Connexion VPN: Qu'est-ce que c'est et pourquoi avez-vous besoin d'un canal VPN? Qu'est-ce qu'un réseau VPN: pourquoi il est nécessaire et comment ça fonctionne

Sécurité informatique


Aujourd'hui, les questions sur VPN sont populaires - ce que c'est ce que ses caractéristiques et la meilleure façon de configurer VPN. Ce n'est pas que tout le monde ne connaît pas l'essence de la technologie elle-même quand elle peut être nécessaire.

Même du côté des finances et des bénéfices, la configuration du VPN est un cas rentable pour lequel vous pouvez obtenir de l'argent facile.
Ce serait bien d'expliquer à l'utilisateur, qui représente le VPN et la meilleure façon de le personnaliser sur la victoire 7 et 10.

1. Basic

VPN (réseau privé virtuel) - Ceci est un réseau virtuel privé. Encore plus facile - la technologie de créer un réseau local, mais sans appareils physiques Sous forme de routeurs et d'autres choses, et avec de véritables ressources d'Internet. VPN est réseau supplémentaire Créé sur le dessus d'un autre.

Sur le site Web de Microsoft, une telle image cognitive a été trouvée, ce qui contribuera à comprendre que l'expression "est un réseau supplémentaire créé sur l'autre".


Sur l'image indiquée, l'appareil est affiché comme un ordinateur. Le nuage est un réseau commun ou public, plus souvent - Internet standard. Chacun des serveurs est combiné les uns avec les autres avec l'aide du VPN lui-même.

Les appareils sont donc connectés à chaque physiquement. Mais la pratique a montré que ce n'est pas nécessaire.

Surtout afin de ne pas utiliser de câbles, de câbles et d'autres périphériques interférents, et configure VPN.

Les périphériques locaux sont connectés les uns aux autres au moyen de câbles, mais via Wi-Fi, GPS, Bluetooth et d'autres périphériques.
Networks virtuels, le plus souvent - il s'agit d'une connexion Internet standard. Bien entendu, l'accès aux appareils ne fonctionnera tout simplement pas, car partout il y a des niveaux d'identification visant à éviter le piratage et les mauvais souhaits dans le réseau VPN.

2. Quelques mots sur la structure de VPN

La structure du VPN est divisée en deux parties: externe et interne.
Chaque PC se connecte simultanément à deux parties. Ceci est fait à l'aide du serveur.


Le serveur, dans notre cas, est la soi-disant gardes à l'entrée. Il déterminera et régira le réseau virtuel.

Un ordinateur ou un périphérique connecté à VPN doit disposer de toutes les données d'autorisation et d'authentification soi-disant, c'est-à-dire un mot de passe spécial, généralement ponctuel, ou d'autres moyens, ce qui pourrait aider à adopter la procédure.

Ce processus n'est pas particulièrement important pour nous. Les professionnels sont créés par des méthodes d'autorisation de plus en plus puissantes et sérieuses sur les serveurs.

Pour être dans un tel réseau, alors à l'entrée, vous devez connaître ce qui suit:
1. Nom, nom PC, par exemple ou autre connexion utilisée pour transmettre le réseau;
2. Mot de passe, si tel est ainsi installé pour terminer l'autorisation.
En outre, l'ordinateur souhaite se connecter au prochain réseau VPN, "transporte" toutes les données à l'autorisation. Le serveur effectuera ces données dans sa base de données. Après avoir enregistré votre PC dans la base de données, vous n'avez plus besoin d'être les données susmentionnées.

3. VPN et leur classification

La classification des réseaux VPN est indiquée ci-dessous.

Essayons de le comprendre plus.
- DEGRÉ DE PROTECTION. Sélectionné sur ce critère du réseau:
1. Protégé intégralement - ce sont des réseaux initialement protégés;
2. Protégé "de manière confidentielle" - moins de réseaux protégés sont utilisés dans les cas où le réseau initial ou «parent» est fiable.
- Ventes. Méthodes de mise en œuvre. Sélectionné sur ce critère du réseau:
1. Méthodes combinées et logicielles;
2. Méthode matérielle - avec des appareils réels.
- Objectif. VPN sélectionné sur ce critère:
1. intranet (intranet) - est utilisé le plus souvent dans des entreprises où plusieurs branches doivent être combinées;
2. extranet (extranet) - est utilisé spécifiquement pour l'organisation de réseaux dans lesquels il existe différents participants, ainsi que des clients de la société;
3. Aksess (Accès à distance) est une organisation de réseaux VPN, où il y a des succursales dites supprimées.
- Selon le protocole. La mise en œuvre des réseaux VPN est possible à l'aide de protocoles AppleTalk et IPX, mais j'utilise le plus souvent plus souvent que TCP / IP. La raison est la popularité de ce protocole dans les principaux réseaux.
- Niveau de travail. Ici, la préférence donne à OSI, mais le réseau VPN ne peut fonctionner que sur les niveaux de canal, de réseau et de transport.
Bien sûr, dans la pratique, un réseau, vous pouvez inclure plusieurs signes en même temps. Nous nous tournons vers les éléments pour configurer directement le réseau VPN à l'aide de votre PC ou de votre ordinateur portable.

4. Comment configurer un réseau VPN (réseau virtuel)

La première méthode est conçue spécifiquement sous Windows 7.
Sous Windows 7, le réglage a lieu avec des actions suffisamment simples et suivant les instructions suivantes:
1. Allez à " Centre de contrôle d'accès réseau et d'accès partagé" Cliquez sur le panneau accès rapide Sur l'icône de connexion et dans la fenêtre, choisissez l'élément dont vous avez besoin.

2. Le programme n'a pas toujours une telle espèce que dans la figure ci-dessus, cela peut être toujours comme ça:

3. Dans la nouvelle fenêtre, nous trouvons la section " Configuration d'une nouvelle connexion ou réseau" Sur la figure, cette section est mise en surbrillance.


4. Dans le point suivant, nous trouvons " Se connecter au lieu de travail"Et traverser" Plus loin».


5. Dans le cas où une connexion VPN existe déjà sur le PC, une fenêtre spéciale doit apparaître, comme dans la figure ci-dessous. Sélectionnez "Non, créer une nouvelle connexion" et encore aller " Plus loin».


6. Dans la nouvelle fenêtre, nous trouvons " Utilisez ma connexion Internet (VPN)»


7. Entrez maintenant l'adresse, le nom du réseau VPN. Vous pouvez trouver tous les détails de l'administrateur réseau, qui vous indiquera également la fenêtre spéciale.

Si la connexion est arrivée au réseau déjà fonctionnant, il est préférable de connaître les données de l'administrateur de ce réseau. Habituellement, cette procédure ne prend pas beaucoup de temps. Entrez les données dans les champs prévus.
8. Dans la même fenêtre, nous mettons une tique à " Ne connectez pas maintenant ...", Et après avoir déménagé" Plus loin».


9. Entrez vos données (connexion et mot de passe) du réseau. Dans la figure suivante, ces champs sont mis en évidence.

Si la connexion est la première à avec le réseau, les données devront créer de nouvelles, après avoir vérifié leur serveur, vous serez transmis au réseau et l'utilisera.

Si la connexion n'est pas primaire, le serveur ne vérifiera pas vos données et vous le laissera directement dans le réseau souhaité.

10. Après avoir entré les données nécessaires, cliquez sur " Insérer».


11. La fenêtre suivante proposera de se connecter au réseau maintenant. Il vaut mieux le fermer.


La configuration est complétée en toute sécurité et seulement pour se connecter au réseau reste. Pour que cela soit nécessaire de revenir au premier article " Gestion du réseau central et accès partagé».
12. Dans une nouvelle fenêtre, choisissez " Connectez-vous au réseau».


13. Vous choisissez ici notre connexion et vous le connectez.

Configurer VPN sur Windows 7 Complété.

Passons à la configuration VPN sous Windows 10, l'algorithme et l'action il y a presque la même chose. Différence seulement dans certains éléments d'interface et accès à eux.

Ainsi, par exemple, d'arriver au "Network and Centre d'accès commun", doit faire tout ce qui est à la fois sur Windows 7, en plus des éléments spéciaux " Création et configuration d'une nouvelle connexion ou ...».
En outre, le réglage est effectué de la même manière que sur Windows 7, seule l'interface sera un peu différente.


Certains inconvénients utilisateurs Windows 10 peut être liée au fait qu'ils rechercheront un type de réseau classique. Devrait aller à " Réseau et Internet", Et après avoir sélectionné" Affichage de l'état des tâches et des réseaux "pour des travaux supplémentaires avec la configuration des réseaux NPN.

En substance, rien n'est difficile dans la configuration. À propos, une telle connexion VPN peut être configurée même sur des périphériques Android, il sera consacré à cette section ci-dessous.

5. Configuration de VPN sur Android

Pour effectuer une telle opération, vous devrez installer et télécharger l'outil appelé WELVPN GRATUIT VPM Client à partir de magasins officiels Android.

La fenêtre du programme qui suggère de créer un réseau VPN sur Android.


En général, tout est clair ici, cliquez sur " Relier.", Après quoi la recherche commencera réseau disponible et autre connexion avec eux. Configuration de VPN sur Android est faite sans programmes supplémentaires.

Dans cet article, nous répondrons au plus fAQ quelle Serveur VPN.disons si VPN augmentera votre sécurité si vous devez utiliser double VPN et comment vérifier si Service VPN journaux ainsi que quoi technologies modernes Il doit protéger les informations personnelles.

