VPN - Виртуальная частная сеть

25.03.2015

9387

VPN server и VPN client. Преимущества и недостатки виртуальных частных сетей и способы построения VPN. Популярные программы VPN

VPN: безопасность и свобода в сети

Virtual Private Network, или сокращённо VPN (в переводе на русский означает виртуальная частная сеть) — предоставляет пользователям анонимный обмен данными с веб-ресурсами, серверами и узлами через специальный VPN server. Устанавливает сетевое соединение посредством зашифрованного виртуального канала внутри незащищённой сети (в частности Интернета).

VPN server — это специальный сервер, который по защищённому каналу перенаправляет трафик пользователя на указанные им ресурсы (сайты, сервисы-онлайн, аудио- и видеохостинги). Отправляет запросы и присылает данные (запрашиваемые веб-страницы, файлы, изображения), скрывая истинные данные подключённого к VPN-сети узла.

VPN client — специализированная программа, оборудование, обеспечивающие подключение узла к VPN серверу. Также клиентом VPN называют ПК, подключённый к частной виртуальной сети (компьютер-клиент).

Про отличия VPN, proxy серверов и анонимайзеров можно прочитать в статье Anonimayzer-Proxy-server-TOR.

О том, как настроить интернет через прокси, мы рассказывали в этой статье.

Купить качественные дешевые прокси (по 25 руб на 1 месяц) можно тут. Если во время оплаты ввести код SmDz1NlozX (код дополнительной скидки), стоимость можно снизить еще на 5%.

Преимущества VPN технологии

Абсолютная аппаратная совместимость

Зашифрованное соединение можно настроить не только на компьютерах PC и MAC, но и в мобильных устройствах — смартфонах и планшетах на базе iOS, Windows Mobile и Android.

Анонимность

Смена IP-адреса выполняется полностью для всего узла (ПК), включая браузеры и программы, использующие интернет-соединение. (То есть все сетевые приложения в ОС будут использовать IP, предоставленный VPN.)
Есть возможность выбирать вымышленный IP-адрес из предложенного диапазона, согласно его географическому местоположению. Соединение с сайтами будет осуществляться через VPN сервер, находящийся в указанной стране (США, Англии, Голландии и т.д.)
Интегрирована функция быстрой смены IP в процессе веб-сёрфинга из списка действующих VPN serverov.

Безопасность

Все данные, передаваемые через виртуальный vpn туннель (логины/пароли, сообщения, контент, информация о платежах и транзакциях), тщательно шифруются устойчивыми к взлому ключами на 128 и 256 бит. Не зафиксировано ещё ни одно случая их взлома.
За счёт «ограждения» от других сетей, VPN предотвращает хакерские атаки и попытки несанкционированного доступа к узлам, подключённым к её сети (в т.ч. и в публичных Wi-Fi точках).

Свобода доступа

Снятие ограничений провайдера (пользование BitTorrent — протоколом P2P, цензура).
Разблокировка соцсетей и медиа-ресурсов.
Обход запретов по географическому расположению адреса. Компании, предоставляющие услуги виртуального туннелирования, как правило, имеют в своём распоряжении сеть VPN serverov локализованных практически по всему земному шару — в 20-35 странах мира.

Таким образом, при помощи VPN пользователь может с лёгкостью пользоваться онлайн-сервисом, который доступен только для жителей конкретной страны либо стран.

Возможности VPN в примерах

Русскоязычные граждане, проживающие за пределами России — в странах СНГ, Европе, США — просматривают полнометражные картины на сайте ivi.ru (крупнейший бесплатный видеохостинг).
Меломаны не из США, Германии и Англии наслаждаются новыми и старыми музыкальными хитами на last.fm. И наоборот — относительно географии — американцы и англичане прослушивают песни на сервисе Яндекс.Музыка, открытом исключительно пользователям из России, Белоруссии и Украины.
Люди, изучающие и знающие английский язык, просматривают ток-шоу, документальные фильмы и телепередачи на оф.сайте компании BBC, доступном только для жителей Англии.
Пользователи интернета, проживающие в Китае, Чечне, Турции, Иране и в других странах с жёсткими цензорными ограничениями на пользование Интернетом, просматривают видеоролики на мегапопулярном портале YouTube.

