Что такое VPN-туннели?
Как инкапсуляция и шифрование защищают ваши данные
Технология виртуальной частной сети (VPN) основана на концепции туннелирования. Точно так же, как водопровод содержит жидкость, текущую внутри него, туннель VPN изолирует и инкапсулирует интернет-трафик – обычно с некоторым типом шифрования – для создания частного «туннеля» данных, когда они проходят внутри незащищенной сети.
Поскольку ваш интернет-трафик проходит внутри VPN-туннеля, он обеспечивает безопасное частное соединение между вашим компьютером и другим компьютером или сервером на другом сайте. В сочетании с надежным шифрованием туннелирование чрезвычайно затрудняет просмотр или взлом ваших данных внешними объектами.
Как работает VPN-туннелирование?
Это помогает рассматривать VPN-туннелирование как двойной процесс инкапсуляции данных и шифрования данных.
- Инкапсуляция данных . Инкапсуляция – это процесс «обертывания» пакета данных Интернета внутри другого пакета. Вы можете думать об этом как о внешней структуре туннеля, как о размещении письма внутри конверта для отправки.
- Шифрование данных . Однако одного туннеля недостаточно. Шифрование шифрует и блокирует содержимое письма, то есть ваши данные, так что оно не может быть открыто и прочитано кем-либо, кроме предполагаемого получателя.
Хотя VPN-туннель может быть создан без шифрования, VPN-туннели обычно не считаются безопасными, если они не защищены каким-либо типом шифрования. Вот почему вы часто будете слышать, как VPN описываются как зашифрованное соединение .
Сети для самых маленьких. Выпуск седьмой. VPN
Краткий обзор протоколов шифрования VPN
Несколько протоколов шифрования были созданы специально для использования с VPN-туннелями. Наиболее распространенные типы протоколов шифрования VPN включают IPSec, PPTP, L2TP, OpenVPN, IKEv2, SSTP и OpenVPN.
IPsec (безопасность интернет-протокола)
IPsec – это набор протоколов безопасности, используемых для аутентификации и шифрования данных в сетях VPN. Он включает в себя протоколы (то есть инструкции) для установления взаимной связи между двумя компьютерами и обмена криптографическими ключами. Ключи шифруют и «блокируют» данные, поэтому только компьютеры, участвующие в обмене, могут разблокировать и просматривать данные.
IPSec используется как самостоятельное решение для протокола VPN или как протокол шифрования в PPTP, L2TP и IKEv2.
PPTP (протокол туннелирования точка-точка)
Протокол PPTP был разработан Microsoft и является стандартом с конца 90-х годов. Для работы он использует канал управления TCP и универсальную инкапсуляцию маршрутизации (GRE). Тем не менее, PPTP больше не считается безопасным. Например, АНБ может взломать шифрование PPTP. PPTP был заменен более безопасными протоколами и сегодня считается устаревшим.
L2TP (протокол туннелирования второго уровня)
Протокол туннелирования уровня 2 принадлежит Cisco и считается лучшей версией PPTP. Как протокол туннелирования, он не обеспечивает своего собственного шифрования. Вот почему это часто в паре с IPSec (который делает). Комбинация этих двух протоколов часто упоминается как L2TP/IPsec, протокол, который поддерживает шифрование до 256 бит и алгоритм 3DES.
Как объединить 2 локальные сети, с серыми IP адресами, при помощи VPN туннеля
IKEv2 (Internet Key Exchange version 2)
IKEv2 – это протокол ассоциации безопасности, разработанный Microsoft и Cisco, который используется для установки аутентифицированной и зашифрованной ассоциации между двумя компьютерами. IKEv2 часто соединяется с пакетом безопасности IPsec и называется IKEv2/IPsec. Вместе он обеспечивает до 256-битного шифрования и надежные криптографические ключи.
SSTP (протокол туннелирования защищенного сокета)
SSTP – это стандарт протокола, принадлежащий Microsoft, который работает с Windows, Linux и MacOS. Тем не менее, вы найдете его в первую очередь на платформах Windows. Он считается стабильным и высокозащищенным протоколом VPN, использующим стандарт SSL (Secure Socket Layer) 3.0.
