VPN

VPN ( engelsk  Virtual Private Network  "virtuelt privat netværk") er et generaliseret navn for teknologier, der tillader, at en eller flere netværksforbindelser leveres over et andet netværk, såsom internettet [1] . På trods af at netværk med et lavere eller ukendt tillidsniveau anvendes til kommunikation (f.eks. offentlige netværk), afhænger tillidsniveauet i det konstruerede logiske netværk ikke af tillidsniveauet til de underliggende netværk på grund af brugen. af kryptografiske værktøjer (kryptering, autentificering, offentlig nøgleinfrastruktur , værktøjsbeskyttelse mod gentagelser og ændringer af meddelelser transmitteret over det logiske netværk).

Afhængigt af de anvendte protokoller og destinationen kan en VPN give tre typer forbindelser: vært-til-vært, vært-til-netværk og netværk-til-netværk.

Implementeringsniveauer

Typisk installeres VPN'er på niveauer, der ikke er højere end netværket, da brugen af ​​kryptografi på disse niveauer tillader brugen af ​​transportprotokoller (såsom TCP , UDP ) uændret.

Microsoft Windows - brugere bruger udtrykket VPN til at henvise til en af ​​de virtuelle netværksimplementeringer - PPTP bruges desuden ofte ikke til at oprette private netværk.

For at skabe et virtuelt netværk bruges oftest indkapsling af PPP -protokollen i en anden protokol - IP (denne metode bruger implementeringen af ​​PPTP  - Point-to-Point Tunneling Protocol) eller Ethernet ( PPPoE ) (selvom de også har forskelle ).

VPN-teknologi er for nylig blevet brugt ikke kun til selv at skabe private netværk, men også af nogle " last mile " -udbydere i det post-sovjetiske rum til at give internetadgang .

Med det korrekte implementeringsniveau og brugen af ​​speciel software kan et VPN-netværk give et højt krypteringsniveau af transmitteret information.

Struktur af en VPN

En VPN består af to dele: et "internt" (kontrolleret) netværk, som der kan være flere af, og et "eksternt" netværk, som den indkapslede forbindelse passerer igennem (normalt bruges internettet ).

Det er også muligt at tilslutte en enkelt computer til et virtuelt netværk .

En fjernbruger er forbundet til VPN'et gennem en adgangsserver, der er forbundet til både det interne og eksterne (offentlige) netværk. Når du forbinder en fjernbruger (eller når du etablerer en forbindelse til et andet sikkert netværk), kræver adgangsserveren, at identifikationsprocessen gennemgår , og derefter godkendelsesprocessen . Efter en vellykket afslutning af begge processer er fjernbrugeren (fjernnetværket) bemyndiget til at arbejde på netværket, det vil sige godkendelsesprocessen finder sted .

VPN-klassifikation

VPN-løsninger kan klassificeres efter flere hovedparametre:

I henhold til graden af ​​sikkerhed i det anvendte miljø

Beskyttet

Den mest almindelige version af virtuelle private netværk. Med dens hjælp er det muligt at skabe et pålideligt og sikkert netværk baseret på et upålideligt netværk, normalt internettet. Eksempler på sikre VPN'er er: IPSec , OpenVPN og PPTP .

Tillid

De bruges i tilfælde, hvor transmissionsmediet kan anses for pålideligt, og det kun er nødvendigt at løse problemet med at skabe et virtuelt undernet inden for et større netværk. Sikkerhedsproblemer bliver irrelevante. Eksempler på sådanne VPN-løsninger er: Multi-protocol label switching ( MPLS ) og L2TP (Layer 2 Tunneling Protocol) (det ville være mere præcist at sige, at disse protokoller flytter sikkerhedsopgaven til andre, for eksempel bruges L2TP normalt i tandem med IPSec).

Som implementering

I form af speciel software og hardware

Implementeringen af ​​VPN-netværket udføres ved hjælp af et særligt sæt software og hardware. Denne implementering giver høj ydeevne og som regel en høj grad af sikkerhed.

Som softwareløsning

En personlig computer bruges med speciel software, der giver VPN-funktionalitet.

Integreret løsning

VPN-funktionalitet leveres af et kompleks, der også løser problemerne med at filtrere netværkstrafik, organisere en firewall og sikre servicekvalitet.

Efter aftale

Intranet VPN

Det bruges til at kombinere flere distribuerede grene af en organisation til et enkelt sikkert netværk, der udveksler data via åbne kommunikationskanaler.

Fjernadgang VPN

Det bruges til at skabe en sikker kanal mellem et virksomhedsnetværkssegment (centralkontor eller filial) og en enkelt bruger, der, mens han arbejder hjemme, opretter forbindelse til virksomhedens ressourcer fra en hjemmecomputer, virksomhedens bærbare computer , smartphone eller internetkiosk .

Ekstranet VPN

Bruges til netværk, som "eksterne" brugere (såsom kunder eller klienter) forbinder til. Tilliden til dem er meget lavere end hos virksomhedens ansatte, derfor er det nødvendigt at give særlige "grænser" for beskyttelse, der forhindrer eller begrænser sidstnævntes adgang til særligt værdifulde, fortrolige oplysninger.

Internet VPN

Bruges af udbydere til at give adgang til internettet, normalt hvis flere brugere forbinder via én fysisk kanal. PPPoE-protokollen er blevet standarden i ADSL - forbindelser.

L2TP var udbredt i midten af ​​2000'erne i hjemmenetværk : I de dage blev intranettrafik ikke betalt, og ekstern trafik var dyr. Dette gjorde det muligt at kontrollere omkostningerne: Når VPN-forbindelsen er slået fra, betaler brugeren ikke noget. I øjeblikket (2012) er kablet internet billigt eller ubegrænset, og på brugerens side er der ofte en router , hvor det ikke er lige så praktisk at tænde og slukke for internettet som på en computer. Derfor er L2TP-adgang fortid.

Klient/server VPN

Denne mulighed giver beskyttelse af data i transit mellem to værter (ikke netværk) på et virksomhedsnetværk. Det særlige ved denne mulighed er, at VPN er bygget mellem noder, der normalt er placeret i det samme netværkssegment, for eksempel mellem en arbejdsstation og en server. Dette behov opstår meget ofte i tilfælde, hvor det er nødvendigt at oprette flere logiske netværk i ét fysisk netværk. For eksempel, når det er nødvendigt at dele trafikken mellem økonomiafdelingen og personaleafdelingen, adgang til servere placeret i samme fysiske segment. Denne mulighed ligner VLAN- teknologi , men i stedet for at adskille trafik, er den krypteret.

Efter protokoltype

Der er implementeringer af virtuelle private netværk under TCP/IP, IPX og AppleTalk. Men i dag er der en tendens til en generel overgang til TCP/IP-protokollen, og langt de fleste VPN-løsninger understøtter det. Adressering i den vælges oftest i overensstemmelse med RFC5735- standarden fra rækken af ​​private TCP/IP-netværk .

Efter netværksprotokolniveau

Efter netværksprotokollag, baseret på en mapping til lagene i ISO/OSI-netværksreferencemodellen.

VPN-forbindelse på routere

Med den voksende popularitet af VPN-teknologier er mange brugere begyndt aktivt at konfigurere en VPN-forbindelse på routere for at øge netværkssikkerheden [2] . VPN-forbindelsen konfigureret på routeren [3] krypterer netværkstrafikken på alle tilsluttede enheder, inklusive dem, der ikke understøtter VPN-teknologier [4] .

Mange routere understøtter en VPN-forbindelse og har en indbygget VPN-klient. Der er routere, der kræver open source-software såsom DD-WRT , OpenWrt og Tomato for at understøtte OpenVPN -protokollen .

Sårbarheder

Brugen af ​​WebRTC- teknologi , som er aktiveret som standard i hver browser, giver en tredjepart mulighed for at bestemme den rigtige offentlige IP-adresse på en enhed, der kører gennem en VPN. Dette er en direkte trussel mod privatlivets fred, fordi du ved at kende brugerens rigtige IP-adresse kan identificere ham entydigt på netværket [5] . For at forhindre adresselækage anbefales det enten at deaktivere WebRTC fuldstændigt i browserindstillingerne [6] eller at installere en speciel tilføjelse [7] .

VPN'er er sårbare over for et angreb kaldet website traffic fingerprinting [8] . Meget kort: dette er et passivt aflytningsangreb; selvom modstanderen kun observerer den krypterede trafik fra VPN, kan han stadig gætte, hvilken hjemmeside der besøges, fordi alle hjemmesider har bestemte trafikmønstre. Indholdet af transmissionen er stadig skjult, men hvilken hjemmeside den forbinder til er ikke længere en hemmelighed [9] [10] .

Den 20. juli 2020 blev data fra 20 millioner brugere af gratis VPN-tjenester fundet på internettet, blandt hvilke der kan være mindst titusindvis af russere. UFO VPN, Hurtig VPN, Gratis VPN, Super VPN, Flash VPN, Secure VPN og Rabbit VPN app-data findes på en usikret server, inklusive e-mail-adresser, klare adgangskoder, IP- og hjemmeadresser, smartphonemodeldata og brugerenheds-id'er [ 11] .

Eksempler på VPN'er

• IPSec (IP-sikkerhed) - bruges ofte over IPv4 .
• PPTP (point-to-point tunneling protocol) - udviklet i fællesskab af flere virksomheder, herunder Microsoft .
• PPPoE ( PPP (Point-to-Point Protocol) over Ethernet )
• L2TP (Layer 2 Tunneling Protocol) - bruges i produkter fra Microsoft og Cisco .
• L2TPv3 (Layer 2 Tunneling Protocol version 3).
• OpenVPN SSL - Open source VPN, understøtter PPP, bridge, punkt-til-punkt, multi-klient servertilstande.
• freelan SSL P2P er en open source VPN.
• Hamachi  er et program til at skabe et peer-to- peer VPN-netværk.
• NeoRouter  er et zeroconf (ingen konfiguration nødvendig) program til at give direkte forbindelse af computere bag NAT , det er muligt at vælge din egen server.

Mange store udbydere tilbyder deres VPN-tjenester til erhvervskunder.

Se også

• overlejret netværk
• Dynamisk multipoint virtuelt privat netværk
• Hamachi
• Multi-link PPP-dæmon
• åbenvpn
• Puffin Browser
• Tinc (protokol)

Noter

1. ↑ Hvad er en VPN? - Virtuelt privat netværk  (engelsk) . cisco . Hentet: 22. december 2021.
2. ↑ Sådan fungerer  VPN'er . HowStuffWorks (14. april 2011). Dato for adgang: 7. februar 2019.
3. ↑ Sådan installeres en VPN på din  router . Nord VPN .
4. ↑ VPN . www.draytek.co.uk. Dato for adgang: 7. februar 2019. (ubestemt)
5. ↑ WebRTC-lækagetest: Reparation af en IP-lækage . ExpressVPN. Hentet: 26. januar 2019. (Russisk)
6. ↑ Hvor kan jeg deaktivere WebRTC og PeerConnection?  (engelsk) . Firefox Support Forum . Mozilla.
7. ↑ WebRTC-netværksbegrænser . Chrome Webshop . (ubestemt)
8. ↑ Designet og implementeringen af ​​Tor-browseren [UDKAST] . 2019.www.torproject.org. Hentet: 20. januar 2020. (ubestemt)
9. ↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Berøring fra afstand: Website fingeraftryksangreb og forsvar  (engelsk)  (link ikke tilgængeligt) . www3.cs.stonybrook.edu . Arkiveret fra originalen den 17. juni 2020.
10. ↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Berøring på  afstand . Proceedings fra 2012 ACM-konferencen om computer- og kommunikationssikkerhed . dl.acm.org. Hentet: 20. januar 2020.
11. ↑ Anonymitet afsløret i netværket  // Kommersant.

Litteratur

• Ivanov MA  Kryptografiske metoder til informationsbeskyttelse i computersystemer og netværk. — M.: KUDITS-OBRAZ, 2001. — 368 s.
• Kulgin M. Teknologier af virksomhedsnetværk. Encyklopædi. - Sankt Petersborg: Peter, 2000. - 704 s.
• Olifer V. G., Olifer N. A.  Computernetværk. Principper, teknologier, protokoller: En lærebog for universiteter. - St. Petersborg: Peter, 2001. - 672 s.
• Romanets Yu. V., Timofeev PA, Shangin VF  Beskyttelse af information i computersystemer og netværk. 2. udg. - M: Radio og kommunikation , 2002. - 328 s.
• Stallings V. Grundlæggende om netværksbeskyttelse. Applikationer og standarder = Netværkssikkerhed Essentials. Anvendelser og standarder. - M .: Williams , 2002. - S. 432. - ISBN 0-13-016093-8 .
• Sergei Petrenko. Sikkert virtuelt privat netværk: et moderne syn på beskyttelsen af ​​fortrolige data // World of the Internet. - 2001. - Nr. 2
• Markus Feilner . Virtuelle private netværk af ny generation // LAN. - 2005. - Nr. 11
• Alexey Lukatsky . Ukendt VPN // Computertryk. - 2001. - Nr. 10
• Alexander Barskov . We Say WAN, We Mean VPN / Network Solutions/LAN Magazine, nr. 06, 2010

Produktanmeldelser for VPN-bygning

• Joel Snyder . VPN: et opdelt marked // Netværk. - 1999. - Nr. 11
• Ryan Norman . Valg af VPN-protokollen // Windows IT Pro. - 2001. - Nr. 7
• Den første mursten i VPN-væggen. Oversigt over VPN-enheder på entry-level [Elektronisk dokument] / Valery Lukin . 
• VPN-hardwareoversigt [Elektronisk dokument]
• Rene hardware-VPN'er styrer tests med høj tilgængelighed [Elektronisk dokument] / Joel Snyder, Chris Elliott .
• Funktioner på det russiske VPN-marked [Elektronisk dokument]
• Indenlandske midler til at bygge virtuelle private netværk [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy

VPN-markedsoversigter

• Globalt MPLS VPN-marked ifølge Inonetics Research http://www.infonetics.com/pr/2011/Ethernet-and-IP-MPLS-VPN-Services-Market-Highlights.asp Arkiveret 21. april 2012 på Wayback Machine

Links

• A Framework for IP-baserede virtuelle private netværk [elektronisk dokument] / B. Gleeson, A. Lin, J. Heinanen  (engelsk)
• VPN og IPSec lige ved hånden [Elektronisk dokument] / Dru Lavigne 

Ordbøger og encyklopædier	Fantastisk catalansk stor kinesisk Fantastisk norsk Britannica (online)

Virtual Private Networks (VPN'er)
Teknologi	IPsec L2TP PPTP Split tunneling Lag 2 videresendelsesprotokol Direkte adgang
Software	Hamachi n2n netværksleder NeoRouter åbenvpn rp-pppoe tcpcrypt Vyatta wire vagt
VPN-tjenester	1.1.1.1 ExpressVPN Hotspot Shield Mullvad NordVPN Proton VPN psiphon Surfshark

internetforbindelse
Kablet forbindelse	Fiberoptisk linje (FOCL) ( FTTx , PON ) LAN ( Ethernet ) Koaksialkabel ( DOCSIS ) PSTN ( DSL ISDN Opkaldsadgang ( eng.  Dial-up ))
Trådløs forbindelse	Computernetværk ( WLAN : Wi-Fi ; WPAN : Bluetooth IR port NFC ) Mobilkommunikation ( WWAN : 0G • 1G • 2G • 3G • 4G • 5G • 6G ) Satellitforbindelse ( VSAT • DVB-S2 ) Terrestrisk internet ( DVB-T2 ) AOLS ( engelsk  FSO )
Internetforbindelseskvalitet ( ITU-T Y.1540, Y.1541)	Båndbredde (båndbredde) ( eng.  Netværksbåndbredde ) • Netværksforsinkelse (svartid, eng.  IPTD ) • Fluktuation af netværksforsinkelse ( eng.  IPDV ) • Pakketabsforhold ( eng.  IPLR ) • Pakkefejlrate ( eng.  IPER ) • Tilgængelighedsfaktor