Принцип действия VPN servera

Схематически VPN подключение выглядит так:

Client (пользователь) -> Провайдер -> VPN-server (в другом регионе/стране) -> Сайт (сервер или другой узел).

После соединения узла пользователя (ПК, телефона, планшета) с VPN через интернет-соединение между ними происходит своеобразный диалог-перекличка в форме запрос-ответ.
Формируется ключ для шифрования передаваемых данных по виртуальному тоннелю — от пользователя до конечного пункта назначения (сайта, другого пользователя) и обратно. Алгоритм создания ключа, помимо генерирования случайных числовых комбинаций, для большей устойчивости, также использует такие факторы (их значения), как

содержимое вопросов-ответов ПК;
данные ОС клиенты;
время ответа узла на запрос VPN servera;
уникальность ключа, которая дополнительно усиливается и тем, что набор факторов при каждом генерировании варьируется. Плюс к этому — он формируется в реальном времени, непосредственно на устройстве пользователя и на VPN servere. Доступ третьим лицам к нему закрыт.

Создаётся транспортная среда для передачи данных — тоннель. По нему пакеты данных в закодированном виде будут «путешествовать» между узлами.
VPN server действует по указанию VPN clienta — заходит на онлайн-сервисы и в соцсети, открывает веб-страницы, отправляет сообщения, осуществляет загрузку файлов. И соответственно веб-серверам, которые он посещает, предоставляет сугубо свои технические данные — местоположение, IP и пр. А истинная информация о клиенте, выполняющем запросы через VPN-сеть, остаётся скрытой. Происходит удалённое управление сервером посредством сетевого соединения.
Для того, чтобы злоумышленники не смогли подключиться к тоннелю извне (из внешней сети), кроме шифрования данных, VPN-server и VPN-client осуществляют взаимную аутентификацию. То есть проверяют, задают друг другу вопрос «действительно ли ты тот, за кого себя выдаёшь?». Эта схема аутентификации называется «запрос/отклик». Её реализация состоит из следующих этапов:

ПК пользователя отправляет VPN запрос «аутентифицируй меня!»;
VPN возвращает отклик — пакет данных, сгенерированных случайным образом;
Полученный отклик пользовательский ПК шифрует созданным ранее ключом (в момент соединения) и снова отправляет на сервер;
Сервер аналогичным образом кодирует (у него такой же ключ) отклик, а затем сравнивает его с ответом ПК (с его версией шифровки отклика). Если результаты шифровки отклика идентичны, значит всё «OK» — аутентификация прошла успешно.

Открытая аутентификация — доступ к виртуальной сети по предоставлению пароля — используется крайне редко.

Какие бывают VPN-сети

PPTP — тип протокола «точка-точка», осуществляет защищённое соединение с VPN поверх внешней сети. Позволяет использовать частный IP. При этом диапазон адресов виртуальной сети не координируется с диапазоном глобальной сети. Поддерживает множество протоколов (разнообразные конфигурации TCP/IP и IPx). Обеспечивает доступ к частным сетям. Имеет различные политики создания уровня безопасности в отношении удалённого доступа.
L2TP — протокол 2 уровня туннелирования. Разработан на базе PPTP, тем не менее имеет более мощные механизмы шифрования данных. Умеет создавать тоннели не только в распространённых сетях IP, но и в X.25, Frame Relay, ATM.
OpenVPN — реализация VPN в, так называемом, свободном варианте. Имеет открытый исходный код, предназначенный для шифрования каналов с типами соединения «Client/Server VPN», «точка-точка». Предоставляет пользователю на выбор различные методы аутентификации — «предустановленный ключ», «логин/пароль», «сертификат». Одно из главных преимуществ OpenVPN — способность соединения двух ПК , находящихся за линией сетевого экрана (NAT-firewall), без изменения настроек их ОС.
IPsec, или IP Security — протокол технически адаптированный для организации защищённых соединений поверх сетей IPv4. Выполняет функцию надстройки IP-протокола внешней сети. Поддерживает два режима работы: 1 — туннельный (IP-пакеты шифруются полностью); 2 — транспортный (частичная шифровка, применяется только при установлении соединения между узлами).

IPsec VPN

SSL — протокол, защищающий сокеты (точки сетевых соединений узла) и vpn туннель между VPN server и клиентом. Шифрует данные двумя ключами: один из них открытый, а другой — частный, или закрытый, который есть только у получателя данных. Обеспечивает безопасность соединения при помощи криптографических хеш-функций и корректирующих кодов.

Построение VPN

Специализированные фаерволы (брандмауэры)

Некоторые межсетевые экраны (фаерволы) наряду с защитой портов узла (ПК) от внешних несанкционированных вторжений поддерживают и технологию VPN. Осуществляют туннелирование vpn и шифрование данных. Обработка пакетов выполняется в специальном программном модуле фаервола непосредственно перед отправкой.

Существенный минус данного способа — прямая зависимость корректной работы экрана от мощности ресурсов ПК. При большом количестве узлов в сети и объёмных потоках информации создавать VPN на базе брандмауэра не рекомендуется.

К числу наиболее распространённых фаерволов c функцией VPN относятся следующие:

FireWall-1 (Check Point Software). Использует стандартный алгоритм построения VPN на базе протокола IPSec. Входящий трафик дешифрует, а затем применяет к нему пользовательские правила доступа (как и в обычном фаерволе). Совместим с операционными системами Windows NT 4.0 и Solaris.
RusRoute (MaaSoftware) — маршрутизирующий брандмауэр. Кроме VPN, также в своём арсенале функций имеет proxy, redirect, shaper, мосты LAN для VPN. Отлично работает на ПК с многоядерной архитектурой. Требователен к знаниям и навыкам пользователя по сетевому администрированию.
Stonegate Firewall/VPN (Stonesoft). Межсетевой экран с собственной ОС. Оснащён запатентованными фильтрами трафика. В VPN-соединениях динамически балансирует нагрузку. Для шифрования передаваемых данных использует актуальные криптоалгоритмы, а также фирменный модуль кодировки, сертифицированный криптопровайдером «Крипто Про».

Маршрутизаторы

Сетевые маршрутизаторы — специализированные компьютеры, пересылающие информацию между сегментами сети, — для повышения безопасности разработчики иногда наделяют расширенной функцией шифрования.

В построении сетевых магистралей VPN отлично зарекомендовали себя маршрутизаторы Cisco Systems. Они работают по протоколам IPSec и L2TP и обеспечивают все необходимые технологические составляющие VPN — туннельное соединение, обмен ключами и идентификацию. Пользуются популярностью и решения от таких брендов, как TP-LINK, D-Link, Vigor и др.

VPN программы для организации приватной сети

VPN также может организовываться и исключительно программными средствами, без задействования какого-либо дополнительного оборудования. На каждом ПК, который необходимо объединить в локальную vpn сеть, устанавливается специальная программа. Затем в ней выполняются соответствующие настройки для прокладки VPN-туннеля. Участники сети соединяются через интернет-канал, но при этом находятся в своей виртуальной локальной сети, защищённой от проникновения посторонних (прослушивания, слежки и перехвата данных).

Наиболее эффективно с возведением VPN-сети справляется следующее ПО:

Comodo Unite (старое название EasyVPN) — утилита от разработчика популярнейшего бесплатного фаервола Comodo. Оснащена удобным механизмом обмена файлами между участниками сети. Имеет свой собственный чат. Очень быстро настраивается, проста в управлении. Не требует от пользователя глубоких познаний в области системного администрирования. Для объединения в локальную vpn сеть, достаточно лишь запустить программу и ввести данные авторизации — логин/пароль.

EasyVPN — пользуется огромной популярностью среди геймеров. Поскольку она избавляет их от необходимости покупать/арендовать и настраивать игровые VPN servera для многопользовательской игры. Всё что нужно для полноценного режима мультиплеера, это ПК, EasyVPN и интернет-соединение. Географическая удалённость участников игровых баталий в локальной сети, практически не влияет на качество сетевого соединения VPN и, следовательно, на мультиплеерный геймплей в реальном времени.
Hamachi — бесплатная утилита от Applied Networking Inc. Совместима со всеми OC семейства Windows (XP/7/8). «Поднимает» локальную VPN сеть без каких-либо дополнительных физических соединений со специальными маршрутизаторами и серверами. Выполняет туннелирование как в публичных, так и в частных сетях. Использует VPN сети на основе протоколов IP-sec и SSL. По объёму — крохотная (чуть больше 3 Мб), не нагружает системные ресурсы. Адаптирована для подключения неограниченного количества узлов к одной сети.

Средства операционной системы

Во многих современных системных оболочках для создания VPN-сети предусмотрены специальные настройки, отдельные модули и встроенные утилиты. Обладатель такой ОС, используя лишь её штатные средства (без задействования каких-либо сторонних программ или сетевого оборудования), может самостоятельно организовать виртуальную локальную vpn сеть. Яркий пример внедрения данного способа — Windows NT (Microsoft). В неё интегрирована программная поддержка протокола PPTP. Представляется недорогим и в то же время выгодным решением офисных/корпоративных сетей, использующих ОС Windows. В VPN на базе Win NT данные шифруются нестандартным алгоритмом Point-to-Point Encryption с устойчивостью ключа 40/128 бит, который генерируется в момент соединения.

При всех положительных качествах интеграции VPN c Windows, она имеет два серьёзных минуса: 1 — нельзя поменять ключи после соединения; 2 — нет проверки данных на целостность.

Недостатки VPN

Отсутствие единых стандартов шифрования и алгоритмов аутентификации. Программное обеспечение и оборудование по созданию VPN от различных разработчиков/производителей между собой несовместимы. Создание локальной виртуальной сети подразумевает применение одинаковых утилит, маршрутизаторов, ОС и т.д. В зависимости от способа организации VPN.
Достаточно высокая требовательность к производительности ресурсов. Тоннели в реальном времени поддерживают множество соединений, в которых кроме передачи данных осуществляется их шифровка и аутентификация сегментов сети (узлов и серверов). Для компьютеров с небольшой производительностью в совокупности эти процессы представляются трудоёмкой задачей. И под час неосуществимы вовсе.
Нет единого свода правил управления VPN-сетями. Как и в случае со стандартами шифрования и аутентификации, касательно контроля и поддержки речь идёт преимущественно о конкретном решении — протоколе, способе, ПО или оборудовании.
Чувствительность виртуальной сети к качеству интернет-соединения (только для VPN, созданных внутри глобальной сети). Низкая/нестабильная скорость, частые дисконекты (отключения) приводят к тому, что тоннели работают некорректно, либо их совсем невозможно создать.

И всё таки — использовать VPN или нет

Однозначно, да. Технология VPN, невзирая на некоторые технические сложности и нюансы, всё равно по-прежнему считается одним из самых мощных средств по обеспечению анонимности и безопасности в сети. Метод виртуального туннелирования превосходит сайты-анонимайзеры и прокси-сервера не только по устойчивости к взлому, степени скрытности клиента, но и по удобству пользования.

Многие специалисты ИТ единогласно утверждают, что VPN ждёт большое будущее. На радость системным администраторам, обычным пользователям ПК и всем тем, кто не равнодушен к конфиденциальности личных данных.

Читать дальше: