Ce este hi vpn. Ce este un VPN, de ce este necesar și cum să îl folosești. Despre VPN-urile gratuite

Dezvoltarea tehnologiilor de internet mobil a făcut posibilă utilizarea pe deplin a telefoanelor și tabletelor pentru a naviga pe internet. Gadgeturile mobile sunt folosite nu numai pentru căutare informatie necesara, cu ajutorul lor: comunicați în comunitățile sociale, faceți cumpărături, efectuați tranzacții financiare, lucrați în rețelele corporative.

Dar ce zici de o conexiune la Internet fiabilă, sigură și anonimă? Răspunsul simplu este să folosești un VPN.

Ce este un VPN și de ce aveți nevoie de el pe telefon?

Tehnologiile care vă permit să creați o rețea logică cu una sau mai multe conexiuni sunt denumite în mod colectiv Rețea privată virtuală (abreviată ca VPN). Tradusă literal, această expresie sună ca o rețea privată virtuală.

Esența sa este de a crea o conexiune securizată peste sau în interiorul unei alte rețele (un fel de tunel) prin care, datorită aplicației instalate pe gadget, clientul poate accesa serverul VPN. În cadrul unei astfel de conexiuni, toate datele transmise sunt modificate, criptate și protejate.

De ce au devenit atât de populare serviciile care oferă posibilitatea de a utiliza astfel de rețele virtuale și chiar este necesar să le aveți pe o tabletă sau pe un smartphone?

În timpul călătoriilor turistice și de afaceri, este adesea nevoie de a utiliza internetul: pentru a vă conecta la un birou mobil, corespondență de afaceri, comanda și plata biletelor și comunica prin Skype etc. Este convenabil să vă verificați e-mailul, să analizați citatele și să studiați știrile folosind dispozitivul la îndemână. Dar pentru asta trebuie să apelezi la Wi-Fi, care acum este gratuit în multe gări, aeroporturi, cafenele și hoteluri.

Desigur, posibilitatea de a accesa Internetul oriunde este un lucru util și convenabil, dar cât de sigur este? Experții implicați în securitatea informațiilor susțin că printr-o conexiune Wi-Fi nesecurizată poți obține simplu și fără prea multe dificultăți acces la toate datele aflate pe gadget.

În acest caz, alegerea serviciilor VPN va fi cea mai bună oportunitate de a proteja utilizatorul de furtul informațiilor sale confidențiale. Cu toate acestea, aceste rețele virtuale pot fi folosite pentru mai mult decât pentru securitate. Utilizarea lor vă permite să accesați o resursă web care nu este disponibilă într-o anumită regiune, să ocoliți restricțiile rețelei corporative și așa mai departe.

Caracteristicile tehnologiilor mobile

Pentru ca proprietarii de gadgeturi mobile să profite de aceste tehnologii cloud, multe servere VPN au fost adaptate să funcționeze cu astfel de dispozitive. Canalele de comunicare folosite de smartphone-uri și tablete pentru a accesa Internetul se schimbă adesea, ar putea fi Wi-Fi, iar apoi o conexiune 3G sau 4G. Acest lucru complică foarte mult capacitatea unui server VPN obișnuit de a menține o conexiune stabilă pe un canal dedicat.

Acest lucru se întâmplă deoarece vede gadgeturi accesând-o din diferite subrețele și adrese IP, ceea ce duce la pierderea conexiunilor active de aplicații instalate pe dispozitive. Pentru a evita acest lucru, au început să fie folosite metode speciale de autorizare pe serverele special adaptate, echipate cu tehnologie VPN. Care fac posibilă efectuarea transferului de date în două sensuri de la server la gadgeturi purtabile, unde dispozitivele schimbă periodic setările de rețea.

Cum să utilizați corect capabilitățile VPN pe telefonul dvs

Există servicii de server VPN plătite și analogii lor gratuit. Ceea ce este mai bine de ales este la latitudinea fiecărui utilizator să decidă individual. Dacă reușiți să vă decideți asupra alegerii serviciului și a serverului, trebuie să treceți la configurare. În zilele noastre, cele mai populare gadget-uri mobile sunt dispozitivele iPhone și Android.

Activarea VPN pe iPhone

Există două moduri de a configura iPhone-ul pentru a utiliza aceste tehnologii. Primul este să selectați aplicația cea mai potrivită pentru aceasta din App Store și să o instalați. Apoi efectuați următoarele acțiuni:

  • Accesați secțiunea de setări.
  • Deschideți fila VPN și activați-o cu glisorul.
  • Apoi selectați serviciul instalat.

Al doilea este să configurați manual VPN-ul. Pentru a face acest lucru, trebuie să efectuați următoarele manipulări:

  • Intrând în secțiunea de setări a dispozitivului, activați VPN-ul și faceți clic pe pictograma „adăugați configurație”.
  • Apoi selectați tipul de securitate: L2TP, IPSec sau IKEv2 și activați configurația necesară.
  • Apoi ar trebui să completați informațiile despre setări rețea privată: descrierea identificatorului de la distanta, server si completati informatiile necesare inregistrarii - nickname, parola.
  • Dacă aveți un server proxy, ar trebui să alegeți în funcție de preferințe dacă îl utilizați: automat sau manual.
  • Făcând clic pe butonul „Terminat” și comutând glisorul de stare în poziția dorită, puteți începe să navigați pe Internet.