OpenVPN
OpenVPN – это протокол с открытым исходным кодом, поддерживаемый всеми основными используемыми сегодня операционными системами (Mac, Windows и Linux), а также Android и iOS. Он также поддерживает менее известные платформы, включая OpenBSD, FreeBSD, NetBSD и Solaris. Он поддерживает до 256-битного шифрования через OpenSSL, надежный, полнофункциональный инструментарий коммерческого уровня для безопасности транспортного уровня (TLS).
Какой VPN-туннельный протокол лучше?
OpenVPN, с его надежным шифрованием и способностью уклоняться от брандмауэров, сегодня считается золотым стандартом для VPN. Это один из лучших вариантов для персонального VPN и будет работать практически на любой платформе. L2TP/IPSec, IKEv2/IPSec, SSTP также являются хорошими вариантами, если вы используете надежное шифрование, но они могут быть доступны только на определенных платформах.
Один против многопротокольных провайдеров VPN
Если вы ищете сервис VPN, имейте в виду, что провайдеры VPN попадают в категорию VPN с одним или несколькими протоколами.
- VPN с одним протоколом предлагают только один тип протокола, обычно протокол OpenVPN.
- Многопротокольные провайдеры могут поддерживать все вышеперечисленные протоколы, предлагая услуги VPN как для личных пользователей, так и для предприятий.
Оба типа провайдеров VPN предлагают преимущества, которые могут помочь скрыть ваши интернет-движения, а некоторые предлагают шифрование и другие преимущества.
Источник: solutics.ru
Что такое VPN и туннелирование; Как создать сеть VPN и подключиться к ней
Когда дело доходит до развертывания высокозащищенной и надежной системы передачи данных для удовлетворения межорганизационных и внутриорганизационных коммуникационных потребностей, большинство организаций предпочитают адаптировать один из трех типов сетевых методов; Частная сеть, гибридная сеть и виртуальная частная сеть. В этом посте мы рассмотрим каждый тип сети и обсудим виртуальную частную сеть, туннелирование VPN, методы и типы VPN, а также способы создания и настройки сети VPN.
Прежде чем мы перейдем к VPN, давайте подробнее рассмотрим частные и гибридные сети.
Частная сеть
Частная сеть на самом деле представляет собой изолированную локальную сеть, которая использует частный IP-адрес. адресное пространство для обмена данными между подключенными узлами. В частной сети приложения и порталы данных (используемые для управления связью) предназначены для обеспечения защиты всего процесса обмена данными от посторонних. Частная сеть подходит для организаций, где все узлы находятся в одном месте. Если частная сеть должна быть развернута для нескольких сайтов в разных местах, организации может потребоваться приобрести выделенную линию для связи, а затем систему управления частной сетью для решения проблем с подключением, обменом данными и скоростью передачи данных.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Гибридная сеть
Гибридная сетевая архитектура используется, в частности, для связи с офисами организации и доступа к глобальной сети WAN для обмена данными и связи с общественностью. Как следует из названия, он сочетает в себе методы как частной, так и общедоступной сети для связи с общедоступными, а также безопасную внутриорганизационную связь из внешних источников. Гибридная сеть направляет всю внутриорганизационную связь и обмен данными через частную сеть, в то время как остальная часть связи, а также запросы на отправку и получение данных маршрутизируются через общедоступные сетевые каналы. Как и в случае с частной сетью, развертывание гибридной сети для нескольких сайтов требует аренды выделенной линии для частной связи и разработки системы управления обменом данными.
Почему организации предпочитают VPN?
Частная сеть обеспечивает безопасность данных, которые должны быть отправлены и получены, а также высокую скорость передачи данных. Эта простая сетевая архитектура требует использования одной выделенной линии для отправки и получения секретной информации, но после развертывания частной сети требуется общедоступная сеть для межорганизационной связи.
Это порождает потребность в гибридной сети, которая представляет собой комбинацию частной и публичной сети. Гибридная сеть использует две выделенные линии для общедоступной и частной связи. Например, если у организации есть 4 сайта, ей необходимо приобрести высокозащищенную линию передачи данных, чтобы связать все сайты и спроектировать центральное хранилище данных для удобного управления связью, в то время как общедоступная ссылка используется для доступа к общедоступной глобальной сети (Интернет) для межорганизационная передача данных. Поскольку гибридным сетям требуется два отдельных канала для обмена общедоступными и частными данными, многие организации выбирают Виртуальная частная сеть.