VPN est un virtuel réseau privéqui fournit du cryptage entre le client et le serveur VPN.


L'objectif principal de VPN est le cryptage de la circulation et le changement de l'adresse IP.

Voyons pour quoi et quand il est nécessaire.

Ce qui est nécessaire vpn

Tous les fournisseurs Internet se connectent dans les activités de leurs clients sur Internet. C'est-à-dire que le fournisseur Internet sait quels sites que vous avez visités. Il est nécessaire de donner toutes des informations sur les informations violantes dans le cas des demandes de la police, ainsi que de supprimer toute responsabilité légale des actions de l'utilisateur.

Il existe de nombreuses situations lorsque l'utilisateur doit protéger leurs données personnelles sur Internet et obtenir la liberté de communication.

Exemple 1. Il existe une entreprise et il est nécessaire de transmettre des données confidentielles sur Internet afin que personne ne puisse les intercepter. La plupart des entreprises utilisent la technologie VPN pour transférer des informations entre des branches d'entreprises.

Exemple 2. De nombreux services Internet fonctionnent sur le principe de la liaison géographique à la zone et interdisent l'accès aux utilisateurs d'autres pays.

Par exemple, Yandex Music Service ne fonctionne que pour les adresses IP de la Russie et des pays de l'ancienne CEI. En conséquence, toute la population russophone vivant dans d'autres pays n'a pas accès à ce service.

Exemple 3. Verrouillage de certains sites dans le bureau et dans le pays. Souvent dans les bureaux bloquer l'accès à réseaux sociauxPour que les travailleurs ne passent pas des heures de travail pour la communication.

Par exemple, beaucoup sont bloqués en Chine services Google. Si un résident de la Chine travaille avec une entreprise d'Europe, il est nécessaire d'utiliser des services tels que Google Disk.

Exemple 4. Masquer les sites visités du fournisseur Internet. Il y a des cas lorsque vous devez masquer une liste de sites visités auprès du fournisseur Internet. Tout le trafic sera crypté.


Grâce au cryptage de code, votre fournisseur Internet ne sait pas quels sites que vous avez visités sur Internet. Dans le même temps, votre adresse IP sur Internet appartiendra au pays du serveur VPN.

Lorsqu'il est connecté au VPN, un canal sécurisé entre votre ordinateur et un serveur VPN est créé. Toutes les données de ce canal sont cryptées.


Grâce au VPN, vous aurez la liberté de communiquer et de protéger vos données personnelles.

Dans les journaux du fournisseur Internet, il y aura un ensemble de caractères différents. L'image ci-dessous montre l'analyse des données obtenues par un programme spécial.

Dans l'en-tête HTTP est immédiatement visible à quel site vous êtes connecté. Ces fournisseurs Internet de données enregistrent.


L'image suivante montre l'en-tête HTTP lors de l'utilisation de VPN. Les données sont cryptées et il est impossible de savoir quels sites que vous avez visités.

Comment se connecter au VPN

Il existe plusieurs façons de se connecter au réseau VPN.

  • PPTP - Protocole obsolète. La majeure partie du système d'exploitation moderne l'exclua de la liste soutenue. CONS PPTP - Stabilité à faible connexion. La connexion peut être cassée et des données non protégées peuvent aller en ligne.
  • La connexion L2TP (IPSec) est caractérisée par une plus grande fiabilité. Également intégré dans la plupart des systèmes d'exploitation (Windows, Mac OS, Linux, iOS, Android, Téléphone Windows autre). Il a une meilleure fiabilité contrairement aux connexions PPTP.
  • La connexion SSTP a été développée relativement récemment. Il est pris en charge que dans Windows, il n'a donc pas été très propagé.
  • IKEV2 est un protocole IPsec moderne. Ce protocole a remplacé le protocole PPTP et est pris en charge par tout le système d'exploitation populaire.
  • La connexion OpenVPN est considérée comme la plus fiable. Vous pouvez configurer de manière flexible cette technologie et lorsque la connexion OpenVPN goutte, bloque l'envoi de données Internet non protégées.

Il existe 2 protocoles de transfert de données pour la technologie OpenVPN:

  • Protocole UDP - Vitesse de fonctionnement (utilisation recommandée pour la téléphonie VoIP, Skype, Jeux en ligne)
  • Protocole TCP - caractérisé par la fiabilité des données transmises (nécessite la confirmation de la réception du package). Cela fonctionne un peu plus lentement que l'UDP.

Comment configurer VPN.

La configuration de la connexion VPN prend quelques minutes et se caractérise par la méthode de connexion VPN.

Sur notre service, nous utilisons des connexions PPTP et OpenVPN.

Travaux de sécurité avec un programme VPN

Nous parlerons toujours d'une approche intégrée de la sécurité. La sécurité de l'utilisateur consiste non seulement à partir de la connexion VPN elle-même. Il est important que votre programme vous utilisez pour vous connecter au serveur VPN.

Actuellement, les services proposent des clients VPN pratiques - ce sont des programmes facilitant la configuration de la connexion VPN. Nous offrons un client VPN pratique. Grâce à ces programmes, la configuration de connexion du VPN ne prend pas plus de 1 minute.


Lorsque nous venons de commencer à participer à la fourniture de services VPN en 2006, tous nos utilisateurs ont mis en place l'application officielle OpenVPN. Il a un code open source. Bien sûr, le cadre officiel OpenVPN du client prend plus de temps. Mais voyez-le, mieux de profiter d'anonymat.

Client VPN Anonymat

Nous voyons le danger d'utiliser des programmes similaires. Le fait est que le code source de tels programmes est la propriété de la société et afin de préserver le caractère unique de son programme, personne ne la publie.

Les utilisateurs ne peuvent pas savoir quelles données sur vous collectionne le programme en l'absence d'un code open source.

Le programme VPN peut vous identifier en tant qu'utilisateur spécifique même lorsque les journaux sont désactivés sur le serveur.

Tout programme peut avoir une fonctionnalité sur l'entrée des sites que vous avez visités, votre adresse IP réelle. Et puisque vous-même, vous entrez votre connexion au programme, il est impossible de parler de tout anonymat du programme.

Si votre activité est nécessaire haut niveau Anonymat, nous vous recommandons d'abandonner ces programmes VPN et d'utiliser la version officielle Open Source OpenVPN.

Tout d'abord, vous semblez mal à l'aise. Mais au fil du temps, vous vous habituez à cela si le facteur de sécurité et d'anonymat est en premier lieu.

Nous garantissons que le kit sécurisé n'enregistre aucune donnée sur vous. Mais nous devons vous avertir que de tels programmes peuvent être entourés de vous.

Une autre idée de l'augmentation de votre sécurité est venue du point de vue de l'emplacement géographique des serveurs. Sur Internet, il s'appelle offshore VPN.

Quel est le VPN offshore

Différents pays ont un niveau de législation différent. Il y a des états forts avec des lois fortes. Et il y a de petits pays dont le niveau de développement ne permet pas protection d'information Données dans votre pays.

Initialement, le concept d'offshore a été utilisé pour désigner le pays dans lequel la politique fiscale est atténuée. Ces pays ont des impôts très bas commerciaux. Les entreprises mondiales étaient intéressées par une imposition légitime des impôts dans leur pays et des comptes sur les îles Caïmanes de la Banque offshore sont devenues très populaires.

Actuellement, dans de nombreux pays du monde, il existe déjà des interdictions d'utilisation des comptes bancaires dans les pays offshore.

La plupart des pays offshore sont de petits états situés dans des coins distants de la planète. Les serveurs dans de tels pays trouvent plus difficiles et coûtent plus cher en raison du manque d'infrastructures Internet développées. Les serveurs VPN dans de tels pays ont commencé à appeler l'offshore.

Il s'avère que le mot VPN offshore ne signifie pas VPN anonyme, mais ne parle que sur l'accessoire territorial à l'état offshore.

Devrais-je utiliser VPN offshore?

VPN offshore présente des avantages supplémentaires en termes d'anonymat.

Pensez-vous beaucoup plus facile d'écrire une demande officielle:

  • au département de police en Allemagne
  • ou dans le service de police des îles d'Antigua-Barbuda

Le VPN offshore est un niveau de protection supplémentaire. Le serveur offshore est bien utilisé dans le cadre de la chaîne VPN double.

Vous n'avez pas besoin d'utiliser seulement 1 serveur VPN offshore et pensez qu'il s'agit d'une sécurité complète. Il est nécessaire d'aborder sa sécurité et son anonymat sur Internet de différents côtés.

Utilisez VPN offshore comme lien de votre anonymat.

Et il est temps de répondre à la question la plus fréquemment posée. Un service VPN anonyme peut-il enregistrer des journaux? Et comment déterminer si les journaux de service?

Service et journaux VPN anonymes. Comment être?

Le service VPN anonyme ne doit pas mener des journaux. Sinon, il ne peut pas être appelé anonyme.

Nous avons compilé une liste de questions, grâce à laquelle vous pouvez déterminer avec précision si les journaux de service.

Vous avez maintenant des informations complètes sur les connexions VPN. Ces connaissances suffisent pour vous rendre anonyme sur Internet et faire un transfert sécurisé de données personnelles.

Nouvelle technologie VPN

Y a-t-il de nouvelles directions dans le domaine VPN?