Acum tot traficul de pe iPhone va trece prin VPN.

Configurarea unui VPN pe Android

Aici este mult mai ușor să conectați serviciul VPN selectat; pentru aceasta trebuie să:

  • Activați secțiunea „Setări”, unde în linia „ Retea fara fir» Faceți clic pe inscripția: „Avansat”.
  • După care, după deschiderea subsecțiunii „VPN” și făcând clic pe semnul +, vor fi furnizate informații despre protocoalele disponibile pentru conectarea unor astfel de servicii.
  • După ce ați selectat și salvat conexiunea necesară, nu mai rămâne decât să introduceți și să creați acreditările necesare pentru muncă: autentificare și parolă.

Desigur, setările pentru diferite smartphone-uri pot diferi, dar pașii de bază sunt în mare măsură similari.

Concluzie

Este greu de argumentat că folosirea unui VPN în dispozitive mobile devenind un serviciu din ce în ce mai solicitat. Datorită unor astfel de servicii, utilizatorilor se deschid o mulțime de oportunități: atunci când călătoresc, aceștia au posibilitatea de a nu se rupe de procesul de lucru, știind că toate datele lor sunt întotdeauna protejate, în timp ce se află în altă regiune, au acces la cele necesare resurse și alte preferințe.

Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:

    confidențialitatea informațiilor;

    integritatea datelor;

    disponibilitatea informațiilor;

Aceste cerințe sunt îndeplinite de un mecanism numit VPN (Virtual Private Network) - un nume generalizat pentru tehnologii care permit ca una sau mai multe conexiuni de rețea (rețea logică) să fie furnizate printr-o altă rețea (de exemplu, Internet) folosind criptografia (criptare, autentificare). , infrastructură) chei publice, mijloace de protecție împotriva repetărilor și modificărilor mesajelor transmise prin rețeaua logică).

Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii dedicate. În funcție de protocoalele utilizate și de scop, VPN poate oferi trei tipuri de conexiuni: de la gazdă la gazdă, de la gazdă la rețea și de la rețea la rețea.

Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate geografic și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să instalați modemuri în fiecare ramură și să organizați comunicațiile după cum este necesar. Această soluție, însă, nu este întotdeauna convenabilă și profitabilă - uneori este nevoie de comunicare constantă și lățime de bandă mare. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiuni VPN ale tuturor filialelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.

Orez. 6.4. Conexiune VPN de la site la site

Orez. 6.5. Rețea gazdă tip conexiune VPN

În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.

Pericolul aici este că, în primul rând, o rețea deschisă este deschisă atacurilor atacatorilor din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în text clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și în al treilea rând, datele nu pot fi doar interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator ar putea, de exemplu, să încalce integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.

Pentru a preveni acest lucru, soluțiile VPN folosesc caracteristici precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la rețeaua privată virtuală.

O conexiune VPN constă întotdeauna dintr-un canal punct la punct, cunoscut și sub numele de tunel. Tunelul este creat într-o rețea neprotejată, care este cel mai adesea internetul.

Tunnelarea sau încapsularea este o metodă de transmitere a informațiilor utile printr-o rețea intermediară. Aceste informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda care trimite, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine plasate la punctele de intrare într-o rețea publică. Unul dintre avantajele clare ale tunelului este că această tehnologie vă permite să criptați întregul pachet sursă, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).

Deși un tunel VPN este stabilit între două puncte, fiecare nod poate stabili tuneluri suplimentare cu alte noduri. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acel birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil deoarece un nod poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:

Orez. 6.6. Crearea de tuneluri VPN pentru mai multe locații la distanță

Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.

În interiorul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Acest lucru asigură că numai informațiile transmise pe un canal nesecurizat între birouri sunt criptate.

Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:

    PPTP (Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în OS Compania Microsoft.

    L2TP (Layer-2 Tunneling Protocol) – combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.

    IPSec (Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).

Protocoalele enumerate sunt acceptate de dispozitivele D-Link.

Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul permite accesul de la distanță, permițând utilizatorilor să stabilească conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, PPTP nu a fost inițial destinat să creeze tuneluri între rețelele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.

Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date prin diferite protocoale - IP, IPX, NetBEUI etc. Datele din aceste protocoale sunt împachetate în cadre PPP și încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transferate utilizând IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadre PPP din pachetele IP și apoi le procesează într-un mod standard, de exemplu. extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. Protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca și în cazul VPN bazat pe IPSec) cât și orice alt protocol pot fi folosite ca transport.

În prezent, datorită ușurinței implementării, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la rețeaua corporativă, cât și pentru accesarea rețelelor furnizorilor de internet, atunci când clientul trebuie să stabilească o conexiune PPTP cu furnizorul de internet pentru a obține acces. la Internet.

Metoda de criptare utilizată în PPTP este specificată la nivel PPP. De obicei, clientul PPP este un computer desktop care rulează un sistem de operare Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizarea acestui algoritm este destul de suficientă, deși este considerat mai puțin sigur decât unii dintre ceilalți algoritmi de criptare oferiti de IPSec, în special, standardul de criptare triple a datelor pe 168 de biți (3DES) .

Cum se stabilește legăturaPPTP?

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține canalul în funcțiune. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.

Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a transmite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. În primul rând, este creată partea informațională a cadrului PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat care aparțin de obicei PPP, adică adăugând un antet PPP și un trailer la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a permite transmisia acestora prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Pe orez. 6.7 Structura de date pentru redirecționarea printr-un tunel PPTP este afișată:

Orez. 6.7. Structura de date pentru redirecționarea printr-un tunel PPTP

Stabilirea unui VPN bazat pe PPTP nu necesită cheltuieli mari sau setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să efectuați setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de internet sau un firewall cu suport PPTP: setările sunt făcute numai pe routerul de margine (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de internet multifuncționale din seria DIR/DSR și firewall-urile din seria DFL.

GRE-tunele

Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă tunelarea traficului prin rețele fără criptare. Exemple de utilizare a GRE:

    transmiterea traficului (inclusiv difuzarea) prin echipamente care nu suportă un protocol anume;

    tunelarea traficului IPv6 printr-o rețea IPv4;

    transfer de date prin rețele publice pentru a implementa o conexiune VPN sigură.

Orez. 6.8. Un exemplu de funcționare a unui tunel GRE

Între două routere A și B ( orez. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.

L2 TP

Protocolul L2TP a apărut ca rezultat al combinației dintre protocoalele PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor.

Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmisie în tunel, adăugând mai întâi antetul PPP la câmpul de date de informații PPP, apoi antetul L2TP. Pachetul rezultat este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec selectată, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Se adaugă un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. Pe orez. 6.9 arată structura de date pentru redirecționarea printr-un tunel L2TP.

Orez. 6.9. Structura de date pentru redirecționarea printr-un tunel L2TP

Calculatorul de primire primește datele, procesează antetul PPP și terminarea și îndepărtează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.

Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar date de încărcare utilă care sunt procesate sau redirecționate către destinatarul specificat.

IPsec (prescurtare de la IP Security) este un set de protocoale pentru asigurarea protecției datelor transmise prin Internet Protocol (IP), permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei prin Internet.

Securitatea IPSec se realizează prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. Deoarece IPSec este un standard de internet și există RFC-uri pentru acesta:

    RFC 2401 (Arhitectura de securitate pentru protocolul Internet) – arhitectura de securitate pentru protocolul IP.

    RFC 2402 (antet de autentificare IP) – antet de autentificare IP.

    RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) – utilizarea algoritmului de hashing SHA-1 pentru a crea antetul de autentificare.

    RFC 2405 (Algoritmul de criptare ESP DES-CBC cu explicit IV) - utilizarea algoritmului de criptare DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – criptarea datelor.

    RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de gestionare a cheilor.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – gestionarea cheilor și a autentificatorilor pentru conexiuni securizate.

    RFC 2409 (The Internet Key Exchange (IKE)) – schimb de chei.

    RFC 2410 (Algoritmul de criptare NULL și utilizarea sa cu IPsec) – algoritmul de criptare nul și utilizarea acestuia.

    RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.

    RFC 2412 (Protocolul de determinare a cheii OAKLEY) – verificarea autenticității unei chei.

IPsec este o parte integrantă a protocolului Internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului Internet.

Mecanismul IPSec rezolvă următoarele probleme:

    autentificarea utilizatorilor sau computerelor la inițializarea unui canal securizat;

    criptarea și autentificarea datelor transmise între punctele finale ale canalelor securizate;

    furnizarea automată a punctelor finale de canal cu chei secrete necesare pentru funcționarea protocoalelor de autentificare și criptare a datelor.

Componente IPSec

Protocolul AH (Authentication Header) – protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din porțiunea protejată a pachetului nu au fost modificați în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. Deoarece În acest caz, pachetul se va schimba, apoi suma de control AH va deveni incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în funcționarea sa) . De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.

Protocolul ESP (Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva redării false a pachetelor.

Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP este situat între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.

Deoarece Ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), care poate fi folosit pentru a determina ce urmează antetului IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese de Internet), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, atunci când lucrați printr-un firewall, este foarte important să configurați filtrele astfel încât să permită trecerea pachetelor cu ID AH și/sau protocol ESP. prin.

Pentru a indica faptul că AH este prezent în antetul IP, ID-ul protocolului este setat la 51, iar pentru ESP numărul este 50.

ATENŢIE: ID-ul protocolului nu este același cu numărul portului.

Protocolul IKE (Internet Key Exchange) este un protocol IPsec standard utilizat pentru a asigura comunicații securizate în rețelele private virtuale. Scopul IKE este de a negocia și de a livra în siguranță materiale identificate unei asociații de securitate (SA).

SA este termenul IPSec pentru conexiune. Un SA stabilit (un canal securizat numit Asociație de Securitate sau SA) include o cheie secretă partajată și un set de algoritmi criptografici.

Protocolul IKE îndeplinește trei sarcini principale:

    oferă un mijloc de autentificare între două puncte finale VPN;

    stabilește noi conexiuni IPSec (creează o pereche SA);

    gestionează conexiunile existente.

IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.

Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează IKE SA. În acest caz, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi un algoritm de criptare, cheia de sesiune etc.

În a doua fază, IKE SA este folosit pentru a negocia un protocol (de obicei IPSec).

Când este configurat un tunel VPN, este creată o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, deoarece Fiecare SA este o conexiune unidirecțională, iar datele trebuie transferate în două direcții. Perechile SA rezultate sunt stocate pe fiecare nod.

Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr se numește SPI (Security Parameter Index).

SA este stocat într-o bază de date (DB) TRIST.(Baza de date Asociația de Securitate).

Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) – baza de date a politicilor de securitate. Conține politica de site configurată. Majoritatea soluțiilor VPN permit crearea de politici multiple cu combinații de algoritmi adecvați pentru fiecare gazdă la care trebuie stabilită o conexiune.

Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe modalități de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. În același timp, grupul de lucru IETF a definit un set de bază de funcții și algoritmi suportați, care ar trebui să fie implementați uniform în toate produsele care acceptă IPSec. Mecanismele AH și ESP pot fi utilizate cu o varietate de scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie o funcție MD5 unidirecțională, fie o funcție SHA-1 unidirecțională, iar criptarea este efectuată folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.

Pentru a cripta datele în IPSec, poate fi utilizat orice algoritm de criptare simetrică care utilizează chei secrete.

Protocoalele de protecție a fluxului transmis (AH și ESP) pot funcționa în două moduri: mod de transport si in modul de tunel. Când funcționează în modul de transport, IPsec funcționează numai cu informații despre stratul de transport, de exemplu. Numai câmpul de date al pachetului care conține protocoale TCP/UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili conexiuni între gazde.

În modul tunel, întregul pachet IP este criptat, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, este un tunel IP securizat. Modul tunel poate fi folosit pentru a conecta computere de la distanță la o rețea privată virtuală (schemă de conexiune gazdă-la-rețea) sau pentru a organiza transferul securizat de date prin canale de comunicare deschise (de exemplu, Internet) între gateway-uri pentru a conecta diferite părți ale rețelei private virtuale. reţea (schema de conectare la reţea -net").

Modurile IPsec nu se exclud reciproc. Pe același nod, unele SA pot folosi modul de transport, în timp ce altele folosesc modul tunel.

În timpul fazei de autentificare, se calculează ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să o compare cu rezultatul trimis de expeditor. Dacă compararea ICV are succes, expeditorul pachetului este considerat a fi autentificat.

În modul transportAH.

    întregul pachet IP, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;

    toate câmpurile din AH;

    Sarcina utilă a pachetului IP.

AH în modul de transport protejează antetul IP (excluzând câmpurile pentru care sunt permise modificări) și încărcarea utilă în pachetul IP original (Figura 3.39).

În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transmisia datelor se realizează pe baza antetului noului pachet IP.

Pentru modul tunelAH. La efectuarea unui calcul, suma de control ICV include următoarele componente:

    toate câmpurile antetului IP exterior, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;

    toate câmpurile AH;

    pachetul IP original.

După cum puteți vedea în următoarea ilustrație, modul de tunel AH protejează întregul pachet IP original prin utilizarea unui antet exterior suplimentar, pe care modul de transport AH nu îl folosește:

Orez. 6.10. Modurile de operare în tunel și transport ale protocolului AN

În modul transportESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar trailerul ESP (Trailer ESP) este adăugat în consecință după date.

Modul de transport ESP criptează următoarele părți ale pachetului:

    sarcină utilă IP;

Un algoritm de criptare care utilizează modul Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate ca el să decripteze porțiunea criptată a pachetului fără cheia de criptare. Pentru a împiedica atacatorii să schimbe vectorul de inițializare, acesta este protejat de o sumă de control ICV. În acest caz, ICV efectuează următoarele calcule:

    toate câmpurile din antetul ESP;

    sarcină utilă inclusiv text clar IV;

    toate câmpurile din ESP Trailer, cu excepția câmpului de date de autentificare.

Modul tunel ESP încapsulează întregul pachet IP original în noul antet IP, antet ESP și Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost plasată semnătura pentru a-i certifica integritatea și autenticitatea, iar partea criptată arată că informațiile sunt sigure și confidențiale. Antetul sursă este plasat după antetul ESP. După ce porțiunea criptată este încapsulată într-un nou antet de tunel, care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, pachetul este direcționat către adresa IP a gateway-ului rețelei de primire, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer din rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:

    pachetul IP original;

  • Pentru modul tunel ESP, ICV se calculează după cum urmează:

    toate câmpurile din antetul ESP;

    pachetul IP original, inclusiv text clar IV;

    toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.

Orez. 6.11. Tunelul și modul de transport al protocolului ESP

Orez. 6.12. Compararea protocoalelor ESP și AH

Rezumatul modurilor de aplicareIPSec:

    Protocol – ESP (AH).

    Mod – tunel (transport).

    Metoda de schimb de chei este IKE (manual).

    Modul IKE – principal (agresiv).

    Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.

    Autentificare – SHA1 (SHA, MD5).

    Criptare – DES (3DES, Blowfish, AES).

La crearea unei politici, este de obicei posibilă crearea unei liste ordonate de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH) este un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, se va folosi prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să permită această aliniere. Dacă totul se potrivește, cu excepția unei părți a politicii, nodurile nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică posibilă.

Setări de bază pe care politica de securitate le include:

    Algoritmi simetrici pentru criptarea/decriptarea datelor.

    Sume de verificare criptografice pentru a verifica integritatea datelor.

    Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.

    Dacă folosiți modul tunel sau modul de transport.

    Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).

    Dacă să folosiți AH, ESP sau ambele.

    Dacă să utilizați PFS.

O limitare a IPSec este că acceptă doar comunicațiile la nivel de protocol IP.

Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.