VPN (виртуальная частная сеть)
Как упоминалось ранее, частные и гибридные сети дороги и требуют приобретения отдельных линий для использования пространства частных IP-адресов для связи с подключенными узлами. Технология VPN значительно снижает стоимость развертывания общедоступных и частных сетей, поскольку позволяет организациям использовать глобальную глобальную сеть как для общедоступной, так и для частной связи. Причина, по которой он называется виртуальным, заключается в том, что для защиты передачи данных не требуется физическая частная сеть. Сеть физически публичная, но практически частная. Технология VPN использует надежное шифрование для защиты каналов передачи данных от кражи внешних данных и подобных атак; он использует методы туннелирования IPsec, L2TP, PPP, PPTP и т. д., чтобы гарантировать не только конфиденциальность данных, но также аутентификацию и целостность.
Как работает VPN
Сеть VPN очень похожа на простую архитектуру сервер / клиент, где сервер отвечает за хранение и совместное использование зашифрованных данных, обеспечивая шлюз для инициирования внутриорганизационной связи и авторизации клиентов, подключенных к сети, в то время как клиенты VPN, как и клиенты в изолированных LAN, отправлять запросы на сервер для получения совместно используемой информации, устанавливать соединение с другими клиентами по VPN и обрабатывать защищенную информацию с помощью предоставленного приложения.
VPN-туннелирование
Что отличает сквозную связь VPN от простой среды LAN, так это Туннелирование. Вы можете думать об этом как о туннеле в интернет-облаке, через который проходят отправка и получение запросов данных.
На самом деле туннель — это просто концепция, которая помогает нам лучше понять динамику сети VPN. Когда вы инициируете связь или отправляете данные по сети VPN, протоколы туннелирования, используемые сетью VPN (например, PPTP, L2TP, IPSec и т. Д.), Объединяют пакеты данных в другой пакет данных и шифруют пакет, который должен быть отправлен. через туннель. На стороне получателя устройство / протокол туннелирования расшифровывает пакет, а затем удаляет завернутый пакет данных, чтобы прочитать и получить доступ к исходному сообщению и выявить источник пакета и другую секретную информацию.
Обязательное и добровольное прокладывание туннелей
Классификация туннелирования основана на источнике, инициирующем соединение. Судя по источнику, в основном существует два типа туннелирования — принудительное туннелирование и добровольное прокладывание туннелей. Обязательное туннелирование инициируется сервером доступа к сети без необходимости ввода данных пользователем. Более того, у VPN-клиентов нет доступа к информации о VPN-сервере, поскольку они не несут ответственности и не контролируют инициирование соединения. Обязательное туннелирование действует как посредник между сервером VPN и клиентами и отвечает за аутентификацию клиента и его настройку с сервером VPN.
Добровольное туннелирование инициируется, контролируется и управляется пользователем. В отличие от принудительного туннелирования, которое управляется из сети оператора связи, оно требует, чтобы пользователи установили соединение с локальным интернет-провайдером, а затем запустили клиентское приложение VPN. Возможно, вы использовали множество клиентских программ VPN, которые создают защищенные туннели для определенного сервера VPN. Когда программное обеспечение VPN-клиента пытается инициировать соединение, оно нацелено на конкретный или определенный пользователем VPN-сервер. Добровольное туннелирование не требует ничего, кроме установки дополнительного протокола туннелирования в системе пользователя, чтобы его можно было использовать в качестве одной из конечных точек туннеля.
Типы и технологии VPN
PPTP (Протокол туннелирования точка-точка) VPN — это одна из самых простых технологий VPN, которая использует интернет-соединение, предоставляемое интернет-провайдером, для создания защищенного туннеля между клиентом и сервером, а также между клиентскими и клиентскими системами. PPTP — это программная система VPN; Возможно, вы знаете, что ОС Windows имеет встроенный PPTP, и все, что нужно для подключения к сети VPN, — это клиентское программное обеспечение VPN. Хотя PPTP не обеспечивает шифрование и другие функции безопасности, необходимые для обеспечения конфиденциальности процессов обмена данными (протокол Point to Point делает это для PPTP), Windows изначально реализует аутентификацию и шифрование с помощью PPTP для защиты пакетов данных. Преимущество заключается в том, что для реализации не требуется покупать дополнительное оборудование, и клиент может использовать предоставленное программное обеспечение для подключения к VPN. Тем не менее, недостатком является то, что он полагается на протокол точка-точка для добавления безопасности к пакетам данных, поэтому до того, как пакеты данных начнут проходить через туннель, они могут быть дешифрованы внешними источниками.
