Виртуальная частная сеть

редактировать
Позволяет частной сети проходить через общедоступную сеть

Обзор VPN-подключения

A виртуальная частная сеть ( VPN ) расширяет частную сеть через общедоступную сеть и позволяет пользователям отправлять и получать данные через общие или общедоступные сети, как если бы их вычислительные устройства были напрямую подключены к частной сети. Таким образом, приложения, работающие через VPN, могут получить выгоду от функциональности, безопасности и управления частной сетью. Шифрование является обычной, хотя и не неотъемлемой частью VPN-соединения.

Технология VPN была разработана для обеспечения доступа к корпоративным приложениям и ресурсам удаленным или мобильным пользователям, а также филиалам. В целях безопасности соединение с частной сетью может быть установлено с использованием зашифрованного многоуровневого протокола туннелирования , и от пользователей может потребоваться пройти различные методы аутентификации для получения доступа к VPN. В других приложениях пользователи Интернета могут защищать свои соединения с помощью VPN, чтобы обойти геоблокировку и цензуру или подключиться к прокси-серверам для защиты личных данных и местоположения. оставаться анонимным в Интернете. Однако некоторые веб-сайты блокируют доступ к известным IP-адресам, используемым VPN, чтобы предотвратить обход их географических ограничений, и многие провайдеры VPN разрабатывают стратегии, позволяющие обойти эти блокировки.

VPN создается путем установления виртуального двухточечного соединения с использованием выделенных каналов или протоколов туннелирования по существующим сетям. VPN, доступная из общедоступного Интернета, может предоставить некоторые из преимуществ глобальной сети (WAN). С точки зрения пользователя, к ресурсам, доступным в частной сети, можно получить доступ удаленно.

Содержание

  • 1 Типы
  • 2 Механизмы безопасности
    • 2.1 Аутентификация
  • 3 Маршрутизация
    • 3.1 VPN, предоставляемая поставщиком строительные блоки
  • 4 Видимые пользователем службы PPVPN
    • 4.1 Службы OSI уровня 2
    • 4.2 Архитектуры PPVPN уровня 3 OSI
    • 4.3 Незашифрованные туннели
  • 5 Надежные сети доставки
  • 6 Типы развертывания
    • 6.1 VPN в мобильной среде
    • 6.2 VPN на маршрутизаторах
  • 7 Сетевые ограничения
    • 7.1 Tor
  • 8 Услуги VPN
  • 9 Законность
    • 9.1 Китай
  • 10 См. Также
  • 11 Ссылки
  • 12 Дополнительная литература
  • 13 Внешние ссылки

Типы

Классификация VPN на основе сначала топологии, а затем используемой технологии. Типичная VPN типа "сеть-сеть".

Существуют три широкие категории виртуальных частных сетей, а именно удаленный доступ, связь между узлами на основе интрасети и связь между узлами на основе экстрасети. В то время как отдельные пользователи наиболее часто взаимодействуют с виртуальными частями удаленного доступа, предприятия чаще используют виртуальные частные сети типа «сеть-сеть».

Ранние сети передачи данных позволяли подключаться к удаленным сайтам в стиле VPN через модем удаленного доступа или через выделенную линию соединения с использованием виртуальных каналов X.25, Frame Relay и асинхронного режима передачи (ATM), предоставляемых через сети принадлежит и управляется операторами связи. Эти сети не считаются настоящими VPN, поскольку они пассивно защищают передаваемые данные путем создания логических потоков данных. Они были заменены сетями VPN на основе IP и IP / сетей с многопротокольной коммутацией по меткам (MPLS) из-за значительного снижения затрат и увеличения пропускной способности, обеспечиваемой новыми технологиями, такими как цифровая абонентская линия (DSL) и волоконно-оптические сети.