Nous avons déjà parlé des avantages et des inconvénients des serveurs VPN en cascade en série (Double, Triple, Quad VPN).

Pour éviter les minuscules de la technologie VPN double, vous pouvez faire une cascade à chaîne parallèle. Nous l'avons appelé VPN parallèle.

Qu'est-ce que le VPN parallèle

L'essence de VPN parallèle consiste à envoyer du trafic à un canal de données parallèle.

L'inconvénient de la technologie en cascade en série (Double, Triple, Quad VPN) est que le décryptage de canal et le cryptage vers le canal suivant se produisent sur chaque serveur. Les données sont cryptées séquentiellement.

Il n'y a pas de tels problèmes dans la technologie VPN parallèle, car toutes les données passent à double cryptage parallèle. C'est-à-dire, imaginez l'arc, qui a plusieurs pelages. De la même manière, les données sont conservées dans le canal, qui est à deux fois crypté.

DANS dernièrement Dans le monde des télécommunications, il existe un intérêt accru pour les réseaux privés virtuels (réseau privé virtuel VPN). Cela est dû à la nécessité de réduire les coûts de la maintenance des réseaux d'entreprise en raison de la connexion moins chère des bureaux distants et des utilisateurs distants via Internet. En effet, lors de la comparaison du coût des services destinés à connecter plusieurs réseaux via Internet, par exemple, avec des réseaux de relais de trame, vous pouvez voir une différence de valeur significative. Cependant, il convient de noter que lors de la combinaison de réseaux via Internet, la question du transfert de données survient immédiatement, il était donc nécessaire de créer des mécanismes pour assurer la confidentialité et l'intégrité des informations transmises. Réseaux construits sur la base de tels mécanismes et ont reçu un nom VPN.

De plus, très souvent l'homme moderne, développer votre entreprise, doit voyager beaucoup. Il peut s'agir de voyages vers les coins distants de notre pays ou dans des pays à l'étranger. Souvent, les gens ont besoin d'un accès à leurs informations stockées sur leur ordinateur à la maison ou sur l'ordinateur de l'entreprise. Ce problème peut être résolu en organisant un accès à distance à l'aide d'un modem et d'une ligne. L'utilisation de la ligne téléphonique a ses propres caractéristiques. Les inconvénients de cette solution sont que l'appel d'un autre pays vaut beaucoup d'argent. Il y a une autre solution appelée VPN. Les avantages de la technologie VPN sont que l'organisation accès à distance Cela ne se fait pas via la ligne téléphonique, mais par Internet, ce qui est beaucoup moins cher et meilleur. À mon avis, la technologie. VPN a une perspective de généralisée dans le monde entier.

1. Concept et classification des réseaux VPN, leur construction

1.1 Qu'est-ce que VPN

VPN.(Anglais. Le réseau privé virtuel est un réseau privé virtuel) - un réseau logique créé sur un autre réseau, tel que Internet. Malgré le fait que les communications soient effectuées sur des réseaux publics à l'aide de protocoles dangereux, en raison du cryptage, des informations fermées de canaux de change sont créées. VPN vous permet de combiner, par exemple, plusieurs bureaux d'organisation dans un réseau unique en utilisant des canaux non-témoins entre eux.


En substance, VPN a de nombreuses propriétés de la ligne dédiée, mais elle est déployée dans le réseau public, par exemple. En utilisant la technique de tunneling, les paquets de données sont diffusés via un réseau public comme une connexion à deux points ordinaire. Un tunnel particulier est établi entre chaque paire "destinataire-destinataire de l'expéditeur" - une connexion logique sûre qui vous permet d'encapsuler les données d'un protocole dans les packages de l'autre. Les principaux composants du tunnel sont:

  • initiateur;
  • réseau routé;
  • interrupteur de tunnel;
  • un ou plusieurs terminateurs de tunnel.

En soi, le principe de l'opération VPN ne contredit pas les principales technologies et protocoles de réseau. Par exemple, lorsque vous établissez une connexion d'accès à distance, le client envoie un flux de paquets PPP standard sur le serveur. En cas d'organisation de lignes dédiées virtuelles entre les réseaux locaux, leurs routeurs sont également échangés de packages PPP. Cependant, un point fondamentalement nouveau consiste à envoyer des paquets à travers un tunnel sûr, organisé au sein du réseau public.

Tunneling vous permet d'organiser le transfert de packages d'un protocole dans un environnement logique en utilisant un autre protocole. En conséquence, il est possible de résoudre les problèmes d'interaction entre plusieurs réseaux de type différents, en commençant par la nécessité d'assurer l'intégrité et la confidentialité des données transmises et de se terminer par la surmontée des incohérences de protocoles externes ou de systèmes d'adressage.

L'infrastructure réseau existante de la société peut être préparée à l'utilisation de VPN à la fois à l'aide de logiciels et à l'aide de matériel. L'organisation du réseau privé virtuel peut être comparée à la pose du câble via le réseau mondial. En règle générale, la connexion immédiate entre l'utilisateur distant et le terminal du tunnel est installée via le protocole PPP.

La méthode la plus courante de création de tunnels VPN - encapsulation de protocoles réseau (IP, IPX, AppleTalk, etc.) dans PPP et encapsulation ultérieure des emballages formés dans le protocole de tunneling. Habituellement, la propriété intellectuelle ou (beaucoup moins souvent) ATM et relais de cadre parlent comme ce dernier. Cette approche s'appelle une tunneling au deuxième niveau, car le "passager" ici est le protocole de deuxième niveau.

Une autre approche - l'encapsulation des paquets de protocole réseau directement sur le protocole de tunneling (par exemple, VTP) est appelée tunneling de troisième niveau.

Peu importe les protocoles utilisés ou quels objectifs persécuté lors de l'organisation du tunnel, la technique principale restepresque inchangé. Habituellement, un protocole est utilisé pour établir une connexion avec un nœud distant et l'autre pour encapsuler des données et des informations officielles afin de transférer via le tunnel.

1.2 Classification des réseaux VPN

Classer les solutions VPN peuvent être classées par plusieurs paramètres de base:

1. Par type de support utilisé:

  • Réseaux VPN protégés. La variante la plus courante des réseaux privés privés. Avec cela, il est possible de créer un sous-réseau fiable et protégé basé sur un réseau peu fiable, en règle générale, Internet. Un exemple de VPN protégé sont: IPsec, OpenVPN et PPTP.
  • Trust VPN Networks. Utilisé dans les cas où le support de transmission peut être considéré comme fiable et il est nécessaire de résoudre uniquement la tâche de créer un sous-réseau virtuel dans un réseau plus grand. Les problèmes de sécurité deviennent sans importance. Des exemples de solutions VPN similaires sont les suivantes: MPLS et L2TP. Il est plus correct de dire que ces protocoles déplacent la tâche de sécurité à d'autres, par exemple L2TP, en règle générale, sont associées à IPSec.

2. À titre de mise en œuvre:

  • Réseaux VPN sous la forme d'un logiciel spécial et d'un matériel. La mise en œuvre du réseau VPN est effectuée à l'aide d'un complexe spécial logiciel et matériel. Une telle mise en œuvre offre des performances élevées et, en règle générale, un degré élevé de sécurité.
  • Réseaux VPN sous la forme d'une solution logicielle. Utilisez un ordinateur personnel avec un logiciel spécial fournissant des fonctionnalités VPN.
  • Réseau VPN avec une solution intégrée. La fonctionnalité VPN fournit un complexe qui résout également les tâches de filtrage du trafic réseau, de l'organisation de l'écran de réseau et de la qualité de maintenance.

3. Afin de:

  • Intranet VPN. Utilisé pour combiner un réseau unique protégé de plusieurs branches distribuées d'une organisation, échangeant des données sur des canaux de communication ouverts.
  • Accès à distance VPN. Utilisé pour créer un canal protégé entre le segment de réseau d'entreprise ( bureau central ou une succursale) et un seul utilisateur qui, travaillant à la maison, se connecte aux ressources d'entreprise d'un ordinateur à domicile ou, en étant un voyage d'affaires, se connecte aux ressources d'entreprise à l'aide d'un ordinateur portable.
  • VPN extranet. Utilisez les réseaux auxquels les utilisateurs «externes» sont connectés (par exemple, clients ou clients). Le niveau de confiance en eux est beaucoup plus bas que celui des employés de la société, il est donc nécessaire de fournir des "frontières" spéciales de protection, de prévenir ou de limiter les dernières informations particulièrement précieuses et confidentielles.

4. Par type de protocole:

  • Il existe des implémentations de réseaux privés virtuels sous TCP / IP, IPX et AppleTalk. Mais aujourd'hui, il y a une tendance à une transition universelle vers le protocole TCP / IP et la majorité absolue des solutions VPN a soutenu.

5. En termes de protocole réseau:

  • En termes de protocole de réseau basé sur la comparaison avec les niveaux de référence modèle de réseau ISO / OSI.

1.3. Construire VPN.

Il existe différentes options pour la construction d'un VPN. Lors du choix d'une solution, il est nécessaire de prendre en compte les facteurs de performance des moyens de construire un VPN. Par exemple, si le routeur et donc fonctionne à sa limite de puissance, l'ajout de tunnels VPN et l'application d'informations de cryptage / de déchiffrement peuvent arrêter le fonctionnement de l'ensemble du réseau en raison du fait que ce routeur ne s'adaptera pas à trafic simple, sans parler de VPN. L'expérience montre qu'il est préférable d'utiliser des équipements spécialisés pour construire un VPN, mais s'il existe une limite dans les moyens, vous pouvez faire attention à une solution purement logicielle. Considérez certaines options pour la construction d'un VPN.

