VPN - nedir ve neden gereklidir? Bağlantının açıklaması ve ücretsiz bir VPN sunucusu kurma. VPN nedir? Teknolojinin özü ve uygulama kapsamı

Son zamanlarda, telekomünikasyon dünyası sanal özel ağlara (Sanal Özel Ağ - VPN) artan bir ilgi gördü. Bunun nedeni, uzak ofislerin ve uzak kullanıcıların İnternet üzerinden daha ucuza bağlanması nedeniyle kurumsal ağların bakım maliyetini düşürme ihtiyacıdır. Gerçekten de, İnternet üzerinden birkaç ağı bağlamak için hizmetlerin maliyetini, örneğin Frame Relay ağlarıyla karşılaştırırken, maliyette önemli bir fark görülebilir. Bununla birlikte, ağlar İnternet üzerinden bağlandığında, veri aktarımının güvenliği sorununun hemen ortaya çıktığına dikkat edilmelidir, bu nedenle iletilen bilgilerin gizliliğini ve bütünlüğünü sağlamak için mekanizmalar oluşturmak gerekli hale geldi. Bu tür mekanizmalar temelinde oluşturulan ağlara VPN denir.

Ek olarak, çoğu zaman işini geliştiren modern bir insan çok seyahat etmek zorundadır. Ülkemizin ücra köşelerine veya yabancı ülkelere yapılan geziler olabilir. İnsanların evlerinde veya şirket bilgisayarlarında depolanan bilgilerine erişme ihtiyacı duyması alışılmadık bir durum değildir. Bu sorun, bir modem ve bir hat kullanılarak ona uzaktan erişim sağlanarak çözülebilir. Telefon hattı kullanımının kendine has özellikleri vardır. Bu çözümün dezavantajları, başka bir ülkeden yapılan bir aramanın çok maliyetli olmasıdır. VPN adında başka bir çözüm var. VPN teknolojisinin avantajları, uzaktan erişim organizasyonunun bir telefon hattı üzerinden değil, çok daha ucuz ve daha iyi olan İnternet üzerinden yapılmasıdır. Bana göre teknoloji. VPN, dünya çapında yaygın olarak benimsenme ihtimaline sahiptir.

1. VPN ağlarının kavramı ve sınıflandırılması, yapıları

1.1 VPN nedir

vpn(İng. Sanal Özel Ağ - sanal özel ağ) - İnternet gibi başka bir ağın üzerinde oluşturulan mantıksal bir ağ. İletişimin güvenli olmayan protokoller kullanılarak halka açık ağlar üzerinden gerçekleştirilmesine rağmen, şifreleme, dışarıdan gelenlere kapalı bilgi alışverişi kanalları oluşturur. VPN, örneğin bir kuruluşun birkaç ofisini, aralarında iletişim için kontrolsüz kanallar kullanarak tek bir ağda birleştirmenize olanak tanır.

Bir VPN, özünde, kiralık bir hattın birçok özelliğine sahiptir, ancak genel bir ağ içinde dağıtılır, örneğin . Tünelleme tekniği ile veri paketleri, normal bir noktadan noktaya bağlantıymış gibi genel ağ üzerinden yayınlanır. Her bir "veri gönderici-alıcı" çifti arasında bir tür tünel kurulur - bir protokolün verilerini diğerinin paketlerine sarmanıza izin veren güvenli bir mantıksal bağlantı. Tünelin ana bileşenleri şunlardır:

• başlatıcı;
• yönlendirilmiş ağ;
• tünel anahtarı;
• bir veya daha fazla tünel sonlandırıcı.

Kendi başına, VPN çalışma prensibi ana ağ teknolojileri ve protokolleriyle çelişmez. Örneğin, bir çevirmeli bağlantı kurarken, istemci sunucuya bir standart PPP paketleri akışı gönderir. Yerel ağlar arasında sanal kiralık hatların düzenlenmesi durumunda, yönlendiricileri de PPP paketleri alışverişinde bulunur. Bununla birlikte, temel olarak yeni bir nokta, paketlerin genel ağ içinde düzenlenen güvenli bir tünel aracılığıyla iletilmesidir.

Tünel oluşturma, bir paketin iletimini düzenlemenizi sağlar protokolü, farklı bir protokol kullanan mantıksal bir ortamda. Sonuç olarak, iletilen verilerin bütünlüğünü ve gizliliğini sağlama ihtiyacından başlayarak ve harici protokollerdeki veya adresleme şemalarındaki tutarsızlıkların üstesinden gelmeye kadar, birkaç farklı ağ türü arasındaki etkileşim sorunlarını çözmek mümkün hale gelir.

Bir şirketin mevcut ağ altyapısı, yazılım veya donanım aracılığıyla VPN kullanımı için sağlanabilir. Sanal bir özel ağın organizasyonu, küresel bir ağ üzerinden kablo döşemeye benzetilebilir. Tipik olarak, bir uzak kullanıcı ile bir tünel uç cihazı arasında doğrudan bir bağlantı, PPP protokolü kullanılarak kurulur.

VPN tünelleri oluşturmanın en yaygın yöntemi, ağ protokollerini (IP, IPX, AppleTalk, vb.) PPP'de kapsüllemek ve ardından oluşturulan paketleri bir tünel protokolünde kapsüllemektir. Genellikle ikincisi IP veya (çok daha az sıklıkla) ATM ve Frame Relay'dir. Bu yaklaşıma katman 2 tünelleme denir, çünkü buradaki "yolcu" katman 2 protokolüdür.

Alternatif bir yaklaşım - ağ protokolü paketlerini doğrudan bir tünel protokolüne (örn. VTP) sarmak, katman 3 tünelleme olarak adlandırılır.

Hangi protokoller kullanılırsa kullanılsın veya hangi hedefler kullanılırsa kullanılsın Tünelin organizasyonunda zulüm gören temel teknik kalırpratik olarak değişmedi. Tipik olarak, bir protokol uzak bir ana bilgisayarla bağlantı kurmak için kullanılır ve diğeri, bir tünel aracılığıyla iletilmek üzere verileri ve hizmet bilgilerini kapsüllemek için kullanılır.

1.2 VPN ağlarının sınıflandırılması

VPN çözümleri birkaç ana parametreye göre sınıflandırılabilir:

1. Kullanılan ortamın türüne göre:

• Güvenli VPN ağları. Özel özel ağların en yaygın çeşidi. Onun yardımıyla, güvenilir olmayan bir ağa, genellikle İnternete dayalı, güvenilir ve güvenli bir alt ağ oluşturmak mümkündür. Güvenli VPN örnekleri şunlardır: IPSec, OpenVPN ve PPTP.
• Güvenilir VPN ağları. İletim ortamının güvenilir kabul edilebildiği ve yalnızca daha büyük bir ağ içinde sanal bir alt ağ oluşturma sorununu çözmek için gerekli olduğu durumlarda kullanılırlar. Güvenlik sorunları önemsiz hale gelir. Bu tür VPN çözümlerinin örnekleri şunlardır: MPLS ve L2TP. Bu protokollerin güvenlik sağlama görevini başkalarına kaydırdığını söylemek daha doğru olur, örneğin L2TP kural olarak IPSec ile birlikte kullanılır.

2. Uygulama yöntemine göre:

• Özel yazılım ve donanım biçimindeki VPN ağları. VPN ağının uygulanması, özel bir yazılım ve donanım seti kullanılarak gerçekleştirilir. Bu uygulama, yüksek performans ve kural olarak yüksek derecede güvenlik sağlar.
• Bir yazılım çözümü olarak VPN ağları. VPN işlevselliği sağlayan özel yazılıma sahip kişisel bir bilgisayar kullanırlar.
• Entegre bir çözüme sahip VPN ağları. VPN işlevselliği, ağ trafiğini filtreleme, güvenlik duvarı düzenleme ve hizmet kalitesini sağlama sorunlarını da çözen bir kompleks tarafından sağlanır.

3. Randevu ile:

• İnternet VPN'i. Açık iletişim kanalları aracılığıyla veri alışverişi yaparak, bir kuruluşun birkaç dağıtılmış şubesini tek bir güvenli ağda birleştirmek için kullanılırlar.
• Uzaktan Erişim VPN'i. Bir kurumsal ağ segmenti (merkez ofis veya şube) ile evde çalışırken ev bilgisayarından kurumsal kaynaklara veya iş gezisindeyken kurumsal kaynaklara bağlanan tek bir kullanıcı arasında güvenli bir kanal oluşturmak için kullanılırlar. bir dizüstü bilgisayar kullanarak kaynaklar.
• Extranet VPN'i. "Harici" kullanıcıların (örneğin müşteriler veya istemciler) bağlandığı ağlar için kullanılır. Onlara olan güven seviyesi, şirket çalışanlarından çok daha düşüktür, bu nedenle, ikincisinin özellikle değerli, gizli bilgilere erişimini engelleyen veya kısıtlayan özel koruma "sınırları" sağlamak gerekir.

4. Protokol türüne göre:

• TCP/IP, IPX ve AppleTalk altında sanal özel ağların uygulamaları vardır. Ancak bugün, TCP / IP protokolüne genel bir geçiş eğilimi var ve VPN çözümlerinin büyük çoğunluğu bunu destekliyor.

5. Ağ protokolü düzeyine göre:

• ISO/OSI ağ referans modelinin katmanlarına eşlemeye dayalı olarak ağ protokolü katmanına göre.

1.3. VPN oluşturma

Bir VPN oluşturmak için çeşitli seçenekler vardır. Bir çözüm seçerken, VPN oluşturucularının performans faktörlerini göz önünde bulundurmanız gerekir. Örneğin, bir yönlendirici zaten kapasite sınırında çalışıyorsa, VPN tünelleri eklemek ve bilgi şifreleme / şifre çözme uygulamak, bu yönlendirici basit trafikle başa çıkamayacağı için tüm ağın çalışmasını durdurabilir. VPN'den bahsetmek için. Deneyimler, bir VPN oluşturmak için özel donanım kullanmanın en iyisi olduğunu gösteriyor, ancak fonlarda bir sınırlama varsa, o zaman tamamen yazılım çözümüne dikkat edebilirsiniz. Bir VPN oluşturmak için bazı seçenekleri göz önünde bulundurun.

