid. Men lad os finde ud af, hvad der er bedre at bruge med hensyn til anonymitet.

    VPN klient anonymitet

    Vi ser faren ved at bruge sådanne programmer. Sagen er, at kildekoden til sådanne programmer er virksomhedens ejendom, og for at bevare dets unikke karakter er der ingen, der udgiver den.

    Brugere kan ikke finde ud af, hvilke data programmet indsamler om dig i mangel af åben kildekode.

    VPN programmer og kan identificere dig som en specifik bruger, selv når logfilerne på serveren er slået fra.

    Ethvert program kan have funktionaliteten til at registrere de websteder, du har besøgt, og din rigtige IP-adresse. Og da du selv indtaster dit login i programmet, er det umuligt overhovedet at tale om nogen anonymitet ved at bruge programmet.

    Hvis din aktivitet har brug for højt niveau anonymitet, anbefaler vi, at du opgiver sådanne VPN-programmer og bruger den officielle open source OpenVPN-udgivelse.

    I første omgang vil du finde dette ubelejligt. Men med tiden vil du vænne dig til det, hvis faktoren sikkerhed og anonymitet kommer først for dig.

    Vi garanterer, at Secure Kit ikke gemmer nogen data om dig. Men vi må advare dig om, at sådanne programmer kan spionere på dig.

    En anden idé om, hvordan du kan øge din sikkerhed, kom fra synspunktet om servernes geografiske placering. På internettet kaldes det en offshore VPN.

    Hvad er en offshore VPN

    Forskellige lande har forskellige niveauer af lovgivning. Der er stærke stater med stærke love. Og der er små lande, hvis udviklingsniveau ikke tillader det informationssikkerhed data i dit land.

    Oprindeligt blev begrebet offshore brugt til at udpege et land, hvor skattepolitikken var lempet. Sådanne lande har meget lave erhvervsskatter. Globale virksomheder er blevet interesseret i lovlig skatteunddragelse i deres land, og offshore bankkonti på Caymanøerne er blevet meget populære.

    I øjeblikket har mange lande rundt om i verden allerede forbud mod brug af bankkonti i offshore-lande.

    De fleste offshore-lande er små stater beliggende i fjerne hjørner af planeten. Servere i sådanne lande er sværere at finde og er dyrere på grund af manglen på udviklet internetinfrastruktur. VPN-servere i sådanne lande begyndte at blive kaldt offshore.

    Det viser sig, at ordet offshore VPN ikke betyder anonym VPN, men kun taler om territorial tilknytning til en offshore stat.

    Skal du bruge en offshore VPN?

    En offshore VPN tilbyder yderligere fordele med hensyn til anonymitet.

    Synes du, det er meget nemmere at skrive en officiel anmodning:

    • til en politiafdeling i Tyskland
    • eller øernes politiafdeling i Antigua Barbuda

    Offshore VPN er et ekstra beskyttelseslag. En offshore-server er god at bruge som en del af en Double VPN-kæde.

    Der er ingen grund til kun at bruge 1 offshore VPN-server og tro, at dette fuldstændig sikkerhed. Du skal tilgå din sikkerhed og anonymitet på internettet fra forskellige vinkler.

    Brug en offshore VPN som et link til din anonymitet.

    Og det er tid til at besvare det oftest stillede spørgsmål. Kan en anonym VPN-tjeneste føre logfiler? Og hvordan afgør man, om tjenesten fører logs?

    Anonym VPN-tjeneste og logfiler. Hvad skal jeg gøre?

    En anonym VPN-tjeneste bør ikke føre logfiler. Ellers kan den ikke længere kaldes anonym.

    Vi har samlet en liste med spørgsmål, takket være hvilken du nøjagtigt kan afgøre, om tjenesten fører logfiler.

    Nu har du fuldstændig information om VPN-forbindelser. Denne viden er nok til at gøre dig selv anonym på internettet og gøre sikker overførsel personlig data.

    Nye VPN-teknologier

    Er der nogen nye trends i VPN-området?

    Vi har allerede talt om fordele og ulemper ved sekventiel kaskadende VPN-servere (Dobbelt, Triple, Quad VPN).

    For at undgå ulemperne ved Double VPN-teknologi kan du lave en parallel kaskade af kæder. Vi kaldte det Parallel VPN.

    Hvad er Parallel VPN

    Essensen af ​​Parallel VPN er at dirigere trafik til en parallel datakanal.

    Ulempen ved sekventiel kaskadeteknologi (Double, Triple, Quad VPN) er, at kanalen på hver server dekrypteres og krypteres til den næste kanal. Data er konsekvent krypteret.

    Der er ikke noget sådant problem med Parallel VPN-teknologi, da alle data gennemgår dobbelt parallel kryptering. Det vil sige, forestil dig et løg, der har flere skræl. På samme måde passerer data gennem en kanal, der er dobbeltkrypteret.