Что такое vpn-туннелирование? полное руководство по vpn-туннелированию
Содержание:
- PPTP
- Как получить VPN?
- PPTP
- L2TP / IPSec
- Зачем нужен VPN
- PPTP
- Шифрование данных внутри VPN туннеля
- Структура пакета L2TP
- WireGuard
- Обмен пакетами L2TP
- Раздельное туннелирование
- История
- Выбор подходящего VPN для удаленного доступа
- Описание
- Что должна гарантировать безопасность VPN?
- OpenVPN
- VPN-сервер: что это и как работает?
- Наш топ рекомендуется L2TP / IPsec VPN
PPTP
Протокол PPTP (Point-to-Point Tunneling Protocol) — это более старый метод шифрования VPN, разработанный Microsoft, который полностью восходит к Windows 95. Он по-прежнему популярен сегодня, несмотря на известную уязвимость к инструменту атаки по словарю ASLEAP, существовавшую еще в прошлом. до 2004 года, который в значительной степени сделал его устаревшим (или должен был).
Так почему же он все еще популярен? Это в основном потому, что PPTP интегрирован в Windows, а также в Linux и macOS. PPTP включает зашифрованный туннель между ПК и сервером VPN с использованием TCP-порта 1723 и General Routing Encapsulation (GRE). Несмотря на преимущества простой настройки и высокой скорости, этот протокол испорчен серьезными проблемами безопасности, которые берут свое начало еще в 1998 году. Короче говоря, PPTP лучше всего избегать для современных пользователей.
Как получить VPN?
Чтобы получить VPN и доступ к анонимному Интернету, вы можете использовать бесплатную или платную программу. В случае бесплатного доступа, достаточно скачать соответствующий клиент как программу или расширение для браузера, и далее пользоваться им. Если вы приобретаете платный VPN, следуете инструкции, которую предоставляет разработчик, чтобы понять, как работает vpn.
Сколько стоит VPN?
У каждого поставщика свои тарифы на пользование услугами VPN. Вы можете выбрать для себя несколько компаний, сравнить цены и выбрать наиболее оптимальный вариант. Хорошо, если предоставляется бесплатная демо-версия.
PPTP
Туннельный протокол точка-точка (PPTP) – один из старейших протоколов, который до сих пор используется в VPN. Разработанный Microsoft и выпущенный с Windows 95, PPTP шифрует ваши данные в пакетах и отправляет их через туннель, который он создает через ваше сетевое соединение.
PPTP – один из самых простых в настройке протоколов, требующий только имя пользователя, пароль и адрес сервера для подключения к серверу. Это один из самых быстрых протоколов VPN из-за низкого уровня шифрования.
Несмотря на высокую скорость соединения, низкий уровень шифрования делает PPTP одним из наименее безопасных протоколов, которые вы можете использовать для защиты своих данных. Из-за известных уязвимостей, появившихся еще в 1998 году, и отсутствия надежного шифрования вам следует избегать использования этого протокола, если вам нужна надежная онлайн-безопасность и анонимность – правительственные учреждения и органы власти, такие как АНБ, смогли скомпрометировать шифрование протокола. .
L2TP / IPSec
L2TP — это протокол туннелирования второго уровня, расширение PPTP, которое объединяет последний с L2F (протоколом пересылки уровня 2), разработанным Cisco. L2TP не имеет встроенного шифрования, поэтому он добавляется через IPSec (Internet Protocol Security).
В отличие от PPTP, который использует 128-битный ключ, L2TP / IPSec имеет 256-битный ключ, и это считается достаточно сложным для сверхсекретных коммуникаций. L2TP является более новым протоколом и поддерживается в Windows начиная с XP, а также в macOS 10.3 или выше и в мобильных операционных системах..
L2TP требует дополнительных затрат для более сложного 256-битного шифрования и двойной инкапсуляции. Также может быть сложнее установить и настроить. Обычно считается, что это безопасно, хотя более поздние утечки NSA предполагают, что L2TP уязвим для атак, когда шифрование использует предварительные общие ключи.
