Появление и повсеместное распространение интернета значительно расширило коммуникационные возможности при решении самых различных вопросов и задач. Однако одновременно встала проблема безопасности передаваемой информации. Это актуально как для компаний, защищающих свои коммерческие интересы, так и для частных лиц, предпочитающих конфиденциальность.

На этом фоне очень велик интерес к виртуальным частным сетям. Их цель обеспечить так называемое соединение «точка-точка» в рамках сети , доступной для общего пользования, т.е. в рамках интернета. При этом каждое такое соединение функционирует изолировано и не дает возможности третьим лицам получить доступ к передаваемой информации.

Услуги VPN сервисов могут иметь определенные отличия. Например, hideme, являющийся одним из наиболее крупных и надежных сервисов в рунете, предоставляет бесплатную тестовую версию на 24 часа. Поэтому клиент может наглядно убедиться в эффективности и удобстве данной сети. После тестирования у клиента появляется возможность приобретения VPN на сутки, один месяц, полгода или год. Кроме того, наличие купона FINE позволит получить дополнительно 10% от времени приобретаемого VPN.

Разные имеют различные условия и возможные бонусы. От этого в определенной степени зависит и их стоимость.

Защита частной сети осуществляется с помощью шифровки всего трафика и каждого пакета информации. При этом несомненным преимуществом является регулярная смена ключей. Таким образом, минимизируется возможность взлома передаваемых данных и дальнейшее использование сети третьими лицами путем несанкционированного вмешательства.

Следующий положительный момент – возможность в защищенном режиме свободно пользоваться интернетом. Отдельный пользователь или даже целая компания (офис), воспользовавшиеся услугами VPN сети может выходить в интернет, что называется с «защищённым тылом», не опасаясь проникновения во внутреннюю систему базы данных.

Выбирая VPN сеть, тщательно проанализируйте возможности различных её видов. Тестовая версия при выборе будет максимально полезной, особенно, если вас интересует продолжительное сотрудничество. Обратите внимание, что такая частная сеть в определенной степени нагружает интернет. Поэтому проанализируйте уровень этой нагрузки для беспрепятственного функционирования вашей компании.

На самом деле, каких-то особенных преимуществ у VPN сетей не так много и их можно пересчитать за счет пальцев одной руки. Но осознать ценность данной сети можно лишь когда понимаешь, какую информацию можно потерять, без использования подобных сетей. Очень важно понять, что связь вида «точка-точка» дает возможность каждому соединению функционировать таким образом, чтобы все контакты были в единственном числе и их сложно было получить третьим лицам. Также важно помнить, что VPN сети позволяют создавать качественное шифрование всех данных и всего трафика. Интересно, что ключи используемые для шифрования, через определенное время меняются, а это мешает взломать данные пользователя и начать их использовать в своих целях.

Есть еще одно преимущество, которое заключается в том, что отдельный пользователь или несколько таких пользователей могут защищено пользоваться интернетом, а в том, чтобы целыми офисами и компаниями, выходить в мировой интернет с защищенными «тылами». К примеру, если у отдельно взятой компании имеется собственный DSL адрес, то лучше использовать VPN сеть, а не пользоваться интернетом посредством ISDN BRI-cоединения.

Недостатки VPN

Как бы парадоксально это не звучало, но с недостатками данных сетей – все несколько проще и понятнее. Основными недостатками данных сетей является настройка vpn , их внедрение и, конечно же, поддержка. В большинстве случаев, использование данных VPN сетей подразумевает использование довольно мощных систем шифрования, в частности – 3DES. Помимо этого, для того чтобы использовать подобные технологии, необходимо иметь периоды смены шифровальных ключей, чтобы сохранять безопасность личных данных на высоком уровне.

Многими специалистами отмечается, что VPN сети нагружают интернет-сеть на 20%, что может повлиять на то, что работа сети встанет в особых «узких» местах или местах, где сеть не отличается высокой скоростью. В такие минуты сложно помнить о достоинствах подобных сетей, которые активно нахваливаются различными программистами. На упомянутые выше цифры, в отношении нагрузки сети, необходимо обратить особое внимание, так как если соединение будет разрываться по ходу соединения, VPN сеть будет абсолютно бесполезна.

Если стоит вопрос использования данных сетей, то следует разобрать все преимущества и, конечно же, недостатки, которые помогут понять, стоит ли задействовать VPN в своих целях.