VPN можно охарактеризовать как межсетевой или удаленный доступ при подключении одного компьютера к сети или как межсетевой для соединения двух сетей. В корпоративной среде виртуальные частные сети удаленного доступа позволяют сотрудникам получать доступ к интрасети компании за пределами офиса. Сети VPN типа "сеть-сеть" позволяют сотрудникам в географически разнесенных офисах использовать одну и ту же виртуальную сеть. VPN также можно использовать для соединения двух похожих сетей через разную промежуточную сеть, например, две сети IPv6, соединенные через сеть IPv4.

Системы VPN могут быть классифицируется по:

  • протоколу туннелирования, используемому для туннелирования трафика
  • местоположения точки завершения туннеля, например, на стороне клиента на границе или на границе поставщика сети
  • тип топологии соединений, например, сайт-сайт или сеть-сеть
  • уровни безопасности
  • уровень OSI они представляют для соединяющейся сети, например, цепи уровня 2 или сетевое подключение уровня 3
  • количество одновременных подключений

механизмы безопасности

VPN не могут создавать полностью анонимные онлайн-соединения, но они обычно может повысить конфиденциальность и безопасность. Чтобы предотвратить раскрытие частной информации, VPN обычно разрешают только аутентифицированный удаленный доступ с использованием протоколов туннелирования и методов шифрования.

Модель безопасности VPN обеспечивает:

Фазы жизненного цикла туннеля IPSec в виртуальной частной сети.

Протоколы защищенной VPN включают в себя следующее:

Аутентификация

Конечные точки туннеля должны быть аутентифицированы, прежде чем можно будет установить безопасные туннели VPN. Создаваемые пользователями виртуальные частные сети удаленного доступа могут использовать пароли, биометрические, двухфакторную аутентификацию или другие криптографические методы. В туннелях между сетью часто используются пароли или цифровые сертификаты. В них постоянно хранится ключ, позволяющий автоматически устанавливать туннель без вмешательства администратора.

Маршрутизация

Протоколы туннелирования могут работать в сетевой топологии точка-точка , которая теоретически не может считаться VPN, поскольку VPN Ожидается, что определение будет поддерживать произвольные и изменяющиеся наборы сетевых узлов. Но поскольку большинство реализаций маршрутизатора поддерживают программно-определяемый туннельный интерфейс, предоставляемые заказчиком VPN часто представляют собой просто определенные туннели, в которых используются обычные протоколы маршрутизации.

Строительные блоки VPN, предоставляемые поставщиком

Терминология Site-to-Site VPN.

В зависимости от того, работает ли VPN, предоставляемая поставщиком (PPVPN) на уровне 2 или уровне 3, описанные строительные блоки ниже может быть только L2, только L3 или их комбинация. Многопротокольная коммутация меток (MPLS) размывает идентичность L2-L3. {{}}

RFC 4026 обобщил следующие термины, чтобы охватить L2 MPLS VPN и L3 (BGP) VPN, но они были представлены в RFC 2547.

устройствах клиента (C)

Устройство, которое находится в сети клиента и не подключены напрямую к сети поставщика услуг. Устройства C не знают о VPN.

Устройство на границе клиента (CE)

Устройство на границе сети клиента, которое обеспечивает доступ к PPVPN. Иногда это просто граница между ответственностью поставщика и клиента. Другие провайдеры позволяют клиентам настраивать его.

Устройство на границе поставщика (PE)

Устройство или набор устройств на границе сети поставщика, которое подключается к клиентским сетям через устройства CE и представляет точку зрения поставщика на сайт клиента. PE знают о VPN, которые подключаются через них, и поддерживают состояние VPN.

Устройство провайдера (P)

Устройство, которое работает в базовой сети провайдера и не взаимодействует напрямую с конечной точкой клиента. Он может, например, обеспечивать маршрутизацию для многих туннелей, управляемых провайдером, которые принадлежат PPVPN разных клиентов. Хотя устройство P является ключевой частью реализации PPVPN, оно само не поддерживает VPN и не поддерживает состояние VPN. Его основная роль заключается в том, чтобы позволить поставщику услуг масштабировать свои предложения PPVPN, например, выступая в качестве точки агрегации для нескольких PE. Соединения P-to-P в такой роли часто представляют собой оптические каналы с высокой пропускной способностью между основными местоположениями поставщиков.