Не забывайте, что есть 7 веских причин, почему VPN недостаточно
Зачем нужен VPN
С терминологией мы разобрались. Теперь определимся, для каких целей можно использовать VPN-соединение. Мы не будем рассматривать все варианты использования, а разберем лишь те, что чаще всего встречаются в реальной практике. Поехали!
Причина 1: Блокировка интернет-ресурсов
Одна из самых распространенных проблем, с которой сталкиваются пользователи – блокировка ресурсов. Интернет-провайдеры нередко закрывают доступ даже к безопасным веб-ресурсам, которые не несут никакой угрозы во всех планах. Чтобы обойти такой метод защиты, можно воспользоваться VPN – получаем новый IP-адрес и заходим на сайт.
Причина 2: Анонимность
Если вы пользуетесь интернетом из дома, то вряд ли кто-то захочет отследить ваш трафик. Но если выход в интернет осуществляется из мест общего пользования, таких как аэропорт, отель или кафе, то могут возникнуть проблемы. Часто в таких случаях соединение никак не шифруется и личные данные могут быть легко получены злоумышленниками. Именно поэтому рекомендуется использовать VPN, чтобы обезопасить себя от потери конфиденциальных данных.
Причина 3: Скрытие геолокации
Бывает, что мы находимся вдали от дома и не хотим, чтобы кто-то об этом узнал. Кроме того, преступники иногда используют информацию о геолокации человека, чтобы отследить его для тех или иных целей. Избежать всего этого можно с помощью VPN – достаточно выбрать сервер, расположенный там, где это необходимо.
Причина 4: «Список Наблюдений»
Организации, подобные MPAA (Motion Picture Association) и ЦПС (Центр правительственной связи в Великобритании), регулярно отслеживают действия в интернете, связанные с незаконной загрузкой информации. Не во всех случаях скачивание данных является незаконным, но тем не менее службы могут запросто внести вас в «Список наблюдений», если идентифицируют ваш IP. Что за этим следует? Как минимум крупный штраф.
Причина 5: Увеличение скорости интернета на популярных ресурсах
Бывает, что провайдеры устанавливают ограничения на ресурсы, подобные ВКонтакте или YouTube, из-за чего скорость передачи данных становится медленной. Существуют даже специальные сайты, позволяющие измерить индекс скорости разных интернет-провайдеров. Если вы замечали такие проблемы, то попробуйте VPN и замерьте скорость соединения вместе с ним.
Причина 6: Ценовая дискриминация
Ценовая дискриминация – это когда за один и тот же товар разные группы потребителей платят разную сумму. Она может ударить вам по карману двумя способами – исходя из местоположения либо регулярных покупок какого-либо товара. Например, для жителей Москвы какой-нибудь продукт может быть дороже, чем для жителей провинции. Попробуйте VPN и сравните цены!
PPTP
PPTP также известен как протокол туннелирования точка-точка – это самый старый протокол VPN, который до сих пор не поврежден. Он был сформирован Microsoft в 1995 году в качестве стандартного протокола VPN в то время, когда подключение к Интернету осуществлялось через модемные соединения.
Поскольку он существует уже давно, он интегрирован практически с каждым устройством и платформой. Его популярность помимо возраста также подпитывается тем фактом, что он относительно прост в настройке и эффективен.
Кроме того, его пользователям не приходится сталкиваться с хлопотами по приобретению дополнительного программного обеспечения для его запуска. Он функционирует понятным старым способом с именем пользователя, паролем и адресом сервера.
Этот протокол, если смотреть с точки зрения безопасности, является относительно правильным. Его шифрование было обновлено до 128-битного ключа шифрования с момента его первого выпуска. Однако это не обеспечивает оптимальной безопасности.
Несмотря на то, что он старый, он совместим со старыми пользователями Windows и для домашнего использования, где конфиденциальная информация не передается через Интернет
Кроме того, он может служить другой довольно важной цели, такой как обход географических ограничений или для потоковой передачи Netflix
Этот низкий уровень шифрования, тем не менее, удобен для создания самых быстрых протоколов VPN. Однако одним из недостатков этого является то, что, как известно, его легко проникнуть хакерам, НАСА и другим спецслужбам.