În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează nodul pe care rulează:

Orez. 6.13. Creați un canal securizat între două puncte finale

În a doua schemă, se stabilește un canal securizat între două gateway-uri de securitate. Aceste gateway-uri acceptă date de la gazdele terminale conectate la rețelele situate în spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec; traficul trimis către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în numele său.

Orez. 6.14. Crearea unui canal securizat între două gateway-uri

Pentru gazdele care acceptă IPSec, pot fi utilizate atât modurile de transport, cât și cele de tunel. Gateway-urilor li se permite doar să folosească modul tunel.

Instalare si suportVPN

După cum am menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică reciproc. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Agresiv modul) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Principal modul).

În modul principal, este posibilă coordonarea tuturor parametrilor de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv nu există o astfel de posibilitate, iar unii parametri (grup Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie configurați identic în avans pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai mici, rezultând mai puțin timp necesar pentru stabilirea unei sesiuni IPSec.

Orez. 6.15. Mesaje în modurile standard (a) și agresive (b).

Presupunând că operațiunea s-a încheiat cu succes, se creează prima fază SA − Fază 1 S.A.(numit si IKES.A.) iar procesul trece la a doua fază.

În a doua etapă, datele cheie sunt generate și nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de prima fază prin faptul că poate fi stabilit doar după prima fază, când toate pachetele din a doua fază sunt criptate. Finalizarea corectă a celei de-a doua faze are ca rezultat apariția Fază 2 S.A. sau IPSecS.A. iar în acest moment instalarea tunelului este considerată finalizată.

Mai întâi, un pachet cu o adresă de destinație într-o altă rețea ajunge la nod, iar nodul inițiază prima fază cu nodul responsabil pentru cealaltă rețea. Să presupunem că un tunel între noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește Phase One lifetime sau IKE SA lifetime.

Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp numită Faza a doua sau durata de viață IPSec SA.

Durata de viață a fazei a doua este mai scurtă decât cea a primei faze, deoarece... cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca tunelul să fie stabilit inițial cu succes, dar după prima durată de viață inconsistentă conexiunea va fi întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă un tunel configurat anterior nu mai funcționează, atunci primul lucru care trebuie verificat este durata de viață pe ambele noduri.

De asemenea, trebuie remarcat faptul că, dacă politica este modificată pe unul dintre noduri, modificările vor intra în vigoare numai data viitoare când va avea loc prima fază. Pentru ca modificările să intre în vigoare imediat, SA pentru acest tunel trebuie eliminat din baza de date SAD. Acest lucru va face ca acordul dintre noduri să fie renegociat cu noi setări de politică de securitate.

Uneori, la configurarea unui tunel IPSec între echipamente de la diferiți producători, apar dificultăți din cauza coordonării parametrilor la stabilirea primei faze. Ar trebui să acordați atenție unui astfel de parametru, cum ar fi Local ID - acesta este un identificator unic al punctului final al tunelului (expeditor și destinatar). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.

MortPeerDetectare

În timpul operațiunii VPN, în absența traficului între punctele terminale ale tunelului sau când se modifică datele inițiale ale nodului de la distanță (de exemplu, modificarea unei adrese IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență. un tunel, devenind, parcă, un tunel fantomă. Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să monitorizați prezența traficului de la un nod la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall Mesajul „DPD-R-U-THERE” este trimis către D-Link. Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link specificate de setările „DPD Expire Time”, tunelul este demontat. Firewall-urile D-Link după aceasta utilizând setările „DPD Keep Time” ( orez. 6.18), încearcă automat să restaureze tunelul.

ProtocolNATTraversare

Traficul IPsec poate fi rutat conform acelorași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, IPsec nu poate trece prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).

Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP obișnuit în întreaga rețea și gazda destinatarului să nu efectueze nicio verificare de integritate. Odată ce pachetul ajunge la destinație, antetul UDP este eliminat și pachetul de date își continuă drumul. cale mai departe ca un pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibil să se stabilească comunicarea între clienții IPSec pe rețelele securizate și gazdele publice IPSec prin firewall-uri.

Când configurați firewall-urile D-Link pe dispozitivul destinatar, trebuie remarcate două puncte:

    În câmpurile Rețea la distanță și Punct final la distanță, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (expeditorului) folosind tehnologia NAT (Figura 3.48).

    atunci când utilizați chei partajate cu mai multe tuneluri conectate la o singură telecomandă firewall care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.

Local ID poate fi unul dintre:

    Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.

    IP– adresa IP a portului WAN al firewall-ului de la distanță

    DNS– adresa DNS

    VPN (Virtual Private Network) este o rețea privată virtuală.

    În limbajul obișnuit, un VPN este un canal complet securizat care conectează dispozitivul dvs. compatibil cu internet la orice alt dispozitiv de pe World Wide Web. Pentru a spune și mai simplu, ne putem imagina mai figurat: fără a vă conecta la un serviciu VPN, computerul dvs. (laptop, telefon, televizor sau orice alt dispozitiv) atunci când accesați rețeaua este ca o casă privată neîmprejmuită. În orice moment, oricine poate sparge intenționat sau accidental copaci sau călca în picioare paturile din grădina ta. Folosind un VPN, casa ta se transformă într-o fortăreață inexpugnabilă, a cărei protecție va fi pur și simplu imposibil de încălcat.

    Cum functioneaza?