  • VPN basé sur des pare-feu. Les pare-feu de la plupart des fabricants prennent en charge le tunneling et le cryptage des données. Tous ces produits sont basés sur le fait que le trafic traversant le pare-feu est crypté. Le module de cryptage est ajouté au logiciel du pare-feu lui-même. L'inconvénient de cette méthode peut être appelé la dépendance de la productivité du matériel sur lequel le pare-feu fonctionne. Lorsque vous utilisez des pare-feu sur la base du PC, il convient de rappeler qu'une telle solution ne peut être utilisée que pour les petits réseaux avec une petite quantité d'informations transmises.
  • VPN sur la base des routeurs. Une autre façon de construire un VPN est l'application de créer des canaux protégés de routeurs. Étant donné que toutes les informations émanant du réseau local passent dans le routeur, il est conseillé d'attribuer sur ce routeur et les tâches de cryptage.Un exemple d'équipement de bâtiment VPN sur les routeurs est Cisco Systems. À partir de la version du logiciel iOS 11.3, les routeurs Cisco prennent en charge les protocoles L2TP et IPSec. En plus de cryptage simple Les informations en cours de Cisco soutient d'autres fonctions VPN, telles que l'identification lors de l'établissement d'une connexion au tunnel et d'un échange de clé.Pour améliorer les performances du routeur, un module de cryptage ESA supplémentaire peut être utilisé. De plus, Cisco System a publié un dispositif spécialisé pour le VPN, également appelé routeur d'accès VPN Cisco 1720 (routeur d'accès VPN), conçu pour être installé dans des petites et moyennes entreprises, ainsi que dans les départements des grandes organisations.
  • VPN basé sur des logiciels. L'approche suivante pour le bâtiment VPN est des solutions logicielles pures. Lors de la mise en œuvre d'une telle solution, un logiciel spécialisé est utilisé, qui fonctionne sur un ordinateur dédié, et dans la plupart des cas, il sert de serveur proxy. Un ordinateur avec un tel logiciel peut être situé derrière le pare-feu.
  • VPN sur la base du système d'exploitation réseau.Nous allons envisager des solutions basées sur le système d'exploitation réseau sur l'exemple de Microsoft Windows. Pour créer un VPN Microsoft utilise le protocole PPTP, qui est intégré au système Windows. Cette solution est très attrayante pour les organisations utilisant Windows en tant que système d'exploitation d'entreprise. Il convient de noter que le coût d'une telle solution est nettement inférieur au coût d'autres solutions. Dans le VPN de la base Windows, la base des utilisateurs stockées sur le contrôleur de domaine principal (PDC) est utilisée. Lorsqu'il est connecté au serveur PPTPP, l'utilisateur est authentifié par PAP, Chap ou MS-CHAP Protocoles. Les paquets transmis sont encapsulés dans des packages GRE / PPTP. Pour chiffrer des paquets, un protocole non standard du cryptage Microsoft point à point C 40 ou 128 est une clé de bits obtenue au moment de la connexion. Les inconvénients de ce système sont l'absence de vérification de l'intégrité des données et de l'impossibilité de changer les touches pendant la connexion. Les moments positifs sont la facilité d'intégration avec les fenêtres et le faible coût.
  • VPN sur la base du matériel. Un mode de réalisation de VPN sur des périphériques spéciaux peut être utilisé dans des réseaux nécessitant des performances élevées. Un exemple d'une telle solution est le produit avec Ipro-VPN Radguard. Ce produit utilise le cryptage matériel des informations transmises capables de passer un flux de 100 Mbps. IPRO-VPN prend en charge le protocole IPsec et le mécanisme de gestion des clés ISAKMP / Oakley. Entre autres choses, cet appareil prend en charge les outils de diffusion de l'adresse réseau et peut être complété avec une carte spéciale en ajoutant une fonction de pare-feu.

2. Protocoles réseau VPN

Les réseaux VPN sont construits à l'aide de protocoles de tunneling de données via un réseau de communication usage commun Internet et les protocoles de tunneling garantissent le cryptage des données et exercent leur transmission par la transmission entre les utilisateurs. En règle générale, aujourd'hui pour la construction réseaux VPN. Les protocoles des niveaux suivants sont utilisés:

  • Niveau de canal
  • Niveau de réseau
  • Niveau de transport.

2.1 Niveau de canal

Sur le niveau de la chaîne, les protocoles de tunneling de données L2TP et PPTP peuvent être utilisés, qui utilisent l'autorisation et l'authentification.

PPTP.

Actuellement, le protocole VPN le plus courant est le protocole de communication de tunnel à deux points ou le protocole de tunneling point à point - PPTP. Il a été développé par 3Com et Microsoft Sociétés afin de fournir un accès à distance sécurisé aux réseaux d'entreprise via Internet. PPTP utilise les normes ouvertes TCP / IP existantes et est largement supposée au protocole à deux points de PRP obsolète. Dans la pratique du RDP, il reste le protocole de communication de la session composée PRTR. Prtr crée un tunnel via le réseau sur le serveur NT du destinataire et transmet les paquets RWP de l'utilisateur distant. Serveur I. station de travail Utilisez un réseau privé virtuel et ne faites pas attention à la sécurité ou à un prix abordable. réseau mondial Entre eux. L'achèvement de la session de connexion sur l'initiative Server, contrairement aux serveurs d'accès à distance spécialisés, permet aux administrateurs de réseau locaux de ne pas sauter des utilisateurs distants en dehors du système. sécurité Windows Serveur.

Bien que la compétence du protocole RTR ne s'applique qu'aux appareils exécutant Windows, il offre aux entreprises la possibilité d'interagir avec les infrastructures réseau existantes et de ne pas nuire à leur propre système de sécurité. Ainsi, l'utilisateur distant peut se connecter à Internet à l'aide du fournisseur local sur la ligne téléphonique analogique ou le canal ISDN et établir une connexion au serveur NT. Dans le même temps, les entreprises ne doivent pas nécessairement dépenser de grosses sommes sur l'organisation et la maintenance de la piscine Modem fournissant des services d'accès à distance.

Considère en outre le travail de RRTR. PPTP encapsule les paquets IP pour la transmission par réseau IP. Les clients PPTP utilisent le port de destination pour créer un contrôle de tunnel de connexion. Ce processus survient au niveau de transport du modèle OSI. Après avoir créé le tunnel, le client et le serveur démarrent l'échange de packages de service. Outre le composé de contrôle PPTP, fournissant les performances du canal, une connexion est créée pour le tunnel de données. L'incapacité des données avant expédition via le tunnel se produit un peu différemment de la transmission normale. L'incapacité des données avant l'envoi au tunnel comprend deux étapes:

  1. Premièrement, la partie d'information du PPP est créée. Les données fonctionnent de haut en bas, du niveau d'application OSI au canal.
  2. Ensuite, les données obtenues sont envoyées à l'aide du modèle OSI et sont encapsulées par les niveaux supérieurs.

Ainsi, au cours de la deuxième passe, les données atteignent un niveau de transport. Cependant, les informations ne peuvent pas être envoyées à l'intention de son objectif, car le niveau de canal d'OSI est responsable de celui-ci. Par conséquent, PPTP crypte le champ de charge utile de l'emballage et prend les fonctions de deuxième niveau, généralement détenues par PPP, c'est-à-dire Ajoute l'en-tête PPP et la fin au paquet PPTP. Cela crée un cadre de niveau de canal se termine.

Ensuite, PPTP encapsule le cadre PPP au paquet d'encapsulation de routage générique (GRE), qui appartient au niveau du réseau. GRE encapsule un protocole de couche réseau, tel que IPX, AppleTalk, Decnet pour fournir la possibilité de transmission sur les réseaux IP. Cependant, le GRE n'a pas la possibilité de définir des sessions et de protéger les données des intrus. Pour ce faire, utilisez la capacité PPTP de créer une connexion pour contrôler le tunnel. L'application GRE comme méthode d'encapsulation limite uniquement le champ PPTP uniquement par les réseaux IP.

Une fois que la trame PPP a été encapsulée dans un cadre avec une en-tête GRE, encapsulation dans un cadre avec un en-tête IP. L'en-tête IP contient l'adresse de l'expéditeur et du destinataire de l'emballage. En conclusion, PPTP ajoute un en-tête PPP et se terminant.

Le système expéditeur envoie des données via le tunnel. Le système destinataire supprime tous les en-têtes de service, laissant uniquement des données PPP.

L2tp.

Dans un proche avenir, une augmentation du nombre de réseaux privés virtuels déployés sur la base d'un nouveau protocole de tunnel de deuxième niveau de protocole de tunneling de couche 2 - L2TP est attendu.

L2TP apparut à la suite de la fusion de protocoles PPTP et L2F (expéditeur de couche 2). PPTP vous permet de transmettre des paquets PPP via le tunnel et les paquets L2F de glissement et de PPP. Pour éviter toute confusion et problèmes d'interaction des systèmes sur le marché des télécommunications, le Comité du groupe de travail sur l'ingénierie Internet (IETF) a recommandé les systèmes Cisco pour fusionner PPTP et L2F. En règle générale, le protocole L2TP a absorbé les meilleures caractéristiques de PPTP et L2F. Le principal avantage de la L2TP est que ce protocole vous permet de créer un tunnel non seulement dans les réseaux IP, mais également dans des éléments ATM, X.25 et Cadre. Malheureusement, la mise en œuvre de L2TP dans Windows 2000 ne prend en charge que la propriété intellectuelle.