Видимые пользователем службы PPVPN

Службы OSI уровня 2

Виртуальная локальная сеть

Виртуальная локальная сеть (VLAN) - это метод уровня 2, который позволяет сосуществовать множеству широковещательные домены локальной сети (LAN), соединенные соединительными линиями с использованием транкового протокола IEEE 802.1Q. Другие протоколы транкинга использовались, но стали устаревшими, включая Inter-Switch Link (ISL), IEEE 802.10 (первоначально протокол безопасности, но подмножество было введено для транкинга) и ATM LAN Emulation (LANE).

Служба виртуальной частной локальной сети (VPLS)

Разработана Институтом инженеров по электротехнике и электронике, Виртуальные локальные сети (VLAN) позволяют нескольким тегированным локальным сетям совместно использовать общий транкинг. Сети VLAN часто включают только объекты, принадлежащие клиенту. В то время как VPLS, описанный в предыдущем разделе (службы OSI уровня 1), поддерживает эмуляцию топологий как точка-точка, так и топология точка-многоточка, обсуждаемый здесь метод расширяет технологии уровня 2, такие как 802.1d и 802.1q LAN-транкинг для работы с такими транспортными потоками, как Metro Ethernet.

В данном контексте VPLS - это PPVPN уровня 2, имитирующий полную функциональность традиционная локальная сеть. С точки зрения пользователя, VPLS позволяет соединить несколько сегментов LAN через ядро ​​провайдера с коммутацией пакетов или оптическое ядро, ядро, прозрачное для пользователя, заставляя удаленные сегменты LAN вести себя как единую LAN.

В VPLS сеть провайдера имитирует обучающий мост, который опционально может включать службу VLAN.

Псевдопровод (PW)

PW похож на VPLS, но может обеспечивать разные протоколы L2 на обоих концах. Обычно его интерфейс представляет собой протокол WAN, такой как режим асинхронной передачи или Frame Relay. Напротив, при стремлении создать видимость LAN, смежной между двумя или более местоположениями, будет уместна услуга Virtual Private LAN или IPLS.

Ethernet через IP-туннелирование

EtherIP (RFC 3378 ) - это спецификация протокола туннелирования Ethernet через IP. EtherIP имеет только механизм инкапсуляции пакетов. В нем нет защиты конфиденциальности и целостности сообщений. EtherIP был представлен в сетевом стеке FreeBSD и в серверной программе SoftEther VPN.

IP-сервис, подобный LAN (IPLS)

Подмножество VPLS, устройства CE должны иметь возможности уровня 3; IPLS представляет пакеты, а не кадры. Он может поддерживать IPv4 или IPv6.

Архитектура PPVPN уровня 3 OSI

В этом разделе обсуждаются основные архитектуры для PPVPN, в одной из которых PE устраняет неоднозначность адресов в одном экземпляре маршрутизации, а во второй - виртуальный маршрутизатор, в котором PE содержит экземпляр виртуального маршрутизатора для каждой VPN. Первый подход и его варианты привлекли наибольшее внимание.

Одна из проблем PPVPN связана с тем, что разные клиенты используют одно и то же адресное пространство, особенно пространство частных адресов IPv4. Провайдер должен иметь возможность устранять перекрывающиеся адреса в PPVPN нескольких клиентов.

BGP / MPLS PPVPN

В методе, определенном в RFC 2547, расширения BGP объявляют маршруты в семействе адресов IPv4 VPN, которые имеют форму 12-байтовые строки, начинающиеся с 8-байтового отличителя маршрута (RD) и заканчивающиеся 4-байтовым IPv4-адресом. RD устраняет неоднозначность, иначе дублирующиеся адреса в одном PE.