SSH Туннелирование (Secure Shell Tunneling), как следует из названия, использует протокол безопасной оболочки для создания туннеля для передачи данных от одного конца к другому. Самым большим преимуществом туннелирования на основе SSH является то, что он обходит межсетевые экраны Интернета. Организации (которые хотят заставить своих сотрудников использовать выделенные прокси-серверы для доступа к общедоступным веб-сайтам и порталам данных) используют протоколы SSH для маршрутизации всего трафика с выделенных серверов. Это сильно отличается от технологии VPN на основе SSL, где протокол HTTPS применяется к приложениям, системе управления связью, веб-браузерам и т. Д., Чтобы защитить передачу от посторонних глаз. Он создает безопасный сеанс для подключения серверов из веб-браузера и не требует дополнительных устройств для настройки сети VPN, поскольку для установления связи между двумя сторонами требуется только протокол HTTPS.
Разработано IETF, IPSecВ его обязанности в основном входит обеспечение безопасности (IP) связи по Интернет-протоколу между конечными точками VPN-туннеля. Пакеты данных, проходящие через IPSec, шифруются с помощью AES, DES или 3DES. Более того, он обеспечивает как сжатие, так и аутентификацию на сетевом уровне. Технология IPsec VPN использует туннель вместо того транспорт режим.
Перед отправкой данных он инкапсулирует IP-пакет в новый пакет IPSec, обеспечивая конфиденциальность пакета данных. Он добавляет дополнительный IP-заголовок вместе с заголовком ESP (Encapsulated Security Payload), чтобы добавить политику безопасности и обеспечить шифрование исходного пакета данных. Помимо ESP, он использует AH (заголовок аутентификации) в качестве подпротокола для применения дополнительного уровня безопасности к исходному пакету данных; это предотвращает вмешательство третьих лиц и подмену IP-адреса.
Microsoft совместно с Cisco разработали альтернативу PPTP, известную как L2TP (Layer to Tunneling Protocol) для обеспечения целостности данных. Следует отметить, что L2TP, как и PPTP, не обеспечивает шифрование и полагается на PPP (протокол точка-точка) для шифрования пакетов данных. L2TP-туннелирование добавляет заголовок данных L2TP к исходной полезной нагрузке и передает их в конечную точку в дейтаграмме UDP. Помимо протокола Point-to-Point, конфиденциальность, аутентификация и шифрование могут быть достигнуты с помощью IPSec на сетевом уровне.
Как создать и настроить VPN
Пожалуй, существует бесконечное количество способов, с помощью которых организация может создать сеть VPN для своих клиентов, заказчиков и компаний-спонсоров, чтобы безбоязненно обмениваться частной информацией и обеспечивать шлюз для своей внутренней сети (сетей). Оставив в стороне эту крупномасштабную сетевую архитектуру VPN, если вы хотите создать небольшую сеть VPN для соединения ваших компьютеров с домашней сетью друга, вы можете использовать ранее рекомендованные Gbridge. Это бесплатное решение VPN, которое позволяет вам настроить вашу собственную виртуальную частную сеть, чтобы вы могли удаленно подключаться к другим частным сетям.
Подключение к удаленной сети VPN (Office VPN)
Как и предыдущие версии Windows, Windows 7 также предоставляет простой способ подключения к VPN-серверу. Если вы планируете подключиться к своей сети Office, PPTP / L2TP VPN, вы можете использовать клиент Windows VPN для установления соединения. Вот как это сделать.
Перед тем как начать, убедитесь, что вы настроили дополнительные устройства в соответствии с инструкциями сетевого администратора. Теперь откройте Центр управления сетями и общим доступом и нажмите Создать новое соединение или сеть. Откроется мастер подключения. Теперь выберите Подключитесь к рабочему месту вариант, а затем нажмите Далее.
