VPN (англ. Virtual Private Network — виртуальная частная сеть) — это безопасное зашифрованное подключение пользователя к сети, с которым он может обходить локальные ограничения и сохранять конфиденциальность.
Для организации связи между конечными устройствами используются процесс логического соединения между двумя конечными точками посредством инкапсуляции различных протоколов.
Соединение VPN – это, так называемый, «туннель» между компьютером пользователя и компьютером-сервером. Каждый узел шифрует данные до их попадания в «туннель».
Слайд 3
1)Это актуально при работе с ненадежной точкой доступа вроде публичного Wi-Fi;
2)Он соединяет основной офис с филиалами: так создается закрытая внутренняя сеть, где все офисы подключены между собой.
СЛАЙД 4
Вы подключаетесь к VPN, система идентифицирует вашу сеть и начинает аутентификацию (сравнивает введенный пароль с паролем в своей базе данных).
Далее сервер Вас авторизует, то есть предоставляет право на выполнение определенных действий: чтение почты, интернет-серфинг и т.д. После установления соединения весь трафик передается между вашим ПК и сервером в зашифрованном виде. Ваш ПК имеет IP-адрес, предоставленный интернет-провайдером. Этот IP блокирует доступ к некоторым сайтам. VPN сервер меняет ваш IP на свой. Уже с VPN-сервера все данные передаются к внешним ресурсам, которые вы запрашиваете. Теперь можно просматривать любые ресурсы и не быть отслеженным.
Слайд 6
Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего процессора, то добавление туннелей VPN и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN.
• VPN на базе брандмауэров. Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что трафик, проходящий через брандмауэр шифруется. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком этого метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.
• VPN на базе маршрутизаторов. Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования. Примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3, маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec.
• VPN на базе программного обеспечения. Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере, и в большинстве случаев играет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.
• VPN на базе сетевой ОС.
• VPN на базе аппаратных средств. Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности.
8 слайд
Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.
Таблица 1 – Сравнение характеристик VPN-протоколов
Название
Безопасность
Скорость передачи данных
Преимущества
Недостатки
PPTP
-
Быстрая Канальному (второму)
Клиент PPTP встроен почти во все операционные системы,
очень прост в настройке
Небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется), устаревший протокол.
L2TP/IPSec
+
Быстрая, могут возникнуть задержки
Канальному (второму) - сетевому
Может потребоваться дополнительная настройка роутера, может работать не быстро из-за алгоритмов шифрования
IPSec
+
Быстрый сетевому (третьему)
Шифруются не только сетевые каналы но и любые подключения, например, к корпоративным ресурсам
Требуются правильная настройка шифрования
IKEv2
+
Быстрый Канальному (второму) - сетевому
Несколько режимов работы: туннельный и транспортный
Сложность настройки
OpenVPN
+
Быстрая Транспортный уровень
Гибко настраивается, работает сквозь файрволлы, большой спектр шифрования
Необходимо стороннее программное обеспечение.
SSTP
+
Быстрая Сетевой уровень
Полная интеграция в Windows, может работать сквозь файрволлы.
Работает только в Windows-среде
Wireguard
+
Быстрая Сетевой уровень
Удобство работы
Находится на этапах разработки
Gre
-
Быстрая
транспортный уровень
Легкость настройки
Невозможность обслуживание больших сетей, нет шифрования
Преимущество того или иного протокола VPN зависит от ряда факторов и условий использования. На основе данного сравнения можно сделать вывод о том, что несмотря на шифрование и безопасность VPN-протоколов, у каждого есть свои преимущества и недостатки. Каждый их них стоит применять в соответствующих ситуациях и ориентируясь непосредственно на требования конкретного предприятия.
Пример работы GRE туннеля. Между двумя маршрутизаторами A и B находится несколько маршрутизаторов, туннель позволяет обеспечить связь между сегментами сети 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были соединены прямым портом
Слайд 10
Туннель GRE используется, когда пакеты должны быть отправлены из одной сети в другую через Интернет или незащищенную сеть. В GRE виртуальный туннель создается между двумя конечными точками (маршрутизаторами Cisco), а пакеты отправляются через туннель GRE.
Важно отметить, что пакеты, проходящие внутри туннеля GRE, не шифруются, поскольку GRE не шифрует туннель, а инкапсулирует его с заголовком GRE. Если требуется защита данных, IPSec должен быть настроен для обеспечения конфиденциальности данных - тогда GRE-туннель преобразуется в безопасный VPN-туннель GRE.
На приведенной ниже схеме показана процедура инкапсуляции простого незащищенного пакета GRE, проходящего через маршрутизатор и входящего в туннельный интерфейс:
Хотя многие могут подумать, что туннель GRE IPSec между двумя маршрутизаторами похож на VPN-соединение IPSec между сайтами, это не так. Основное отличие состоит в том, что туннели GRE позволяют multicast пакетам проходить через туннель, тогда как IPSec VPN не поддерживает multicast пакеты.
В больших сетях, где необходимы протоколы маршрутизации, такие как OSPF, EIGRP, туннели GRE - ваш лучший выбор. По этой причине, а также из-за того, что туннели GRE гораздо проще в настройке, инженеры предпочитают использовать GRE, а не IPSec VPN.
В этой статье объясняется, как создавать простые незащищенные (unprotected) и безопасные (IPSec encrypted) туннели GRE между конечными точками. Мы объясним все необходимые шаги для создания и проверки туннеля GRE (незащищенного и защищенного) и настройки маршрутизации между двумя сетями.