VPN

VPN ( engelska Virtual Private Network "virtuellt privat nätverk") är ett generaliserat namn för teknologier som tillåter att en eller flera nätverksanslutningar tillhandahålls över ett annat nätverk, såsom Internet [1] . Trots att nätverk med en lägre eller okänd nivå av förtroende används för kommunikation (till exempel offentliga nätverk), beror nivån av förtroende i det konstruerade logiska nätverket inte av förtroendenivån i de underliggande nätverken på grund av användningen av kryptografiska verktyg (kryptering, autentisering, offentlig nyckelinfrastruktur , verktygsskydd mot upprepningar och ändringar av meddelanden som överförs över det logiska nätverket).

Beroende på de protokoll som används och destinationen kan en VPN tillhandahålla tre typer av anslutningar: värd-till-värd, värd-till-nätverk och nätverk-till-nätverk.

Implementeringsnivåer

Vanligtvis distribueras VPN: er på nivåer som inte är högre än nätverket, eftersom användningen av kryptografi på dessa nivåer tillåter användningen av transportprotokoll (som TCP , UDP ) oförändrat.

Microsoft Windows -användare använder termen VPN för att hänvisa till en av de virtuella nätverksimplementeringarna - PPTP används dessutom ofta inte för att skapa privata nätverk.

Oftast, för att skapa ett virtuellt nätverk, används inkapsling av PPP- protokollet i något annat protokoll - IP (denna metod använder implementeringen av PPTP - Point-to-Point Tunneling Protocol) eller Ethernet ( PPPoE ) (även om de också har skillnader ).

VPN-teknik har nyligen använts inte bara för att skapa privata nätverk själva, utan också av vissa " last mile " -leverantörer i det postsovjetiska utrymmet för att tillhandahålla internetåtkomst .

Med rätt implementeringsnivå och användning av speciell programvara kan ett VPN-nätverk ge en hög kryptering av överförd information.

Strukturen för ett VPN

En VPN består av två delar: ett "internt" (kontrollerat) nätverk, som det kan finnas flera av, och ett "externt" nätverk genom vilket den inkapslade anslutningen går (vanligtvis används Internet ).

Det är också möjligt att ansluta en enda dator till ett virtuellt nätverk .

En fjärranvändare är ansluten till VPN via en åtkomstserver som är ansluten till både de interna och externa (offentliga) nätverken. När du ansluter en fjärranvändare (eller när du upprättar en anslutning till ett annat säkert nätverk), kräver åtkomstservern att identifieringsprocessen går igenom och sedan autentiseringsprocessen . Efter framgångsrikt slutförande av båda processerna får fjärranvändaren (fjärrnätverket) befogenhet att arbeta på nätverket, det vill säga auktoriseringsprocessen sker .

VPN-klassificering

VPN-lösningar kan klassificeras enligt flera huvudparametrar:

Beroende på graden av säkerhet i den använda miljön

Skyddad

Den vanligaste versionen av virtuella privata nätverk. Med dess hjälp är det möjligt att skapa ett tillförlitligt och säkert nätverk baserat på ett opålitligt nätverk, vanligtvis Internet. Exempel på säkra VPN är: IPSec , OpenVPN och PPTP .

Förtroende

De används i de fall där överföringsmediet kan anses tillförlitligt och det bara är nödvändigt att lösa problemet med att skapa ett virtuellt subnät inom ett större nätverk. Säkerhetsfrågor blir irrelevanta. Exempel på sådana VPN-lösningar är: Multi-protocol label switching ( MPLS ) och L2TP (Layer 2 Tunneling Protocol) (det skulle vara mer korrekt att säga att dessa protokoll flyttar säkerhetsuppgiften till andra, till exempel används L2TP vanligtvis i tandem med IPSec).

Som implementering

I form av speciell mjukvara och hårdvara

Implementeringen av VPN-nätverket utförs med en speciell uppsättning mjukvara och hårdvara. Denna implementering ger hög prestanda och som regel en hög grad av säkerhet.