Хорошая сторона для PPTP
- Это относительно быстро
- Этот протокол поставляется с несколькими платформами.
- Это удобно и не создает проблем при настройке
Шифрование данных внутри VPN туннеля
VPN соединения могут использовать шифрование потока, а могут и не использовать. Шифрование, в свою очередь, может осуществляться различными протоколами и характеризоваться различной длиной используемого ключа.
В различных протоколах VPN используются различные механизмы шифрования, поэтому криптостойкость их существенно отличается.
Стоит отметить, что шифрование данных может наступать как после проверки пользовательского логина/пароля (или ключа), так и до этой проверки. В последнем случае, аутентификация осуществляется внутри уже зашифрованного потока.
Например, в VPNKI мы испольуем протоколы L2TP и IPsec. Использование двух протоколов позволяет сначала установить шифрованное соединение IPsec, а внутри него запустить новое виртуальное сетевое соединение при помощи протокола L2TP и проверки логина/пароля.
Структура пакета L2TP
Пакет L2TP состоит из:
Биты 0–15 | Биты 16–31 |
---|---|
Флаги и информация о версии | Длина (опция) |
ID туннеля | Идентификатор сессии |
Ns (опт.) | № (опция) |
Размер смещения (опция) | Смещенная площадка (опционально) …… |
Данные полезной нагрузки |
Значения полей:
- Флаги и версия
- флаги управления, указывающие пакет данных / управления и наличие полей длины, последовательности и смещения.
- Длина (необязательно)
- Общая длина сообщения в байтах, присутствует, только если установлен флаг длины.
- ID туннеля
- Указывает идентификатор управляющего соединения.
- Идентификатор сессии
- Указывает идентификатор сеанса в туннеле.
- Ns (необязательно)
- порядковый номер для этого сообщения данных или управления, начинающийся с нуля и увеличивающийся на единицу (по модулю 2 16 ) для каждого отправленного сообщения. Присутствует только при установленном флаге последовательности.
- Nr (необязательно)
- порядковый номер ожидаемого сообщения, которое будет получено. Nr устанавливается равным Ns последнего полученного сообщения по порядку плюс один (по модулю 2 16 ). В сообщениях данных Nr зарезервирован и, если он присутствует (на что указывает бит S), ДОЛЖЕН игнорироваться при получении.
- Размер смещения (необязательно)
- Указывает, где данные полезной нагрузки находятся за заголовком L2TP. Если поле смещения присутствует, заголовок L2TP заканчивается после последнего байта заполнения смещения. Это поле существует, если установлен флаг смещения.
- Смещенная подушка (опционально)
- Переменная длина, определяемая размером смещения. Содержание этого поля не определено.
- Данные полезной нагрузки
- Переменная длина (максимальный размер полезной нагрузки = максимальный размер пакета UDP — размер заголовка L2TP)
WireGuard
Новое поколение VPN-протоколов. Разработчики называют его ускоренной, надежной и простой в управлении альтернативой OpenVPN и другим используемым технологиям. Какого-то конкретного мнения по поводу WireGuard пока выражено не было.
Известно, что в его основе лежит ворох технологий шифрования, бережно оберегающих каждый байт отправляемых данных. Используются Curve25519, ChaCha20, SipHash, BLAKE2 и Poly1305. Причем каждый из перечисленных типов криптографии берет на себя конкретную задачу. Допустим, Curve25519 необходим для обмена ключами, BLAKE2 занимается хэшированием информации, а Poly1305 задействуется для аутентификации.
WireGuard легковесный – он состоит всего из четырех тысяч строк кода. Поэтому разработчики при желании могут быстро его исследовать, проанализировать и даже поменять что-то. Это открытый стандарт, как и OpenVPN. Эта легковесность распространяется и на пользовательский опыт – люди охотно отмечают, что настроить WireGuard легче, чем остальные протоколы.
По результатом бенчмарков, WireGuard обгоняет лидеров рынка. Разрыв между WG и OpenVPN впечатляет. 1011 Мбит в секунду против 258 Мбит в секунду соответственно. С IPsec разница не такая большая, но она есть, и как раз в пользу WireGuard.