    Principiul funcționării VPN este simplu și „transparent” pentru utilizatorul final. În momentul în care intri online, se creează un „tunel” virtual între dispozitivul tău și restul internetului, blocând orice încercare din exterior de a pătrunde în interior. Pentru tine, munca VPN-ului rămâne absolut „transparentă” și invizibilă. Personalul dvs Corespondență de afaceri, Skype sau conversațiile telefonice nu vor fi în niciun fel interceptate sau auzite. Toate datele dvs. sunt criptate folosind un algoritm de criptare special, care este aproape imposibil de spart.

    Pe lângă protecția împotriva intruziunilor externe, VPN oferă posibilitatea de a vizita virtual orice țară din lume pentru o perioadă și de a utiliza resursele de rețea ale acestor țări, vizualizați canale TV, care anterior nu erau disponibile. VPN vă va înlocui adresa IP cu oricare alta. Pentru a face acest lucru, va trebui doar să selectați o țară din lista propusă, de exemplu Țările de Jos, iar toate site-urile și serviciile pe care le vizitați vor „crede” automat că vă aflați în această țară.

    De ce nu un anonimizator sau un proxy?

    Se pune întrebarea: de ce să nu folosiți pur și simplu un fel de anonimizat sau server proxy în rețea, pentru că acestea înlocuiesc și adresa IP? Da, totul este foarte simplu - niciunul dintre serviciile menționate mai sus nu oferă protecție, rămâneți în continuare „vizibil” pentru atacatori și, prin urmare, toate datele pe care le schimbați pe Internet. Și, în plus, lucrul cu servere proxy necesită să aveți o anumită capacitate de a seta setări precise. VPN funcționează pe următorul principiu: „Conectați-vă și jucați”; nu necesită setări suplimentare. Întregul proces de conectare durează câteva minute și este foarte simplu.

    Despre VPN-urile gratuite

    Când alegeți, ar trebui să vă amintiți asta VPN gratuit Aproape întotdeauna există restricții privind cantitatea de trafic și viteza de transfer de date. Aceasta înseamnă că poate apărea o situație în care pur și simplu nu puteți continua să utilizați un VPN gratuit. Nu uitați că VPN-urile gratuite nu sunt întotdeauna stabile și sunt adesea supraîncărcate. Chiar dacă limita dvs. nu a fost depășită, transferul de date poate dura o perioadă lungă de timp din cauza încărcării mari a serverului VPN. Serviciile VPN plătite se remarcă prin lățime de bandă mare, absența restricțiilor atât asupra traficului, cât și asupra vitezei, iar nivelul de securitate este mai ridicat decât cel al celor gratuite.

    Unde sa încep?

    Majoritatea serviciilor VPN oferă posibilitatea de a testa calitatea gratuit pentru o perioadă scurtă. Perioada de testare poate fi de la câteva ore la câteva zile. În timpul testării, de obicei obțineți acces complet la toate funcționalitățile serviciului VPN. Serviciul nostru face posibilă găsirea acestora Servicii VPN legătură:

    În secolul 21 tehnologia de informație ocupă un loc integral în viața aproape oricărei persoane. Chiar și o bunica de 80 de ani dintr-un sat care nu știe să pornească un computer este indirect legată de ei. Baze de date, conturi bancare, Conturiîn mesageri – toate acestea necesită nivel inalt Securitate. Internetul, care a crescut la scară globală, ca orice alt mecanism, devine mai vulnerabil pe măsură ce designul său devine mai complex. Pentru a proteja informațiile confidențiale, a fost inventată tehnologia VPN.

    conexiune VPN(din engleză. Virtual Private Network - rețea privată virtuală) - o tehnologie care vă permite să creați artificial retea locala dintre participanții la internet care nu sunt conectați fizic prin conexiune directă. Acesta este un add-on la rețeaua globală care asigură comunicarea între noduri care apare direct din partea clientului.


    Cum funcționează o conexiune VPN

    O rețea virtuală VPN funcționează pe principiul stabilirii unei conexiuni fixe. Comunicarea poate fi stabilită direct, între două noduri de același nivel (pe o bază de rețea la rețea sau client-client), sau (mai frecvent) între o rețea și un client. Unul dintre elemente (serverul de inițiere a conexiunii) trebuie să aibă o adresă IP statică (permanentă) la care îl vor găsi alte noduri de rețea. Un punct de acces este creat pe server sub forma unui gateway cu acces la Internet. Alți participanți la rețea i se alătură, conexiunea se face sub forma unui tunel izolat.

    Pentru toate nodurile de comutare prin care trec pachetele de date, informațiile sunt criptate. Este transmis sub forma unui flux neinteligibil, a cărui interceptare nu le va oferi hackerilor nimic. Cheile de codificare-decodare pentru multe protocoale (de exemplu, OpenVPN) sunt stocate numai pe dispozitivele finale. Și fără ele, atacatorii nu pot face nimic cu datele interceptate. Pentru securitate maximă, o arhivă cu certificate și chei (fără de care nu va fi posibilă instalarea unui VPN securizat) poate fi trimisă sub formă criptată sau transferată manual pe o unitate flash. În acest caz, probabilitatea accesului neautorizat la computerele din rețea este redusă la zero.

    De ce ai nevoie de un VPN?