This entry was posted on Понедельник, Ноябрь 25th, 2013 at 18:27 and is filed under . You can follow any responses to this entry through the feed. Responses are currently closed, but you can from your own site.

Процесс обмена данными в VPN

Назначение VPN - предоставить пользователям защищенное соединение к внутренней сети из-за пределов ее периметра, например, через интернет-провайдера. Основное преимущество VPN состоит в том, что пока программное обеспечение его поддерживает, пользователь может подключаться к внутренней сети через любое внешнее соединение. Это означает, что высокоскоростные устройства, например, ADSL, могут обеспечивать соединение с внутренней сетью и функционировать с полной нагрузкой. Это особенно удобно для пользователей, постоянно работающих на дому.

Существует два основных типа VPN. Первое решение основано на специальном оборудовании; на сервере и клиенте устанавливается специальное программное обеспечение, обеспечивающее защищенное соединение. Второй тип решения - это управляемый VPN. В этом сценарии некоторый провайдер предоставляет пользователям возможность дозвона на свой модемный пул, а затем устанавливать защищенное соединение с вашей внутренней сетью. Преимущество этого метода состоит в том, что все управление VPN перекладывается на другую компанию. Недостатком является то, что как правило эти решения ограничиваются модемными соединениями, что зачастую сводит на нет преимущества технологии VPN.

VPN использует несколько разных технологий защиты пакетов. Целью VPN является создание защищенного туннеля между удаленным компьютером и внутренней сетью. Туннель передает и кодирует трафик через незащищенный мир Интернет. Это означает, что два сайта ВУЗа могут использовать VPN для связи друг с другом. Логически это работает как WAN-связь между сайтами.

Вы также можете использовать комбинацию Службы Удаленного Доступа (RAS) и VPN для осуществления безопасной связи между кампусами, как показано на рисунке:

Удаленный пользователь дозванивается на RAS

1. RAS аутентифицирует пользователя.

2. Удаленный пользователь запрашивает файл с кампуса В и этот запрос посылается на сервер VPN.

3. Сервер VPN отправляет запрос через межсетевой экран и далее через Интернет на удаленный кампус.

4. Сервер VPN в удаленном кампусе получает запрос и устанавливает защищенный канал между кампусами А и В.

После установления туннеля, файл пересылается с кампуса В в кампус А через сервер VPN, а затем удаленному пользователю.

Защищенные протоколы обмена информацией PPTP

PPTP обеспечивает безопасность инкапсуляцией кадра PPP в датаграмму IP, передаваемую между сетями. PPTP может использоваться в схемах LAN-to-LAN и WAN-to-WAN. PPTP использует такой же механизм аутентификации, что и PPP. В нем могут использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva PAP (SPAP), и Extensible Authentication Protocol (EAP). PPTP может шифровать трафик IP, IPX или NetBEUI. Туннели устанавливаются, когда оба конца договариваются о параметрах соединения. Сюда включается согласование адресов, параметры сжатия, тип шифрования. Сам туннель управляется посредством протокола управления туннелем.

PPTP включает много полезных функций. Среди них сжатие и шифрование данных, разнообразие методов аутентификации. PPTP доступен во всех текущих платформах Windows.

L2TP PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями. Протокол Layer 2 Tunneling Protocol (L2TP) является комбинацией протоколов PPTP и L2F, предложенный компанией Cisco.

Оба протокола очень сходны по функциям, поэтому IETF предложила объединить их в один. В результате появился L2TP, описанный в RFC 2661. L2TP использует достоинства как PPTP, так и L2F.

L2TP инкапсулирует кадры как сообщения UDP и передает их по сети IP. Эти сообщения используются для управления и передачи данных Для шифрования используется IPSec. Как и PPTP, L2TP использует методы те же аутентификации, что и PPP. L2TP также подразумевает существование межсетевого пространства между клиентом L2TP и сервером L2TP. Поскольку управлением туннелем L2TP производится по тому же UDP-соединению, что и передача данных, оба типа пакетов имеют одинаковую структуру. Стандартный порт L2TP для сервера и клиента в Windows 2000 - 1701 UDP.

Что же в результате выбрать? Если для PPTP необходима межсетевая среда на базе IP, то L2TP нуждается в соединении "точка-точка". Это означает, что L2TP может использоваться поверх IP, Frame Relay, X.25, ATM. L2TP позволяет иметь несколько туннелей. PPTP ограничен одним туннелем. L2TP разрешает аутентификацию туннеля Layer 2, а PPTP - нет. Однако, это преимущество игнорируется, если вы используете IPSec, поскольку в этом случае туннель аутентифицируется независимо от Layer 2. И наконец, размер пакета L2TP на 2 байта меньше за счет сжатия заголовка пакета.