Обмен пакетами L2TP
Во время настройки L2TP-соединения между сервером и клиентом происходит обмен множеством управляющих пакетов для установления туннеля и сеанса для каждого направления. Один одноранговый узел запрашивает другого однорангового узла назначить определенный туннель и идентификатор сеанса через эти управляющие пакеты. Затем с использованием этого туннеля и идентификатора сеанса происходит обмен пакетами данных со сжатыми кадрами PPP в качестве полезной нагрузки.
Список сообщений управления L2TP, которыми обмениваются LAC и LNS, для установления связи перед установлением туннеля и сеанса в методе добровольного туннелирования:
Раздельное туннелирование
Раздельное туннелирование – это функция VPN, которая позволяет вам выбирать, какие данные проходят через зашифрованный туннель VPN, а какие используют прямое незашифрованное соединение.
Некоторые приложения VPN предлагают раздельное туннелирование, которое позволяет вам выбирать, какие приложения используют VPN, а какие нет. Хотя занесение в белый список приложений, использующих VPN, является наиболее распространенным типом раздельного туннелирования, оно также может выполняться по устройству (на уровне маршрутизатора), используемым портам или типу трафика.
Раздельное туннелирование полезно в ситуациях, когда VPN должна защищать только определенные действия. Например, во время торрент-загрузки вы можете настроить торрент-приложение на использование VPN, в то время как ваш веб-браузер использует обычное интернет-соединение.
См. Также: Лучшие VPN для раздельного туннелирования
История
Опубликовано в 2000 году , как это предлагается стандартный RFC 2661, L2TP имеет свои истоки в основном в двух старых протоколов туннелирования для точки к точке связи: Cisco «s Layer 2 Forwarding Protocol (L2F) и Microsoft » s
точка-точка туннельный протокол (PPTP ). Новая версия этого протокола, L2TPv3 , появилась как предложенный стандарт RFC 3931 в 2005 году. L2TPv3 обеспечивает дополнительные функции безопасности, улучшенную инкапсуляцию и возможность передачи каналов данных, отличных от простого протокола точка-точка (PPP), по IP-сети. (например: Frame Relay , Ethernet , ATM и т. д.).
Выбор подходящего VPN для удаленного доступа
Потребности бизнеса
Компании должны выбрать технологию VPN, которая наилучшим образом соответствует потребностям их бизнеса. Вы должны учитывать размер вашей организации, а также базу пользователей. Если ваши основные приложения основаны на веб-технологиях, SSL – хороший вариант, но если вам нужно выйти за рамки веб-приложений, вам следует рассмотреть возможность использования IPsec.
Требования безопасности
Защита данных при передаче должна иметь значение для каждого бизнеса; однако требуемый уровень безопасности варьируется. Шифрование данных, предоставляемое SSL VPN, может быть достаточным для сотрудников, пытающихся получить доступ к электронной почте компании, в то время как надежное шифрование данных и аутентификация пользователей, обеспечиваемая IPsec, могут потребоваться врачам или финансовому персоналу, которым необходим доступ к конфиденциальным данным.
Доступные ресурсы
Развертывание и управление VPN с удаленным доступом может быть дорогостоящим и длительным процессом, поэтому следует учитывать имеющийся бюджет и собственный опыт. По сравнению с SSL для развертывания VPN IPsec требуется гораздо больше времени из-за необходимости предоставления специального клиентского программного обеспечения IPsec.
Описание
Туннель PPTP создается путем связи с одноранговым узлом через TCP- порт 1723. Это TCP-соединение затем используется для инициирования и управления туннелем GRE к тому же узлу. Формат пакета PPTP GRE нестандартен, включая новое поле номера подтверждения, заменяющее типичное поле маршрутизации в заголовке GRE. Однако, как и в обычном соединении GRE, эти модифицированные пакеты GRE напрямую инкапсулируются в IP-пакеты и рассматриваются как IP-протокол номер 47. Туннель GRE используется для переноса инкапсулированных пакетов PPP, что позволяет туннелировать любые протоколы, которые могут передаваться в PPP, включая IP , NetBEUI и IPX .