• Güvenlik duvarı tabanlı VPN. Çoğu güvenlik duvarı üreticisi, tünel oluşturmayı ve veri şifrelemeyi destekler. Tüm bu ürünler güvenlik duvarından geçen trafiğin şifreli olması esasına dayanmaktadır. Güvenlik duvarı yazılımının kendisine bir şifreleme modülü eklenir. Bu yöntemin dezavantajı, performansın güvenlik duvarının üzerinde çalıştığı donanıma bağlı olmasıdır. PC tabanlı güvenlik duvarlarını kullanırken, böyle bir çözümün yalnızca az miktarda iletilen bilgi içeren küçük ağlar için kullanılabileceğini unutmayın.
• Yönlendirici tabanlı VPN. VPN oluşturmanın başka bir yolu da güvenli kanallar oluşturmak için yönlendiriciler kullanmaktır. Yerel ağdan gelen tüm bilgiler yönlendiriciden geçtiğinden, bu yönlendiriciye de şifreleme görevleri atamanız önerilir.Yönlendiriciler üzerinde VPN oluşturmaya yönelik bir ekipman örneği, Cisco Systems'in ekipmanıdır. IOS yazılım sürümü 11.3'ten başlayarak, Cisco yönlendiricileri hem L2TP hem de IPSec protokollerini destekler. Geçiş halindeki trafiği şifrelemenin yanı sıra Cisco, tünel kurulumunda kimlik doğrulama ve anahtar değişimi gibi diğer VPN özelliklerini de destekler.Yönlendirici performansını artırmak için isteğe bağlı bir ESA Şifreleme Modülü kullanılabilir. Ek olarak, Cisco System, küçük ve orta ölçekli işletmelerde ve büyük şube ofislerinde kurulum için Cisco 1720 VPN Erişim Yönlendiricisi adlı özel bir VPN cihazı piyasaya sürdü.
• Yazılım Tabanlı VPN. Bir VPN oluşturmaya yönelik bir sonraki yaklaşım tamamen yazılım tabanlıdır. Böyle bir çözümü uygularken, özel bir bilgisayarda çalışan ve çoğu durumda bir proxy sunucusu görevi gören özel bir yazılım kullanılır. Bu yazılımı çalıştıran bilgisayar bir güvenlik duvarının arkasında olabilir.
• VPN tabanlı ağ işletim sistemi.Microsoft'un Windows işletim sistemi örneğini kullanarak ağ işletim sistemine dayalı çözümleri ele alacağız. Bir VPN oluşturmak için Microsoft, Windows sistemine tümleşik olan PPTP protokolünü kullanır. Bu çözüm, Windows'u kurumsal işletim sistemi olarak kullanan kuruluşlar için çok caziptir. Unutulmamalıdır ki böyle bir çözümün maliyeti diğer çözümlerin maliyetinden çok daha düşüktür. Windows tabanlı VPN, Birincil Etki Alanı Denetleyicisinde (PDC) saklanan bir kullanıcı tabanını kullanır. Bir PPTP sunucusuna bağlanırken, kullanıcının kimliği PAP, CHAP veya MS-CHAP protokolleri kullanılarak doğrulanır. İletilen paketler GRE/PPTP paketlerinde kapsüllenir. Paketleri şifrelemek için, bağlantı kurulurken alınan 40 veya 128 bitlik bir anahtarla Microsoft Noktadan Noktaya Şifreleme'den standart olmayan bir protokol kullanılır. Bu sistemin dezavantajları, veri bütünlüğü kontrollerinin olmaması ve bağlantı sırasında anahtar değiştirmenin imkansızlığıdır. Olumlu yönler, Windows ile entegrasyon kolaylığı ve düşük maliyettir.
• Donanım tabanlı VPN. Özel cihazlarda VPN oluşturma seçeneği, yüksek performans gerektiren ağlarda kullanılabilir. Böyle bir çözüme örnek olarak Radguard'ın IPro-VPN ürünü verilebilir. Bu ürün, iletilen bilgilerin donanım tabanlı şifrelemesini kullanır ve 100 Mbps'lik bir akışı geçirebilir. IPro-VPN, IPSec protokolünü ve ISAKMP/Oakley anahtar yönetimi mekanizmasını destekler. Diğer şeylerin yanı sıra, bu cihaz ağ adresi çevirisini destekler ve güvenlik duvarı işlevleri ekleyen özel bir pano ile desteklenebilir.

2. VPN ağlarının protokolleri

VPN ağları, verileri şifreleyen ve kullanıcılar arasında uçtan uca ileten tünel protokolleri ile genel İnternet iletişim ağı üzerinden veri tünelleme protokolleri kullanılarak oluşturulur. Kural olarak, bugün VPN ağları oluşturmak için aşağıdaki protokoller kullanılmaktadır:

• Bağlantı katmanı
• ağ katmanı
• taşıma katmanı.

2.1 Bağlantı katmanı

Veri bağlantısı katmanında, yetkilendirme ve kimlik doğrulamayı kullanan L2TP ve PPTP veri tünelleme protokolleri kullanılabilir.

PPTP.

Şu anda en yaygın VPN protokolü Noktadan Noktaya Tünel Protokolü - PPTP'dir. İnternet üzerinden kurumsal ağlara güvenli uzaktan erişim sağlamak için 3Com ve Microsoft tarafından geliştirilmiştir. PPTP, mevcut açık TCP/IP standartlarını kullanır ve büyük ölçüde eski noktadan noktaya PPP protokolüne dayanır. Pratikte PPP, bir PPP bağlantı oturumunun iletişim protokolü olarak kalır. PPTP, ağ üzerinden alıcının NT sunucusuna bir tünel oluşturur ve uzak kullanıcının PPP paketlerini bu tünel aracılığıyla gönderir. Sunucu ve iş istasyonu, sanal bir özel ağ kullanır ve aralarındaki küresel ağın ne kadar güvenli veya erişilebilir olduğunun bir önemi yoktur. Özel uzaktan erişim sunucularının aksine, bir bağlantı oturumunun sunucu tarafından başlatılan sonlandırılması, yerel ağ yöneticilerinin uzak kullanıcıların Windows Server güvenlik sisteminden çıkmasına izin vermemesine olanak tanır.

PPTP, Windows çalıştıran cihazlarla sınırlı olsa da, şirketlere kendi güvenliklerinden ödün vermeden mevcut ağ altyapılarıyla birlikte çalışma yeteneği verir. Böylece uzaktaki bir kullanıcı, analog bir telefon hattı veya ISDN kanalı aracılığıyla yerel bir ISP kullanarak İnternet'e bağlanabilir ve NT sunucusuna bağlantı kurabilir. Aynı zamanda şirket, uzaktan erişim hizmetleri sağlayan bir modem havuzunun organizasyonu ve bakımı için büyük meblağlar harcamak zorunda kalmıyor.

RRTR'nin çalışması daha sonra tartışılacaktır. PPTP, bir IP ağı üzerinden iletim için IP paketlerini kapsüller. PPTP istemcileri, bir tünel kontrol bağlantısı oluşturmak için hedef bağlantı noktasını kullanır. Bu işlem, OSI modelinin taşıma katmanında gerçekleşir. Tünel oluşturulduktan sonra, istemci bilgisayar ve sunucu hizmet paketlerini değiş tokuş etmeye başlar. Bağlantıyı canlı tutan PPTP kontrol bağlantısına ek olarak, veri tünelini yönlendirmek için bir bağlantı oluşturulur. Veriler, tünelden gönderilmeden önce, normal iletimden biraz farklı bir şekilde kapsüllenir. Verileri tünele göndermeden önce kapsüllemek iki adımı içerir:

1. İlk olarak, PPP bilgi kısmı oluşturulur. Veriler, OSI uygulama katmanından bağlantı katmanına yukarıdan aşağıya doğru akar.
2. Alınan veriler daha sonra OSI modeline gönderilir ve üst katman protokolleri tarafından kapsüllenir.

Böylece ikinci geçişte veri taşıma katmanına ulaşır. Ancak, OSI bağlantı katmanı bundan sorumlu olduğu için bilgi hedefine gönderilememektedir. Bu nedenle PPTP, paketin yük alanını şifreler ve normalde PPP ile ilişkilendirilen ikinci katman işlevlerini, örn. bir PPP başlığı ekler ve bir PPTP paketine son verir. Bu, bağlantı katmanı çerçevesinin oluşturulmasını tamamlar.

Daha sonra, PPTP, PPP çerçevesini ağ katmanına ait bir Genel Yönlendirme Kapsülleme (GRE) paketinde kapsüller. GRE, IP ağları üzerinden taşınabilmelerini sağlamak için IPX, AppleTalk, DECnet gibi ağ katmanı protokollerini kapsüller. Ancak GRE, oturum oluşturma ve izinsiz giriş yapanlara karşı veri koruması sağlama yeteneğine sahip değildir. Bu, PPTP'nin bir tünel kontrol bağlantısı oluşturma yeteneğini kullanır. GRE'nin bir kapsülleme yöntemi olarak kullanılması, PPTP'nin kapsamını yalnızca IP ağlarıyla sınırlar.

PPP çerçevesi, GRE başlığına sahip bir çerçevede kapsüllendikten sonra, IP başlığına sahip bir çerçevede kapsüllenir. IP başlığı, paketin gönderici ve alıcı adreslerini içerir. Son olarak, PPTP bir PPP başlığı ve bitişi ekler.

Gönderici sistem verileri tünel aracılığıyla gönderir. Alıcı sistem, yalnızca PPP verilerini bırakarak tüm hizmet başlıklarını kaldırır.

L2TP

Yakın gelecekte, yeni Katman 2 Tünel Protokolü - L2TP'ye dayalı olarak dağıtılan VPN sayısında bir artış bekleniyor.

L2TP, PPTP ve L2F (Layer 2 Forwarding) protokollerinin birleşmesi sonucu ortaya çıktı. PPTP, PPP paketlerinin tünel üzerinden iletilmesine ve SLIP ve PPP L2F paketlerine izin verir. Telekomünikasyon pazarındaki karışıklığı ve birlikte çalışabilirlik sorunlarını önlemek için İnternet Mühendisliği Görev Gücü (IETF) komitesi, Cisco Systems'in PPTP ve L2F'yi birleştirmesini tavsiye etti. Tüm hesaplara göre L2TP protokolü, PPTP ve L2F'nin en iyi özelliklerini bünyesinde barındırmaktadır. L2TP'nin temel avantajı, bu protokolün sadece IP ağlarda değil, ATM, X.25 ve Frame Relay gibi ağlarda da tünel oluşturmanıza olanak sağlamasıdır. Ne yazık ki, L2TP'nin Windows 2000 uygulaması yalnızca IP'yi destekler.

L2TP, aktarım olarak UDP'yi kullanır ve hem tünel yönetimi hem de veri iletme için aynı mesaj biçimini kullanır. Microsoft'un L2TP uygulaması, kontrol mesajları olarak şifrelenmiş PPP paketleri içeren UDP paketlerini kullanır. Teslimatın güvenilirliği, paket dizisinin kontrolü ile garanti edilir.

PPTP ve L2TP'nin işlevselliği farklıdır. L2TP yalnızca IP ağlarında kullanılamaz, bir tünel oluşturmak ve bunun üzerinden veri göndermek için hizmet mesajları aynı formatı ve protokolleri kullanır. PPTP yalnızca IP ağları üzerinden kullanılabilir ve tünel oluşturmak ve kullanmak için ayrı bir TCP bağlantısı gerektirir. IPSec üzerinden L2TP, PPTP'den daha fazla güvenlik katmanı sunar ve iş açısından kritik verilerin %100'e yakın güvenliğini garanti edebilir. L2TP'nin özellikleri, onu sanal ağlar oluşturmak için çok umut verici bir protokol haline getiriyor.

L2TP ve PPTP protokolleri, katman 3 tünel protokollerinden çeşitli şekillerde farklılık gösterir:

1. Şirketlere, kullanıcıların kimlik bilgilerini nasıl doğrulayacağını ve kendi "bölgelerinde" veya bir İnternet servis sağlayıcısıyla nasıl doğrulayacağını seçme yeteneği vermek. Kurumsal ağ sunucuları, tünellenmiş PPP paketlerini işleyerek, kullanıcıları tanımlamak için ihtiyaç duydukları tüm bilgileri elde eder.
2. Tünel anahtarlama desteği - bir tüneli sonlandırmak ve birçok potansiyel sonlandırıcıdan birine başka bir tüneli başlatmak. Anahtarlama tünelleri, olduğu gibi, PPP bağlantısını gerekli son noktaya kadar genişletmeye izin verir.
3. Kurumsal ağ sistemi yöneticilerinin, kullanıcılara doğrudan güvenlik duvarı ve dahili sunucular üzerinde erişim hakları atamak için stratejiler uygulamasına olanak tanır. Tünel sonlandırıcılar, kullanıcı bilgilerini içeren PPP paketlerini aldıkları için, bireysel kullanıcı trafiğine yönetici tanımlı güvenlik ilkeleri uygulayabilirler. (Katman 3 tünelleme, sağlayıcıdan gelen paketleri ayırt etmenize izin vermez, bu nedenle uç iş istasyonlarında ve ağ cihazlarında güvenlik ilkesi filtreleri uygulanmalıdır.) Ayrıca, bir tünel anahtarı kullanılırsa, bir " tünelin devamı" bireysel trafiğin doğrudan çevirisi için ikinci seviyekullanıcıları karşılık gelen dahili sunuculara. Bu tür sunuculara ek paket filtreleme görevi verilebilir.

MPLS

Ayrıca bağlantı katmanında, tünelleri düzenlemek için MPLS teknolojisi kullanılabilir (İngilizce'den Çok Protokollü Etiket Değiştirme - çok protokollü etiket değiştirme - devre anahtarlamalı ağların çeşitli özelliklerini paket anahtarlamalı ağlar üzerinden taklit eden bir veri aktarım mekanizması). MPLS, veri bağlantı katmanı ile OSI modelinin üçüncü ağ katmanı arasına yerleştirilebilen bir katmanda çalışır ve bu nedenle genellikle bir ağ bağlantı katmanı protokolü olarak anılır. Hem devre anahtarlamalı hem de paket anahtarlamalı ağ müşterileri için çok yönlü bir veri hizmeti sağlamak üzere tasarlanmıştır. MPLS ile IP paketleri, ATM, SONET ve Ethernet çerçeveleri gibi çok çeşitli trafiği taşıyabilirsiniz.

Bağlantı seviyesindeki VPN çözümlerinin kapsamı oldukça sınırlıdır ve genellikle sağlayıcının alanı içindedir.

2.2 Ağ katmanı

Ağ katmanı (IP katmanı). Veri şifreleme ve gizliliğin yanı sıra abone kimlik doğrulamasını uygulayan IPSec protokolü kullanılır. IPSec protokolünün kullanılması, bir şirket ağına fiziksel bağlantıya eşdeğer tam özellikli erişim uygulamanıza olanak tanır. Bir VPN oluşturmak için her katılımcının belirli IPSec parametrelerini yapılandırması gerekir, örn. her istemci, IPSec'i uygulayan bir yazılıma sahip olmalıdır.

IPSec

Doğal olarak, hiçbir şirket açıkça transfer etmek istemez. İnternet finansal veya diğer gizli bilgiler. VPN kanalları, IPsec güvenlik protokolü standartlarına gömülü güçlü şifreleme algoritmalarıyla korunur. IPSec veya İnternet Protokolü Güvenliği - uluslararası topluluk, IETF - İnternet Mühendisliği Görev Gücü tarafından seçilen bir standart, İnternet Protokolü için güvenlik temelini oluşturur (IP / IPSec protokolü, ağ seviyesinde koruma sağlar ve yalnızca IPSec standardı için destek gerektirir. aradaki diğer tüm cihazlarda birbirleriyle iletişim kuran cihazlar, yalnızca IP paket trafiğini sağlar.

IPSec teknolojisini kullanan kişiler arasındaki etkileşim yöntemi genellikle "güvenli ilişkilendirme" - Güvenlik Birliği (SA) terimiyle tanımlanır. Güvenli bir ilişkilendirme, birbirlerine iletilen bilgileri korumak için IPSec kullanan taraflarca yapılan bir anlaşma temelinde çalışır. Bu sözleşme birkaç parametreyi düzenler: gönderici ve alıcı IP adresleri, kriptografik algoritma, anahtar değişim sırası, anahtar boyutları, anahtar ömrü, kimlik doğrulama algoritması.

IPSec, yeni özellikler ve protokollerle kolayca genişletilebilen bir çekirdeğe sahip bir fikir birliği açık standartlar kümesidir. IPSec'in çekirdeği üç protokolden oluşur:

· BİR veya Kimlik Doğrulama Başlığı - kimlik doğrulama başlığı - verilerin bütünlüğünü ve gerçekliğini garanti eder. AH protokolünün ana amacı, alıcı tarafın aşağıdakilerden emin olmasını sağlamaktır:

• paket, güvenli bir ilişkinin kurulduğu bir tarafça gönderildi;
• ağ üzerinden iletimi sırasında paketin içeriği bozulmadı;
• paket önceden alınmış bir paketin kopyası değil.

İlk iki işlev AH protokolü için zorunludur ve sonuncusu bir ilişkilendirme kurulurken isteğe bağlıdır. Bu işlevleri gerçekleştirmek için AH protokolü özel bir başlık kullanır. Yapısı aşağıdaki gibi kabul edilir:

1. Bir sonraki başlık alanı, üst düzey protokolün, yani mesajı IP paketinin veri alanına yerleştirilen protokolün kodunu gösterir.
2. Yük uzunluğu alanı, AH başlığının uzunluğunu içerir.
3. Güvenlik Parametreleri Dizini (SPI), bir paketi amaçlanan güvenli ilişkilendirmesiyle ilişkilendirmek için kullanılır.
4. Sıra Numarası (SN) alanı, paketin sıra numarasını gösterir ve sahtekarlığa karşı koruma sağlamak için kullanılır (üçüncü bir taraf, gerçekten kimliği doğrulanmış bir gönderici tarafından gönderilen, ele geçirilen güvenli paketleri yeniden kullanmaya çalıştığında).
5. Bütünlük Kontrol Değeri'ni (ICV) içeren kimlik doğrulama veri alanı, paketin bütünlüğünü doğrulamak ve kontrol etmek için kullanılır. Özet olarak da adlandırılan bu değer, AH protokolünün gerektirdiği iki hesaplamalı olarak tersinmez MD5 veya SAH-1 işlevinden biri kullanılarak hesaplanır, ancak başka herhangi bir işlev kullanılabilir.

· ESP veya Kapsülleyen Güvenlik Yükü- şifrelenmiş verilerin kapsüllenmesi - iletilen verileri şifreleyerek gizlilik sağlar, ayrıca kimlik doğrulama ve veri bütünlüğünü koruyabilir;

ESP protokolü iki grup sorunu çözer.

1. İlki, AH protokolündekilere benzer görevleri içerir - bu, özete dayalı kimlik doğrulama ve veri bütünlüğünün sağlanmasıdır,
2. İkinciye - aktarılan veriler, yetkisiz görüntülemeden şifrelenerek.

Başlık, bir veri alanıyla ayrılmış iki bölüme ayrılmıştır.

1. ESP başlığı adı verilen ilk kısım, amacı AH protokolündeki aynı isimli alanlara benzeyen iki alandan (SPI ve SN) oluşur ve veri alanının önüne yerleştirilir.
2. ESP fragmanı adı verilen ESP protokolünün geri kalan hizmet alanları paketin sonunda bulunur.

Fragmanın iki alanı - sonraki başlık ve kimlik doğrulama verileri - AH başlığının alanlarına benzer. Güvenli bir ilişki kurulurken ESP protokolünün bütünlük yeteneklerinin kullanılmamasına karar verildiyse Kimlik Doğrulama Verisi alanı atlanır. Bu alanlara ek olarak, römork iki ek alan içerir - dolgu ve dolgu uzunluğu.

AH ve ESP protokolleri, verileri iki modda koruyabilir:

1. taşıma sırasında - iletim, orijinal IP başlıkları ile gerçekleştirilir;
2. bir tünelde - orijinal paket yeni bir IP paketine yerleştirilir ve iletim yeni başlıklarla gerçekleştirilir.

Bir veya başka bir modun kullanılması, veri koruma gereksinimlerinin yanı sıra güvenli kanalı sonlandıran düğümün ağda oynadığı role bağlıdır. Böylece, bir düğüm bir ana bilgisayar (uç düğüm) veya bir ağ geçidi (ara düğüm) olabilir.

Buna göre, IPSec protokolünü kullanmak için üç şema vardır:

1. ev sahibi ev sahibi;
2. ağ geçidi;
3. ana ağ geçidi.

AH ve ESP protokollerinin yetenekleri kısmen örtüşür: AH protokolü yalnızca verilerin bütünlüğünü ve kimlik doğrulamasını sağlamaktan sorumludur, ESP protokolü verileri şifreleyebilir ve ayrıca AH protokolünün işlevlerini (kesilmiş bir biçimde) gerçekleştirebilir. . ESP, herhangi bir kombinasyonda şifreleme ve kimlik doğrulama/bütünlük işlevlerini destekleyebilir, yani tüm işlev grubu veya yalnızca kimlik doğrulama/bütünlük veya yalnızca şifreleme.

· IKE veya İnternet Anahtar Değişimi - İnternet anahtar değişimi - kimlik doğrulama ve veri şifreleme protokollerinin çalışması için gerekli gizli anahtarlarla güvenli kanal uç noktalarını otomatik olarak sağlama yardımcı görevini çözer.

2.3 Taşıma katmanı

Taşıma katmanı, alıcı ve vericinin taşıma katmanları arasında şifreleme ve kimlik doğrulama uygulayan SSL/TLS veya Güvenli Yuva Katmanı/Aktarım Katmanı Güvenlik protokolünü kullanır. SSL/TLS, TCP trafiğini güvence altına almak için kullanılabilir, UDP trafiğini güvence altına almak için kullanılamaz. Her tarayıcı ve e-posta istemcisi bu protokollerle donatıldığından, SSL/TLS VPN'in çalışması için özel bir yazılım uygulamaya gerek yoktur. Aktarım katmanında SSL/TLS uygulandığı için uçtan uca güvenli bir bağlantı kurulur.

TLS protokolü, Netscape SSL protokolü sürüm 3.0'a dayalıdır ve iki bölümden oluşur - TLS Kayıt Protokolü ve TLS El Sıkışma Protokolü. SSL 3.0 ve TLS 1.0 arasındaki fark küçüktür.

SSL/TLS üç ana aşamadan oluşur:

1. Amacı bir şifreleme algoritması seçmek olan taraflar arasındaki diyalog;
2. Genel anahtar şifreleme sistemlerine veya sertifika tabanlı kimlik doğrulamaya dayalı anahtar değişimi;
3. Simetrik şifreleme algoritmaları kullanılarak şifrelenmiş veri aktarımı.

2.4 VPN Uygulaması: IPSec mi yoksa SSL/TLS mi?

Çoğu zaman, BT departmanlarının başkanları şu soruyla karşı karşıya kalır: kurumsal bir VPN ağı oluşturmak için protokollerden hangisini seçmeli? Her yaklaşımın hem artıları hem de eksileri olduğu için cevap açık değildir. IPSec'in ne zaman ve ne zaman SSL / TLS kullanılması gerektiğini belirlemeye ve yürütmeye çalışacağız. Bu protokollerin özelliklerinin analizinden görülebileceği gibi, birbirinin yerine geçemezler ve uygulanan VPN'lerin her birinin işlevsel özelliklerini tanımlayarak hem ayrı ayrı hem de paralel olarak çalışabilirler.

Kurumsal bir VPN ağı oluşturmak için protokol seçimi aşağıdaki kriterlere göre yapılabilir:

· VPN kullanıcıları için gereken erişim türü.

1. Kurumsal ağa tamamen işlevsel kalıcı bağlantı. Önerilen seçim IPSec'dir.
2. E-posta veya veri tabanı gibi belirli hizmetlere erişim elde etmek için mobil kullanıcı veya genel bilgisayarı kullanan bir kullanıcı gibi geçici bir bağlantı. Önerilen seçenek, her bir hizmet için bir VPN düzenlemenizi sağlayan SSL/TLS protokolüdür.

· Kullanıcının şirket çalışanı olup olmadığı.

1. Kullanıcı bir şirket çalışanıysa, IPSec VPN aracılığıyla şirket ağına erişmek için kullandıkları cihaz belirli bir şekilde yapılandırılabilir.
2. Kullanıcı, kurumsal ağına erişilen şirketin bir çalışanı değilse, SSL/TLS kullanılması önerilir. Bu, konukların yalnızca belirli hizmetlere erişimini kısıtlayacaktır.

· Şirket ağının güvenlik düzeyi nedir?

1. Yüksek. Önerilen seçim IPSec'dir. Nitekim kullanıcı tarafında yapılandırılabilir yazılım ve kurumsal ağ tarafında güvenlik ağ geçidi kullanılması nedeniyle IPSec'in sunduğu güvenlik seviyesi, SSL/TLS protokolünün sunduğu güvenlik seviyesinden çok daha yüksektir.
2. Ortalama. Önerilen seçim, herhangi bir terminalden erişime izin veren SSL/TLS protokolüdür.

· Kullanıcı tarafından iletilen verilerin güvenlik düzeyi.

1. Yüksek, örneğin şirket yönetimi. Önerilen seçim IPSec'dir.
2. Orta, örneğin ortak. Önerilen seçim, SSL/TLS protokolüdür.

Hizmete bağlı olarak - ortadan yükseğe. Önerilen seçenek, IPSec (yüksek düzeyde güvenlik gerektiren hizmetler için) ve SSL/TLS'nin (orta düzeyde güvenlik gerektiren hizmetler için) birleşimidir.

· Daha da önemlisi, hızlı VPN dağıtımı veya çözümün gelecekteki ölçeklenebilirliği.

1. Bir VPN ağını minimum maliyetle hızla dağıtın. Önerilen seçim, SSL/TLS protokolüdür. Bu durumda, IPSec'te olduğu gibi kullanıcı tarafında özel bir yazılım uygulamaya gerek yoktur.
2. VPN ağ ölçeklenebilirliği - çeşitli hizmetlere erişim eklenmesi. Önerilen seçenek, şirket ağının tüm hizmetlerine ve kaynaklarına erişim sağlayan IPSec protokolüdür.
3. Hızlı dağıtım ve ölçeklenebilirlik. Önerilen seçim, IPSec ve SSL/TLS'nin bir kombinasyonudur: gerekli hizmetlere erişmek için ilk aşamada SSL/TLS'yi kullanın, ardından IPSec'i uygulayın.

3. VPN ağlarını uygulama yöntemleri

Bir sanal özel ağ, üç uygulama yöntemine dayanır:

· Tünel açma;

· Şifreleme;

· Kimlik doğrulama.

3.1 Tünel açma

Tünelleme, verilerin iki nokta - tünelin uçları - arasında, aralarında uzanan tüm ağ altyapısı verinin kaynağı ve hedefi için gizlenecek şekilde aktarılmasını sağlar.

Tünel taşıma ortamı, bir feribot gibi, tünel girişinde kullanılan ağ protokolünün paketlerini alır ve bunları değişmeden çıkışa iletir. Bir tünel oluşturmak, iki ağ düğümünü birbirine bağlamak için yeterlidir, böylece üzerlerinde çalışan yazılım açısından aynı (yerel) ağa bağlı gibi görünürler. Bununla birlikte, veri içeren "feribot" un aslında açık bir genel ağın birçok ara düğümünden (yönlendiricisinden) geçtiğini unutmamalıyız.

Bu durumun iki sorunu var. Birincisi, tünel aracılığıyla iletilen bilgilerin davetsiz misafirler tarafından yakalanabilmesidir. Gizli ise (banka kartı numaraları, finansal raporlar, kişisel bilgiler), o zaman taviz verme tehdidi oldukça gerçektir ve bu zaten kendi içinde tatsızdır. Daha da kötüsü, saldırganlar, alıcının gerçekliğini doğrulayamaması için tünel aracılığıyla iletilen verileri değiştirme yeteneğine sahiptir. Sonuçlar en içler acısı olabilir. Yukarıdakiler göz önüne alındığında, saf haliyle tünelin yalnızca bazı ağa bağlı bilgisayar oyunları türleri için uygun olduğu ve daha ciddi olduğunu iddia edemeyeceği sonucuna varıyoruz. Her iki sorun da modern kriptografik bilgi koruma araçlarıyla çözülür. Tünelden geçerken veri paketinde izinsiz değişiklik yapılmasını önlemek için elektronik sayısal imza () yöntemi kullanılır. Yöntemin özü, iletilen her paketin, asimetrik bir kriptografik algoritmaya göre üretilen ve paketin içeriği ve gönderenin EDS'sinin gizli anahtarı için benzersiz olan ek bir bilgi bloğu ile sağlanmasıdır. Bu bilgi bloğu, paketin EDS'sidir ve göndericinin EDS'sinin genel anahtarını bilen alıcı tarafından veri kimlik doğrulaması yapmanıza izin verir. Tünel yoluyla iletilen verilerin yetkisiz görüntülemeden korunması, güçlü şifreleme algoritmaları kullanılarak sağlanır.

3.2 Kimlik doğrulama

Güvenlik, bir VPN'nin ana işlevidir. İstemci bilgisayarlardan gelen tüm veriler İnternet üzerinden VPN sunucusuna geçer. Böyle bir sunucu, istemci bilgisayardan çok uzakta olabilir ve kuruluşun ağına giderken veriler birçok sağlayıcının ekipmanından geçer. Verilerin okunmadığından veya değiştirilmediğinden nasıl emin olunur? Bunu yapmak için çeşitli kimlik doğrulama ve şifreleme yöntemleri kullanılır.

PPTP, kullanıcıların kimliğini doğrulamak için PPP için kullanılan protokollerden herhangi birini kullanabilir.

• EAP veya Genişletilebilir Kimlik Doğrulama Protokolü;
• MSCHAP veya Microsoft Challenge El Sıkışma Kimlik Doğrulama Protokolü (sürüm 1 ve 2);
• CHAP veya Meydan Okuma El Sıkışma Kimlik Doğrulama Protokolü;
• SPAP veya Shiva Parola Doğrulama Protokolü;
• PAP veya Parola Doğrulama Protokolü.

MSCHAP sürüm 2 ve Aktarım Katmanı Güvenliği (EAP-TLS), karşılıklı kimlik doğrulama, yani; VPN sunucusu ve istemci birbirini tanımlar. Diğer tüm protokollerde, yalnızca sunucu istemcilerin kimliğini doğrular.

PPTP yeterli derecede güvenlik sağlasa da, IPSec üzerinden L2TP hala daha güvenilirdir. IPSec üzerinden L2TP, kullanıcı ve bilgisayar düzeylerinde kimlik doğrulamanın yanı sıra kimlik doğrulama ve veri şifreleme sağlar.

Kimlik doğrulama, açık bir test (açık metin şifresi) veya bir istek / yanıt şeması (meydan okuma / yanıt) ile gerçekleştirilir. Doğrudan metin ile her şey açıktır. İstemci parolayı sunucuya gönderir. Sunucu bunu kıyaslama ile karşılaştırır ve erişimi reddeder veya "hoş geldiniz" der. Açık kimlik doğrulama pratikte yoktur.

İstek/yanıt şeması çok daha gelişmiştir. Genel olarak, şöyle görünür:

• istemci, kimlik doğrulaması için sunucuya bir istek gönderir;
• sunucu rastgele bir yanıt verir (meydan okuma);
• istemci, parolasından bir sağlamayı kaldırır (karma, rastgele uzunluktaki bir girdi veri dizisini sabit uzunluktaki bir çıktı bit dizisine dönüştüren bir karma işlevinin sonucudur), yanıtı onunla şifreler ve sunucuya gönderir;
• sunucu, sonucu müşterinin yanıtıyla karşılaştırarak aynı şeyi yapar;
• şifrelenmiş yanıt eşleşirse, kimlik doğrulama başarılı kabul edilir;

VPN istemcilerinin ve sunucularının kimliğini doğrulamanın ilk adımında, IPSec üzerinden L2TP, bir sertifika yetkilisinden alınan yerel sertifikaları kullanır. İstemci ve sunucu sertifikaları değiş tokuş eder ve güvenli bir ESP SA (güvenlik ilişkisi) bağlantısı oluşturur. L2TP (IPSec üzerinden) bilgisayar kimlik doğrulama işlemini tamamladıktan sonra, kullanıcı düzeyinde kimlik doğrulama gerçekleştirilir. Kimlik doğrulama için kullanıcı adı ve parolayı açık metin olarak ileten PAP dahil herhangi bir protokol kullanılabilir. IPSec üzerinden L2TP tüm oturumu şifrelediğinden, bu oldukça güvenlidir. Ancak, bilgisayarın ve kullanıcının kimliğini doğrulamak için farklı şifreleme anahtarları kullanan MSCHAP ile kullanıcının kimliğinin doğrulanması güvenliği artırabilir.

3.3. şifreleme

PPTP ile şifreleme, verilere İnternet üzerinden gönderilirken kimsenin erişememesini sağlar. Şu anda iki şifreleme yöntemi desteklenmektedir:

• MPPE veya Microsoft Noktadan Noktaya Şifreleme yalnızca MSCHAP (sürüm 1 ve 2) ile uyumludur;
• EAP-TLS ve istemci ile sunucu arasında parametreler üzerinde anlaşmaya varılırken şifreleme anahtarının uzunluğunu otomatik olarak seçebilir.

MPPE, 40, 56 veya 128 bit anahtarları destekler. Daha eski Windows işletim sistemleri yalnızca 40 bitlik anahtar uzunluğuna sahip şifrelemeyi destekler, bu nedenle karma bir Windows ortamında minimum anahtar uzunluğunu seçin.

PPTP, alınan her paketten sonra şifreleme anahtarının değerini değiştirir. MMPE protokolü, paketlerin sırayla iletildiği ve çok az veri kaybının olduğu noktadan noktaya bağlantılar için tasarlanmıştır. Bu durumda, sonraki paketin anahtar değeri önceki paketin şifre çözme sonuçlarına bağlıdır. Genel ağlar aracılığıyla sanal ağlar oluştururken, veri paketleri genellikle alıcıya gönderildikleri sırada yanlış sırayla ulaştığından, bu koşullar karşılanamaz. Bu nedenle PPTP, şifreleme anahtarını değiştirmek için paket sıra numaralarını kullanır. Bu, şifre çözmenin önceki alınan paketlerden bağımsız olarak gerçekleştirilmesine izin verir.

Her iki protokol de hem Microsoft Windows'ta hem de bunun dışında (örneğin, BSD'de) uygulanır, VPN işlem algoritmaları önemli ölçüde farklılık gösterebilir.

Böylece, "tünelleme + kimlik doğrulama + şifreleme" paketi, özel (yerel) bir ağın çalışmasını simüle ederek, ortak bir ağ üzerinden iki nokta arasında veri aktarmanıza olanak tanır. Başka bir deyişle, dikkate alınan araçlar, sanal bir özel ağ oluşturmanıza olanak tanır.

Bir VPN bağlantısının ek bir güzel etkisi, yerel ağda benimsenen adresleme sistemini kullanma yeteneğidir (ve hatta buna ihtiyaç duymasıdır).

Sanal bir özel ağın pratikte uygulanması aşağıdaki gibidir. Şirket ofisinin yerel bilgisayar ağına bir VPN sunucusu kurulur. VPN istemci yazılımını kullanan uzak kullanıcı (veya iki ofis bağlıysa yönlendirici) sunucuyla bağlantı prosedürünü başlatır. Kullanıcı kimlik doğrulaması gerçekleşir - bir VPN bağlantısı kurmanın ilk aşaması. Yetkinin onaylanması durumunda, ikinci aşama başlar - istemci ve sunucu arasında, bağlantının güvenliğini sağlama detayları görüşülür. Bundan sonra, her veri paketi şifreleme / şifre çözme ve bütünlük kontrolü - veri kimlik doğrulaması prosedürlerinden geçtiğinde, istemci ile sunucu arasında formda bilgi alışverişini sağlayan bir VPN bağlantısı düzenlenir.

VPN ağlarının ana sorunu, kimlik doğrulama ve şifreli bilgi alışverişi için belirlenmiş standartların olmamasıdır. Bu standartlar hala geliştirilme aşamasındadır ve bu nedenle farklı üreticilerin ürünleri VPN bağlantıları kuramaz ve otomatik olarak anahtar alışverişi yapamaz. Farklı şirketleri bir üreticinin ürünlerini kullanmaya zorlamak zor olduğundan ve bu nedenle ortak şirketlerin ağlarını sözde extranet ağlarında birleştirme süreci zor olduğundan, bu sorun VPN'lerin yayılmasında bir yavaşlama gerektirir.

VPN teknolojisinin avantajları, uzaktan erişim organizasyonunun bir telefon hattı üzerinden değil, çok daha ucuz ve daha iyi olan İnternet üzerinden yapılmasıdır. VPN teknolojisinin dezavantajı, VPN oluşturmak için kullanılan araçların saldırıları tespit etmek ve engellemek için tam teşekküllü araçlar olmamasıdır. Bir dizi yetkisiz eylemi önleyebilirler, ancak bir kurumsal ağa sızmak için kullanılabilecek tüm olasılıkları engelleyemezler. Ancak tüm bunlara rağmen, VPN teknolojisinin daha fazla gelişme olasılığı vardır.

Gelecekte VPN teknolojilerinin gelişimi açısından neler bekleyebiliriz? Hiç şüphesiz, bu tür ağların kurulması için tek bir standart geliştirilecek ve onaylanacaktır. Büyük olasılıkla, bu standardın temeli zaten kanıtlanmış IPSec protokolü olacaktır. Ardından, üreticiler ürünlerinin performansını artırmaya ve uygun VPN kontrolleri oluşturmaya odaklanacaklar. Bu çözüm, oldukça yüksek performansı, VPN entegrasyonunu ve yönlendirmeyi tek bir cihazda birleştirdiğinden, büyük olasılıkla, VPN oluşturma araçlarının geliştirilmesi yönlendirici tabanlı VPN yönünde ilerleyecektir. Ancak daha küçük kuruluşlar için düşük maliyetli çözümler de geliştirilecektir. Sonuç olarak, VPN teknolojisinin henüz çok genç olmasına rağmen önünde harika bir gelecek olduğunu söylemek gerekir.

Yorumunuzu bırakın!

VPN (VPN) - sanal özel ağlar, bugün herkes duyuyor. Birçok deneyimsiz kullanıcı, onları engellenen web kaynaklarına erişim için sihirli bir anahtar olarak hayal eder: düğmeye basarlar - site açılır. Güzellik! Evet, web sitelerinin engellemesini kaldırmak, VPN özelliklerinden biridir, en çok talep edilen, ancak en önemlisi olmaktan uzaktır. Sanal özel ağların temel amacı, İnternet üzerinden iletilen verilerin, bu verilerin amaçlanmadığı kişiler tarafından ele geçirilmesini önlemektir.

Sanal özel ağların ne olduğundan, hangi işlevleri yerine getirdiklerinden, nerelerde kullanıldıklarından ve dezavantajlarından bahsedelim. Ayrıca hem PC'de hem de mobil cihazlarda kullanılabilen çeşitli popüler VPN uygulamalarının ve tarayıcı uzantılarının yeteneklerini keşfedeceğiz.

VPN teknolojisini daha iyi anlamak için, İnternet'i posta kamyonlarının mektuplar ve paketlerle geçtiği bir yol ağı olarak düşünelim. Nereye gittiklerini ve ne taşıdıklarını hiç saklamıyorlar. Mektuplar ve paketler bazen yolda kaybolur ve genellikle yanlış ellere geçer. Gönderici ve alıcı, teslimat sürecini kontrol etmedikleri için paketin içeriğinin birileri tarafından okunmayacağından, çalınmayacağından veya değiştirilmeyeceğinden %100 emin olamazlar. Ancak güvenlik açısından bu yönlendirme yönteminin pek güvenilir olmadığını biliyorlar.

Ve şimdi yollar arasında kapalı bir tünel belirdi. İçinden geçen minibüsler meraklı gözlerden saklanıyor. Arabanın tünele girdikten sonra nereye gittiğini, neyi kime teslim ettiğini kimse bilmiyor. Bunu yalnızca yazışmanın göndereni ve alıcısı bilir.

Tahmin edebileceğiniz gibi, hayali tünelimiz daha büyük bir ağ olan World Wide Web temelinde oluşturulmuş sanal bir özel ağdır. Bu tünelden geçen trafik, sağlayıcı da dahil olmak üzere dışarıdan gizlenir. Sağlayıcı, kimse bilmiyorsa, normal koşullar altında (VPN olmadan), hangi kaynakları ziyaret ettiğinizi gördüğü için İnternet'teki faaliyetlerinizi izleyebilir ve kontrol edebilir. Ve bir VPN'e "dalarsanız", bunu yapamazsınız. Ek olarak, böyle bir kanal aracılığıyla gönderilen bilgiler, şifreli olduğu için başkasının iyiliğini sevenler - bilgisayar korsanları için işe yaramaz hale gelir. Bu, teknolojinin özü ve VPN operasyonunun basitleştirilmiş ilkesidir.

Sanal özel ağlar nerede kullanılır?

Ne için olduğu, umarım bu VPN açıktır. Şimdi nerede, nasıl ve ne için kullanıldığına bakalım. Yani, VPN olmadan yapamazsınız:

• kurumsal ağlarda. Burada çalışanlar veya şirket ağ kaynakları ve müşteriler arasında gizli veri alışverişi için gereklidir. İkinci duruma bir örnek, banka müşterisi ve mobil banka gibi uygulamalar aracılığıyla hesap yönetimidir. VPN'ler ayrıca teknik sorunları çözmek için de kullanılır - trafik ayırma, yedekleme vb.
• Kafeler gibi halka açık Wi-Fi ağlarında. Bu tür ağlar herkese açıktır ve bu ağlardan geçen trafiğin yakalanması çok kolaydır. Açık erişim noktalarının sahipleri VPN hizmeti sağlamaz. Bilgilerin korunmasını kullanıcının kendisi sağlamalıdır.
• Örneğin, iş yerindeki bir patrondan veya sistem yöneticisinden ziyaret edilen web kaynaklarını gizlemek için.
• Düzenli bir İnternet bağlantısına güven yoksa, diğer kişilerle hassas bilgileri değiş tokuş etmek.
• Engellenen sitelere erişmek için.
• İnternette anonim kalmak için.

World Wide Web'e VPN aracılığıyla erişim sağlamak, aboneleri bağlarken Rus İnternet sağlayıcıları tarafından da yaygın olarak kullanılmaktadır.

VPN çeşitleri

Bildiğiniz gibi, herhangi bir bilgisayar ağının işleyişi, ağ protokollerine yansıyan kurallara tabidir. Bir ağ protokolü, bir bağlantıdaki katılımcılar arasında veri alışverişi için koşulları ve prosedürleri açıklayan bir tür standartlar ve talimatlardır (insanlardan değil, cihazlardan, işletim sistemlerinden ve uygulamalardan bahsediyoruz). VPN ağları, faaliyet gösterdikleri protokol türleri ve inşaat teknolojileri ile ayırt edilir.

PPTP

PPTP (Noktadan Noktaya Tünel Protokolü), sanal özel ağlardaki en eski veri aktarım protokolüdür ve 20 yılı aşkın bir süredir kullanılmaktadır. Çok uzun zaman önce ortaya çıkması nedeniyle neredeyse mevcut tüm işletim sistemleri tarafından biliniyor ve destekleniyor. Neredeyse ekipmanın bilgi işlem kaynaklarını yüklemez ve çok eski bilgisayarlarda bile kullanılabilir. Ancak mevcut ortamda güvenlik seviyesi çok düşüktür, yani PPTP kanalı üzerinden iletilen veriler hacklenme riski altındadır. Bu arada, bazı ISP'ler bu protokolü kullanan uygulamaları engeller.

L2TP

L2TP (Katman 2 Tünel Protokolü) ayrıca PPTP ve L2F teknolojileri temelinde oluşturulan oldukça eski bir protokoldür (ikincisi, PPTP mesajlarını tünellemek için özel olarak tasarlanmıştır). Erişim önceliklerini belirlemenize izin verdiği için, yalnızca PPTP'den daha yüksek derecede trafik koruması sağlar.

L2TP protokolü bugüne kadar yaygın olarak kullanılmaktadır, ancak genellikle tek başına değil, IPSec gibi diğer güvenlik teknolojileriyle birlikte kullanılmaktadır.

IPSec

IPSec, birçok farklı protokol ve standart kullanan karmaşık bir teknolojidir. Sürekli geliştirilmektedir, bu nedenle uygun uygulama ile oldukça yüksek düzeyde iletişim güvenliği sağlar. Diğer ağ bağlantısı koruma sistemleri ile çakışmalara neden olmadan birleştirilebilir. Bunlar onun güçlü yönleri.

IPSec'in dezavantajları, kurulumunun yoğun emek gerektirmesi ve yalnızca eğitimli profesyoneller tarafından kullanılmasının amaçlanmasıdır (yanlış yapılandırılırsa, kabul edilebilir bir koruma sağlamaz). Ek olarak, IPSec bilgi işlem sistemlerinin donanım kaynakları üzerinde oldukça talepkardır ve zayıf cihazlarda frenlere neden olabilir.

SSL ve TLS

SSL ve TLS, esas olarak web tarayıcıları aracılığıyla İnternette güvenli bilgi aktarımı için kullanılır. Site ziyaretçilerinin gizli verilerini - oturum açma bilgileri, şifreler, yazışmalar, mal ve hizmet siparişi verirken girilen ödeme ayrıntıları vb.

Web tarayıcıları dışında SSL / TLS teknolojilerini kullanmanın özel bir durumu, OpenVPN çapraz platform yazılımıdır.

açık vpn

OpenVPN, İnternet veya yerel ağ kullanıcıları arasında istemci-sunucu veya noktadan noktaya güvenli iletişim kanalları oluşturmak için tasarlanmış ücretsiz bir VPN teknolojisi uygulamasıdır. Bu durumda, bağlantıya katılan bilgisayarlardan biri sunucu olarak atanır, geri kalanı istemci olarak bağlanır. İlk üç VPN türünden farklı olarak özel yazılımların yüklenmesini gerektirir.

OpenVPN, bilgisayarınızın ağa ana bağlantısının ayarlarını değiştirmeden güvenli tüneller oluşturmanıza olanak tanır. Kurulumu basit olarak adlandırılamayacağı için deneyimli kullanıcılar için tasarlanmıştır.

MPLS

MPLS, özel etiketler kullanarak bir düğümden diğerine çok protokollü veri aktarımı için bir teknolojidir. Etiket, paketin hizmet bilgilerinin bir parçasıdır (iletilen verileri bir tren olarak gösterirsek, paket bir arabadır). Etiketler, MPLS kanalı içindeki trafiği cihazdan cihaza yönlendirmek için kullanılırken, paket başlıklarının geri kalan içeriği (mektuptaki adresle aynı) gizli tutulur.

MPLS kanalları üzerinden iletilen trafiğin korumasını artırmak için IPSec de sıklıkla kullanılır.

Bunların hepsi bugün var olan sanal özel ağ çeşitleri değildir. İnternet ve onunla temas eden her şey sürekli bir gelişme içindedir. Buna bağlı olarak yeni VPN teknolojileri ortaya çıkıyor.

Sanal Özel Ağ Güvenlik Açıkları

Güvenlik açıkları, verilerin dışarıya - genel ağa sızabileceği VPN kanalının güvenliğindeki boşluklardır. Ne yazık ki, kesinlikle aşılmaz koruma mevcut değildir. Çok iyi oluşturulmuş bir kanal bile size %100 anonimlik garantisi vermez. Ve bu, şifreleme algoritmalarını kıran bilgisayar korsanlarıyla ilgili değil, çok daha sıradan şeylerle ilgili. Örneğin:

• VPN sunucusuyla bağlantı aniden kesilirse (ve bu oldukça sık olur), ancak İnternet bağlantısı devam ederse, trafiğin bir kısmı genel ağa gider. Bu tür sızıntıları önlemek için VPN Reconnect teknolojileri (otomatik yeniden bağlanma) ve Killswitch (VPN bağlantısı kesildiğinde internet bağlantısının kesilmesi) kullanılmaktadır. İlki, "yedi" ile başlayarak Windows'ta uygulanır, ikincisi, üçüncü taraf yazılımlar, özellikle bazı ücretli VPN uygulamaları tarafından sağlanır.
• Bir web sitesini açmaya çalıştığınızda trafiğiniz ilk olarak girdiğiniz adresten o web sitesinin IP adresini belirleyen DNS sunucusuna yönlendirilir. Aksi takdirde, tarayıcı onu indiremez. DNS sunucularına yapılan istekler (bu arada şifrelenmemiş) genellikle kullanıcının anonimlik maskesini kıran VPN kanalının ötesine geçer. Bu durumla karşılaşmamak için VPN servisinizin sağladığı DNS adreslerini internet bağlantı ayarlarınızda belirtiniz.

• Veri sızıntıları, web tarayıcılarının kendileri veya daha doğrusu bileşenleri, örneğin WebRTC tarafından da oluşturulabilir. Bu modül doğrudan tarayıcıdan sesli ve görüntülü iletişim için kullanılır ve kullanıcının ağ bağlantı yöntemini kendisinin seçmesine izin vermez. Diğer İnternet özellikli uygulamalar da güvenli olmayan bağlantılar kullanabilir.
• VPN, IPv4 protokolünü temel alan ağlarda çalışır. Buna ek olarak, henüz uygulama aşamasında olan ancak bazı yerlerde kullanılmaya başlanan IPv6 protokolü var. Modern işletim sistemleri, özellikle Windows, Android ve iOS da IPv6'yı, hatta daha fazlasını destekler - çoğunda varsayılan olarak etkindir. Bu, kullanıcının bilmeden genel IPv6 ağına bağlanabileceği ve trafiğinin güvenli kanalın dışına çıkacağı anlamına gelir. Kendinizi bundan korumak için cihazlarda IPv6 desteğini devre dışı bırakın.

Yalnızca engellenen web kaynaklarına erişmek için VPN kullanıyorsanız, tüm bu kusurları görmezden gelebilirsiniz. Ancak, ağ üzerinden aktarılan verilerin anonimliğine veya güvenliğine ihtiyacınız varsa, ek koruma için önlemler almazsanız, bunlar sizin için ciddi sorunlar yaratabilir.

Engellemeyi atlamak ve trafiği anonimleştirmek için bir VPN kullanma

İnternetin Rusça konuşan izleyicileri, engellenen İnternet kaynaklarını özgürce ziyaret etmek ve ağda anonim kalmak için çoğunlukla VPN kullanır. Bu nedenle, ücretsiz VPN uygulamalarının ve hizmetlerinin büyük bir kısmı sadece bunun için "keskinleştirilmiştir". Bazılarına daha yakından bakalım.

Opera VPN'i

Opera tarayıcısının geliştiricileri, VPN modülünü doğrudan ürünün kendisine uygulayan ilk kişiler oldu ve kullanıcıları üçüncü taraf uzantıları bulma ve yapılandırma zahmetinden kurtardı. Seçenek, tarayıcı ayarlarında - "Güvenlik" bölümünde etkinleştirilir.

Etkinleştirildiğinde, Opera adres çubuğunda VPN simgesi görünür. Üzerine tıklamak, bir açma-kapama kaydırıcısı ve bir sanal konum seçeneği içeren bir ayarlar penceresi açar.

Opera VPN üzerinden trafik hacminin bir sınırı yoktur, bu bir artıdır. Ancak hizmetin bir dezavantajı da var - yalnızca HTTP ve HTTPS protokolleri aracılığıyla iletilen verileri koruyor. Diğer her şey açık kanaldan geçer.

Opera'da, Yandex tarayıcısının yanı sıra, benzer yeteneklere sahip başka bir işlev daha vardır. Bu, turbo trafik sıkıştırma modudur. Bir VPN ile birlikte çalışmaz, ancak engellenen kaynaklara erişim iyi açılır.

Browsec tarayıcı uzantısı ve mobil uygulaması, en ünlü VPN hizmetlerinden biridir. Tüm popüler web tarayıcılarını destekler - Opera, Google Chrome, Firefox, Yandex, Safari vb., hızlı ve kararlı bağlantı sağlar, yapılandırma gerektirmez, sınırı yoktur. Ücretsiz sürümün kullanıcılarına 4 sunucu seçeneği sunulur: İngiltere, Singapur, ABD ve Hollanda'da.

Ücretli bir Browsec aboneliği ayda yaklaşık 300 rubleye mal olur. Bu tarifenin kullanıcıları, Rusya, Ukrayna, Letonya, Bulgaristan, Almanya dahil olmak üzere dünya çapında daha yüksek bağlantı hızı, teknik destek ve geniş bir sunucu yelpazesi elde eder.

Merhaba

Hola, Browsec'in uygulamalar ve tarayıcı uzantıları olarak var olan ana rakibi. Android sürümleri, masaüstü sistemleri ve tarayıcılar, kullanıcıların birbirlerine kaynak sağladığı eşler arası teknolojiler (eşler arası ağ) temelinde çalışır. Ticari olmayan kişisel kullanım için bunlara erişim ücretsiz olarak sağlanır. Sunucu seçimi oldukça geniştir.

Hola'nın iOS sürümü, entegre bir VPN hizmetine sahip bir tarayıcı olarak tasarlanmıştır. Ödenir, ayda yaklaşık 5 ABD doları tutarındadır. Deneme süresi 7 gündür.

Zenmate, Opera, Google Chrome, Firefox, Maxthon Cloud Browser (yalnızca Mac OS X'te) ve diğer bazı tarayıcılar için bir uzantı olarak yayınlanan üçüncü en popüler VPN hizmetidir. Ve ayrıca - Android ve iOS için mobil uygulamalar biçiminde. Ücretsiz kullanımda hız sınırı belirgindir ve sunucu seçimi çok azdır. Ancak Zenmate VPN kanalından geçen tüm trafik güvenli bir şekilde şifrelenir.

Premium erişim satın alan kullanıcılar, dünya çapında 30'dan fazla sunucu seçeneğine sahiptir. Artı, onlar için bağlantı hızlandırma dahildir. Abonelik ücreti ayda 175 ila 299 ruble arasında başlar.

Diğer benzer hizmetler gibi, Zenmate'in de yapılandırılması gerekmez - sadece kurun ve çalıştırın. Özellikle arayüz Rus dilini desteklediğinden, onunla çalışmak sezgiseldir.

Tunnelbear, Windows, Linux ve OS X çalıştıran PC'ler, Android ve iOS çalıştıran akıllı telefonlar gibi farklı cihazlar için başka bir kullanıcı dostu VPN'dir. Uygulamalar (hem mobil hem de masaüstü) ve tarayıcı uzantıları şeklinde mevcuttur. VPN bağlantısı kesildiğinde trafiği engelleme gibi çok kullanışlı bir işlevi vardır, bu da verilerin açık bir ağa sızmasını önler. Varsayılan olarak, kullanıcının konumuna göre en uygun iletişim kanalını seçer.

Tunnelbear'ın ücretsiz sürümlerinin özellikleri, bir şey dışında ücretli sürümlerden farklı değildir - trafik miktarını ayda 500 Mb ile sınırlandırır. Bir telefonda, çevrimiçi film izlemiyorsanız bu yeterli olabilir, ancak bilgisayarda bu pek olası değildir.

Tunnelbear'ın ne ücretli ne de ücretsiz sürümleri herhangi bir kullanıcı verisi toplamaz. Sadece tek bir tuşa basın ve erişim elde edin.

İsmimi sakla

HideMy.name, güvenilir ve nispeten ucuz ücretli bir VPN hizmetidir. HD çevrimiçi videolar izlerken ve çevrimiçi oyuncaklar oynarken bile sürekli yüksek bağlantı hızı sağlar. Trafiği müdahaleye karşı iyi korur ve ağda tam bir anonimlik sağlar. NideMy.name sunucuları dünya çapında 43 ülke ve 68 şehirde bulunmaktadır.

HideMy.name, İnternet'e bağlanabilen tüm cihazları destekler: yalnızca telefonlar ve bilgisayarlar değil, aynı zamanda yönlendiriciler, alıcı kutuları, SmartTV'ler vb. Bir abonelikle, hizmeti tüm cihazlarda aynı anda kullanabilirsiniz.

HideMy.name uygulamaları Windows, Mac OS X, Linux, iOS ve Android için kullanılabilir. Söylendiği gibi, hepsinin bir maliyeti vardır, ancak yalnızca VPN'i kullandığınız günler için ödeme yapabilirsiniz. Günlük abonelik ücreti 49 ruble. 1 yıllık lisans - 1690 ruble. Ücretsiz deneme süresi 1 gündür.

uzun süredir devam eden bir VPN uygulamasıdır, hizmetleri her zaman ücretsiz olarak ve trafik miktarında kısıtlama olmaksızın sağlayan az sayıdaki uygulamadan biridir. "Ücretsiz" kullanım için günlük 500 Mb sınırı nispeten yakın zamanda ortaya çıktı. Ayrıca, "ücretsiz kullanıcılar" ABD'de bulunan yalnızca bir VPN sunucusuna erişebilir, bu nedenle Hotspot Shield üzerinden bağlantı hızı çok yüksek değildir.

Ücretli bir VPN Hotspot Shield aboneliğinin maliyeti aylık 6-16 ABD dolarıdır.

Bir kötü adamın olay yerinden bir spor arabayla otobanda kaçtığı bir aksiyon filminden bir sahne hayal edin. Bir polis helikopteri tarafından takip ediliyor. Araba birkaç çıkışı olan bir tünele giriyor. Helikopterin pilotu arabanın hangi çıkıştan çıkacağını bilemez ve cani kovalamacadan ayrılır.

VPN - bu, birçok yolu birbirine bağlayan tüneldir. İçeriye giren arabaların sonunun nereye varacağını dışarıdan kimse bilemez. Dışarıda kimse tünelde neler olduğunu bilmiyor.

Muhtemelen VPN'leri bir kereden fazla duymuşsunuzdur. Lifehacker'da bu şey hakkında da. Çoğu zaman, ağ üzerinden coğrafi kısıtlamalı içeriğe erişmek için kullanılabileceği ve genellikle İnternet kullanılırken güvenliği artırabileceği için bir VPN önerilir. Gerçek şu ki, İnternete bir VPN aracılığıyla erişim, doğrudan erişimden daha az tehlikeli olamaz.

Bir VPN Nasıl Çalışır?

Büyük olasılıkla, evde bir Wi-Fi yönlendiriciniz var. Buna bağlı cihazlar, İnternet olmadan bile veri alışverişi yapabilir. Görünüşe göre kendi özel ağınız var, ancak ona bağlanmak için fiziksel olarak yönlendiricinin sinyalinin menzilinde olmanız gerekiyor.

VPN (Sanal Özel Ağ), sanal bir özel ağdır. İnternet üzerinden çalışır, böylece ona her yerden bağlanabilirsiniz.

Örneğin, çalıştığınız şirket uzaktaki çalışanlar için bir sanal özel ağ kullanıyor olabilir. Bir VPN kullanarak bir iş ağına bağlanırlar. Aynı zamanda bilgisayarları, akıllı telefonları veya tabletleri sanal olarak ofise aktarılır ve içeriden ağa bağlanır. Sanal bir özel ağa girmek için VPN sunucu adresini, kullanıcı adını ve şifreyi bilmeniz gerekir.

Bir VPN kullanmak oldukça kolaydır. Tipik olarak, bir şirket yerel bir bilgisayarda, sunucuda veya veri merkezinde bir yerde bir VPN sunucusu kurar ve kullanıcının cihazında bir VPN istemcisi kullanarak buna bağlanır.

Artık yerleşik VPN istemcileri, Android, iOS, Windows, macOS ve Linux dahil tüm mevcut işletim sistemlerinde mevcuttur.

İstemci ile sunucu arasındaki VPN bağlantısı genellikle şifrelenir.

Yani VPN iyi mi?

Evet, bir işletme sahibiyseniz ve kurumsal veri ve hizmetleri güvence altına almak istiyorsanız. Çalışanların çalışma ortamına yalnızca VPN ve hesaplar aracılığıyla girmesine izin vererek, kimin ve ne yaptığını ve ne yaptığını her zaman bileceksiniz.

Ayrıca, VPN sahibi, sunucu ile kullanıcı arasındaki tüm trafiği izleyebilir ve kontrol edebilir.

Çalışanlar VKontakte'de çok zaman harcıyor mu? Bu hizmete erişimi kapatabilirsiniz. Gennady Andreevich, gününün yarısını mem içeren web sitelerinde mi geçiriyor? Tüm faaliyetleri otomatik olarak günlüğe kaydedilir ve işten çıkarılma için sağlam bir argüman haline gelir.

O zaman neden VPN?

Bir VPN, coğrafi ve yasal kısıtlamaları atlamanıza olanak tanır.

Örneğin, Rusya'dasınız ve . Bu hizmetin Rusya'da bulunmadığını öğrendiğiniz için üzgünsünüz. Yalnızca Spotify'ın faaliyet gösterdiği ülkenin VPN sunucusu üzerinden internete girerek kullanabilirsiniz.

Bazı ülkelerde, belirli sitelere erişimi kısıtlayan İnternet sansürü vardır. Bir kaynağa gitmek istiyorsunuz, ancak Rusya'da bu engellendi. Siteyi ancak engellenmediği ülkenin VPN sunucusu üzerinden, yani Rusya Federasyonu dışında hemen hemen her ülkeden internete girerek açabilirsiniz.

VPN, belirli bir dizi görevde iyi iş çıkaran kullanışlı ve gerekli bir teknolojidir. Ancak kişisel verilerin güvenliği yine de VPN servis sağlayıcısının bütünlüğüne, sağduyunuza, dikkatinize ve İnternet okuryazarlığınıza bağlıdır.

Çoğumuz interneti günlük olarak, kişisel veya iş amaçlı kullanıyoruz. Büyük olasılıkla, çeşitli tehditlerle ilgili sorunlarınız olmadı. Ancak internet sanıldığı kadar güvenli değil. Tamam, WiFi'niz var, peki ya VPN? Böyle bir korumaya ihtiyacınız var mı?

Bir VPN veya sanal özel ağ, internette birbirine bağlı bir grup ağ veya bilgisayardır. Bir VPN, gönderdiğiniz ve aldığınız tüm verilerin güvenli bir şekilde şifrelenmesini sağlayarak bağlantınızın güvenliğini sağlamanıza olanak tanır.

Peki, bir VPN'e bağlanmanız gerektiğini nasıl anlarsınız? Öğrenci veya çalışan olun, kimsenin işinize burnunu sokmasını istemiyorsanız bir VPN kullanın.

Birkaç VPN türü vardır: En yaygın türler PPTP VPN, Site-to-Site VPN, L2TP VPN, IPsec, SSL, MPLS VPN ve Hybrid VPN'dir. Aşağıda bunları daha ayrıntılı olarak ele alacağız.

1. PPTP VPN'i

PPTP VPN, noktadan noktaya bir tünel protokolüdür. Adından da anlaşılacağı gibi, PPTP VPN bir tünel oluşturur ve verileri yakalar. Bu, en yaygın VPN türüdür. PPTP VPN'ler, mevcut bir internet bağlantısı üzerinden bir VPN ağına bağlanmanıza izin verir. Bu tür VPN, hem iş hem de ev kullanımı için harikadır. Ağa erişmek için bir parola kullanılır. PPTP, ek donanım gerektirmediği ve düşük maliyetli, karmaşık olmayan uygulamalara izin verdiği için evler ve işletmeler için idealdir. PPTP, Windows, Mac ve Linux ile uyumludur.

PPTP VPN'ler birçok avantaj gösterse de dezavantajları da vardır. Bunlardan en önemlisi, PPTP protokolünün şifreleme kullanmamasıdır. Ayrıca PPTP'nin temeli, yine yüksek düzeyde güvenlik sağlamayan PPP protokolüdür.