IPSec (сокращение от IP Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

IPSec является неотъемлемой частью IPv6 - интернет-протокола следующего поколения, и необязательным расширением существующей версии интернет-протокола IPv4. Первоначально протоколы IPSec были определены в RFC с номерами от 1825 до 1827, принятые в 1995 году. В 1998 году были приняты новые редакции стандартов (RFC с 2401 по 2412), несовместимые с RFC 1825-1827. В 2005 году была принята третья редакция, незначительно отличающаяся от предыдущей.

Протоколы IPSec работают на сетевом уровне (слой 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (слои OSI 4 - 7). Это делает IPSec более гибким, поскольку IPSec может использоваться для защиты любых протоколов базирующихся на TCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (слой OSI 4) для обеспечения надёжной передачи данных.

IPsec-протоколы можно разделить на два класса: протоколы, отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами - IKE (Internet Key Exchange). Два протокола обеспечивающие защиту передаваемого потока - ESP (Encapsulating Security Payload - инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header - аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются).

Протоколы защиты передаваемого потока могут работать в двух режимах - в транспортном режиме, и в режиме туннелирования. При работе в транспортном режиме IPSec работает только с информацией транспортного уровня, в режиме туннелирования - с целыми IP-пакетами.

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPSec через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP получивший название NAT-T (NAT traversal).

IPSec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) - безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.

Преимущества и недостатки технологии VPN

Преимущества VPN очевидны. Предоставив пользователям возможность соединяться через Интернет, масштабируемость достигается в основном увеличением пропускной способности канала связи, когда сеть становится перегруженной. VPN помогает сэкономить на телефонных расходах, поскольку вам не требуется иметь дело с пулом модемов. Кроме того, VPN позволяют получить доступ к сетевым ресурсам, которые в обычной ситуации администраторы вынуждены выносить на внешнее соединение.

Итак, VPN обеспечивает:

Ш Защищенные каналы связи по цене доступа в Интернет, что в несколько раз дешевле выделенных линий;

Ш При установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;

Ш обеспечивается масштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;

Ш Независимость от криптографии и можете использовать модули криптографии любых производителей в соответствии с национальными стандартами той или иной страны;

Ш открытые интерфейсы позволяют интегрировать вашу сеть с другими программными продуктами и бизнес-приложениями.

К недостаткам VPN можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению аналитиков, это не остановит VPN, это не существенно для большинства пользователей.

В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением сломанного оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.

Еще один существенный недостаток - у потребителей нет удобных средств управления VPN. Хотя в последнее время разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди лидеров этого процесса - компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell. В перспективе VPN сеть должна контролироваться пользователями, управляться компаниями-операторами, а задача разработчиков программного обеспечения - решить эту проблему.

VPN и прокси-серверы имеют одно сходство: они предназначены для защиты конфиденциальной информации и скрывают ваш IP-адрес. На этом сходства заканчиваются.

Прокси или VPN	Прокси	VPN
Доступ к любому контенту
Скрывает ваше местоположение (IP-адрес)
Скрывает вашу личность от мошенников
Работает с браузерами (Chrome, Firefox)
Работает с различными устройствами (смартфоны, планшеты, консоли)
Работает с играми и приложениями
Шифрует вашу деятельность, защищает от хакеров
Защищает вас от вредоносных программ и фишинговых тактик
Постоянно меняет виртуальное местоположение (IP-адрес)
Высокоскоростной сёрфинг и просмотр потокового контента
Вывод Как видите, VPN превосходит прокси-сервер по возможностям. Оба сервиса позволяют вам скрыть IP-адерс, но дополнительные функции VPN – надёжное шифрование, комплексная системная защита и т.п. – делают даную технологию более безопасной и конфиденциальной, чем прокси-сервер.

Как выбрать лучший VPN

Теперь вы понимаете, зачем в современных цифровых джунглях нужен VPN. Как выбрать сервис, идеально подходящий именно вам? Вот несколько полезных советов, которые помогут вам сделать правильный выбор.

Цена

Цена всегда имеет значение, но намного важнее получить именно то, за что вы заплатили . С бесплатными VPN-сервисами, как правило, полно проблем – в них почти всегда имеются какие-нибудь жёсткие ограничения. Да и как можно быть уверенным, что они не попробуют заработать на продаже ваших данных? Ведь обслуживать сеть VPN-серверов – занятие не из дешёвых, так что если вы не платите за продукт, то, скорее всего, вы и есть продукт.