На следующем шаге выберите соединение, которое вы хотите использовать для подключения к офисной VPN. Он позволяет подключаться к сети VPN, используя текущее соединение или номер телефона пункта назначения.
Следующий шаг требует ввода информации, предоставленной администратором. Здесь вам нужно ввести IP-адрес или домен вместе с именем пункта назначения. Windows 7 также позволяет включать VPN-соединение для других пользователей и использовать смарт-карту для авторизации.
Нажатие кнопки «Далее» откроет последний шаг мастера. Для этого требуется имя пользователя и пароль, назначенные администратором вашей офисной сети.
Когда закончите, нажмите «Подключиться», чтобы начать установку соединения с вашей VPN-сетью. Как только вы подключитесь к сети VPN, вы можете проверить детали IP в Центре управления сетями и общим доступом или использовать ipconfig в CMD, чтобы убедиться, что вы подключены как к сети VPN, так и к Интернету.
Виртуальная частная сеть поистине произвела революцию в способах защиты передачи данных между несколькими удаленными точками. Это лучшее решение для постоянно растущих организаций и предприятий, которым необходимо развернуть как защищенную сеть для обмена частной информацией, так и общедоступную сеть для связи со своими клиентами, клиентами и конкурентами. Помимо того, что это экономичное решение, технология VPN устраняет необходимость в создании нескольких центров управления данными для управления связью. Именно по этой причине VPN — это метод выбора во всем мире как для небольших компаний, так и для крупных корпораций.
[first 2 images via globalspec]
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Источник: myroad.club
Туннель vpn что это за программа
Пока что в серии криптосистем мы познакомились с общей терминологией криптографии и криптосистемой SSH (включая её конфигурацию). Сегодняшнюю статью я начну с с описания того, как работает VPN, а затем расскажу о стандарте IPSec.
VPN, или Virtual Private Network, что в переводе означает Виртуальная Частная Сеть — это криптосистема, позволяющая защитить данные при передаче их по незащищенной сети, такой как Интернет. Несмотря на то, что данное описание подходит и для криптосистемы SSH, VPN имеет другое предназначение. SSH разрабатывался как средство, позволяющее пользователю безопасно зайти и удалённо управлять другим компьютером. Цель VPN — прозрачный доступ к ресурсам сети, где пользователь может делать всё то, что он делает обычно независимо от того, насколько он удалён. По этой причине VPN приобрёл популярность среди дистанционных работников и офисов, которые нуждаются в совместном использовании ресурсов территориально разделённых сетей.
VPN Туннели
- Каждый из узлов идентифицирует друг друга перед созданием туннеля, чтобы удостовериться, что шифрованные данные будут отправлены на нужный узел
- Оба узла требуют заранее настроеной политики, указывающей какие протоколы могут использоваться для шифрования и обеспечения целостности данных
- Узлы сверяют политики, чтобы договориться об используемых алгоритмах; если это не получается, то туннель не устанавливается
- Как только достигнуто соглашение по алгоритмам, создаётся ключ, который будет использован в симметричном алгоритме для шифрования/расшифровки данных
Есть несколько стандартов регламентирующих вышеописанное взаимодействие. Вы, должно быть, слышали о некоторых из них: L2TP, PPTP, и IPSec. Т.к. IPSec — наиболее широко поддерживаемый стандарт, который имеет в арсенале наибольшее количество сокращений, оставшуюся часть статьи стоит посвятить именно ему.
IPSec
Стандарт IPSec был разработан для повышения безопасности IP протокола. Это достигается за счёт дополнительных протоколов, добавляющих к IP пакету собственные заголовки, которые называются инкапсуляциями. Т.к. IPSec — стандарт Интернет, то для него существуют RFC (Requests For Comments). Если есть интерес покопаться во внутренностях IPSec, то следующие RFC с http://www.rfc-editor.org/ могут оказаться полезными:
RFC 2401 IPSec RFC 2402 AH RFC 2406 ESP RFC 2409 IKE
Приведём краткое описание каждого, чтобы получить необходимую информацию для понимания следующей статьи, посвящённой настройке IPSec VPN на FreeBSD системе. Начнём с сокращений, а затем посмотрим как они укладываются в общую картину создания виртуальной частной сети.