В реализации Microsoft туннелированный трафик PPP может быть аутентифицирован с помощью PAP , CHAP , MS-CHAP v1 / v2 .
Что должна гарантировать безопасность VPN?
Чтобы обеспечить безопасность соединения через виртуальную частную сеть (VPN), необходимо гарантировать определенные функции, иначе мы можем столкнуться с ненадежной VPN. Мы уже предполагаем, что протокол IPsec будет соответствовать всем из них, поскольку это безопасный протокол VPN, который широко используется в компаниях.
Аутентификация
Аутентификация — один из самых важных процессов в VPN, эта функция позволяет показать пользователю, что он действительно такой, каким он себя называет. Чтобы доказать это, введите пароль, используйте цифровой сертификат или комбинацию обеих форм аутентификации. Когда хост получает дейтаграмму IPsec от источника, он уверен, что исходный IP-адрес дейтаграммы является фактическим источником дейтаграммы, потому что он ранее был успешно аутентифицирован.
Конфиденциальность
Конфиденциальность — еще одна из фундаментальных характеристик VPN, конфиденциальность означает, что информация должна быть доступна только авторизованным объектам, то есть все коммуникации зашифрованы между двумя точками, и только тот, кто ранее прошел аутентификацию в системе, будет уметь расшифровать всю полученную информацию. Если кто-то сможет попасть в середину сообщения и перехватить его, он не сможет его расшифровать, потому что он будет использовать криптографию с симметричным или асимметричным ключом.
Целостность
Аутентификация и конфиденциальность так же важны, как и целостность. Целостность означает, что можно гарантировать, что информация не была изменена между источником сообщения и получателем. Все коммуникации в VPN включают коды обнаружения ошибок и информацию о том, что информация не изменяется. В случае изменения пакет автоматически отбрасывается, и это может даже вызвать сбой VPN-туннеля по соображениям безопасности. Протокол IPsec позволяет принимающему узлу проверять, что поля заголовка дейтаграммы и зашифрованная полезная нагрузка не были изменены, пока дейтаграмма была на пути к месту назначения.
Представим, что у нас есть аутентификация и конфиденциальность в VPN, но нет целостности. Если пользователь в середине сеанса связи изменяет некоторые значения, вместо отправки денежного перевода на сумму 10 евро он может преобразовать его в 1,000 евро. Благодаря функции целостности, как только бит изменен, пакет отбрасывается и будет ждать его повторной отправки.
Я не отрицаю
Эта характеристика криптографии означает, что вы не можете сказать, что не отправляли какую-либо информацию, потому что она подписана вашим цифровым сертификатом или парой вашего имени пользователя и пароля. Таким образом, мы можем точно знать, что этот пользователь отправил конкретную информацию. Неотказуемость можно «обойти», только если кто-то сможет украсть пару имени пользователя и пароля или цифровые сертификаты.
Контроль доступа (авторизация)
Речь идет о том, чтобы аутентифицированные участники имели доступ только к тем данным, к которым они авторизованы. Личность пользователей должна быть проверена, а их доступ ограничен авторизованными лицами
В бизнес-среде это очень важно, у пользователя должен быть такой же уровень доступа и такие же разрешения, как если бы они были физически, или меньше разрешений, но никогда не больше разрешений, чем у него было физически
Регистр активности
Речь идет об обеспечении надлежащей работы и устойчивости. Протокол VPN должен записывать все установленные соединения с исходным IP-адресом, кто прошел аутентификацию и даже то, что они делают в системе на основе предоставленного виртуального IP-адреса.
Качество обслуживания
Речь идет об обеспечении хорошей производительности без недопустимого снижения скорости передачи. Мы должны помнить, что, когда мы устанавливаем VPN-соединение, у нас всегда будет меньшая реальная скорость, потому что весь трафик зашифрован от точки к точке, и в зависимости от мощности VPN-сервера и клиентов мы можем достичь более высокой или более высокой скорости. более низкая скорость. Перед тем, как начать развертывание VPN, мы должны посмотреть на оборудование оборудования и максимальную пропускную способность, которую мы можем иметь.