L2TP Applique le protocole UDP en tant que transport et utilise le même format de message pour contrôler le tunnel et envoyer des données. L2TP dans Microsoft implémentations utilise des packages UDP sous forme de messages de contrôle contenant des paquets cryptés PPP. La fiabilité de livraison garantit le contrôle de la séquence de paquet.

Les fonctionnalités PPTP et L2TP sont différentes. L2TP peut être utilisé non seulement dans les réseaux IP, les messages de service pour créer un tunnel et l'expédition des données qu'il utilise le même format et les mêmes protocoles. PPTP ne peut être appliqué que dans les réseaux IP et nécessite une connexion TCP distincte pour créer et utiliser le tunnel. L2TP Over Ipsec offre plus de niveaux de sécurité que PPTP et peut garantir près de 100% de sécurité pour l'organisation de données. Caractéristiques L2TP Faites-le un protocole très prometteur pour la construction de réseaux virtuels.

Les protocoles L2TP et PPTP diffèrent des protocoles de tunnel de troisième niveau Nombre de fonctionnalités:

  1. Fournir aux sociétés de la capacité de choisir de manière indépendante un moyen d'authentifier les utilisateurs et de vérifier leurs pouvoirs - sur son propre "territoire" ou du fournisseur de services Internet. Traitement des paquets Tunneled PPP, les serveurs de réseau d'entreprise reçoivent toutes les informations nécessaires pour identifier les utilisateurs.
  2. Prise en charge de la commutation de tunnels - l'achèvement d'un tunnel et d'initier un autre à l'un des nombreux terminateurs potentiels. Les tunnels de commutation vous permettent de prolonger le PPP pour vous connecter au point final requis.
  3. Disposition administrateurs système Network Corporate La possibilité de mettre en œuvre des stratégies d'affectation aux utilisateurs des droits d'accès directement sur le pare-feu et les serveurs internes. Étant donné que les terminaisons de tunnel reçoivent des paquets PPP avec des informations de l'utilisateur, ils sont en mesure d'appliquer les administrateurs de stratégie de sécurité à des utilisateurs individuels. (Le tunneling du troisième niveau ne permet pas de distinguer les packages provenant du fournisseur, de sorte que les filtres de stratégie de sécurité doivent être utilisés sur des postes de travail finaux et des périphériques de réseau.) De plus, dans le cas de l'utilisation d'un commutateur de tunnel, il est possible. organiser la "continuation" du tunnel deuxième niveau pour la circulation directe de l'individuutilisateurs à des serveurs internes appropriés. Pour ces serveurs, la tâche de packages de filtrage supplémentaires peut être attribuée.

· MPLS.

Également sur le niveau de la chaîne pour organiser les tunnels peut être utilisé la technologie MPLS (A partir de la commutation anglaise multiprotocole - commutation multiprotocol par des étiquettes - un mécanisme de transmission de données qui émule diverses propriétés des réseaux de commutation de canaux sur des réseaux commutés par paquets). MPLS fonctionne à un niveau pouvant être situé entre le canal et les tiers niveaux de réseau du modèle OSI, et il est donc généralement appelé le protocole de niveau de réseau. Il a été conçu pour assurer le service de transfert de données universel pour les réseaux de commutation des clients et les réseaux à commutation de paquets. En utilisant MPLS, vous pouvez transférer le trafic de la nature la plus différente, tels que des paquets IP, des cadres ATM, SONET et Ethernet.

Des solutions pour l'organisation VPN sur un niveau de canal ont une zone d'action suffisamment limitée, en règle générale, dans le cadre du domaine du fournisseur.

2.2 Niveau de réseau

Niveau de réseau (niveau IP). Le protocole IPSEC implémente le cryptage et la confistitude des données, ainsi que l'authentification des abonnés. L'application du protocole IPSEC vous permet d'implémenter un accès complet équivalent à la connexion physique au réseau d'entreprise. Pour établir un VPN, chacun des participants doit configurer certains paramètres IPsec, c'est-à-dire Chaque client doit avoir des logiciels à mettre en œuvre IPSec.

Ipsec.

Naturellement, aucune entreprise ne voudrait transmettre ouvertement à Internet financière ou autre information confidentielle. Les canaux VPN sont protégés par des algorithmes de cryptage puissants intégrés aux normes de protocole de sécurité IRSEC. Sécurité IPsec ou Internet Protocole - La norme sélectionnée par la communauté internationale, le groupe de travail d'ingénierie de l'IETF-Internet, crée une base de sécurité pour un protocole Internet (IPSEC IP / Protocol assure une protection au niveau du réseau et nécessite une prise en charge de la norme IPSec uniquement de la communication. Côté de connexion. Tous les autres appareils situés entre eux offrent simplement un trafic de paquets IP.

La méthode d'interaction des personnes utilisant la technologie IPSEC est faite pour déterminer le terme «association sécurisée» - Association de sécurité (SA). L'association protégée fonctionne sur la base de l'accord conclu par les parties qui utilisent IPSec pour protéger les informations transmises les unes aux autres. Cet accord régule plusieurs paramètres: les adresses IP de l'expéditeur et le destinataire, l'algorithme cryptographique, l'ordre d'échange clé, la taille des touches, la durée de vie des clés, l'algorithme d'authentification.

IPsec est un ensemble cohérent de normes ouvertes, ayant un noyau, qui peut suffire simplement compléter par de nouvelles fonctionnalités et protocoles. Le noyau IPsec constitue trois protocoles:

· Un.ou l'en-tête d'authentification - Titre d'authentification - garantit l'intégrité et l'authenticité des données. L'objectif principal de l'Ann - elle permet à la réception de s'assurer que:

  • le colis a été envoyé à la fête avec laquelle une association sécurisée est installée;
  • le contenu de l'emballage n'a pas été déformé dans le processus de transfert sur le réseau;
  • le colis n'est pas un duplicata de l'emballage déjà reçu.

Les deux premières fonctions sont nécessaires pour les anncons et ce dernier est sélectionné lorsque l'association est établie à volonté. Pour effectuer ces fonctions, le protocole utilise un en-tête spécial. Sa structure est visualisée selon le schéma suivant:

  1. Dans l'en-tête suivant (en-tête suivant), le code d'un protocole de niveau supérieur est indiqué, c'est-à-dire le protocole, dont le message est affiché dans le champ de données de paquets IP.
  2. Le champ Longueur de la charge utile contient la longueur de l'AN.
  3. Index de paramètres de sécurité (index de paramètres de sécurité, SPI) permet de communiquer un paquet avec une association sécurisée fournie pour cela.
  4. Le champ Numéro de séquence (numéro de séquence, SN) indique le numéro de package de séquence et est utilisé pour protéger contre sa fausse lecture (lorsque la tierce partie tente de réutiliser les packages protégés interceptés envoyés par l'expéditeur authentifié réel).
  5. Données d'authentification (données d'authentification), qui contient la valeur de vérification dite d'intégrité (valeur de contrôle d'intégrité, ICV), est utilisée pour authentifier et vérifier l'intégrité du package. Cette valeur, également appelée digest, est calculée à l'aide de l'un des deux nécessaires supportés par les fonctions de calcul sur la base de MD5 ou SAH-1, mais toute autre fonction peut également être utilisée.

· ESP ou encapsuler la charge utile de sécurité - l'encapsulation de données cryptées - crypte les données transmises, fournissant la confidentialité, peut également prendre en charge l'authentification et l'intégrité des données;

Le protocole ESP résout deux groupes de tâches.

  1. La première inclut les tâches similaires aux tâches du protocole d'un protocole - consiste à garantir l'authentification et l'intégrité des données basées sur Digest
  2. Les deuxième données transmises en cryptant de la visualisation non autorisée.

Le titre est divisé en deux parties séparées par le champ de données.

  1. La première partie, appelée l'en-tête ESP réelle, est formée par deux champs (SPI et SN), dont le but est similaire aux mêmes champs des champs ANNEST, et est placé devant le champ de données.
  2. Les champs de service de protocole ESP restants, appelés terminal ESP, sont situés à la fin de l'emballage.

Deux champs de fin - le titre suivant et les données d'authentification sont similaires aux champs de l'ancre. Le champ Données d'authentification est manquant si l'association de sécurité est confirmée de ne pas utiliser les capacités ESP pour assurer l'intégrité. En plus de ces champs, le terminal contient deux champs supplémentaires - des longueurs agrégées et de remplissage.

Les protocoles AH et ESP peuvent protéger les données dans deux modes:

  1. dans les transports - la transmission est effectuée avec des titres IP d'origine;
  2. dans le tunnel - le package source est placé dans un nouveau package IP et le transfert est effectué avec de nouvelles titres.

L'utilisation d'un mode particulier dépend des exigences en matière de protection des données, ainsi que du rôle joué par le nœud sur le réseau que le canal protégé joue. Donc, le nœud peut être un hôte (nœud de fin) ou une passerelle (nœud intermédiaire).