1. Siteden Siteye VPN

Siteden siteye veya Yönlendiriciden Yönlendiriciye, iş dünyasında en yaygın VPN türüdür. Bu, özellikle hem bir ülkenin farklı yerlerinde hem de birkaç ülkede ofisleri olan ve tüm bilgisayarları tek bir ağa bağlamanıza olanak tanıyan şirketler için geçerlidir. Intranet VPN (dahili ağ üzerinden VPN) olarak da bilinirler. Başka bir seçenek de mümkündür. Siteden siteye VPN kullanan şirketler, bir extranet VPN ile aynı şekilde diğer şirketlerin sunucularına bağlanır. Basit bir ifadeyle, bu tür VPN, farklı konumlardaki ağları birbirine bağlayan, güvenli bir bağlantı ve İnternet bağlantısı sağlayan bir tür köprüdür.

PPTP gibi, siteden siteye VPN de güvenli bir ağ oluşturur. Ancak özel bir hat yoktur, bu nedenle farklı şirket bilgisayarları ağa bağlanabilir. PPTP'den farklı olarak şifreleme, özel cihazlar veya ağın her iki ucundaki uygulamalar tarafından gerçekleştirilir.

1. L2TP VPN'i

L2TP, Katman 2 Tünel Protokolü anlamına gelir ve Microsoft ve Cisco tarafından geliştirilmiştir. L2TP protokolünü temel alan bir VPN, daha güvenli bir bağlantı sağlamak için başka bir protokolle birleştirilir. L2TP protokolü, iki L2TP bağlantı noktası arasında bir tünel oluşturur ve IPsec gibi başka bir protokol verileri şifreler.

L2TP, PPTP gibi davranır. Ana benzerlik, şifreleme eksikliği ve PPP protokolünün temelidir. Aradaki fark, verilerin korunması ve güvenliğidir. L2TP tabanlı VPN'ler daha güvenli ve güvenilir bir bağlantı sağlar.

1. IPsec

IPsec, İnternet Protokolü Güvenliği'nin kısaltmasıdır. IPsec, bir ağda güvenlik sağlamak için kullanılan bir VPN protokolüdür. Protokol, uzak bir ana bilgisayara bir tünel oluşturur. Her oturum kontrol edilir, veri paketleri şifrelenir, böylece IPsec protokolü yüksek düzeyde bağlantı güvenliği sağlar. Bu protokolün çalıştığı iki mod vardır. Ulaşım ve tünel. Her ikisi de farklı ağlar arasında güvenli veri aktarımı sağlar. Taşıma modunda, veri paketindeki mesaj şifrelenir. Tünel modunda, tüm veri paketi şifrelenir. IPsec kullanmanın avantajı, ağ güvenliğini artırmak için diğer protokollere ek olarak kullanılabilmesidir.

Ve IPsec kullanışlı ve uygun bir protokol olmasına rağmen, ana dezavantaj, istemci uygulamaları için uzun kurulum süresidir.

1. SSL ve TLS

SSL, güvenli bir yuva protokolüdür, TLS, aktarım katmanı güvenliğidir. Tek bir protokol olarak çalışırlar. Her ikisi de bir VPN oluşturmak için kullanılır. Bu bağlantıda, web tarayıcısı bir istemci görevi görür, kullanıcı tüm ağ yerine özel uygulamalara erişim sağlar. Online satışlarda SSL ve TSL kullanılmaktadır. SSL ve TSL, uygulama ile tarayıcıdan sunucuya güvenli bir oturum sağlar. Tarayıcı, kullanıcıdan herhangi bir ek işlem gerektirmeden kolayca SSL'ye geçer. Modern tarayıcıların büyük çoğunluğu halihazırda SSL ve TSL içermektedir. SSL bağlantısı, adreste http yerine https içerir.

1. MPLS VPN'i

Çok Protokollü Etiket Değiştirmeyi (MPLS) destekleyen VPN hizmetleri, siteden siteye bağlantılar için en iyi şekilde kullanılır. Bunun nedeni, MPLS'nin en fazla uyarlanabilirliğe sahip en esnek seçenek olmasıdır. MPLS, ağ paketlerinin çoklu protokoller arasında dağıtımını hızlandırmak için kullanılan belirli standartları temel alır. MPLS özellikli VPN'ler, iki veya daha fazla sitenin aynı ISP'nin gücünü kullanarak bir VPN oluşturmak için bir araya gelebildiği, ISP'lerle çalışmak üzere yapılandırılmış VPN'ler olan sistemlerdir. Ancak MPLS özellikli VPN servislerinin en büyük dezavantajı, böyle bir ağın kurulmasının diğer VPN'lere göre çok daha zor olmasıdır. Üzerinde değişiklik yapmak daha zordur. Sonuç olarak, MPLS özellikli VPN hizmetleri kullanıcılar için daha pahalıdır.

1. Hibrit VPN

Hibrit VPN, MPLS ve IPSec'i birleştirir. Her iki tür de farklı düğümlerde ayrı ayrı kullanılır. Ancak bazen bir düğüm, her iki protokol türünün de aynı anda bağlanmasına izin verir. Bu, IPSec kullanan MPLS'nin güvenilirliğini artırmak için yapılır.

IPSec, daha önce de belirtildiği gibi, belirli donanımlar gerektirir. Bu genellikle bir yönlendirici veya çok amaçlı güvenlik aygıtıdır. Yardımı ile veriler şifrelenir ve bir VPN tüneli oluşturur. MPLS, iletim ekipmanı yardımıyla bilgi iletim kanalında kullanılır.

Bu iki VPN türünü birbirine bağlamak için, IPSec'in ortadan kaldırıldığı ve veri güvenliğini korurken MPLS'ye bağlantı yapılan bir ağ geçidi kurulur.

Hibrit VPN'ler şirketler tarafından kullanılır çünkü MPLS genellikle düğümleri için uygun değildir. MPLS, paylaşılan bir bağlantıya göre birçok avantaj sağlar, ancak maliyeti yüksektir. Hibrit bir ağ ile uzak bir site üzerinden merkezi bir siteye bağlanabilirsiniz. Hibrit VPN'ler en pahalıdır, ancak yapılandırma açısından çok esnektir.

sonuçlar

Genel olarak, doğru VPN türünü seçmek oldukça zordur. Ne tür bir VPN'e ihtiyacınız olduğunu anlamak için önce ne tür bir güvenliğe sahip olmak istediğinizi bulmanız gerekir. Aynı zamanda öğrenci, küçük işletme sahibi veya büyük bir şirket olmanıza da bağlıdır. Basit bir güvenlik sisteminin yeterli olup olmayacağını veya hibrit VPN gibi daha karmaşık bir sistemin gerekli olup olmadığını düşünmelisiniz. Dikkate alınması gereken bir diğer faktör de maliyettir. Güvenli bir İnternet bağlantısı sağlamak için ne kadar para harcamaya hazırsınız? Bu soruları cevapladığınızda, seçim çok daha kolay hale gelir. Ve elbette, bu konudaki bilginizi her zaman genişletebilirsiniz. İyi şanlar!

Yeni teknolojilerin ortaya çıkması ve eski teknolojilerin değiştirilmesi ile ilgili belirsiz kavramların ve kısaltmaların sayısı katlanarak artıyor. VPN bunlardan biri. Bu yayın, bu belirsiz kısaltmayı anlamayı ve ağ bağlantılarıyla ilgili olarak sık sık bahsedilmesinin nedenini belirlemeyi amaçlamaktadır.

VPN, nedir bu?

Prensip olarak, bu normal bir ağdır (kısaltmadaki "N", "Ağ" anlamına gelir). Ama kendi incelikleri var. Birincisi, sanaldır ve ikincisi, özeldir. Yani, "Sanal" ve "Özel" (kısaltmanın ilk iki harfi).

VPN kısaltması

Donanımdan belirli bir soyutlama düzeyinde var olduğu için sanal olarak adlandırılır. Bu, iletişimin hangi kanallarda yürütüldüğü, hangi cihazların bağlı olduğu ve diğer koşulların umurunda olmadığı anlamına gelir. VPN, çalışması için mevcut tüm kaynakları kullanır.

Ancak bir VPN'nin ana özelliği özel olmasıdır. Ortak kanallar ve iletişim protokolleri kullanmasına rağmen, çoğu zaman İnternet, "sokaktan gelen amca" giremez, yalnızca buna hakkı olan güvenilir bir katılımcı giremez.

çalışma prensibi

Bir VPN'in nasıl çalıştığını anlamak için, iki nokta (bilgisayar) arasındaki en basit bağlantı durumunu göz önünde bulundurmanız gerekir. Yolun korumasız kısmında (çoğunlukla İnternet), bunları birbirine bağlayan bir tünel oluşturulur. Zorluk, böyle bir bağlantıyı düzenlemekte değil, ağın korumasız bir bölümünde savunmasız olan verileri korumakta yatmaktadır. Halka açık bir kanaldan geçen bilgiler davetsiz misafirler tarafından çalınabilir veya bozulabilir.

VPN cihazı

Bunu önlemek için çeşitli şifreleme türleri kullanılır. Bu nedenle, bir VPN bağlantısının ana görevi, farklı sunucu sistemleri söz konusu olduğunda, düğümlerinde şifreleme ve şifre çözme tekdüzeliğinin yanı sıra ağ protokollerinin arayüzünü sağlamaktır.

Neden bir VPN'e ihtiyacınız var?

VPN'nin yaratılmasının ana nedeni, coğrafi referanstan bağımsız olarak erişilebilen güvenli ağlar oluşturma arzusu, hatta acil ihtiyaçtı. Örneğin, bir iş gezisinden çalışanların ana şirketin ağına uzaktan erişimi. Üstelik. Çok uluslu şirketler için farklı ülkelerdeki veya kıtalardaki ofisleri arasında tel çekmenin bir yolu yoktur. Bu durumda da VPN teknolojisi imdada yetişiyor. Daha basit bir örnek, çeşitli grupların, departmanların, atölyelerin ve benzerlerinin yetkilerini sınırlamak için bir işletmenin yerel alan ağına dayalı bir VPN organizasyonu olabilir.

Bir VPN ağı nasıl oluşturulur?

Bir VPN ağı oluşturmak için, örneğin TeamViewer veya Hamachi gibi bir dizi uygulama vardır. Bu, standart Windows araçlarıyla, ancak daha az verimlilik, güvenlik ve rahatlıkla yapılabilir. Bunu yapmak için, "Denetim Masası" aracılığıyla bilgisayarın "Ağ Bağlantıları" bölümüne girmeniz gerekir.

hamachi programı

"Dosya" menüsünde, oluşturulan bağlantının bir VPN olduğunu belirttiğiniz "Yeni Bağlantı" öğesini seçin. Ardından, erişime izin verilecek bir kullanıcı eklemeniz veya belirtmeniz gerekir. Ardından bağlantının internet üzerinden olacağını belirtiniz ve bağlantı protokolü olarak TCP/IP protokolünü seçiniz. Son iletişim kutusunda, "Erişime izin ver" seçeneğini tıklamanız gerekir ve Windows VPN sunucusu çalışmaya hazırdır.