AH (Authentication Header) — протокол заголовка идентификации. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Не будем вдаваться в подробности, какая часть пакета защищается и где находятся данные AH заголовка, т.к. это зависит от используемого типа шифрования и в деталях, с диаграммами описывается в соответствующем RFC.
Отметим лишь, что использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной. Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.
ESP (Encapsulating Security Protocol) — инкапсулирующий протокол безопасности, который обеспечивает и целостность и конфиденциальность. В режиме транспорта ESP заголовок находится между оригинальным IP заголовком и заголовком TCP или UDP. В режиме туннеля заголовок ESP размещается между новым IP заголовком и полностью зашифрованным оригинальным IP пакетом.
Т.к. оба протокола — AH и ESP добавляют собственные заголовки, они имеют свой ID протокола, по которому можно определить что последует за заголовком IP. Если вспомнить статью TCP Protocol Layers Explained, то в ней сказано, что каждый тип заголовка имеет собственный номер. Например, для TCP это 6, а для UDP — 17.
При работе через firewall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP протокола. Для AH номер ID — 51, а ESP имеет ID протокола равный 50. При создании правила не забывайте, что ID протокола не то же самое, что номер порта.
Третий протокол, используемый IPSec — это IKE или Internet Key Exchange protocol. Как следует из названия, он предназначен для обмена ключами между двумя узлами VPN. Насмотря на то, что генерировать ключи можно вручную, лучшим и более масштабируемым вариантом будет автоматизация этого процесса с помощью IKE. Помните, что ключи должны часто меняться, и вам наверняка не хочется полагаться на свою память, чтобы найти время для совершения этой операции вручную. Главное — не забудьте настроить правило на файрволе для UPD порта с номером 500, т.к. именно этот порт используется IKE.
SA (Security Association), что можно приближённо перевести как «связь или ассоциация безопасности» — это термин IPSec для обозначения соединения. При настроенном VPN, для каждого используемого протокола создаётся одна SA пара (т.е. одна для AH и одна для ESP). SA создаются парами, т.к. каждая SA — это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные SA пары хранятся на каждом узле. Если ваш узел имеет SA, значит VPN туннель был установлен успешно.
Т.к. каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить к какому узлу он относится. Это номер называется SPI (Security Parameter Index) или индекс параметра безопасности.
SA храняться в базе данных c названием, кто бы подумал — SAD (Security Association Database) или БД ассоциаций безопасности. Мы встретимся с ней ещё раз при настройке IPSec VPN.
Каждый узел IPSec также имеет вторую БД — SPD или Security Policy Database (БД политики безопасности). Она содержит настроенную вами политику узла. Большинство VPN решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.
Какие настройки включает в себя политика?
- Симметричные алгоритмы для шифрования/расшифровки данных
- Криптографические контрольные суммы для проверки целостности данных
- Способ идентификации узла. Самые распространнённые способы — это предустановленные ключи (pre-shared secrets) или RSA сертификаты.
- Использовать ли режим туннеля или режим транспорта
- Какую использовать группу Diffie Hellman
- Как часто проводить переидентификацию узла
- Как часто менять ключ для шифрования данных
- Использовать ли PFS
- Использовать ли AH, ESP, или оба вместе
При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie Hellman групп. В таком случае будет использована первая совпавшая на обоих узлах позиция. Запомните, очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN соединение. При настройе VPN между различными системами уделите время изучению того, какие алгоритмы поддерживаются каждой стороной, чтобы иметь выбор наиболее безопасной политики из возможных.
Фаза Один и Фаза Два
Теперь давайте посмотрим как всё это работает вместе. Установка и поддержка VPN туннеля происходит в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш алгоритме и группе Diffie Hellman. Они также идентифицируют друг друга.
Всё это может пройти в результате обмена тремя нешифрованными пакетами (т.н. агрессивный режим) или через обмен шестью нешифрованными пакетами (стандартный режим — main mode). Предполагая, что операция завершилась успешно, создаётся SA первой Фазы — Phase 1 SA (также называемый IKE SA) и процесс переходит к Фазе Два.