Скорость

На скорость работы VPN влияет множество факторов. Сеть серверов должна быть хорошо оптимизирована, чтобы вы получали на выходе , так что убедитесь, что выбранный вами сервис оптимизирует свою сеть. Кроме того, действительно хороший сервис не станет ограничивать объём трафика и пропускную способность канала передачи данных, чтобы вы могли наслаждаться высокой скоростью сколько угодно.

Конфиденциальность

Некоторые VPN-сервисы сохраняют ваши личные данные, что сводит на нет всю суть использования VPN для защиты конфиденциальности! Если конфиденциальность важна для вас, то вам подойдёт только сервис, который строго придерживается принципа «Никаких записей». Также для сохранения конфиденциальности хорошо, если VPN-сервис принимает оплату в биткойнах.

Безопасность

Чтобы убедиться в том, что сервис предоставляет хорошую защиту от различных угроз, посмотрите, какие протоколы шифрования он использует. Кроме того, в клиенте сервиса должна быть функция «Стоп-кран», чтобы блокировать любой обмен данными устройства с Сетью, если VPN-соединение было нарушено или разорвано.

Количество серверов/стран

– это абсолютно необходимое условие для обеспечения быстрого и стабильного VPN-соединения. Чем больше у VPN-сервиса серверов и чем больше список стран, в которых они расположены – тем лучше. Но это ещё не всё. Проверьте, позволяет ли сервис без ограничений переключаться между различными VPN-серверами. У вас обязательно должна быть возможность в любое время сменить точку выхода в Интернет.

Количество одновременных соединений

Одни сервисы позволяют одновременно подключаться к своей VPN-сети только одному устройству. Другие же позволяют одновременно подключить ПК, ноутбук, смартфон, Xbox и планшет. Мы в SaferVPN считаем, что больше – значит лучше. Поэтому разрешаем вам одновременно подключать до пяти устройств на каждый аккаунт.

Служба поддержки

Многим пользователям VPN по началу нужна помощь, чтобы освоиться с новой технологией, поэтому важным фактором при выборе сервиса может стать наличие у него хорошей службы технической поддержки, которая, во-первых, оперативно отвечает на вопросы пользователей и, во-вторых, даёт действительно толковые советы. Команда SaferVPN и всегда готова ответить на ваши вопросы по эл. почте или через онлайн-чат.

Бесплатная пробная версия, гарантия возврата денег

Опробовать продукт перед покупкой – действительно . Не каждый VPN-сервис готов её предоставить. Но ведь нет лучше способа узнать, подходит ли вам сервис, чем попробовать самому. Также хорошо, если имеется гарантия возврата денег, особенно если возврат производится оперативно.

Программное обеспечение

Не так-то просто найти VPN-сервис, который удобно использовать, легко устанавливать и при этом он обеспечивает достойную защиту и обладает богатым функционалом. Наша функция подключения одним нажатием кнопки невероятно удобна, а функция автоматической гарантируют вашу безопасность.

Кроссплатформенная совместимость

Для каждой платформы требуется разрабатывать отдельный VPN-клиент. Это непростая задача, но хороший VPN-сервис должен иметь в арсенале клиент для любого устройства, предложить пользователям клиентов для различных платформ, а также оперативно оказывать техническую поддержку и помогать пользователям исправлять проблемы.

Словарь VPN

Терминология в сфере Интернет-безопасности – довольно сложная и запутанная штука. Но не спешите отчаиваться! Команда SaferVPN поможет вам разобраться во всех тонкостях.

Адблокер

Англ. Advanced Encryption Standard – продвинутый стандарт шифрования. 256-битный AES на данный момент считается «золотым стандартом» шифрования, используется правительством США для защиты секретных данных. AES – лучший стандарт шифрования, доступный пользователям VPN.

Бэкдор

Математическая лазейка, секретный криптографический код, который встраивается в шифровальную последовательность для того, чтобы шифр потом можно было взломать.

Биткойн

Децентрализованная пиринговая (передаваемая от одного пользователя другому напрямую) открытая виртуальная валюта (криптовалюта). Как и традиционные деньги, биткойны можно обменивать на продукты и услуги, а также на другие валюты. SaferVPN принимает платежи в биткойнах.