    Conexiune directa

    Pe Internet, distanța fizică dintre participanți și complexitatea rutei pe care fac schimb de date nu contează. Datorită adresei IP și nodurilor DNS, puteți accesa un alt computer pe World Wide Web de oriunde în lume. Nivelul de securitate al conexiunii este mult mai important, mai ales la schimbul de informații confidențiale. Cu cât trec mai multe date prin puncte de comutare (routere, gateway-uri, poduri, noduri), cu atât este mai mare probabilitatea ca acestea să fie interceptate de atacatori. Având parametrii fizici ai unui PC sau server (de exemplu, adresa lui IP) - prin metode vulnerabile de conectare, hackerii pot pătrunde în el prin ruperea protecției cu parolă. Tocmai de astfel de atacuri este proiectat să protejeze protocolul VPN.

    Deblocarea accesului la resurse

    A doua funcție a rețelelor VPN este deschiderea accesului la resursele blocate. Dacă cenzura Internetului este în vigoare într-o țară într-o formă sau alta (ca în China), accesul cetățenilor săi la anumite resurse poate fi limitat. Accesarea rețelei prin servere VPN străine vă permite să evitați amenințarea represaliilor la adresa reprezentanților forțelor de opoziție din țările totalitare. Stat autoritățile care interferează cu libertatea de exprimare (precum în China sau RPDC) nu vor putea aduce acuzații de vizualizare a resurselor „dăunătoare din punct de vedere ideologic”, chiar dacă furnizorii le oferă o copie de rezervă a tuturor datelor interceptate.

    Unele servicii online pot bloca accesul clienților din țări și regiuni în care aceștia nu sunt prezenți oficial. Acest lucru se realizează uneori prin jocuri online, sisteme internaționale de plată, platforme de tranzacționare, magazine online, sisteme de distribuție online pentru conținut digital (muzică, filme, jocuri). Un server VPN cu sediul într-o țară în care accesul este deschis elimină astfel de restricții și vă permite să faceți achiziții.

    Protecție împotriva piratarii resurselor private

    Un alt motiv pentru care clienții privați au nevoie de o conexiune VPN este administrarea de la distanță. Dacă doriți să vă protejați serverul cât mai mult posibil de interferențele externe, puteți crea „ Lista albă» Adresele IP care au acces la acesta. Când una dintre ele (adrese) aparține unui server VPN privat, vă puteți conecta în siguranță la serverul administrat de oriunde în lume, folosind o comunicare criptată. Obiectul de administrare va considera că a fost conectat de la un terminal autorizat, iar administratorul nu trebuie să-și facă griji cu privire la riscul de hacking.

    Protecția secretelor comerciale

    Protocoalele VPN sunt solicitate în structurile comerciale care lucrează cu bani și secrete economice. Rețeaua virtuală securizată îi împiedică pe hackeri să pirateze conturi sau să descopere secrete și tehnologii industriale. Angajații care, din cauza atribuțiilor lor, trebuie să obțină acces la resursele de rețea ale companiei de acasă sau într-o călătorie de afaceri, pot organiza o conexiune prin VPN fără a expune rețeaua corporativă amenințării de hacking.

    VPN este unul dintre acei termeni tehnologici care a câștigat multă monedă în ultimii ani, pe măsură ce peisajul internetului se schimbă treptat. Astăzi există mult mai multe site-uri interzise, ​​blocate; multe servicii restricționează accesul la resursele lor pentru utilizatorii din alte țări. Cu toate acestea, această limitare poate fi ocolită; tocmai de aceea au fost inventate serverele VPN.

    Există două abordări pentru a explica această tehnologie, prima dintre ele este tehnică, iar a doua este cât se poate de înțeleasă pentru omul obișnuit. Tot ce trebuie să știe despre VPN pentru a-l utiliza cu succes se încadrează într-o definiție simplă. VPN (prescurtare pentru rețea privată virtuală) este un serviciu care vă permite să accesați rețeaua în siguranță și în mod privat. Toate acestea se realizează prin direcționarea conexiunii prin ceea ce se numește un server VPN.

    Dacă aveți un prieten care este un profesionist IT, atunci definiția lor poate fi puțin diferită și include mult mai multe detalii tehnice. Oricum, un VPN este un instrument util.

    Există mai multe motive care obligă utilizatorii de internet să recurgă la utilizarea unui VPN:

    1. Face imposibil ca oricine să vă spioneze activitățile online, ceea ce este util dacă vă conectați frecvent la hotspot-uri Wi-Fi în locuri publice, cum ar fi un birou sau o cafenea. Toată lumea știe că sunt nesiguri.
    2. De asemenea, puteți utiliza un VPN pentru a vă ascunde sau a vă schimba locația. Acest lucru poate debloca serviciile care sunt blocate în țara dvs., dar disponibile în străinătate și invers. Acestea vă permit să accesați site-uri care sunt blocate în țara în care călătoriți în vacanță sau pentru serviciu, de exemplu, YouTube în China.

    Există multe VPN-uri acolo, iar cele mai multe dintre ele necesită un abonament. Printre acestea se numără atât servicii plătite, cât și servicii gratuite.

    ServiciuImagineDescrieriAvantajeDefecte
    Site-ul web ExpressVPN oferă asistență în timp real, cu agenți disponibili 24/7 pentru a răspunde la orice întrebări pe care utilizatorii le-ar putea avea.

    ExpressVPN acceptă doar trei conexiuni simultane per utilizator și vine cu prețuri premium.

    ExpressVPN are o garanție de rambursare a banilor de 30 de zile dacă nu sunteți mulțumit de serviciu. Următoarele pachete sunt disponibile

    		Gamă largă de aplicații VPN securizate.