Som en mjukvarulösning

En persondator används med speciell programvara som tillhandahåller VPN-funktionalitet.

Integrerad lösning

VPN-funktionalitet tillhandahålls av ett komplex som också löser problemen med att filtrera nätverkstrafik, organisera en brandvägg och säkerställa servicekvalitet.

Efter överenskommelse

Intranät VPN

Det används för att kombinera flera distribuerade grenar av en organisation till ett enda säkert nätverk, utbyte av data via öppna kommunikationskanaler.

Fjärråtkomst VPN

Den används för att skapa en säker kanal mellan ett företagsnätverkssegment (centralkontor eller filial) och en enskild användare som, medan han arbetar hemma, ansluter till företagets resurser från en hemdator, företags bärbar dator , smartphone eller internetkiosk .

Extranät VPN

Används för nätverk som "externa" användare (som kunder eller klienter) ansluter till. Nivån av förtroende för dem är mycket lägre än för företagsanställda, därför är det nödvändigt att tillhandahålla speciella "gränser" för skydd som förhindrar eller begränsar de senares tillgång till särskilt värdefull, konfidentiell information.

Internet VPN

Används av leverantörer för att ge tillgång till Internet, vanligtvis om flera användare ansluter via en fysisk kanal. PPPoE -protokollet har blivit standarden i ADSL- anslutningar.

L2TP var utbredd i mitten av 2000-talet i hemnätverk : på den tiden betalades inte intranättrafik och extern trafik var dyr. Detta gjorde det möjligt att kontrollera kostnaderna: när VPN-anslutningen är avstängd betalar användaren ingenting. För närvarande (2012) är fast internet billigt eller obegränsat, och på användarens sida finns det ofta en router där det inte är lika bekvämt att slå på och av internet som på en dator. Därför är L2TP-åtkomst ett minne blott.

Klient/server VPN

Det här alternativet ger skydd för data som överförs mellan två värdar (inte nätverk) på ett företagsnätverk. Det speciella med detta alternativ är att VPN är byggt mellan noder som vanligtvis finns i samma nätverkssegment, till exempel mellan en arbetsstation och en server. Detta behov uppstår mycket ofta i de fall det är nödvändigt att skapa flera logiska nätverk i ett fysiskt nätverk. Till exempel, när det är nödvändigt att dela upp trafiken mellan ekonomiavdelningen och personalavdelningen, åtkomst till servrar som finns i samma fysiska segment. Det här alternativet liknar VLAN -teknik , men istället för att separera trafik, krypteras det.

Efter protokolltyp

Det finns implementeringar av virtuella privata nätverk under TCP/IP, IPX och AppleTalk. Men idag finns det en trend mot en generell övergång till TCP/IP-protokollet, och de allra flesta VPN-lösningar stödjer det. Adressering i den väljs oftast i enlighet med RFC5735- standarden , från utbudet av privata TCP/IP-nätverk .

Efter nätverksprotokollnivå

Efter nätverksprotokolllager, baserat på en mappning till lagren i ISO/OSI-nätverksreferensmodellen.

VPN-anslutning på routrar

Med den växande populariteten för VPN-tekniker har många användare börjat aktivt konfigurera en VPN-anslutning på routrar för att öka nätverkssäkerheten [2] . VPN-anslutningen som konfigurerats på routern [3] krypterar nätverkstrafiken för alla anslutna enheter, inklusive de som inte stöder VPN-tekniker [4] .

Många routrar stöder en VPN-anslutning och har en inbyggd VPN-klient. Det finns routrar som kräver programvara med öppen källkod som DD-WRT , OpenWrt och Tomato för att stödja OpenVPN- protokollet .

Sårbarheter

Användningen av WebRTC -teknik , som är aktiverad som standard i varje webbläsare, tillåter en tredje part att bestämma den verkliga offentliga IP-adressen för en enhet som körs via ett VPN. Detta är ett direkt hot mot integriteten, eftersom du kan identifiera användarens verkliga IP-adress på nätverket [5] . För att förhindra adressläckage rekommenderas det att antingen helt inaktivera WebRTC i webbläsarinställningarna [6] eller installera ett speciellt tillägg [7] .