Журнал соединений (метаданных)

Реестр, в котором хранятся записи о датах ваших подключений, их длительности, частоте, адресах и т.п. Необходимость ведения таких записей, как правило, объясняется тем, что они помогают решать различные технические проблемы и бороться со всевозможными нарушениями. SaferVPN принципиально не ведёт таких записей.

Скорость соединения

Количество данных, передаваемое за определённый период времени. Обычно измеряется в килобитах или мегабитах в секунду.

Куки

Англ. cookies – печенье. Это небольшие фрагменты данных, которые браузер хранит в виде текстовых файлов. С их помощью можно делать много полезного (например, запоминать данные для входа пользователя в систему или персональные настройки на сайте), но куки зачастую используют для слежки за пользователями.

DD-WRT открытая прошивка для роутеров, предоставляющая вам широкие возможности по управлению роутером. Отличная альтернатива фирменным прошивкам для тех, кто хочет самостоятельно настраивать роутер под свои нужды.

Англ. Domain Name System – система доменных имён. Это база данных, способная трансформировать адреса веб-страниц (URL) из привычного и понятного нам вида в «настоящий», цифровой формат, понятный компьютерам. DNS-перевод, как правило, осуществляет ваш Интернет-провайдер, попутно проверяя и цензурируя весь ваш трафик.

Сохранность данных

Правила или законы, в соответствии с которыми компания собирает данные о своих пользователях. В большинстве стран Интернет-провайдеры обязаны хранить некоторые данные пользователей (например, историю сёрфинга) в течение нескольких месяцев.

Шифрование

Кодирование данных с помощью математического алгоритма для предотвращения несанкционированного доступа к ним. Шифрование – единственное, что может защитить цифровые данные от посторонних лиц. Оно является краеугольным камнем безопасности в Интернете.

Гео-блокировки

Ограничение доступа к онлайн-сервисам на основании географического расположения. Данные ограничения, как правило, вводятся для того, чтобы правообладатели могли заключать выгодные сделки по выдаче лицензий с дистрибьюторами по всему миру. Разумеется, посредники делают продукт дороже для конечного потребителя.

HTTPS – протокол на базе SSL/TLS для защиты сайтов, которым пользуются банки и онлайн-продавцы.

IP-адрес

Англ. Internet Protocol Address – адрес по Интернет-протоколу. Каждое устройство в Сети получает уникальный цифровой адрес – IP-адрес. SaferVPN скрывает ваш IP-адрес от внешних наблюдателей, тем самым обеспечивая конфиденциальность и доступ к любым Интернет-сервисам.

Интернет-провайдер

Компания, которая поставляет услуги доступа к сети Интернет. Право предоставлять такие услуги строго регулируется: Интернет-провайдеры по закону обязаны отслеживать и цензурировать трафик своих клиентов.

Virtual Private Network, или сокращённо VPN (в переводе на русский означает виртуальная частная сеть) — предоставляет пользователям анонимный обмен данными с веб-ресурсами, серверами и узлами через специальный VPN server. Устанавливает сетевое соединение посредством зашифрованного виртуального канала внутри незащищённой сети (в частности Интернета).

VPN server — это специальный сервер, который по защищённому каналу перенаправляет трафик пользователя на указанные им ресурсы (сайты, сервисы-онлайн, аудио- и видеохостинги). Отправляет запросы и присылает данные (запрашиваемые веб-страницы, файлы, изображения), скрывая истинные данные подключённого к VPN-сети узла.

VPN client — специализированная программа, оборудование, обеспечивающие подключение узла к VPN серверу. Также клиентом VPN называют ПК, подключённый к частной виртуальной сети (компьютер-клиент).

Преимущества VPN технологии

Абсолютная аппаратная совместимость

Зашифрованное соединение можно настроить не только на компьютерах PC и MAC, но и в мобильных устройствах — смартфонах и планшетах на базе iOS, Windows Mobile и Android.

Анонимность

• Смена IP-адреса выполняется полностью для всего узла (ПК), включая браузеры и программы, использующие интернет-соединение. (То есть все сетевые приложения в ОС будут использовать IP, предоставленный VPN.)
• Есть возможность выбирать вымышленный IP-адрес из предложенного диапазона, согласно его географическому местоположению. Соединение с сайтами будет осуществляться через VPN сервер, находящийся в указанной стране (США, Англии, Голландии и т.д.)
• Интегрирована функция быстрой смены IP в процессе веб-сёрфинга из списка действующих VPN serverov.

Безопасность

• Все данные, передаваемые через виртуальный vpn туннель (логины/пароли, сообщения, контент, информация о платежах и транзакциях), тщательно шифруются устойчивыми к взлому ключами на 128 и 256 бит. Не зафиксировано ещё ни одно случая их взлома.
• За счёт «ограждения» от других сетей, VPN предотвращает хакерские атаки и попытки несанкционированного доступа к узлам, подключённым к её сети (в т.ч. и в публичных Wi-Fi точках).

Свобода доступа

• Снятие ограничений провайдера (пользование BitTorrent — протоколом P2P, цензура).
• Разблокировка соцсетей и медиа-ресурсов.
• Обход запретов по географическому расположению адреса. Компании, предоставляющие услуги виртуального туннелирования, как правило, имеют в своём распоряжении сеть VPN serverov локализованных практически по всему земному шару — в 20-35 странах мира.

Таким образом, при помощи VPN пользователь может с лёгкостью пользоваться онлайн-сервисом, который доступен только для жителей конкретной страны либо стран.

Возможности VPN в примерах

• Русскоязычные граждане, проживающие за пределами России — в странах СНГ, Европе, США — просматривают полнометражные картины на сайте ivi.ru (крупнейший бесплатный видеохостинг).
• Меломаны не из США, Германии и Англии наслаждаются новыми и старыми музыкальными хитами на last.fm. И наоборот — относительно географии — американцы и англичане прослушивают песни на сервисе Яндекс.Музыка, открытом исключительно пользователям из России, Белоруссии и Украины.
• Люди, изучающие и знающие английский язык, просматривают ток-шоу, документальные фильмы и телепередачи на оф.сайте компании BBC, доступном только для жителей Англии.
• Пользователи интернета, проживающие в Китае, Чечне, Турции, Иране и в других странах с жёсткими цензорными ограничениями на пользование Интернетом, просматривают видеоролики на мегапопулярном портале YouTube.

Принцип действия VPN servera

Схематически VPN подключение выглядит так:

Client (п ользователь) -> Провайдер -> VPN-server (в другом регионе/стране) -> Сайт (сервер или другой узел).

1. После соединения узла пользователя (ПК, телефона, планшета) с VPN через интернет-соединение между ними происходит своеобразный диалог-перекличка в форме запрос-ответ.
2. Формируется ключ для шифрования передаваемых данных по виртуальному тоннелю — от пользователя до конечного пункта назначения (сайта, другого пользователя) и обратно. Алгоритм создания ключа, помимо генерирования случайных числовых комбинаций, для большей устойчивости, также использует такие факторы (их значения), как

• содержимое вопросов-ответов ПК;
• данные ОС клиенты;
• время ответа узла на запрос VPN servera;

уникальность ключа, которая дополнительно усиливается и тем, что набор факторов при каждом генерировании варьируется. Плюс к этому — он формируется в реальном времени, непосредственно на устройстве пользователя и на VPN servere. Доступ третьим лицам к нему закрыт.

1. Создаётся транспортная среда для передачи данных — тоннель. По нему пакеты данных в закодированном виде будут «путешествовать» между узлами.
2. VPN server действует по указанию VPN clienta — заходит на онлайн-сервисы и в соцсети, открывает веб-страницы, отправляет сообщения, осуществляет загрузку файлов. И соответственно веб-серверам, которые он посещает, предоставляет сугубо свои технические данные — местоположение, IP и пр. А истинная информация о клиенте, выполняющем запросы через VPN-сеть, остаётся скрытой. Происходит удалённое управление сервером посредством сетевого соединения.
3. Для того, чтобы злоумышленники не смогли подключиться к тоннелю извне (из внешней сети), кроме шифрования данных, VPN-server и VPN-client осуществляют взаимную аутентификацию. То есть проверяют, задают друг другу вопрос «действительно ли ты тот, за кого себя выдаёшь?». Эта схема аутентификации называется «запрос/отклик». Её реализация состоит из следующих этапов:

ПК пользователя отправляет VPN запрос «аутентифицируй меня!»;

• VPN возвращает отклик — пакет данных, сгенерированных случайным образом;
• Полученный отклик пользовательский ПК шифрует созданным ранее ключом (в момент соединения) и снова отправляет на сервер;
• Сервер аналогичным образом кодирует (у него такой же ключ) отклик, а затем сравнивает его с ответом ПК (с его версией шифровки отклика). Если результаты шифровки отклика идентичны, значит всё «OK» — аутентификация прошла успешно.

Открытая аутентификация — доступ к виртуальной сети по предоставлению пароля — используется крайне редко.

Какие бывают VPN-сети

• PPTP — тип протокола «точка-точка», осуществляет защищённое соединение с VPN поверх внешней сети. Позволяет использовать частный IP. При этом диапазон адресов виртуальной сети не координируется с диапазоном глобальной сети. Поддерживает множество протоколов (разнообразные конфигурации TCP/IP и IPx). Обеспечивает доступ к частным сетям. Имеет различные политики создания уровня безопасности в отношении удалённого доступа.
• L2TP — протокол 2 уровня туннелирования. Разработан на базе PPTP, тем не менее имеет более мощные механизмы шифрования данных. Умеет создавать тоннели не только в распространённых сетях IP, но и в X.25, Frame Relay, ATM.
• OpenVPN — реализация VPN в, так называемом, свободном варианте. Имеет открытый исходный код, предназначенный для шифрования каналов с типами соединения «Client/Server VPN», «точка-точка». Предоставляет пользователю на выбор различные методы аутентификации — «предустановленный ключ», «логин/пароль», «сертификат». Одно из главных преимуществ OpenVPN — способность соединения двух ПК, находящихся за линией сетевого экрана (NAT-firewall), без изменения настроек их ОС.
• IPsec, или IP Security — протокол технически адаптированный для организации защищённых соединений поверх сетей IPv4. Выполняет функцию надстройки IP-протокола внешней сети. Поддерживает два режима работы: 1 — туннельный (IP-пакеты шифруются полностью); 2 — транспортный (частичная шифровка, применяется только при установлении соединения между узлами).

• SSL — протокол, защищающий сокеты (точки сетевых соединений узла) и vpn туннель между VPN server и клиентом. Шифрует данные двумя ключами: один из них открытый, а другой — частный, или закрытый, который есть только у получателя данных. Обеспечивает безопасность соединения при помощи криптографических хеш-функций и корректирующих кодов.

Построение VPN

Специализированные фаерволы (брандмауэры)

Некоторые межсетевые экраны (фаерволы) наряду с защитой портов узла (ПК) от внешних несанкционированных вторжений поддерживают и технологию VPN. Осуществляют туннелирование vpn и шифрование данных. Обработка пакетов выполняется в специальном программном модуле фаервола непосредственно перед отправкой.

Существенный минус данного способа — прямая зависимость корректной работы экрана от мощности ресурсов ПК. При большом количестве узлов в сети и объёмных потоках информации создавать VPN на базе брандмауэра не рекомендуется.

К числу наиболее распространённых фаерволов c функцией VPN относятся следующие:

• FireWall-1 (Check Point Software). Использует стандартный алгоритм построения VPN на базе протокола IPSec. Входящий трафик дешифрует, а затем применяет к нему пользовательские правила доступа (как и в обычном фаерволе). Совместим с операционными системами Windows NT 4.0 и Solaris.
• RusRoute (MaaSoftware) — маршрутизирующий брандмауэр. Кроме VPN, также в своём арсенале функций имеет proxy, redirect, shaper, мосты LAN для VPN. Отлично работает на ПК с многоядерной архитектурой. Требователен к знаниям и навыкам пользователя по сетевому администрированию.
• Stonegate Firewall/VPN (Stonesoft) . Межсетевой экран с собственной ОС. Оснащён запатентованными фильтрами трафика. В VPN-соединениях динамически балансирует нагрузку. Для шифрования передаваемых данных использует актуальные криптоалгоритмы, а также фирменный модуль кодировки, сертифицированный криптопровайдером «Крипто Про».

Маршрутизаторы

Сетевые маршрутизаторы — специализированные компьютеры, пересылающие информацию между сегментами сети, — для повышения безопасности разработчики иногда наделяют расширенной функцией шифрования.

В построении сетевых магистралей VPN отлично зарекомендовали себя маршрутизаторы Cisco Systems. Они работают по протоколам IPSec и L2TP и обеспечивают все необходимые технологические составляющие VPN — туннельное соединение, обмен ключами и идентификацию. Пользуются популярностью и решения от таких брендов, как TP-LINK, D-Link, Vigor и др.