На втором этапе генерируются данные ключей, узлы договариваются насчёт используемой политики. Этот режим, также называемый быстрым режимом (quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Такое положение дел усложняет решение проблем в случае неполадок на второй фазе при успешном завершении первой. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA, и на этом установка туннеля считается завершённой.
Когда же это всё происходит? Сначала на узел прибывает пакет с адресом назначения в другом домене шифрования, и узел инициирует Фазу Один с тем узлом, который отвечает за другой домен. Допустим, туннель между узлами был успешно установлен и ожидает пакетов. Однако, узлам необходимо переидентифицировать друг друга и сравнить политику через определённое время. Это время известно как время жизни Phase One или IKE SA lifetime.
Узлы также должны сменить ключ для шифрования данных через другой отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime. Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Типичное время жизни Phase Two — 60 минут. Для Phase One оно равно 24 часам.
Ваша задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдёт, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся.
Странные проблемы могут возникнуть и в том случае, когда время жизни Фазы Один меньше аналогичного параметра Фазы Два. Если настроенный ранее туннель виснет, то первая вещь, которая нуждается в проверке — это время жизни на обоих узлах. В заключение стоит упомянуть, что при смене политики на одном из узлов, изменения вступят в силу только при следующем наступлении Фазы Один. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из SAD. Это вызовёт пересмотр соглашения между узлами с новыми настройками политики безопасности.
Теперь у нас есть достаточно информации для создания IPSec VPN на вашей FreeBSD машине. Демонстрация необходимых настроек — тема следующей статьи.
Dru Lavigne — инструктор Marketbridge Technologies в Оттаве и администратор Open Protocol Resource.
Copyright ╘ 2005 O’Reilly Media, Inc.
Источник: www.opennet.ru
Private Tunnel VPN для Windows
Private Tunnel VPN — сервис для анонимного серфинга в интернете и получения доступа к заблокированным в Вашем регионе ресурсам. Бывают ситуации, когда Вы у себя дома или путешествуя в другой стране не можете посетить тот или иной сайт, что обусловлено региональной блокировкой.
В этом случае решить проблему можно путем подмены IP-адреса с помощью так называемого туннелирования, суть которого заключается в создании частной виртуальной сети, через которую и осуществляется передача данных в зашифрованном виде. Таким образом, Вам присваивается некий новый IP-адрес, а истинный IP и реальное месторасположение скрываются.
Эта программа весьма полезна не только для доступа к запрещенным ресурсам, но и важна для обеспечения безопасности конфиденциальной информации, особенно при использовании открытых публичных точек доступа в интернет как по Wi-Fi каналам, так и другим сетям. Работать с приложением очень легко и просто.
Вначале надо будет зарегистрироваться: указать свой электронный адрес, на который придет подтверждение о регистрации, и придумать пароль входа в программу. После этого Вы получаете 8 локаций для изменения своего местоположения: три в США и по одному в Канаде, Швейцарии, Великобритании, Нидерландах, Швеции.
Выбрав любой понравившийся, произойдет перенаправление через виртуальную сеть — Вы будете отображаться как пользователь одной из указанных стран. Вот, собственно говоря и все, других настроек нет. Стоит отметить, что бесплатно Private Tunnel VPN предлагает только 500 МБ перенаправленного суммарного трафика. При достижении этого лимита придется переходить на платную подписку (от $12), либо же приглашать других пользователей в сервис, за которых Вам также начисляется дополнительный объем переданных данных.
- Private Tunnel VPN для Android
- Private Tunnel VPN для iOS
ТОП-сегодня раздела «Анонимайзеры, VPN»
Предоставляет надежную защиту персональной информации и конфиденциальности, которая.
Удобное решение, которое представляет собой набор инструментов, которые работают вместе.
Удобный инструмент для интернет-безопасности и защиты конфиденциальности в Сети.
Инструмент обхода цензуры, предназначенный для доступа к открытой сети Интернет, минуя.
Бесплатный VPN с возможностями, функционалом и защищенностью на уровне топовых платных.
Бесплатный и удобный VPN-сервис, предлагающий высокоскоростную глобальную сеть.
Отзывы о программе Private Tunnel VPN
Отзывов о программе Private Tunnel VPN 2.8 пока нет, можете добавить.
Источник: www.softportal.com