    Asistență excelentă pentru clienți 24/7.

    Servere VPN ultra-rapide în 94 de țări

    		Suporta doar 3 conexiuni.

    Fără perioadă de probă

    Dezvoltatorii acestui serviciu evidențiază calitatea serviciului clienți ca un avantaj cheie, mai degrabă decât o varietate de planuri tarifare. Este „cel mai rapid VPN din lume”, sau așa se spune pe site-ul companiei, cu peste 40.000 de adrese IP partajate, peste 950 de servere VPN în 60 de țări. Oferă trafic P2P nelimitat, cinci conexiuni simultane și multe altele.

    Confidențialitate completă datorită lipsei de jurnal.

    Dacă sunteți în vreun fel nemulțumit de serviciu, veți primi o garanție de rambursare a banilor de 7 zile

    		Viteze excelente de descărcare.

    Configurabil software.

    Încercare gratuită

    		Preț relativ ridicat, mai mare decât media serviciilor VPN
    VyprVPN este un serviciu rapid, de încredere, fără intermediari. Are 73 de servere și oferă utilizare nelimitată a datelor.

    Sediul se află în Elveția, unde legile privind confidențialitatea sunt foarte favorabile pentru astfel de activități

    		Performanță foarte mare.

    Preturi bune pentru planurile anuale.

    Aplicații puternice, personalizabile

    		Nu rambursează costul pachetului software dacă clientul nu este mulțumit de serviciu. Versiunea de încercare este disponibilă doar pentru trei zile
    Produsele actuale NordVPN sunt la egalitate cu colegii lor într-o varietate de moduri.

    Peste 2 mii de servere, criptare pe 2048 de biți. O licență acoperă 6 dispozitive, pe care toți utilizatorii le pot folosi căi diferite plata fara numerar

    		Programe mobile și desktop de înaltă calitate.

    Până la șase dispozitive.

    Performanță bună

    		Există ambiguități cu politica de confidențialitate. Deși furnizorul acceptă o politică „fără jurnale”, poziția exactă în înregistrarea sesiunii este neclară

    Pasul 1. Primul lucru pe care trebuie să-l faceți pentru a începe să utilizați un VPN este să îl înregistrați și să îl descărcați. Dacă alegeți NordVPN, accesați site-ul lor și faceți clic pe „Obțineți acum”.

    Notă! Majoritatea serviciilor VPN au trei planuri, iar cele mai multe dintre ele au o garanție de rambursare a banilor.

    Pasul 2. După ce v-ați înscris, va trebui să descărcați și să instalați aplicația pe Mac sau PC. Apoi lansați aplicația pentru a începe.

    Pasul 3. Odată ce programul este instalat pe computer, deschideți-l și selectați locația care vi se potrivește. Puteți vedea o listă de țări sau o hartă.

    Locația serverului la care vă conectați este locația dvs. virtuală, ceea ce înseamnă că Internetul crede că vă aflați în acea locație chiar acum. Acesta este motivul pentru care serverul pe care îl alegeți va depinde în mare măsură de ceea ce doriți să utilizați VPN-ul.

    Dacă doriți să vă conectați la Netflix din SUA, va trebui să alegeți un server din SUA, sau pentru BBC iPlayer veți avea nevoie de un server din Marea Britanie.

    Notă! Astfel de acțiuni încalcă termenii de utilizare a acestor servicii online, adică prin conectarea la ele printr-un VPN, încalci regulile de utilizare a acestor site-uri.

    Pasul 4. După ce ați ales serverul care vi se potrivește cel mai bine, conectați-vă la el. NordVPN are un buton mare în partea de sus care vă permite să vă conectați la server și să vă deconectați de la acesta când ați terminat.

    Majoritatea serviciilor VPN au un kill switch care va opri conexiunea și va continua să vă protejeze confidențialitatea atunci când serverul VPN este deconectat.

    Pasul 5. Verificați că VPN funcționează. Puteți folosi pagina de geolocalizare a BrowserSPY pentru a vedea cum vă recunosc serverele locația.

    Dacă, în loc de locația dvs. reală, sistemul afișează alta, cea pe care ați selectat-o ​​în program, atunci VPN-ul dvs. funcționează.

    În afara VPN

    Există și alte servicii care sunt similare cu VPN-urile, cum ar fi proxy-urile web gratuite:

    1. ProxFree.
    2. Proxy AU.
    3. Uroxy.
    4. China crește.
    5. Hideme Proxy și altele

    Un proxy web este un server care acționează ca intermediar între dvs. și site-ul web la care vă conectați.

    Un analog al anonimizatorilor - cameleo.xyz

    Sunt gratuite, dar aproximativ 75 la sută din toate astfel de proxy-uri web nu sunt de încredere în ceea ce privește securitatea. Dacă le utilizați deja și doriți să știți dacă totul este în regulă cu ele, îl puteți verifica folosind ProxyCheck.

    O altă soluție de confidențialitate populară este Tor. Acesta este un software și o interfață de rețea care vă ascunde identitatea prin trimiterea traficului către diferite servere Tor și criptarea acestuia. Cu toate acestea, există toate motivele să credem că Tor nu este la fel de sigur pe cât pretind dezvoltatorii săi.

    Video - Ce este un VPN și cum să îl folosești?

    Video - Cum să configurați un VPN în Windows 7