" мы осветили 5 наиболее известных методов для сохранения анонимности и приватности в сети.
Сегодня мы хотим более подробно остановиться, на наш взгляд, на наиболее удобном и надежном для рядового пользователя сети Интернет методе, использовании VPN .

VPN-туннель – это виртуальное зашифрованное стойким алгоритмом соединение. Наглядно, его можно представить в виде непрозрачной трубы, а еще лучше этакого тоннеля, один конец которого упирается в компьютер рядового пользователя, а второй в специализированный сервер, находящийся, как правило, в другой стране.

Начнем с того, что на сервисе whoer.net - Вы быстро сможете узнать свой ip и проверить Вашу анонимность в Интернете.

VPN услуги, как правило платные, погуглив по Интернету, всегда можно найти недорогие услуги VPN (стоимость варьируется от 5-50 долларов в месяц, в зависимости от качества услуг).
До того, как начать тестирование, давайте разберемся, какие же виды VPN услуг нам будут доступны на платных VPN сервисах на сегодняшний день:

Современные виды VPN подключения:
* PPTP (англ. Point-to-point tunneling protocol)
* OpenVPN
* L2TP (англ. Layer 2 Tunneling Protocol)


PPTP (Point-to-point tunneling protocol) - это такой туннельный протокол типа "точка-точка", который позволяет компьютеру пользователя устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Этот протокол (PPTP) стал известен, потому что, это первый VPN протокол, который поддержала корпорация Microsoft. Все версии Windows, начиная с Windows 95 OSR2, уже включают в свой состав PPTP-клиент. Это самый известный и простой в настройке вариант подключения к VPN-сервису. Но, как говорится, есть здесь и отрицательный момент: многие интернет провайдеры блокируют работу PPTP подключений.

OpenVPN - это свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов вида "точка-точка" или сервер-клиенты между компьютерами. Она может устанавливать соединения между компьютерами, которые находятся за NAT-firewall без необходимости изменения его настроек. Но использование, этой технологии - потребует от Вас установки дополнительного программного обеспечения для всех операционных систем.

L2TP (Layer 2 Tunneling Protocol) - это сетевой протокол туннелирования канального уровня, сочетающий в себе протокол L2F (layer 2 Forwarding), разработанный компанией , и протокол корпорацией Microsoft. Позволяет создавать VPN с заданными приоритетами доступа, однако не содержит в себе средств шифрования и механизмов аутентификации (для создания защищённой VPN его используют совместно с IPSec). По отзывам экспертов, является наиболее защищенным вариантом VPN подключения, несмотря на трудность его настройки.

VPN-сервис, как правило, предоставляет на сегодня 2 вида протоколов: OpenVPN или PPTP . Вид подключения, как и выбор сервера (в США, Нидерландах, Великобритании т.д.), станет Вам доступен, как только Вы активируете подписку на услуги VPN.

Итак, что же Вам выбрать и в чем существенное отличие между OpenVPN и PPTP соединениями?

Оказывается, что у OpenVPN есть целый ряд преимуществ перед технологией PPTP VPN, а именно:
Шифрование 2048 бит, реализовано через SSL с использованием сертификатов PKI;
Адаптивное сжатие данных в соединении, с применением алгоритма компрессии LZO, да и скорость передачи данных через OpenVPN выше чем у PPTP;
Возможность использования одного TCP/UDP-порта (без привязки к конкретному порту);
Ethernet-Интерфейс может работать в режиме моста и пропускать широковещательные пакеты;
Его настройка также проста (при наличии определенного опыта, разумеется).

К тому же, неотъемлемой частью PPTP VPN является протокол GRE. А на данный момент, известны такие инцинденты, что некоторые интернет-провайдеры (в том числе и провайдеры сотовой связи) полностью блокируют подобный трафик.
Если же Вы зададите прямой вопрос в службу тех. поддержки провайдера, то Вам последует хитрый ответ: "Мол, ничего мы не блокируем". Поэтому, если у Вас именно такой вот провайдер, то мы рекомендуем Вам воспользоваться OpenVPN.

Еще перед использованием сервиса VPN (а также и других ) надо уяснить себе такой вопрос: "А собственно для чего Вы собираетесь пользоваться данным сервисом?"

Если Вы собрались изначально совершать криминальные действия ( , взлом , и СПАМа), то Вам собственно "не по адресу". С клиентами, которые ведут такие противоправные действия любой VPN-сервис разрывает деловые отношения.

Важно понять, что анонимизирующий сервис нужен прежде всего:

Для защиты своей приватности и конфиденциальности (Вашего трафика) от слишком ,
- для обхода нелепых ограничений на скачивание торрентов, посещения социальных сетей, использования программ типа и т.д.
Все причины для использования VPN-сервисов мы назвали в нашей прошлой статье " "

Ну а теперь приступим непосредственно к тестированию одного из сервисов платного VPN:

1) Активировав свою подписку и определившись с типом подключения VPN (OpenVPN или PPTP) скачаем программу для установки VPN соединения.

Вы можете воспользоваться к примеру бесплатной программой OpenVPN GUI .

VPNService Agent загружен

При использовании VPNServiceAgent ничего настраивать практически не нужно, при установке данной программы Вам выдаст такое сообщение (установка драйвера).

На e-mail, который Вы ввели при регистрации в сервисе, Вам придет сообщение с логином и паролем для Вашего соединения. Если подписка активна, то в в программе VPNServiceAgent Вам следует только нажать кнопку "соединиться " и подождать, когда будет установлено VPN подключение с сервером.

Если же Вы решили использовать программу OpenVPN GUI:

Чтобы скачать конфигурационный файл пройдите в "Личный кабинет", в раздел "Мои подписки". Щелкните по подписке протокола OpenVPN и нажмите на иконку "Скачать конфигурационный файл и ключи (Одним файлом)". Скачав файл, сохраните его в подпапку \config\ (например, C:\Program Files\OpenVPN\config).

Затем, запустите OpenVPN GUI от имени администратора. Для этого щелкните по значку программы правой кнопкой мыши и выберите строку "Запустить от имени администратора". Правой кнопкой мыши щелкните по значку программы в трее, выберите сервер и нажмите "Connect".
Ну вот и все о настройках и установках. VPN соединение заработало!!!

2) Проверим свой IP, через любой популярный сервис по проверке IP-адресов:
http://2ip.ru или http://ip-whois.net/ip.php
И видим, что IP наш совсем другой, не тот что был ранее выдан нам провайдером:)
108.XX.5.XXX вот примерно такой вот IP мы получили.

3) Затем сделаем "трассировку" маршрута, чтобы проверить, через какие промежуточные хосты проходит ваш трафик. Воспользуемся утилитой traceroute.

Для Windows это делается так:

Кнопка "Пуск" -> Выполнить -> cmd.exe
вводим команду "tracert google.com"

Результаты трассировки на скриншоте.

4) Ну серфинг то, понятно, уже у нас анонимный:) А вот как у нас дела обстоят с анонимизацией приложений?

Выполним пересылку электронной почты c помощью
Ну что ж, ящики на mail.ru, yahoo, а также корпоративные ящики, выданные нашим хостинг-провайдером - даже не ругнулись при смене IP!!!
А вот почта gmail - решила "перестраховаться", ну и правильно... "береженного бог бережет".
Вот что мы получили:

Так что пришлось заходить в gmail через браузер и делать подтверждение по мобильному телефону, таким образом мы разблокировали эккаунт.

Ну а вообще, почта наша отправляется из почтового клиента без указания нашего реального IP:

5) Что касается приложений, в которых в настройках безопасности стоит "блокировка доступа по IP", то мы для примера запустили Webmoney кошелек.
Нам сразу же пришло сообщение, см. рис.

Все дальнейшие транзакции пришлось подтверждать по мобильному телефону. Но работать с кошельком все-таки можно без проблем и через IP, выданный нам через VPN-сервис.

Тот же вариант будет, если Вы и на эккаунте в

Интернет все чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:

    конфиденциальность информации;

    целостность данных;

    доступность информации;

Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть .

Для наглядности представим следующий пример: предприятие имеет несколько территориально отдаленных филиалов и "мобильных" сотрудников, работающих дома или в разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ – это поставить модемы в каждом филиале и организовывать связь по мере необходимости. Такое решение, однако, не всегда удобно и выгодно – порой нужна постоянная связь и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VPN-подключения всех филиалов фирмы через Интернет и настройку VPN-средств на хостах сети.

Рис. 6.4. VPN-соединение типа сеть-сеть

Рис. 6.5. VPN-соединение типа хост-сеть

В этом случае решаются многие проблемы – филиалы могут располагаться где угодно по всему миру.

Опасность здесь заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего мира. Во-вторых, по Интернету все данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.

Чтобы этого не произошло, в решениях VPN используются такие средства, как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизация для проверки прав пользователя и разрешения доступа к виртуальной частной сети.

VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.

Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).

Хотя VPN-туннель устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами. Для примера, когда трём удалённым станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:

Рис. 6.6. Создание VPN-туннелей для нескольких удаленных точек

Пользователь устанавливает соединение с VPN-шлюзом, после чего пользователю открывается доступ к внутренней сети.

Внутри частной сети самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернету. Это справедливо и при соединении офисов с помощью VPN-шлюзов. Таким образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.

Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

    PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.

    L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.

    IPSec(Internet Protocol Security) – официальный Интернет-стандарт, разработан сообществом IETF (Internet Engineering Task Force).

Перечисленные протоколы поддерживаются устройствами D-Link.

Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP – протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.

Протокол PPTP позволяет создавать защищенные каналы для обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются с помощью протокола PPTP в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PPTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VPN, основанного на IPSec), так и любой другой протокол.

В настоящее время за счет легкости реализации протокол PPTP широко используется как для получения надежного защищенного доступа к корпоративной сети, так и для доступа к сетям Интернет-провайдеров, когда клиенту требуется установить PPTP-соединение с Интернет-провайдером для получения доступа в Интернет.

Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).

Как происходит установление соединения PPTP ?

PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP создают управляющее туннелем соединение, которое обеспечивает работоспособность канала. Этот процесс выполняется на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.

В дополнение к управляющему соединению PPTP создается соединение для пересылки данных по туннелю. Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP-кадра. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Данные с канального уровня достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IP, IPX, чтобы обеспечить возможность их передачи по IP-сетям. Однако применение только GRE-протокола не обеспечит установление сессии и безопасность данных. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.

На рис. 6.7 показана структура данных для пересылки по туннелю PPTP:

Рис. 6.7. Структура данных для пересылки по туннелю PPTP

Для организации VPN на основе PPTP не требуется больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP (решения PPTP существуют как для Windows, так и для Linux платформ), а на клиентских компьютерах выполнить необходимые настройки. Если же нужно объединить несколько филиалов, то вместо настройки PPTP на всех клиентских станциях лучше воспользоваться Интернет-маршрутизатором или межсетевым экраном с поддержкой PPTP: настройки осуществляются только на пограничном маршрутизаторе (межсетевом экране), подключенном к Интернету, для пользователей все абсолютно прозрачно. Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы серии DIR/DSR и межсетевые экраны серии DFL.

GRE -туннели

Generic Routing Encapsulation (GRE) – протокол инкапсуляции сетевых пакетов, обеспечивающий туннелирование трафика через сети без шифрования. Примеры использования GRE:

    передача трафика (в том числе широковещательного) через оборудование, не поддерживающее определенный протокол;

    туннелирование IPv6-трафика через сеть IPv4;

    передача данных через публичные сети для реализации защищенного VPN-соединения.

Рис. 6.8. Пример работы GRE-туннеля

Между двумя маршрутизаторами A и B ( рис. 6.8 ) находится несколько маршрутизаторов, GRE-туннель позволяет обеспечить соединение между локальными сетями 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были подключены напрямую.

L 2 TP

Протокол L2TP появился в результате объединения протоколов PPTP и L2F. Главное достоинство протокола L2TP в том, что он позволяет создавать туннель не только в сетях IP, но и в сетях ATM, X.25 и Frame relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных.

Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication (см. в разделе "L2TP over IPSec"). Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На рис. 6.9 показана структура данных для пересылки по туннелю L2TP.

Рис. 6.9. Структура данных для пересылки по туннелю L2TP

Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.

Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.

IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Безопасность IPSec достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки – инкапсуляции. Т.к. IPSec – стандарт Интернет, то для него существуют документы RFC:

    RFC 2401 (Security Architecture for the Internet Protocol) – архитектура защиты для протокола IP.

    RFC 2402 (IP Authentication header) – аутентификационный заголовок IP.

    RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) – использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.

    RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – использование алгоритма шифрования DES.

    RFC 2406 (IP Encapsulating Security Payload (ESP)) – шифрование данных.

    RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) – область применения протокола управления ключами.

    RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – управление ключами и аутентификаторами защищенных соединений.

    RFC 2409 (The Internet Key Exchange (IKE)) – обмен ключами.

    RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) – нулевой алгоритм шифрования и его использование.

    RFC 2411 (IP Security Document Roadmap) – дальнейшее развитие стандарта.

    RFC 2412 (The OAKLEY Key Determination Protocol) – проверка аутентичности ключа.

IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4.

Механизм IPSec решает следующие задачи:

    аутентификацию пользователей или компьютеров при инициализации защищенного канала;

    шифрование и аутентификацию данных, передаваемых между конечными точками защищенного канала;

    автоматическое снабжение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.

Компоненты IPSec

Протокол AH (Authentication Header) – протокол идентификации заголовка. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Но использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP-адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной (для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечивающий передачу ESP через UDP и использующий в своей работе порт UDP 4500). Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.

Протокол ESP (Encapsulation Security Payload) обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов.

Протокол ESP – инкапсулирующий протокол безопасности, который обеспечивает и целостность, и конфиденциальность. В режиме транспорта ESP-заголовок находится между исходным IP-заголовком и заголовком TCP или UDP. В режиме туннеля ESP-заголовок размещается между новым IP-заголовком и полностью зашифрованным исходным IP-пакетом.

Т.к. оба протокола – AH и ESP – добавляют собственные заголовки IP, каждый из них имеет свой номер (ID) протокола, по которому можно определить, что последует за IP-заголовком. Каждый протокол, согласно IANA (Internet Assigned Numbers Authority – организация, ответственная за адресное пространство сети Интернет), имеет свой собственный номер (ID). Например, для TCP этот номер равен 6, а для UDP – 17. Поэтому, очень важно при работе через межсетевой экран настроить фильтры таким образом, чтобы пропускать пакеты с ID AH и/или ESP протокола.

Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается ID протокола 51, а для ESP – номер 50.

ВНИМАНИЕ : ID протокола не то же самое, что номер порта.

Протокол IKE (Internet Key Exchange) – стандартный протокол IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для ассоциации безопасности (SA).

SA – это термин IPSec для обозначения соединения. Установленный SA (защищенный канал, называемый "безопасной ассоциацией" или "ассоциацией безопасности" – Security Association, SA) включает в себя разделяемый секретный ключ и набор криптографических алгоритмов.

Протокол IKE выполняет три основные задачи:

    обеспечивает средства аутентификации между двумя конечными точками VPN;

    устанавливает новые связи IPSec (создаёт пару SA);

    управляет существующими связями.

IKE использует UDP-порт с номером 500. При использовании функции NAT Traversal, как упоминалось ранее, протокол IKE использует UDP-порт с номером 4500.

Обмен данными в IKE происходит в 2 фазы. В первой фазе устанавливается ассоциация SA IKE. При этом выполняется аутентификация конечных точек канала и выбираются параметры защиты данных, такие как алгоритм шифрования, сессионный ключ и др.

Во второй фазе SA IKE используется для согласования протокола (обычно IPSec).

При настроенном VPN-туннеле для каждого используемого протокола создаётся одна пара SA. SA создаются парами, т.к. каждая SA – это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные пары SA хранятся на каждом узле.

Так как каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Этот номер называется SPI (Security Parameter Index) или индекс параметра безопасности.

SA храняться в базе данных (БД) SAD (Security Association Database).

Каждый узел IPSec также имеет вторую БД – SPD (Security Policy Database) – БД политики безопасности. Она содержит настроенную политику узла. Большинство VPN-решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.

Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения, и методы, выбранные для одной задачи, обычно не зависят от методов реализации других задач. Вместе с тем, рабочая группа IETF определила базовый набор поддерживаемых функций и алгоритмов, который должен быть однотипно реализован во всех продуктах, поддерживающих IPSec. Механизмы AH и ESP могут использоваться с различными схемами аутентификации и шифрования, некоторые из которых являются обязательными. Например, в IPSec определяется, что пакеты аутентифицируются либо с помощью односторонней функции MD5, либо с помощью односторонней функции SHA-1, а шифрование осуществляется с использованием алгоритма DES. Производители продуктов, в которых работает IPSec, могут добавлять другие алгоритмы аутентификации и шифрования. Например, некоторые продукты поддерживают такие алгоритмы шифрования, как 3DES, Blowfish, Cast, RC5 и др.

Для шифрования данных в IPSec может быть применен любой симметричный алгоритм шифрования, использующий секретные ключи.

Протоколы защиты передаваемого потока (AH и ESP) могут работать в двух режимах – в транспортном режиме и в режиме туннелирования . При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, т.е. шифруется только поле данных пакета, содержащего протоколы TCP / UDP (заголовок IP-пакета не изменяется (не шифруется)). Транспортный режим, как правило, используется для установления соединения между хостами.

В режиме туннелирования шифруется весь IP-пакет, включая заголовок сетевого уровня. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети (схема подключения "хост-сеть") или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети (схема подключения "сеть-сеть").

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие – туннельный.

На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета. При этом предполагается, что оба узла знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован.

В режиме транспорта AH

    весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

    все поля в AH;

    полезные данные пакетов IP.

AH в режиме транспорта защищает IP-заголовок (за исключением полей, для которых разрешены изменения) и полезные данные в исходном IP-пакете (рисунок 3.39).

В туннельном режиме исходный пакет помещается в новый IP-пакет, и передача данных выполняется на основании заголовка нового IP-пакета.

Для туннельного режима AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:

    все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

    все поля AH;

    исходный IP-пакет.

Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:

Рис. 6.10. Туннельный и транспортный режимы работы протокола АН

В режиме транспорта ESP аутентифицирует не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-пакет сразу после заголовка IP, а окончание ESP (ESP Trailer), соответственно, добавляется после данных.

Режим транспорта ESP шифрует следующие части пакета:

    полезные данные IP;

Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации IV (Initialization Vector) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения вектора инициализации, он охраняется контрольной суммой ICV. В этом случае ICV выполняет следующие расчеты:

    все поля в заголовке ESP;

    полезные данные, включая открытый текст IV;

    все поля в ESP Trailer, за исключением поля данных проверки подлинности.

Туннельный режим ESP инкапсулирует весь исходный IP-пакет в заголовок нового IP, заголовок ESP и ESP Trailer. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50, причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP область аутентификации IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. Исходный заголовок помещается после заголовка ESP. После того, как зашифрованная часть инкапсулируется в новый туннельный заголовок, который не зашифровывается, осуществляется передача IP-пакета. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей сети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер, находящийся во внутренней сети. Режим туннелирования ESP шифрует следующие части пакета:

    исходный IP-пакет;

  • Для туннельного режима ESP расчет ICV производится следующим образом:

    все поля в заголовке ESP;

    исходный IP-пакет, включая открытый текст IV;

    все поля заголовка ESP, за исключением поля данных проверки подлинности.

Рис. 6.11. Туннельный и транспортный режим протокола ESP

Рис. 6.12. Сравнение протоколов ESP и AH

Резюме по применению режимов IPSec :

    Протокол – ESP (AH).

    Режим – туннельный (транспортный).

    Способ обмена ключами – IKE (ручной).

    Режим IKE – main (aggressive).

    Ключ DH – group 5 (group 2, group 1) – номер группы для выбора динамически создаваемых ключей сеанса, длина группы.

    Аутентификация – SHA1 (SHA, MD5).

    Шифрование – DES (3DES, Blowfish, AES).

При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie-Hellman групп. Diffie-Hellman (DH) – протокол шифрования, используемый для установления общих секретных ключей для IKE, IPSec и PFS (Perfect Forward Secrecy – совершенная прямая секретность). В таком случае будет использована первая позиция, совпавшая на обоих узлах. Очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN-соединение. При настройке VPN-туннеля между различными системами нужно выяснить, какие алгоритмы поддерживаются каждой стороной, чтобы была возможность выбора наиболее безопасной политики из всех возможных.

Основные настройки, которые включает в себя политика безопасности:

    Симметричные алгоритмы для шифрования/дешифрования данных.

    Криптографические контрольные суммы для проверки целостности данных.

    Способ идентификации узла. Самые распространенные способы – это предустановленные ключи (pre-shared secrets) или СА-сертификаты.

    Использовать ли режим туннеля или режим транспорта.

    Какую использовать группу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).

    Использовать ли AH, ESP, или оба вместе.

    Использовать ли PFS.

Ограничением IPSec является то, что он поддерживает только передачу данных на уровне протокола IP.

Существуют две основные схемы применения IPSec, отличающиеся ролью узлов, образующих защищенный канал.

В первой схеме защищенный канал образуется между конечными хостами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:

Рис. 6.13. Создание защищенного канала между двумя конечными точками

Во второй схеме защищенный канал устанавливается между двумя шлюзами безопасности. Эти шлюзы принимают данные от конечных хостов, подключенных к сетям, расположенным за шлюзами. Конечные хосты в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть, проходит через шлюз безопасности, который выполняет защиту от своего имени.

Рис. 6.14. Создание защищенного канала между двумя шлюзами

Для хостов, поддерживающих IPSec, возможно использование как транспортного, так и туннельного режимов. Для шлюзов разрешается использование только туннельного режима.

Установка и поддержка VPN

Как упоминалось выше, установка и поддержка VPN-туннеля выполняется в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie-Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными сообщениями (т.н. агрессивный режим, Aggressive mode ) или шестью сообщениями, с обменом зашифрованной информацией об идентификации (стандартный режим, Main mode ).

В режиме Main Mode обеспечивается возможность согласований всех параметров конфигурации устройств отправителя и получателя, в то время как в режиме Aggressive Mode такой возможности нет, и некоторые параметры (группа Diffie-Hellman, алгоритмы шифрования и аутентификации, PFS) должны быть заранее одинаково настроены на каждом устройстве. Однако, в данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec.

Рис. 6.15. Обмен сообщениями в стандартном (а) и агрессивном (б) режимах

Предполагая, что операция завершилась успешно, создаётся SA первой фазы – Phase 1 SA (также называемый IKE SA ) и процесс переходит ко второй фазе.

На втором этапе генерируются данные ключей, узлы договариваются об используемой политике. Этот режим, также называемый быстрым режимом (Quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA и на этом установка туннеля считается завершённой.

Сначала на узел прибывает пакет с адресом назначения в другой сети, и узел инициирует первую фазу с тем узлом, который отвечает за другую сеть. Допустим, туннель между узлами был успешно установлен и ожидает пакеты. Однако узлам необходимо переидентифицировать друг друга и сравнить политику по прошествие определённого периода времени. Этот период называется время жизни Phase One или IKE SA lifetime.

Узлы также должны сменить ключ для шифрования данных через отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime.

Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Нужно задать одинаковые параметры времени жизни для обоих узлов. Если не выполнить этого, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Проблемы могут возникнуть и в том случае, когда время жизни первой фазы меньше аналогичного параметра второй фазы. Если настроенный ранее туннель прекращает работу, то первое, что нуждается в проверке – это время жизни на обоих узлах.

Еще следует отметить, что при смене политики на одном из узлов изменения вступят в силу только при следующем наступлении первой фазы. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из базы данных SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.

Иногда при настройке IPSec-туннеля между оборудованием разных производителей возникают затруднения, связанные с согласованием параметров при установлении первой фазы. Следует обратить внимание на такой параметр, как Local ID – это уникальный идентификатор конечной точки туннеля (отправителя и получателя). Особенно это важно при создании нескольких туннелей и использовании протокола NAT Traversal.

Dead Peer Detection

В процессе работы VPN, при отсутствии трафика между конечными точками туннеля, или при изменении исходных данных удалённого узла (например, смена динамически назначенного IP-адреса), может возникнуть ситуация, когда туннель по сути таковым уже не является, становясь как бы туннелем-призраком. Для того чтобы поддерживать постоянную готовность к обмену данными в созданном IPSec-туннеле, механизм IKE (описанный в RFC 3706) позволяет контролировать наличие трафика от удалённого узла туннеля, и в случае его отсутствия на протяжении установленного времени, посылается hello- сообщение (в межсетевых экранах D-Link посылается сообщение "DPD-R-U-THERE"). При отсутствии ответа на это сообщение в течение определённого времени, в межсетевых экранах D-Link заданного настройками "DPD Expire Time", туннель демонтируется. Межсетевые экраны D-Link после этого, используя настройки "DPD Keep Time" ( рис. 6.18 ), автоматически пытаются восстановить туннель.

Протокол NAT Traversal

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Как упоминалось ранее, для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT Traversal).

Протокол NAT Traversal инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec. Таким образом, с помощью механизма NAT-T возможно установление связи между клиентами IPSec в защищённых сетях и общедоступными хостами IPSec через межсетевые экраны.

При настройке межсетевых экранов D-Link в устройстве-получателе нужно отметить два пункта:

    в полях Remote Network и Remote Endpoint указать сеть и IP-адрес удаленного устройства-отправителя. Необходимо разрешить преобразование IP-адреса инициатора (отправителя) с помощью технологии NAT (рисунок 3.48).

    при использовании общих ключей с несколькими туннелями, подключенными к одному удаленному межсетевому экрану, которые были преобразованы с помощью NAT в один и тот же адрес, важно убедиться в том, что Local ID является уникальным для каждого туннеля.

Local ID может быть одним из:

    Auto – в качестве локального идентификатора используется IP-адрес интерфейса исходящего трафика.

    IP – IP-адрес WAN-порта удаленного межсетевого экрана

    DNS – DNS-адрес

    Сегодня пользователи интернета все чаще используют термин VPN. Одни рекомендуют использовать его чаще, а другие - обходить стороной. Рассмотрим детальнее, что скрывается за данным термином.

    VPN подключение, что это такое

    VPN (Virtual Private Network) - это технология , которая обеспечивает закрытую от внешнего доступа связь при наличии высокой скорости соединения. Такое подключение осуществляется по принципу «точка - точка ». В науке такой способ подключения называется туннель . Присоединиться к туннелю можно на ПК с любой ОС , в которой установлен VPN-клиент . Эта программа «пробрасывает» виртуальный порт с использованием TCP/IP в другую сеть.

    Для осуществления такого подключения нужна платформа, которая быстро масштабируется, обеспечивает целостность, конфиденциальность данных.

    Для того, чтобы ПК с ip-адресом 192.168.1.1-100 подключился через шлюз к внешней сети, нужно на маршрутизаторе прописать правила соединения. Когда осуществляется VPN подключение, в заголовке сообщение передается адрес удаленного ПК. Сообщение шифруется отправителем, а расшифровывается получателем с помощью общего ключа. После этого между двумя сетями устанавливается защищенное соединение.

    Как подключить VPN

    Ранее была описана краткая схема работы протокола. Теперь узнаем как подключить клиент на конкретном устройстве.

    На компьютере и ноутбуке

    Перед тем, как настраивать VPN соединение на ПК с ОС Windows 7 , следует уточнить IP адрес или название сервера. Для этого в «Центре управления сетями » на «Панели управления » нужно «Создать новое подключение ».

    Выбрать пункт «» - «(VPN) ».

    На следующем этапе следует указать имя и адрес сервера .

    Нужно дождаться завершения соединения.

    Проверим VPN подключение. Для этого в «Панель управления » в разделе «Сетевые подключения » вызываем контекстное меню, двойным щелчком по ярлыку.

    На вкладке «Детали » нужно проверить адрес IPv4 . Он должен быть в диапазоне IP, указанных в настройках VPN.

    На телефоне, айфоне или планшете

    Теперь рассмотрим, как создать VPN подключение и настроить его на гаджетах с ОС Аndroid.

    Для этого необходим:

      смартфон, планшет;логин, пароль к сети;адрес сервера.

    Для настройки VPN подключения нужно в настройках телефона выбрать пункт «» и создать новую.

    На экране отобразится иконка с новым подключением.

    Система требует логин и пароль. Нужно ввести параметры и выбрать опцию «». Тогда на следующей сессии не придется подтверждать еще раз эти данные.

    После активации подключения VPN на панели инструментов появится характерный значок.

    Если щелкнуть на иконку появятся детали соединения.

    Как настроить VPN для корректной работы

    Рассмотрим детальнее, как автоматически настроить VPN на компьютерах с ОС Windows 10 .

    Переходим в настройки ПК.

    В разделе «Параметры » переходим в подраздел «».

    … и добавляем новое подключение VPN.

    На следующей странице следует указать параметры подключения VPN:

      Поставщик услуг - Windows;Имя подключения;Адрес сервера;Тип VPN;Имя пользователя и пароль.

    После того как соединение будет установлено к нему нужно подключиться.

    Как создать VPN сервер

    Все провайдеры фиксируют деятельность своих клиентов. В случае получения запроса от правоохранительных органов они предоставят полную информацию о том, какие сайты посещал правонарушитель. Таким образом провайдер снимает с себя всю юридическую ответственность. Но иногда возникают ситуации, в которых пользователю нужно защитить свои данные:

      Компании передают через интернет свои данные по зашифрованному каналу.Многие сервисы в интернете работают по географической привязки к местности. Например, сервис Яндекс.Музыка функционирует только на IP из РФ и стран СНГ. Россиянин, находясь в Европе, не сможет слушать любимую музыку.В офисах часто блокируется доступ к социальным сетям.
    Можно, конечно, каждый раз очищать историю браузера после посещения сайта. Но проще создать и настроить VPN сервер.Для того следует вызвать командную строку (Win + R ), а затем ввести запрос ncpa.cpl и нажать Enter . В новом окне нажать Alt и выбрать пункт «».

    Далее нужно создать пользователя и дать ему ограниченные права только к VPN. Также придется придумать новый длинный пароль. Выберите пользователя из списка. На следующем этапе нужно выбрать вариант подключения «Через интернет ». Далее нужно указать параметры подключения. Если при работе с VPN вам не потребуется доступ к файлам и папкам, то можно снять все галочки и нажать на кнопку «».

    Как пользоваться VPN

    После того, как создано новое соединение, достаточно открыть браузер и загрузить любую страницу.Новички могут не заниматься созданием соединения, а сразу скачать VPN-клиент с интернета или установить специальное расширение в браузер. После загрузки программы ее нужно запустить и нажать кнопку «Connect ». Клиент присоединится к другой сети и пользователь сможет просматривать запрещенные в его регионе сайты.Недостатком данного метода является то, что IP выдается автоматически. Пользователь не может выбирать страну. Зато настраивается подключение очень быстро, нажатием всего одной кнопки. Вариант с добавлением расширения также имеет недостатки. Во-первых, пользователь должен быть зарегистрирован на официальном сайте программы, а, во-вторых, расширение часто «вылетает». Зато пользователь может выбирать страну, через которую будет осуществляться подсоединение ко внешней сети. Сам процесс подключения также не вызывает вопросов. Достаточно нажать кнопку «Start » и браузер перезагрузится в новой сети. Рассмотрим, как установить расширение на примере ZenMate VPN .Скачиваем программу с официального сайта. После установки в браузере появится значок:

    Кликните на иконку. Отобразится окно расширения:

    Если подвести курсор мышки к иконке с Российским флагом , то на экране отобразится текущий IP . Если подвести курсор на иконку с флагом Румынии, то появится IP выбранного сервера. При желании страну подключения можно сменить. Для этого нужно нажать на глобус и выбрать один из автоматических адресов.

    Недостатком бесплатной версии программы является маленькое количество доступных серверов и навязывание рекламы.

    Самые частые ошибки

    Различные антивирусные программы, а также брандмауэры могут блокировать соединение. При этом на экране отображается код ошибки. Разберем самые популярные проблемы и способы их решения.
    Ошибка Причина Решение
    678 В ОС запрещено шифрование Нужно открыть командную строку и проверить в реестре «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ Parameters» параметр «ProhibitIpSec». Он должен быть равен 0. Если сам провайдер использует канал шифрования для предоставления услуг, то изменения этой настройки повлияет на доступ в интернет.
    691 Введен неверный логин/пароль Нужно еще раз авторизоваться в сети
    692 Ошибка брандмауэра Отключите брандмауэр
    720/738 Пользователь уже подключен Ошибка 720 встречается только на ОС Windows 7. На всех остальных ОС отражается код 738. Если через один клиент приходится работать с разных ПК, то нужно создать несколько имен пользователей.
    734 Автоматический ВПН Нужно в свойствах подключения поменять тип «Автоматический» на «L2TP IPSec VPN». Если ошибка не исчезнет, то нужно пересоздать подключение.
    766/781 Не сохранен/не введен ключ Откройте свойства ВПН, на вкладке «Безопасность» выберете пункт «Дополнительные параметры» и в новом окне введите ключ
    768/789 (ОС Windows 7, Vista, XP) Не работает IPSec ПКМ по ярлыку «Мой компьютер» - «Управление». В разделе «Службы» выбираем «IPSec». Тип соединения указываем Авто.

    Стали обыденностью. Правда, никто особо не задумывается над тем, что стоит за понятием типа «VPN, настройка, использование и т. д.». Большинство пользователей предпочитает не лезть в дебри компьютерной терминологии и использовать стандартные шаблоны. А зря. Из знаний о таких подключениях можно извлечь массу выгод, например, увеличить трафик или скорость подключения и т. д. Давайте посмотрим, что же на самом деле представляет собой подключение к виртуальной сети на примере взаимодействия операционных систем Windows на стационарном компьютерном терминале и Android на мобильном девайсе.

    Что такое VPN

    Начнем с того, что VPN-настройка невозможна без общего принципа понимания сути создаваемого или используемого подключения.

    Если объяснять простыми словами, в такой сети обязательно присутствует так называемый маршрутизатор (тот же роутер), предоставляющий компьютерам или мобильным устройствам, пытающимся подключиться к существующей сети, стандартные дополнительные IP-адреса для доступа в «локалку» или Интернет.

    При этом виртуальная сеть, в которой имеется активированная настройка VPN-подключения, воспринимает любое устройство, к ней подключенное, с присвоением уникального внутреннего IP-адреса. Диапазон таких адресов составляет в обычном стандарте от нуля до значения 255.

    Что самое интересное, даже при выходе в Интернет внешний IP-адрес устройства, с которого производится запрос, определить не так уж и просто. На это есть несколько причин, о которых будет сказано ниже.

    Простейшая настройка VPN для "Андроид"

    Практически все виртуальные сети с использованием беспроводного подключения по типу Wi-Fi работают по одному принципу - присвоение свободных IP-адресов из имеющегося диапазона. Неудивительно, что любое мобильное устройство может быть запросто к ним подключено (но только при условии, что оно поддерживает соответствующие протоколы подключения).

    Впрочем, сегодня любые смартфоны или планшеты на основе ОС Android имеют в своем функционале опцию подключения того же Wi-Fi. Сеть определяется автоматически, если девайс находится в зоне ее покрытия. Единственное, что может понадобиться, так это только ввод пароля. Так называемые «расшаренные» (share) не требуют пароля вообще.

    В данном случае нужно на смартфоне или планшете зайти в основные настройки и активировать подключение Wi-Fi. Система сама определит наличие радиомодулей на расстоянии 100-300 метров от аппарата (все зависит от модели раздающего маршрутизатора). После определения сети отобразится меню со всеми доступными подключениями с указанием их блокировки. Если на сети имеется значок навесного замка, она защищена паролем (впрочем, в сообщении это будет указано изначально). Знаете пароль - вводите.

    В сетях общего пользования, где вход при помощи пароля не предусмотрен, и того проще. Сеть определилась? Все. Кликаем на подключение и пользуемся. Как уже понятно, VPN-настройка в данном случае не требуется вообще. Другое дело, когда нужно использовать настройки Windows или другой операционной системы (даже мобильной) для создания подключения или же присвоения компьютерному терминалу или ноутбуку статуса раздающего VPN-сервера.

    Создание и в Windows

    С «операционками» семейства Windows не все так просто, как думает большинство пользователей. Конечно, автоматическое распознавание сети или подключения посредством Wi-Fi, ADSL или даже прямого подключения через сетевую карту Ethernet они производят (при условии наличия установленного оборудования). Вопрос в другом: если раздающим является не роутер, а ноутбук или стационарный компьютер, как выкрутиться из этой ситуации?

    Основные параметры

    Тут придется покопаться в настройках VPN. Windows как операционная система рассматривается в первую очередь.

    Сначала нужно обратить внимание даже не на настройки самой системы, а на ее сопутствующие компоненты. Правда, при создании подключения или использования его по максимуму придется настраивать некоторые протоколы типа TCP/IP (IPv4, IPv6).

    Если провайдер не предоставляет такие услуги в автоматическом режиме, придется производить настройки с указанием заранее полученных параметров. К примеру, при автоподключении поля в свойствах интернет-браузера для заполнения будут неактивными (там будет стоять точка на пункте «Получить IP-адрес автоматически»). Именно поэтому не придется прописывать значения маски подсети, шлюза, DNS- или WINS-серверов вручную (тем более это касается серверов прокси).

    Настройки роутера

    Независимо от того, производится ли настройка VPN ASUS-ноутбука или терминала (впрочем, и любого другого устройства), общим является все-таки доступ в сеть.

    Для правильной необходимо зайти в его собственное меню. Осуществляется это при помощи любого интернет-браузера при условии прямого подключения роутера к компьютеру или ноутбуку.

    В адресном поле вводится значение 192.168.1.1 (это соответствует большинству моделей), после чего следует активировать функцию включения (задействования параметров маршрутизатора в расширенном режиме). Обычно такая строка выглядит как WLAN Connection Type.

    Использование VPN-клиентов

    VPN-клиенты являются достаточно специфичными программами, работающими по подобию анонимных прокси-серверов, скрывающих истинный IP-адрес пользовательского компьютера при доступе в локальную сеть или в Интернет.

    Собственно, применение программ такого типа сводится практически к полному автоматизму. VPN-настройка в данном случае, в общем-то, и не важна, поскольку приложение само перенаправляет запросы с одного сервера (зеркала) на другой.

    Правда, с настройкой такого клиента придется немного повозиться, особенно если хочется сделать в домашней виртуальной сети максимум доступных подключений. Тут придется выбирать между программными продуктами. И надо отметить, что некоторые приложения, самые маленькие по размеру, иногда превосходят коммерческую продукцию многих известных брендов, за которые еще и приходится платить (кстати, и деньги немалые).

    А как же TCP/IP?

    Само собой разумеется, что практически все вышеуказанные настройки в той или иной степени затрагивают протокол TCP/IP. На сегодняшний день для комфортного и не придумано ничего лучше. Даже удаленные анонимные прокси-серверы или локальные хранилища данных все равно используют эти настройки. Но с ним нужно быть осторожными.

    Лучше всего перед изменением параметров обратиться к провайдеру или к системному администратору. Но четко нужно помнить одно: даже при задании значений вручную, как правило, маска подсети имеет последовательность 255.255.255.0 (в может изменяться), а все адреса IP начинаются со значений 192.168.0.X (последняя литера может иметь от одного до трех знаков).

    Заключение

    Впрочем, все это тонкости компьютерных технологий. Тот же самый клиент VPN для "Андроид" может обеспечивать связь между несколькими интеллектуальными устройствами. Вот только самая большая загвоздка состоит в том, стоит ли задействовать такое подключение на мобильном гаджете.

    Если вы заметили, особо в технические подробности мы не вдавались. Это, скорее, описательная инструкция насчет общих понятий. Но даже тот простой пример, думается, поможет, так сказать, уразуметь саму суть вопроса. Более того, при его четком понимании вся проблема сведется только к настройкам системы, что никак не скажется на конкретном пользователе.

    Но тут нужно быть очень осторожным. Собственно, для тех, кто не знает, что такое VPN- подключение, это мало что даст. Для более продвинутых пользователей стоит сказать, что создавать виртуальную сеть собственными средствами ОС Windows не рекомендуется. Можно, конечно, использовать начальные параметры настройки, однако, как показывает практика, лучше иметь в запасе какой-то дополнительный клиент, который всегда будет как козырь в рукаве.

    Если вы живы, заходили в интернет в 2017 году и не живете на необитаемом острове, то вы наверняка уже не раз и не два слышали термин «VPN». Если вы все еще не знаете, что это такое, зачем это нужно и как это улучшает жизнь (и качество работы в интернете в частности), то мы, команда сайта vpnMentor, будем рады провести для вас ликбез. Ну что, поехали?

    Что такое VPN?

    VPN (от англ. Virtual Private Network - виртуальная приватная сеть) - это специальная технология создания безопасного сетевого соединения в общественной (том же Интернете) или частной сети. Все и вся, от крупных компаний и до правительственных органов, используют эту технологию, чтобы обеспечить безопасное подключение к их инфраструктуре удаленным пользователям.

    В Интернете вы можете найти буквально десятки VPN-сервисов, с помощью которых вы сможете безопасно и защищенно подключаться к сети за $5-$10 в месяц. Это позволит вам надежно зашифровать ваши личные данные и все, что вы делаете в интернете. Кроме того, большинство операционных систем уже давно поддерживают VPN-подключения, а также существуют (и/или бесплатные версии платных VPN).

    Для чего нужен VPN-сервис?

    Общедоступные сети стали слишком опасны для рядового пользователя – всюду хакеры, атаки и снифферы, пытающиеся украсть ваши данные. Так зачем есть кактус и плакать (читай, продолжать пользоваться общедоступными сетями и надеяться на авось), когда можно поступить по-умному и воспользоваться VPN-сервисом?

    Изначально VPN-технологии разрабатывались для того, чтобы сотрудники корпораций могли подключаться к локальным сетям компаний, находясь у себя дома. Сейчас же VPN-подключения используются преимущественно в тех случаях, когда люди хотят скрыть свою интернет-активность от любопытных глаз посторонних, обеспечив тем самым свою онлайн-конфиденциальность и обходя блокировки доступа к контенту (как локальные, так и национальные). Среди других целей использования VPN-сервисов можно назвать защиту от хакеров при работе в общедоступных WiFi-сетях и обход гео-блокировки сайтов (для доступа к контенту, доступному лишь в определенных регионах).

    Как работает VPN?

    Файрволл защищает данные на вашем компьютере, а VPN защищает ваши данные онлайн. Чисто технически, VPN – это WAN-сеть (Wide Area Network), которая предлагает безопасность и функционал такого же уровня, что и частная сеть. При этом есть два типа VPN-подключений: удаленный доступ (компьютер подключается к сети) и сеть-к-сети.

    Работая в сети без VPN, вы подключаетесь к серверу вашего интернет-провайдера, который, в свою очередь, соединяет вас с нужным сайтом. Это значит, что весь ваш интернет-трафик проходит через серверы провайдера, а провайдер, соответственно, может следить за вашим трафиком.

    Когда вы подключаетесь через VPN-сервер, ваш трафик проходит туда через зашифрованный «туннель». Это значит, что к вашему трафику доступ есть только у вас и у VPN-сервера. Впрочем, стоит отметить, что есть определенная разница между приватностью и анонимностью . Использование VPN-сервиса не делает вас анонимным, так как ваш VPN-сервис прекрасно знает, кто вы, и может просматривать данные о вашей онлайн-активности. Зато VPN-сервис обеспечивает вам приватность при работе в сети - иными словами, ваш провайдер, учителя, директор или даже ваше правительство уже не сможет следить за вами. Чтобы убедиться в том, что VPN-сервис действительно сможет вас защитить, крайне важно выбрать . И это логично, ведь если VPN -сервис ведет логи действий пользователей, то власти всегда могут потребовать передать им эти данные, а в этом случае ваши данные перестанут быть только лишь вашими.

    Тем не менее, даже если выбранный вами сервис не ведет логи, он все еще может (при необходимости) отслеживать ваши действия в сети в режиме реального времени - например, для исправления технических проблем. И хотя большинство «безлоговых» VPN-сервисов обещают еще и не отслеживать ваши действия в режиме реального времени, в большинстве стран закон разрешает соответствующим органам приказать VPN-сервису начать вести логи действий определенного пользователя, не уведомляя его об этом. Впрочем, причин для беспокойства в этом нет… ну, только если вы не скрываетесь от разыскивающих вас правоохранительных органов.

    Выбирая VPN-сервис, не менее важно выбрать сервис, который предоставляет своим пользователям возможность использования общих IP-адресов (иными словами, когда множество пользователей использует один и тот же одновременно). В таком случае любым третьим сторонам будет бесконечно сложнее определить, что это именно вы выполнили в сети то или иное действие, а не кто-то другой.

    Как работать с VPN на мобильных устройствах?

    VPN полностью поддерживается как в iOS, так и в Android. Также VPN может защитить вас при работе с торрентами. Увы, мобильные приложения, которые вы устанавливаете на свой телефон, имеют доступ не только к вашему IP-адресу, через который они могут получить доступ к истории всех ваших онлайн-действий, но и к вашим GPS-координатам, списку контактов, App Store ID и не только. Собранные данные эти приложения отправляют на серверы своих компаний, что сводит пользу от использования VPN-подключения к нулю.

    И поэтому, чтобы в полной мере воспользоваться всеми преимуществами подключения к VPN с мобильного устройства, нужно заходить на сайты только через браузеры с открытым исходным кодом и поддержкой приватных режимов (например, через Firefox), а не через специальные «собственные» приложения.

    Если вы хотите больше узнать про использование VPN на вашем мобильном устройстве, почитайте наши списки и .

    Плюсы и минусы

    Чтобы помочь вам разобраться в плюсах и минусах использования VPN, я подготовил таблицу, в которую выписал главные плюсы и минусы использования этой технологии (*спойлеры-спойлеры*: по мнению автора, плюсы перевешивают минусы, однако решение остается за вами).

    ПЛЮСЫ МИНУСЫ
    Скорость скачивания торрентов через протокол p2p может увеличиться (например, через BitTorrent), так как некоторые интернет-провайдеры специально замедляют подключения такого типа. В таких случаях . Ваша обычная скорость подключения к сети может замедлиться минимум на 10%, а то и больше - в зависимости от расстояния до VPN-сервера. Если VPN-сервер, к которому вы подключаетесь, и сайт, который вы хотите посетить, расположены относительно недалеко друг от друга, то задержка будет минимальной, а то и вовсе незаметной. Но чем больше километров разделяют вас, VPN-сервер и сервер, на котором находится нужный вам сайт, тем медленнее все будет работать. Шифрование и дешифрование данных также внесет свою лепту в это черное дело замедления скорости подключения (впрочем, тут все будет практически незаметно в любом случае).
    Вы сможете использовать общедоступные WiFi-точки и не переживать за свою безопасность . К чему нервы, если соединение между вашим устройством и VPN-сервером зашифровано! Это значит, что ваши личные данные надежно защищены, даже если какой-нибудь чудо-хакер умудрится их украсть. Выбранный вами VPN-сервис получит доступ к истории всех ваших действий в сети . Этот пункт сложно назвать однозначным минусом, так как ваши данные кто-то все равно будет видеть, и пусть уж лучше это будет надежный VPN-сервис (так как интернет-провайдеры вообще не заинтересованы в защите ваших личных данных). Тем не менее, знать об этом надо. Безопасные VPN-сервисы делают все возможное, чтобы как можно меньше узнать о своих клиентах и о том, чем они занимаются онлайн.
    Ваш интернет-провайдер не будет иметь доступ к истории ваших действий в сети , так как все данные будут зашифрованы VPN-сервисом. Соответственно, провайдер не будет знать, на какие сайты вы заходили и что там делали. Он просто будет знать, что вы подключались к VPN-серверу. Далеко не на все сайты можно зайти даже через VPN . Некоторые сайты научились определять и блокировать пользователей, использующих VPN для доступа к ним. К счастью, такие блокировки довольно просто обойти, о чем подробнее написано в нашей статье .
    Вы можете получить доступ к вашей домашней или рабочей сети даже когда вы путешествуете . Собственно, ради этого все изначально и затевалось. Локальные ресурсы не должны быть обязательно доступны через интернет (так безопаснее). Вы всегда можете настроить удаленный доступ к вашему компьютеру, использовать файлы локальной сети и даже играть в локальные игры так же, как если бы вы продолжали сидеть дома! Вы можете стать жертвой IP-спуфинга и блеклистинга , так как VPN-сервис скроет ваш реальный IP-адрес и будет использовать свой собственный. Проблема в том, что IP-адрес VPN-сервиса 1) используется неизвестным количеством клиентов сервиса; 2) хорошо известен, а это существенно упрощает IP-спуфинг. Кроме того, действия других клиентов вашего VPN-сервиса, использующих тот же IP-адрес, что и вы, могут привести к добавлению этого адреса в черные списки. Из-за этого вы не сможете зайти на те или иные сайты. Кроме того, ряд сервисов (например, ваш банк или почтовая служба) могут начать с подозрением относиться к вам , если заметят, что вы используете VPN-сервис. А уж если у вашего VPN-сервиса еще и репутация подмоченная… в общем, не вариант.
    Вы сможете обмануть любой сайт и притвориться, что вы заходите на него из совсем другой страны . Соответственно, вы сможете зайти как на сайты, заблокированные в вашей стране, так и на сайты, доступные только для жителей определенного региона. Достаточно лишь подключиться к нужному серверу! Всякий, кто попытается проследить за вашими интернет-действиями, найдет лишь используемый вами VPN-сервер, так что найти ваш реальный IP-адрес будет практически нереально.

    Юридические аспекты

    Использование VPN-сервисов редко является чем-то незаконным само по себе (зато контент, к которому вы попытаетесь получить доступ с помощью VPN, вполне себе может быть незаконным). Это так даже в странах, блокирующих доступ к VPN-сервисам (Китае, Сирии, Иране). Впрочем, это все не мешает некоторым сайтам блокировать VPN-сервисы.

    Тем не менее, в июле 2016 использование VPN-сервиса на территории Объединенных Арабских Эмиратов (ОАЭ) считалось незаконным. Нарушителям грозило тюремное заключение и штраф в размере от 500 000 до 2 000 000 дирхам (136 130 – 544 521 долларов США). Иными словами, если вы собираетесь посетить ОАЭ, то есть смысл проявить здравомыслие и посещать только сайты из белых списков.

    Что же касается блокировок доступа через VPN, действующих у вас в школе или на работе, то следует вот что учесть: если вас поймают (в частных WiFi сетях и при подключении типа LAN небольшой шанс есть всегда), то могут наказать соответственно. Как именно? Например, подвергнуть дисциплинарным мерам взыскания (штрафу, отстранению от занятий, увольнению). Дело даже может быть передано в полицию! В общем, стоит заранее подумать, стоит ли овчинка выделки.

    Начало работы

    Хорошая новость: есть просто куча VPN-сервисов, которые были бы рады видеть вас своим клиентом.

    Плохая новость: можно легко и просто запутаться во всем разнообразии предлагаемых вариантов.

    Принимая любое решение, надо тщательно изучить вопрос .

    Посетите нашу статью о , почитайте обзоры в интернете, ознакомьтесь с рекомендациями, изучите ваши варианты и только потом принимайте решение.

    Затем задайте себе эти 10 вопросов:

    1. Сколько я буду за это платить? У разных сервисов и цены разные, но обычно все укладывается в диапазон от $5 до $10 в месяц. Есть и бесплатные варианты, подробнее о которых рассказано в статье про .
    2. Какая у этого сервиса политика конфиденциальности? Ранее мы уже коснулись этого пункта: вам нужно убедиться, что VPN-сервис будет защищать вас и ваши данные.
    3. Насколько хороши технические меры и средства безопасности сервиса? Сможет ли он эффективно противостоять хакерам и третьим сторонам, решившим получить доступ к моим данным?
    4. Велико ли расстояние между VPN-серверов и сервером, на который я хочу зайти? Это важный момент, ведь тут решается скорость вашей работы в сети. Среди других факторов, влияющих на скорость соединения, можно назвать мощность самого сервера, ширину канала и количество людей, обращающихся к серверу в одно и то же время.
    5. Сколько у сервиса серверов, где они расположены? Если вам нужно посещать разные сайты, расположенные на серверах из разных стран, вам нужно найти VPN-сервис с большим количеством доступных серверных локаций и серверов - это здорово повысит ваши шансы на успешное подключение.
    6. Сколько устройств я смогу использовать одновременно? VPN-сервисы поддерживают практически все виды компьютеров, включая настольные ПК, ноутбуки, лаптопы, смартфоны и планшеты. Некоторые сервисы позволят вам подключать к своим серверам лишь одно устройство за раз, тогда как другие позволят подключить сразу несколько.
    7. Насколько хорошо работает пользовательская поддержка этого сервиса? Прочитав