PE понимают топологию каждой VPN, которые связаны с туннелями MPLS либо напрямую, либо через P-маршрутизаторы. В терминологии MPLS маршрутизаторы P - это маршрутизаторы с коммутацией меток, не осведомленные о VPN.

Виртуальный маршрутизатор PPVPN

Архитектура виртуального маршрутизатора, в отличие от методов BGP / MPLS, не требует модификации существующих протоколов маршрутизации, таких как BGP. Предоставляя логически независимые домены маршрутизации, заказчик, использующий VPN, полностью отвечает за адресное пространство. В различных туннелях MPLS разные PPVPN различаются по своей метке, но не нуждаются в различителях маршрутизации.

Незашифрованные туннели

Некоторые виртуальные сети используют протоколы туннелирования без шифрования для защиты конфиденциальности данных. Хотя виртуальные частные сети часто действительно обеспечивают безопасность, незашифрованная сеть с перекрытием не вписывается в безопасную или надежную категоризацию. Например, туннель, установленный между двумя хостами с Generic Routing Encapsulation (GRE), является виртуальной частной сетью, но не является ни безопасной, ни надежной.

Собственное открытое текстовое туннелирование протоколы включают протокол туннелирования уровня 2 (L2TP), если он настроен без IPsec и протокол туннелирования точка-точка (PPTP) или Microsoft Point-to-Point Encryption (MPPE).

Надежные сети доставки

Надежные VPN не используют криптографическое туннелирование; вместо этого они полагаются на безопасность сети одного провайдера для защиты трафика.

С точки зрения безопасности, VPN либо доверяют базовой сети доставки, либо должны обеспечивать безопасность с помощью механизмов в самой VPN. Если доверенная сеть доставки не работает только между физически защищенными сайтами, как для доверенных, так и для защищенных моделей требуется механизм аутентификации для пользователей, чтобы получить доступ к VPN.

Типы развертывания

VPN в мобильных средах

Пользователи используют мобильные виртуальные частные сети в настройках, где конечная точка VPN не привязана к один IP-адрес, но вместо этого перемещается по различным сетям, таким как сети передачи данных от операторов сотовой связи или между несколькими точками доступа Wi-Fi без прерывания безопасного сеанса VPN или потери сеансов приложений. Мобильные VPN широко используются в общественной безопасности, где они предоставляют правоохранительным органам доступ к таким приложениям, как автоматизированная диспетчеризация и криминальным базам данных, а также в других организациях с аналогичными требованиями, такими как Управление выездной службой и здравоохранение.

VPN на маршрутизаторах

С ростом использования виртуальных частных сетей многие начали развертывать VPN-подключение на маршрутизаторах для дополнительной безопасности и шифрования передачи данных с использованием различных криптографических методов. Домашние пользователи обычно развертывают VPN на своих маршрутизаторах для защиты таких устройств, как смарт-телевизор или игровые консоли, которые не поддерживаются собственными VPN-клиентами. Поддерживаемые устройства не ограничиваются теми, которые могут работать с клиентом VPN.

Многие производители маршрутизаторов поставляют маршрутизаторы со встроенными клиентами VPN. Некоторые используют прошивки с открытым исходным кодом, такие как DD-WRT, OpenWRT и Tomato, чтобы поддерживать дополнительные протоколы, такие как OpenVPN.

Настройка Услуги VPN на маршрутизаторе требуют глубоких знаний в области сетевой безопасности и тщательной установки. Незначительная неправильная конфигурация VPN-соединений может сделать сеть уязвимой. Производительность зависит от интернет-провайдера (ISP).

Сетевые ограничения

Ограничением традиционных VPN является то, что они являются соединениями точка-точка и не склонны поддерживать широковещательные домены ; следовательно, связь, программное обеспечение и сеть, которые основаны на уровне 2 и широковещательные пакеты, такие как NetBIOS, используемые в сети Windows, может не поддерживаться полностью, как в локальной сети. Варианты VPN, такие как Virtual Private LAN Service (VPLS) и протоколы туннелирования уровня 2, предназначены для преодоления этого ограничения.