En conséquence, il existe trois systèmes d'application de protocole IPSEC:

  1. hôte hôte;
  2. passerelle de la passerelle;
  3. passerelle hôte.

Les capacités des protocoles AN et ESP se chevauchent partiellement: le protocole est responsable de la fourniture de l'intégrité et de l'authentification des données, le protocole ESP peut chiffrer les données et, en outre, exécuter les fonctions du protocole (sous une forme coupée). . ESP peut prendre en charge les fonctions de cryptage et les fonctions d'authentification / d'intégrité dans toutes les combinaisons, soit l'ensemble du groupe de fonctions, ou uniquement l'authentification / l'intégrité ou uniquement le cryptage.

· Échange de clés Internet IKE ou Internet - Exchange de la clé Internet - résout la tâche auxiliaire de la fourniture automatique du canal protégé au canal protégé des clés secrètes nécessaires à l'exploitation des protocoles d'authentification et de cryptage de données.

2.3 Niveau de transport

Le niveau de transport utilise le protocole de sécurité SSL / TLS ou Secure Socket Layer / Transport Couche qui implémente le cryptage et l'authentification entre les niveaux de transport du récepteur et de l'émetteur. SSL / TLS peut être utilisé pour protéger le trafic TCP ne peut pas être utilisé pour protéger le trafic UDP. Pour fonctionner VPN basé sur SSL / TLS, il n'est pas nécessaire de mettre en œuvre des logiciels spéciaux que chaque navigateur et votre client de messagerie sont équipés de ces protocoles. En raison du fait que SSL / TLS est mis en œuvre au niveau des transports, la connexion protégée est établie "de l'extrémité finale".

Le protocole TLS est basé sur la version 3.0 de Netscape SSL Protocol version 3.0 et se compose de deux parties - protocole d'enregistrement TLS et protocole TLS Handshake. La différence entre SSL 3.0 et TLS 1.0 est mineure.

SSL / TLS comprend trois phases principales:

  1. Le dialogue entre les parties dont l'objectif est de sélectionner l'algorithme de cryptage;
  2. Touches d'échange basées sur des cryptosystèmes d'ouverture de clé ou de l'authentification en fonction des certificats;
  3. Transmission des données cryptées à l'aide d'algorithmes de cryptage symétriques.

2.4 Mise en œuvre VPN: IPsec ou SSL / TLS?

Souvent, avant que les responsables des divisions sont la question suivante: lequel des protocoles choisissez-vous de construire un réseau VPN de réseau d'entreprise? La réponse n'est pas évidente car chacune des approches a à la fois des avantages et des inconvénients. Nous allons essayer de dépenser et de révéler quand vous devez appliquer IPSec et lorsque SSL / TLS. Comme on peut le voir à partir de l'analyse des caractéristiques de ces protocoles, ils ne sont pas interchangeables et peuvent fonctionner à la fois séparément et en parallèle, identifiant les caractéristiques fonctionnelles de chacun des VPN implémentés.

Le choix d'un protocole de construction d'un réseau VPN de réseau d'entreprise peut être effectué en fonction des critères suivants:

· Type d'accès requis pour les utilisateurs de VPN.

  1. Complet en vedette connexion permanente au réseau d'entreprise. Sélection recommandée - Protocole IPsec.
  2. Connexion temporaire, par exemple, un utilisateur mobile ou un utilisateur utilisant un ordinateur public, afin d'accéder à certains services, par exemple, e-mail ou base de données. Sélection recommandée - Protocole SSL / TLS, qui vous permet d'organiser un VPN pour chaque service individuel.

· La société d'employés de l'utilisateur est-elle.

  1. Si l'utilisateur est un employé de la société, le périphérique avec lequel il utilise pour accéder au réseau d'entreprise via IPSec VPN peut être configuré par une manière spécifique.
  2. Si l'utilisateur n'est pas un employé de la société au réseau d'entreprise dont l'accès est disponible, il est recommandé d'utiliser SSL / TLS. Cela limitera l'accès des clients uniquement par certains services.

· Quel est le niveau de sécurité du réseau d'entreprise.

  1. Grand. Sélection recommandée - Protocole IPsec. En effet, le niveau de sécurité L'IPSEC proposé est beaucoup plus élevé que le niveau de sécurité de la SSL / TLS proposé par l'utilisation de la passerelle conviviale et de sécurité de la face du réseau d'entreprise.
  2. Milieu. Sélection recommandée - Protocole SSL / TLS permettant d'accéder à tous les terminaux.

· Le niveau de sécurité de l'utilisateur transmis.

  1. Élevé, comme la gestion de la société. Sélection recommandée - Protocole IPsec.
  2. Milieu, par exemple, partenaire. Sélection recommandée - Protocole SSL / TLS.

En fonction du service - de la moyenne à élevée. La sélection recommandée est une combinaison de protocoles IPsec (pour les services nécessitant une sécurité élevée) et SSL / TLS (pour les services nécessitant le niveau de sécurité moyen).

· Qu'est-ce qui est plus important, le déploiement rapide de VPN ou l'évolutivité de la décision à l'avenir.

  1. Déploiement rapide du réseau VPN avec coût minimal. Sélection recommandée - Protocole SSL / TLS. Dans ce cas, il n'est pas nécessaire de mettre en œuvre le logiciel spécial sur le côté de l'utilisateur comme dans le cas de IPSec.
  2. Évolutivité du réseau VPN - Ajoutez accès à différents services. Sélection recommandée - Protocole IPSEC permettant d'accéder à tous les services et ressources de réseau d'entreprise.
  3. Déploiement rapide et évolutivité. Sélection recommandée - Combinaison IPsec et SSL / TLS: Utilisation de SSL / TLS dans la première étape pour accéder aux services nécessaires avec l'introduction ultérieure de IPSec.

3. Méthodes de mise en œuvre de réseaux VPN

Le réseau privé virtuel est basé sur trois méthodes de mise en œuvre:

· Tunneling;

· Chiffrement;

· Authentification.

3.1 Tunneling

Le tunneling fournit une transmission de données entre deux points - les terminaisons du tunnel - de manière à ce que l'ensemble de l'infrastructure de réseau sous-jacente à la source de données et au récepteur de données soit couverte entre elles.

Le véhicule du tunnel, en ferry, ramasse les paquets du protocole réseau utilisé à l'entrée du tunnel et les modifient à la sortie. Construire le tunnel suffit à connecter deux nœuds de réseau, de sorte que du point de vue du logiciel exécutant sur eux, ils ont l'air connecté à un réseau (local). Cependant, nous ne devons pas oublier que, en fait, "ferry" avec les données passe par de nombreux nœuds intermédiaires (routeurs) ouverts réseau public.

Cet état de choses paie deux problèmes. Le premier est que les informations transmises à travers le tunnel peuvent être interceptées par des intrus. S'il est confidentiel (numéros de carte bancaire, rapports financiers, informations personnelles), la menace de son compromis est assez réelle, ce qui est en soi désagréable. Pire, les attaquants ont la possibilité de modifier les données transmises via le tunnel afin que le destinataire ne puisse pas vérifier leur exactitude. Les conséquences peuvent être les plus petites. Compte tenu de ladite, nous arrivons à la conclusion que le tunnel est sous forme pure convient, à l'exception de certains types de jeux informatiques de réseau et ne peut pas réclamer une utilisation plus sérieuse. Les deux problèmes sont résolus par des moyens modernes de protection de l'information cryptographique. Pour éviter un changement non autorisé dans l'emballage avec des données sur le chemin de son adhésion sur le tunnel, la méthode électronique est utilisée. signature numérique (). L'essence de la méthode est que chaque package transmis est fourni bloc supplémentaire Les informations produites conformément à l'algorithme cryptographique asymétrique et sont uniques au contenu de l'emballage et de la clé secrète des EDS de l'expéditeur. Ce bloc d'informations est le fichier EDP du package et vous permet d'effectuer une authentification des données par le destinataire auquel la clé ouverte de l'expéditeur EDP est connue. La protection des données transmises via un tunnel provenant d'une visualisation non autorisée est obtenue en utilisant des algorithmes de cryptage solides.

3.2 Authentification

La sécurité est la principale fonction VPN. Toutes les données des ordinateurs clients passent via Internet sur le serveur VPN. Un tel serveur peut être à une distance élevée de l'ordinateur client et des données sur le chemin du réseau de l'organisation passent dans l'équipement de nombreux fournisseurs. Comment vous assurer que les données n'étaient pas lues ou modifiées? Pour cela, diverses méthodes d'authentification et de cryptage sont appliquées.

L'authentification des utilisateurs PPTP peut utiliser l'un des protocoles utilisés pour PPP

  • Protocole d'authentification EAP ou extensible;
  • MSCHAP ou Microsoft Challenge Handshake Protocole d'authentification (version 1 et 2);
  • Protocole d'authentification de la poignée de la poignée de chapel ou de défi;
  • Protocole d'authentification de mot de passe SPAP ou Shiva;
  • Protocole d'authentification PAP ou de mot de passe.

Les meilleurs sont les protocoles MSCHAP Version 2 et Security Security (EAP-TLS), car ils fournissent une authentification mutuelle, c'est-à-dire Le serveur VPN et le client s'identifient mutuellement. Dans tous les autres protocoles, seul le serveur effectue une authentification client.

Bien que PPTP fournisse un degré de sécurité suffisant, mais toujours L2TP sur IPSec est plus fiable. L2TP Over Ipsec fournit une authentification aux niveaux "utilisateur" et "ordinateur", et effectue également l'authentification et le cryptage des données.

L'authentification est effectuée soit sur un test ouvert (mot de passe texte clair) ou par le schéma de requête / intervention (défi / réponse). Avec du texte droit, tout est clair. Le client envoie un serveur de mots de passe. Le serveur compare cela avec la référence et interdit l'accès, ou dit "Bienvenue". L'authentification ouverte n'est pratiquement pas trouvée.

Le schéma de requête / réponse est beaucoup plus avancé. En général, ça ressemble à ceci:

  • le client envoie une demande au serveur (demande) sur l'authentification;
  • le serveur renvoie une réponse aléatoire (défi);
  • le client supprime le hachage avec son mot de passe (le hachage est le résultat d'une fonction de hachage, qui convertit la matrice d'entrée de données de longueur arbitraire à la ligne de bits de sortie de la longueur fixe), crypte la réponse et transmet-le sur le serveur;
  • la même chose se fait par le serveur, comparant le résultat reçu avec la réponse du client;
  • si la réponse cryptée coïncide, l'authentification est considérée comme réussie;

À la première étape de l'authentification des clients et des serveurs VPN, L2TP en haut de IPSec utilise des certificats locaux reçus du service de certification. Le client et le serveur sont échangés par des certificats et créent une connexion sécurisée ESP SA (association de sécurité). Une fois que la L2TP (sur IPSec) complète le processus d'authentification de l'ordinateur, le niveau utilisateur est authentifié. Pour l'authentification, vous pouvez utiliser n'importe quel protocole, même PAP, transmettre un nom d'utilisateur et un mot de passe dans ouvrir une video. Il est tout à fait sûr, car L2TP sur l'IPSEC crypte la session. Toutefois, l'authentification de l'utilisateur utilisant MSCHAP appliquant diverses touches de cryptage pour authentifier l'ordinateur et l'utilisateur peut améliorer la protection.

3.3. Chiffrement

Le cryptage utilisant PPTP garantit que personne ne peut accéder à des données lors de l'envoi d'Internet. Deux méthodes de cryptage sont actuellement prises en charge:

  • Le protocole de cryptage de cryptage MPPE ou Microsoft point à point est compatible avec MSCHAP (version 1 et 2);
  • EAP-TLS et peuvent choisir automatiquement la longueur de la clé de cryptage lors de la négociation des paramètres entre le client et le serveur.

MPPE prend en charge le travail avec les touches 40, 56 ou 128 bits. Les anciens systèmes d'exploitation de Windows supportent le cryptage avec une longueur de clé de seulement 40 bits, donc mélangé environnement Windows Vous devez choisir la longueur de la clé minimale.

PPTP modifie la valeur de la clé de cryptage après chaque paquet reçu. Le protocole MMPE a été développé pour les canaux de communication point à point dans lesquels des paquets sont transmis de manière séquentielle et la perte de données est très faible. Dans cette situation, la valeur clé du prochain paquet dépend des résultats du déchiffrement du paquet précédent. Lors de la construction de réseaux virtuels via des réseaux accès général Ces conditions ne sont pas autorisées, car les paquets de données arrivent souvent au destinataire non dans la séquence, qui ont été envoyés. Par conséquent, PPTP utilise un numéro de paquet de séquence pour modifier la clé de cryptage. Cela vous permet d'effectuer un déchiffrement indépendamment des paquets précédemment reçus.

Les deux protocoles sont implémentés à la fois dans Microsoft Windows et en dehors de celui-ci (par exemple, dans BSD), les algorithmes VPN peuvent différer de manière significative.

Ainsi, la bande de "tunneling + authentification + cryptage" vous permet de transmettre des données entre deux points via un réseau commun, simulant le fonctionnement d'un réseau privé (local). En d'autres termes, les fonds considérés comme vous permettent de construire un réseau privé virtuel.

Un effet supplémentaire agréable de la connexion VPN est la capacité (et même la nécessité) d'utiliser le système d'adressage adopté sur le réseau local.

La mise en œuvre du réseau privé virtuel dans la pratique est la suivante. Dans le réseau informatique local du bureau de la société, le serveur VPN est installé. Utilisateur distant (ou routeur si deux bureaux sont connectés) à l'aide du logiciel client VPN initie une procédure de connexion sur le serveur. L'authentification de l'utilisateur se produit - la première phase de l'établissement de la connexion VPN. Si l'autorité est confirmée, la deuxième phase se produit - entre le client et le serveur, il est coordonné d'être coordonné par les détails de la sécurité du composé. Après cela, une connexion VPN est organisée qui assure l'échange d'informations entre le client et le serveur sous la forme lorsque chaque package de données passe dans les procédures de cryptage / de décryptage et à l'authentification des données de données.

Le principal problème des réseaux VPN est l'absence de normes établies pour l'authentification et l'échange d'informations cryptées. Ces normes sont toujours dans le processus de développement et donc des produits de différents fabricants ne peuvent pas installer des connexions VPN et échanger automatiquement des clés. Ce problème implique le ralentissement de la distribution de VPN, car il est difficile de forcer diverses entreprises à utiliser les produits d'un fabricant. Par conséquent, le processus de combinaison de sociétés partenaires dans les réseaux extranetts est difficile.

Les avantages de la technologie VPN sont que l'organisation de l'accès à distance n'est pas effectuée via la ligne téléphonique, mais via Internet, qui est beaucoup moins chère et meilleur. Le manque de technologie VPN est que les moyens de construction VPN ne sont pas des moyens de détection et d'attaques complets. Ils peuvent empêcher un certain nombre d'actions non autorisées, mais toutes les possibilités pouvant être utilisées pour la pénétration dans réseau d'entreprise. Mais, malgré tout cela, la technologie VPN a des perspectives pour un développement ultérieur.

Que pouvons-nous nous attendre en termes de développement des technologies VPN à l'avenir? Sans aucun doute, une norme unique pour la construction de réseaux similaires sera développée et approuvée. Très probablement, la base de cette norme sera le protocole IPsec déjà éprouvé. En outre, les fabricants se concentreront sur l'amélioration de la productivité de leurs produits et la création de contrôles VPN pratiques. Très probablement, le développement de moyens de construction VPN ira vers le VPN sur la base des routeurs, car cette solution Combine Haute performance, l'intégration de VPN et de routage dans un seul appareil. Cependant, des solutions peu coûteuses pour les petites organisations vont se développer. En conclusion, je dois dire que, malgré le fait que la technologie VPN est encore très jeune, elle attend un grand avenir.

Laisse ton commentaire!

Faisons connaissance avec VPN un peu, découvrez les principales questions et utilisez ces trois becs sur notre bénédiction.

VPN Qu'est-ce que c'est?

Voyez comment l'information passe entre mon ordinateur portable et le smartphone qui se trouve à côté, la soi-disant trace de route. Et il y a toujours un lien faible où les données peuvent intercepter.

Pourquoi avez-vous besoin d'un VPN?

Organiser des réseaux au sein des réseaux et de leur protection. Nous comprenons que VPN est bon. Pourquoi? Parce que vos données seront plus de sécurité. Nous construisons Réseau sûr sur Internet ou autre réseau. C'est comme un bronval de transporter de l'argent dans la rue de la banque vers une autre banque. Vous pouvez envoyer de l'argent sur voiture ordinaireet vous pouvez dans la voiture blindée. De toute façon, l'argent de l'armure est préservé. VPN en forme et il y a un bronval pour vos informations. Un serveur VPN est une agence pour la fourniture d'armures. En bref VPN est bon.

Pour assurer la sécurité des données:

Utilisez un réseau privé virtuel (connexion VPN)
DE en utilisant VPN.- Connexions Lors de la connexion à un réseau Wi-Fi accessible au public, vous pouvez utiliser efficacement les technologies de cryptage de données passant via le réseau. Il peut interférer avec les cybercriminels suivant le réseau, intercepter vos données.

Toujours pas convaincu? Ici, par exemple, le titre de l'une des offres:

Fourniture de services pour la fourniture de canaux de communication sur la technologie VPN pour l'organisation de la transmission de données entre les divisions du ministère du Ministère des affaires intérieures de la Russie à Kazan

La police s'occupe de leur sécurité, celles-ci sont concernées et exigent la présence de tels canaux de la société appartenant à l'État et de la société, et de quoi sommes-nous pires? Nous sommes encore meilleurs parce que nous ne dépensons pas de fonds budgétaires, mais nous allons tout confier rapidement, simple et gratuit.

Alors allons-y. Nous protégeons les comptes, les mots de passe à l'aide de VPN lors de l'utilisation de réseaux Wi-Fi. En règle générale, c'est le lien le plus faible. Bien sûr, les services spéciaux du monde entier, les groupes criminels peuvent offrir des équipements qui se remplissent et intercepte non seulement le trafic de réseau Wi-Fi, mais également des réseaux de communication par satellite et mobile. C'est un autre niveau et au-delà de ce post.
La meilleure façonLorsque vous avez votre serveur VPN. Sinon, vous devez espérer l'honnêteté de ceux qui vous fournissent ces services. Donc, il y a des versions payantes de VPN et gratuites. Allons le deuxième. Oui, le serveur VPN peut être configuré sur l'ordinateur de la maison, mais aussi dans un poste séparé.

Comment configurer VPN.

Considérer VPN gratuit. Pour Android Sur l'exemple de Opera VPN - VPN illimité.