VPN: er är sårbara för en attack som kallas webbplatstrafikfingeravtryck [8] . Mycket kortfattat: detta är en passiv avlyssningsattack; även om motståndaren bara observerar den krypterade trafiken från VPN, kan han fortfarande gissa vilken webbplats som besöks eftersom alla webbplatser har vissa trafikmönster. Innehållet i överföringen är fortfarande dolt, men vilken webbplats den ansluter till är inte längre en hemlighet [9] [10] .

Den 20 juli 2020 hittades data från 20 miljoner användare av gratis VPN-tjänster på Internet, bland vilka det kan finnas minst tiotusentals ryssar. UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN och Rabbit VPN appdata finns på en osäkrad server, inklusive e-postadresser, tydliga lösenord, IP- och hemadresser, smartphonemodelldata och användarenhets-ID:n [ 11] .

Exempel på VPN:er

IPSec (IP-säkerhet) - används ofta över IPv4 .
PPTP (point-to-point tunneling protocol) - utvecklat gemensamt av flera företag, inklusive Microsoft .
PPPoE ( PPP (Point-to-Point Protocol) över Ethernet )
L2TP (Layer 2 Tunneling Protocol) - används i produkter från Microsoft och Cisco .
L2TPv3 (Layer 2 Tunneling Protocol version 3).
OpenVPN SSL - VPN med öppen källkod, stöder PPP, brygga, punkt-till-punkt, serverlägen för flera klienter.
freelan SSL P2P är ett VPN med öppen källkod.
Hamachi är ett program för att skapa ett peer-to- peer VPN-nätverk.
NeoRouter är ett zeroconf (ingen konfiguration behövs) program för att tillhandahålla direktanslutning av datorer bakom NAT , det är möjligt att välja din egen server.

Många stora leverantörer erbjuder sina VPN-tjänster för företagskunder.

Se även

överläggsnätverk
Dynamiskt virtuellt privat nätverk med flera punkter
Hamachi
Flerlänkad PPP-demon
openvpn
Puffin Browser
Tinc (protokoll)

Anteckningar

↑ Vad är ett VPN? - Virtuellt privat nätverk (engelska) . cisco . Hämtad: 22 december 2021.
↑ Hur VPN fungerar . HowStuffWorks (14 april 2011). Tillträdesdatum: 7 februari 2019.
↑ Så här installerar du ett VPN på din router . Nord VPN .
↑ VPN . www.draytek.co.uk. Tillträdesdatum: 7 februari 2019. (obestämd)
↑ WebRTC-läckagetest: åtgärda en IP-läcka . ExpressVPN. Hämtad: 26 januari 2019. (ryska)
↑ Var kan jag inaktivera WebRTC och PeerConnection? (engelska) . Firefox supportforum . Mozilla.
↑ WebRTC Network Limiter . Chrome Web Store . (obestämd)
↑ Designen och implementeringen av Tor-webbläsaren [UTKAST] . 2019.www.torproject.org. Hämtad: 20 januari 2020. (obestämd)
↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Touching from a Distance: Webbplats Fingerprinting Attacksand Defense (engelska) (länk ej tillgänglig) . www3.cs.stonybrook.edu . Arkiverad från originalet den 17 juni 2020.
↑ Xiang Cai, Xin Cheng Zhang, Brijesh Joshi, Rob Johnson. Beröring på avstånd . Handlingar från 2012 års ACM-konferens om dator- och kommunikationssäkerhet . dl.acm.org. Hämtad: 20 januari 2020.
↑ Anonymitet avslöjad i nätverket // Kommersant.