VPN программы для организации приватной сети

VPN также может организовываться и исключительно программными средствами, без задействования какого-либо дополнительного оборудования. На каждом ПК, который необходимо объединить в локальную vpn сеть, устанавливается специальная программа. Затем в ней выполняются соответствующие настройки для прокладки VPN-туннеля. Участники сети соединяются через интернет-канал, но при этом находятся в своей виртуальной локальной сети, защищённой от проникновения посторонних (прослушивания, слежки и перехвата данных).

Наиболее эффективно с возведением VPN-сети справляется следующее ПО:

(старое название EasyVPN) — утилита от разработчика популярнейшего бесплатного фаервола Comodo. Оснащена удобным механизмом обмена файлами между участниками сети. Имеет свой собственный чат. Очень быстро настраивается, проста в управлении. Не требует от пользователя глубоких познаний в области системного администрирования. Для объединения в локальную vpn сеть, достаточно лишь запустить программу и ввести данные авторизации — логин/пароль.

EasyVPN — пользуется огромной популярностью среди геймеров. Поскольку она избавляет их от необходимости покупать/арендовать и настраивать игровые VPN servera для многопользовательской игры. Всё что нужно для полноценного режима мультиплеера, это ПК, EasyVPN и интернет-соединение. Географическая удалённость участников игровых баталий в локальной сети, практически не влияет на качество сетевого соединения VPN и, следовательно, на мультиплеерный геймплей в реальном времени.

— бесплатная утилита от Applied Networking Inc. Совместима со всеми OC семейства Windows (XP/7/8). «Поднимает» локальную VPN сеть без каких-либо дополнительных физических соединений со специальными маршрутизаторами и серверами. Выполняет туннелирование как в публичных, так и в частных сетях. Использует VPN сети на основе протоколов IP-sec и SSL. По объёму — крохотная (чуть больше 3 Мб), не нагружает системные ресурсы. Адаптирована для подключения неограниченного количества узлов к одной сети.

Средства операционной системы

Во многих современных системных оболочках для создания VPN-сети предусмотрены специальные настройки, отдельные модули и встроенные утилиты. Обладатель такой ОС, используя лишь её штатные средства (без задействования каких-либо сторонних программ или сетевого оборудования), может самостоятельно организовать виртуальную локальную vpn сеть. Яркий пример внедрения данного способа — Windows NT (Microsoft). В неё интегрирована программная поддержка протокола PPTP. Представляется недорогим и в то же время выгодным решением офисных/корпоративных сетей, использующих ОС Windows. В VPN на базе Win NT данные шифруются нестандартным алгоритмом Point-to-Point Encryption с устойчивостью ключа 40/128 бит, который генерируется в момент соединения.

При всех положительных качествах интеграции VPN c Windows, она имеет два серьёзных минуса: 1 — нельзя поменять ключи после соединения; 2 — нет проверки данных на целостность.

Недостатки VPN

1. Отсутствие единых стандартов шифрования и алгоритмов аутентификации. Программное обеспечение и оборудование по созданию VPN от различных разработчиков/производителей между собой несовместимы. Создание локальной виртуальной сети подразумевает применение одинаковых утилит, маршрутизаторов, ОС и т.д. В зависимости от способа организации VPN.
2. Достаточно высокая требовательность к производительности ресурсов. Тоннели в реальном времени поддерживают множество соединений, в которых кроме передачи данных осуществляется их шифровка и аутентификация сегментов сети (узлов и серверов). Для компьютеров с небольшой производительностью в совокупности эти процессы представляются трудоёмкой задачей. И под час неосуществимы вовсе.
3. Нет единого свода правил управления VPN-сетями. Как и в случае со стандартами шифрования и аутентификации, касательно контроля и поддержки речь идёт преимущественно о конкретном решении — протоколе, способе, ПО или оборудовании.
4. Чувствительность виртуальной сети к качеству интернет-соединения (только для VPN, созданных внутри глобальной сети). Низкая/нестабильная скорость, частые дисконекты (отключения) приводят к тому, что тоннели работают некорректно, либо их совсем невозможно создать.

И всё таки — использовать VPN или нет

Однозначно, да. Технология VPN, невзирая на некоторые технические сложности и нюансы, всё равно по-прежнему считается одним из самых мощных средств по обеспечению анонимности и безопасности в сети. Метод виртуального туннелирования превосходит сайты-анонимайзеры и прокси-сервера не только по устойчивости к взлому, степени скрытности клиента, но и по удобству пользования.

Многие специалисты ИТ единогласно утверждают, что VPN ждёт большое будущее. На радость системным администраторам, обычным пользователям ПК и всем тем, кто не равнодушен к конфиденциальности личных данных.