Téléchargez le client VPN gratuit. Les paramètres sont minimes et réduits pour activer VPN, le choix du pays, la valeur par défaut est à proximité, l'unité de test réseau. Il existe toujours des paramètres pour maintenir VPN dans l'état d'origine.

Après avoir installé l'application, l'élément VPN apparaît dans le menu Paramètres Android. Cet interrupteur appelle l'écran principal de l'opéra VPN (si vous n'avez qu'un moyen de connecter VPN).

Pour contrôler la déconnexion et activer VPN, vous pouvez résoudre les icônes d'application dans les paramètres Android.

Paramètres-\u003e Notifications et chaîne d'état -\u003e Notifications d'application-\u003e Opera VPN

Préparez-vous au fait que certaines applications en mode de communication via VPN Tunnel seront invitées à confirmer votre statut. Ainsi, la demande de Vkontakte avec VPN activé vous demandera votre numéro de téléphone, car il considérera que dans votre compte, dans lequel vous entrez habituellement à Moscou, essayant d'entrer un attaquant d'Allemagne ou des Pays-Bas. Entrez le numéro et continuez à utiliser.

Voici le moyen le plus simple d'utiliser VPN sur votre appareil Android. Vous pouvez toujours configurer un réseau privé virtuel basé sur votre routeur et vous connecter à votre ordinateur domestique depuis n'importe où dans le monde sur un canal protégé, échangé librement par des données privées. Mais à ce sujet, plus méthode complexeAinsi que les paramètres des applications et des services payants, je vais le dire dans d'autres messages.


(8 Estimations, moyenne: 4,75 sur 5)
Anton Tretyak Anton Tretyak [Email protégé] Administrateur. site - Avis, Instructions, Lifehaki

Le réseau privé virtuel est un réseau privé virtuel utilisé pour assurer une connexion sécurisée dans les connexions d'entreprise et l'accès à Internet. Main Plus IDF - Haute sécurité en cryptage du trafic interne, qui est important lors du transfert de données.

Qu'est-ce qu'une connexion VPN

Beaucoup de gens face à cette abréviation, demandent: VPN - Qu'est-ce que c'est et pourquoi vous avez besoin? Cette technologie Ouvre la capacité de créer connexion réseau sur le dessus d'un autre. Works VPN dans plusieurs modes:

  • réseau de nœuds;
  • réseau de réseau;
  • noeud nœud.

L'organisation d'un réseau virtuel privé sur les niveaux de réseau vous permet d'utiliser des protocoles TCP et UDP. Toutes les données passées via des ordinateurs sont cryptées. Ceci est une protection supplémentaire pour votre connexion. Il existe de nombreux exemples qui expliquent ce qu'est une connexion VPN et pourquoi il devrait être utilisé. Ci-dessous sera décrit en détail cette question.

Pourquoi avez-vous besoin de VPN?

Chaque fournisseur est capable de fournir sur demande des organismes de logistique des utilisateurs concernés. Votre société Internet écrit toutes les actions que vous avez faites sur le réseau. Il est utile de supprimer le fournisseur toute responsabilité des actions menées au client. Il existe de nombreuses situations dans lesquelles vous devez protéger vos données et obtenir la liberté, par exemple:

  1. Le service NPN est utilisé pour envoyer des données confidentielles de la société entre succursales. Il aide à protéger les informations importantes de l'interception.
  2. Si vous devez contourner la référence de l'emplacement géographique. Par exemple, le service musical Yandex n'est disponible qu'aux résidents de la Russie et des résidents des anciens pays de la CEI. Si vous êtes un résident russophone des États-Unis, vous ne pourrez pas écouter les enregistrements. Le service VPN contribuera à contourner cette interdiction, remplaçant l'adresse du réseau au russe.
  3. Masquer le site de visite du fournisseur. Tout le monde n'est pas prêt à partager ses activités sur Internet afin de protéger vos visites à l'aide de VPN.

Comment fonctionne VPN

Lorsque vous utilisez un autre canal VPN, votre IP appartiendra au pays où se trouve ce réseau sécurisé. Lorsqu'il est connecté, un tunnel sera créé entre le serveur VPN et votre ordinateur. Après cela, le fournisseur sera un ensemble de caractères incompréhensibles dans les journaux (enregistrements) du fournisseur. L'analyse de ceux-ci par un programme spécial ne donnera pas de résultats. Si vous n'utilisez pas cette technologie, le canal HTTP indique immédiatement à quel site vous êtes connecté.

Structure VPN.

Il consiste à connecter deux parties. Le premier s'appelle le réseau "interne", vous pouvez créer plusieurs. La seconde est "externe", sur laquelle une connexion encapsulée se produit, en règle générale, Internet est utilisée. Il existe également la possibilité de se connecter au réseau d'un ordinateur séparé. L'utilisateur est connecté à un VPN spécifique via le serveur d'accès connecté simultanément au réseau externe et interne.

Lorsqu'un programme VPN connecte un utilisateur distant, le serveur nécessite le passage de deux processus importants: première identification, puis l'authentification. Cela est nécessaire pour obtenir des droits pour profiter de ce composé. Si vous avez complètement passé avec succès ces deux étapes, votre réseau est doté des pouvoirs qui ouvrent la capacité de travailler. En substance, c'est le processus d'autorisation.

Classification VPN.

Il existe plusieurs types de réseaux privés virtuels. Il existe des options pour le degré de sécurité, la méthode de mise en œuvre, le niveau de travail sur le modèle ISO / OSI impliqué dans le protocole. Vous pouvez utiliser un accès payé ou un service VPN gratuit à partir de Google. Sur la base du degré de sécurité, les canaux peuvent être "protégés" ou "confiance". Ces derniers sont nécessaires si la connexion en elle-même a le niveau de protection approprié. Pour organiser la première option, les technologies suivantes doivent être utilisées:

  • PPTP;
  • Openvpn;
  • Ipsec.

Comment créer un serveur VPN

Pour tous les utilisateurs de l'ordinateur, il existe un moyen de connecter vous-même VPN. Ci-dessous sera considéré comme une option sur la salle d'opération système de Windovs. Ce manuel ne prévoit pas l'utilisation de logiciels supplémentaires. Le réglage est effectué comme suit:

  1. Pour faire une nouvelle connexion, vous devez ouvrir le panneau de visualisation. l'accès au réseau. Commencez à entrer le mot «Connexions réseau» dans la recherche.
  2. Cliquez sur le bouton "Alt", cliquez sur la section "Fichier" et sélectionnez l'élément "Nouvelle connexion entrant".
  3. Puis présenter un utilisateur auquel la connexion sera fournie avec cet ordinateur via VPN (si vous n'êtes qu'un seul compte Sur le PC, alors vous devez créer un mot de passe pour cela). Installez l'oiseau et cliquez sur "Suivant".
  4. Suivant sera invité à sélectionner le type de connexion, vous pouvez laisser une tick ci-contre "Internet".
  5. La prochaine étape sera l'inclusion de protocoles réseau qui fonctionneront sur ce VDN. Exposez des tiques à tous les points sauf la seconde. Si vous le souhaitez, vous pouvez installer une adresse IP spécifique, des passerelles DNS et des ports du protocole IPv4, mais il est plus facile de laisser le but automatique.
  6. Lorsque vous cliquez sur le bouton Autoriser l'accès, l'opération créera le serveur indépendamment, affichera une fenêtre avec le nom de l'ordinateur. Il sera nécessaire pour la connexion.
  7. Cela crée un serveur VPN Home est terminé.

Comment configurer un VPN sur Android

Au-dessus de la méthode décrite comment créer une connexion VPN sur un ordinateur personnel. Cependant, beaucoup ont longtemps effectué toutes les actions utilisant le téléphone. Si vous ne savez pas ce que VPN est sur Android, tous les faits ci-dessus sur ce type de connexion sont valables pour un smartphone. La configuration des appareils modernes offre une utilisation confortable d'Internet à grande vitesse. Dans certains cas (pour commencer les jeux, les sites d'ouverture), utilisez la substitution de proxy ou des anonymisants, mais pour stable et connexion rapide VPN convient mieux.

Si vous êtes déjà clair, quel VPN est dans le téléphone, vous pouvez vous rendre directement à la création du tunnel. Vous pouvez l'exécuter sur n'importe quel appareil avec support Android. Connecté comme suit:

  1. Allez dans la section Paramètres, cliquez sur la section "Réseau".
  2. Trouvez l'article appelé "Paramètres avancés" et accédez à la section "VPN". Ensuite, vous aurez besoin d'une goupille ou d'un mot de passe qui déverrouille la possibilité de créer un réseau.
  3. L'étape suivante consiste à ajouter une connexion VPN. Spécifiez le nom dans le champ "Serveur", nom dans le champ "Nom d'utilisateur", définissez le type de connexion. Appuyez sur le bouton "Enregistrer".
  4. Après cela, une nouvelle connexion apparaîtra dans la liste, qui peut être utilisée pour modifier votre connexion standard.
  5. L'icône apparaîtra à l'écran, qui indiquera la disponibilité de la connexion. Si vous appuyez dessus, vous recevrez les statistiques des données reçues / transmises. Ici, vous pouvez désactiver la connexion VPN.

Vidéo: service VPN gratuit

Avez-vous aimé l'article? Partager avec des amis:
Vous pouvez aussi être intéressé