OpenVPN
OpenVPN это технологии с открытым (доступным) исходным кодом, использующий библиотеки шифрования OpenSSL и протоколы SSL v3 / TLS v1. Он может быть настроен для работы на абсолютно любом порту, что является одним из его плюсом. Трафик OpenSSL VPN будет практически неотличим от стандартного трафика HTTPS, который возникает при подключении к защищенному веб-сайту.
Этот протокол достаточно гибкий, имеет большее количество настроек чем PPTP и наиболее безопасен, если он настроен на использование шифрования AES вместо более слабого шифрования Blowfish. OpenVPN стал популярным стандартом. Это достаточно хорошая анонимность, которою тяжело вычеслить.
Поддержка OpenVPN не интегрирована в популярные настольные или мобильные операционные системы. Для подключения к сети OpenVPN требуется сторонние приложения. Также вы можете использовать мобильные приложения для подключения к сетям OpenVPN.
Итог: OpenVPN является отличным, современным, безопасным протоколом, но вам потребуется установить дополнительное ПО. Именно его советуем к использованию.
VPN-сервер: что это и как работает?
VPN-сервер является физическим или виртуальным устройством, с помощью которого VPN-сервис может предоставлять соответствующие услуги. Для этого инсталлируется программа на сервере.
С помощью технологии шифрования в рамках использования VPN провайдер и внешние пользователи Интернета не смогут увидеть, какие сайты вами посещались, на какие веб-ресурсы вы заходили. Также не будет отображаться реальный IP, который будет заменен на адрес той страны, к которой происходит подключение через сервер VPN.
С помощью виртуальной сети обеспечивается свобода общения и вы защищаете все свои персональные данные.
Что такое VPN для чайников?
С помощью VPN создаются условия для безопасного и анонимного Интернет-серфинга каждому пользователю. Когда вы просто заходите в Интернет с ПК или мобильного устройства (а услуга может предоставляться через кабель, подключенный непосредственно к компьютеру, или через Wi-Fi роутер), то считывается ваш IP и некоторые другие данные, идентифицирующие вас как определенного пользователя. Если использовать VPN, например, установить его для роутера или скачать приложение для Google Chrome, тогда вы будете заходить в сеть скрытно, никто не сможет увидеть ваш адрес и личные данные.
Наш топ рекомендуется L2TP / IPsec VPN
Большинство поставщиков услуг премиум-класса предлагают протокол L2TP / IPsec; однако, не многие могут гарантировать безопасность ваших данных. Некоторые топовые VPN, такие как ExpressVPN , не структурированы для использования в офисе, и, на наш взгляд, лучшим для бизнеса является NordVPN .
NordVPN использует 256-битное шифрование AES военного класса, чтобы обеспечить полную безопасность ваших данных от сторонних производителей, и имеет более 5000 серверов, распределенных по 62 странам, что делает его VPN-сервером с большинством серверов в отрасли.
В сочетании с усовершенствованной архитектурой VPN это обеспечивает самое быстрое соединение L2TP / IPsec , что позволяет передавать огромные файлы по сети.
NordVPN услуга включает в себя CyberSec; функция кибербезопасности, которая помогает предотвратить фишинг и другие атаки, и является важной функцией для бизнеса , так как они являются основными целями киберпреступности. С бизнес-подпиской вы получите выделенного менеджера учетных записей , и каждая из ваших учетных записей VPN будет иметь выделенный IP-адрес (индивидуальный или общий) для стабильного доступа к различным службам и базам данных
С бизнес-подпиской вы получите выделенного менеджера учетных записей , и каждая из ваших учетных записей VPN будет иметь выделенный IP-адрес (индивидуальный или общий) для стабильного доступа к различным службам и базам данных.
IPsec и SSL могут использоваться для обеспечения безопасного удаленного доступа . У каждого есть свои сильные и слабые стороны, которые могут помочь вам выбрать подходящий протокол VPN для вас.