Litteratur

Ivanov MA Kryptografiska metoder för informationsskydd i datorsystem och nätverk. — M.: KUDITS-OBRAZ, 2001. — 368 sid.
Kulgin M. Teknik för företagsnätverk. Encyklopedi. - St Petersburg: Peter, 2000. - 704 sid.
Olifer V. G., Olifer N. A. Datornätverk. Principer, teknologier, protokoll: En lärobok för universitet. - St Petersburg: Peter, 2001. - 672 sid.
Romanets Yu. V., Timofeev PA, Shangin VF Skydd av information i datorsystem och nätverk. 2:a uppl. - M: Radio och kommunikation , 2002. - 328 sid.
Stallings V. Grunderna för nätverksskydd. Tillämpningar och standarder = Nätverkssäkerhet Essentials. Tillämpningar och standarder. - M .: Williams , 2002. - S. 432. - ISBN 0-13-016093-8 .
Sergej Petrenko. Säkert virtuellt privat nätverk: en modern syn på skydd av konfidentiella data // World of the Internet. - 2001. - Nr 2
Markus Feilner . Virtuella privata nätverk av ny generation // LAN. - 2005. - Nr 11
Alexey Lukatsky . Okänd VPN // Datortryck. - 2001. - Nr 10
Alexander Barskov . We Say WAN, We Mean VPN / Network Solutions/LAN Magazine, nr. 06, 2010

Produktrecensioner för VPN-byggnad

Joel Snyder . VPN: en delad marknad // Nätverk. - 1999. - Nr 11
Ryan Norman . Välja VPN-protokoll // Windows IT Pro. - 2001. - Nr 7
Den första tegelstenen i VPN-väggen. Översikt över VPN-enheter på nybörjarnivå [Elektroniskt dokument] / Valery Lukin .
Översikt över VPN-hårdvara [Elektroniskt dokument]
Ren hårdvaru-VPN styr tester med hög tillgänglighet [Elektroniskt dokument] / Joel Snyder, Chris Elliott .
Funktioner på den ryska VPN-marknaden [Elektroniskt dokument]
Inhemska sätt att bygga virtuella privata nätverk [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy

VPN-marknadsöversikter

Global MPLS VPN-marknad enligt Inonetics Research http://www.infonetics.com/pr/2011/Ethernet-and-IP-MPLS-VPN-Services-Market-Highlights.asp Arkiverad 21 april 2012 på Wayback Machine

Länkar

Ett ramverk för IP-baserade virtuella privata nätverk [elektroniska dokument] / B. Gleeson, A. Lin, J. Heinanen (engelska)
VPN och IPSec till hands [Elektroniskt dokument] / Dru Lavigne

Ordböcker och uppslagsverk	Stor katalanska stor kines Stor norsk Britannica (online)

Virtuella privata nätverk (VPN)
Teknologi	IPsec L2TP PPTP Delad tunnling Layer 2 Forwarding Protocol Direkt tillgång
programvara	Hamachi n2n nätverks chef NeoRouter openvpn rp-pppoe tcpcrypt Vyatta trådskydd
VPN-tjänster	1.1.1.1 ExpressVPN Hotspot Shield Mullvad NordVPN Proton VPN psiphon Surfshark

Internet anslutning
Kabelanslutning	Fiberoptisk linje (FOCL) ( FTTx , PON ) LAN ( Ethernet ) Koaxialkabel ( DOCSIS ) PSTN ( DSL ISDN Uppringd åtkomst ( eng. Uppringd ))
Trådlös anslutning	Datornätverk ( WLAN : Wi-Fi ; WPAN : Bluetooth IR-port NFC ) Mobil kommunikation ( WWAN : 0G • 1G • 2G • 3G • 4G • 5G • 6G ) Satellitanslutning ( VSAT • DVB-S2 ) Markbundet internet ( DVB-T2 ) AOLS ( engelska FSO )
Internetanslutningskvalitet ( ITU-T Y.1540, Y.1541)	Bandbredd (bandbredd) ( eng. Nätverksbandbredd ) • Nätverksfördröjning (svarstid, eng. IPTD ) • Fluktuation av nätverksfördröjning ( eng. IPDV ) • Packet loss ratio ( eng. IPLR ) • Paketfelfrekvens ( eng. IPER ) • Tillgänglighetsfaktor