Tor

Невозможно скрыть Использование Tor у интернет-провайдеров (ISP) с помощью VPN, поскольку технический анализ показал, что эта цель слишком сложна, чтобы быть осуществимой на практике. VPN уязвимы для атаки, называемой отпечатками трафика веб-сайтов.

И провайдер, и администратор локальной сети могут легко проверить, установлены ли соединения с ретранслятором Tor, а не с обычным веб-сервером. Целевой сервер, с которым установился контакт через Tor, может узнать, исходит ли связь от выходного реле Tor, просмотрев общедоступный список известных выходных реле. Например, для этой цели можно использовать инструмент Tor Project Bulk Exit List.

VPN-сервисы

Большое количество (обычно коммерческих) организаций предоставляют «VPN» для всех типов целей, но в зависимости от провайдера и приложения, они часто не создают настоящую «частную сеть» с чем-либо значимым в локальной сети. Тем не менее термин становится все более распространенным. Широкая публика в основном стала использовать термин VPN-сервис или просто VPN специально для коммерчески продаваемых продуктов или услуг, которые используют протокол VPN для туннелирования интернет-трафика пользователя, поэтому IP-адрес сервера поставщика услуг представляется публичным IP-адресом пользователя. В зависимости от должным образом реализованных функций трафик пользователя, его местоположение и / или реальный IP-адрес могут быть скрыты от общественности, тем самым обеспечивая желаемые предлагаемые функции доступа в Интернет, такие как цензура в Интернете обход, анонимизация трафика. и геоблокировка. Они надежно туннелируют интернет-трафик пользователя только между общедоступным интернетом и устройством пользователя, и обычно устройства пользователя, подключенные к одной и той же «VPN», не могут видеть друг друга. Эти VPN могут быть основаны на типичных протоколах VPN или более замаскированных реализациях VPN, таких как SoftEther VPN, но также используются прокси-протоколы, такие как Shadowsocks. Эти VPN обычно продаются как службы защиты конфиденциальности.

На стороне клиента обычная настройка VPN по дизайну не является обычной VPN, но обычно использует интерфейсы VPN операционной системы для захвата данных пользователя для отправки. Сюда входят виртуальные сетевые адаптеры в операционных системах компьютеров и специализированные интерфейсы «VPN» в мобильных операционных системах. Менее распространенной альтернативой является предоставление интерфейса прокси SOCKS.

Пользователи должны учитывать, что, когда передаваемый контент не зашифрован перед входом в VPN, эти данные видны в принимающей конечной точке (обычно на сайте общедоступного поставщика VPN) независимо от того, зашифрована ли сама оболочка туннеля VPN для межузловой транспорт. Единственная безопасная VPN - это когда участники контролируют оба конца всего пути данных, или контент зашифровывается до того, как он попадает в провайдер туннеля.

Законность

Китай

Несанкционированные VPN запрещены в Китае, так как их могут использовать граждане для обхода Великого файрвола. (VPN относится к любому протоколу, который направляет трафик в другое место, как указано выше.) На людей, продающих несанкционированные услуги VPN, налагались тюремные сроки и штрафы. Физические лица также были оштрафованы за доступ к веб-сайтам с помощью VPN.

Запрет не распространяется на иностранные компании, а также государственные учреждения и компании. У официальных представителей правительства Китая, таких как Чжао Лицзянь и Хуа Чунин, а также редактор Ху Сицзинь из связанной с государством Global Times, есть официальные учетные записи социальных сетей в Twitter, сервис, который запрещен в материковом Китае.

См. также

Ссылки

Дополнительная литература

Внешние ссылки

  • Tor plus VPN на сайте документации проекта Tor
Последняя правка сделана 2021-06-18 03:37:07
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте