Английская аббревиатура VPN расшифровывается как Virtual Private Network – виртуальная частная сеть. По сути дела это искусственно созданное информационное пространство в Интернете и поверх него.
Сеть обособлена от остального виртуального пространства и позволяет обмениваться информацией в зашифрованном виде. Она не имеет физических и территориальных границ – в состав VPN могут входить конечные устройства, расположенные в любой точке мира, где есть проводной или беспроводной доступ во всемирную паутину.
Поскольку VPN – это сеть, она содержит как минимум два конечных устройства, которые называются узлами (peers) или точками (points). В каждой точке происходит шифрование и дешифровка отправляемой и принимаемой информации. Существуют протоколы, способные интегрировать в VPN самые разные устройства (десктопы, ноутбуки, планшеты, смартфоны), управляемые разными операционными системами (Windows, Linux, MacOS, IOS, Android).
Каналы связи между устройствами, зарегистрированными в VPN, называются туннелями. Термин взят из произведений писателей-фантастов, описывавших телепортацию – мгновенное перемещение между двумя бесконечно удалёнными друг от друга точками Вселенной. В случае с VPN сигнал передаётся не мгновенно, а с той же скоростью, что и вся остальная сетевая информация. Сигнал имеет конечный адрес и идёт в общем потоке. Однако в случае перехвата он будет практически бесполезен, так как расшифровка пакетов даже с применением новейшего криптографического оборудования может занять несколько сотен тысяч лет. Обычно “прослушивать” VPN просто экономически нецелесообразно.
Кого соединяет VPN?
На практике VPN, соединяющие одни лишь индивидуальные пользовательские устройства, встречаются довольно редко. Такими сетями типа точка – точка (point-to-point) пользуются частные лица, по тем или иным причинам желающие защитить своё общение или скрыть свой реальный, привязанный к определённой географии ip-адрес.
В большинстве случаев в состав виртуальной сети входит одна или несколько “подшефных” локальных сетей, обычно корпоративных. Вход в них выполняется через выделенный шлюз (gateway) – специальный компьютер, который осуществляет маршрутизацию трафика, идентификацию внешних участников, шифрование и дешифровку. Пройдя шлюз, сигналы расходятся по заданным ip-адресам или становятся доступными всем пользователям подсети, если такое распоряжение сделал отправитель сообщения. Зона за шлюзом считается безопасной, в ней сигналы не шифруются.
Политику безопасности на шлюзе определяет системный администратор VPN, который может дозировать как входящий, так и исходящий трафик. Основная задача администрирования заключается в том, чтобы не пропустить в защищённую сеть различного вредоносного и фишингового контента и не выпустить за пределы безопасной сети никакой конфиденциальной информации.
Впрочем, нахождение компьютера внутри закрытой сети не защищает устройство от вирусных угроз автоматически, так как “заразу” можно принести и на съёмных носителях (флешках, дисках, SD-картах, подсоединённых по дата-кабелю телефонах). При желании администратор может запретить подключение съёмных носителей внутри безопасной сети.
Как появился VPN
Предшественником VPN стала технология Centrex, которую стали предлагать корпоративным пользователям американские телефонные компании в конце 60-х годов прошлого века. Пользователи одной или нескольких компаний объединялись в общую обособленную сеть. При звонке “во внешний мир” абоненту закрытой сети нужно было набрать код коммутатора (“позвонить через девятку”). Затем этот коммутационный принцип был распространён на интернет-соединения. Основное внимание разработчиков уделяется сегодня повышению уровня безопасности при шифровании и универсализация VPN, для которых важна совместимость с любыми типами устройств и их операционными системами.
Роль коммутатора в индивидуальном устройстве и на шлюзе играет специальное программное обеспечение. Есть три варианта его размещения:
- ПО может быть по умолчанию встроено в операционную систему и активироваться с помощью ключа или пароля;
- пользователь самостоятельно скачивает и устанавливает на компьютере программу, которая называется VPN-клиент;
- в крупных корпорациях, которые заботятся о своей безопасности, средства реализации VPN разрабатываются индивидуально, что обеспечивает максимальную защиту от несанкционированных проникновений и перехвата трафика. Однако разработка такого ПО стоит немалых денег.
Возможность подключения к VPN по умолчанию предусматривают все популярные операционные системы.
Пользование первыми виртуальными сетями было очень дорогим, приобрести криптографическое и коммутационное оборудование и ПО могли лишь богатые корпорации. Сегодня услуга стала доступной абсолютному большинству частных и корпоративных пользователей. Собственно, цели подключения к VPN сегодня можно разделить на личные и корпоративные.
Обычным частным абонентам работа через виртуальную сеть помогает обезопасить важную информацию и получить желаемое инкогнито в Интернете. Поводов скрывать своё истинное лицо во всемирной паутине может быть довольно много. Не будем касаться случаев использования VPN с неблаговидными целями, рассмотрим лишь несколько позитивных примеров.
- С помощью VPN можно обойти национальные и географические ограничения доступа к контенту. К примеру, многие частные телеканалы не дают возможность просматривать свой эфир гражданам из других стран. Через VPN можно запросто зайти в трансляцию BBC, представившись коренным жителем туманного Альбиона.
- VPN позволяет заходить на сайты, по тем или иным причинам запрещённые в стране или местности пользователя. К примеру, в Китае через VPN можно зайти в Фейсбук или Твиттер, официально заблокированных властями Поднебесной.
- VPN обеспечивает максимальную анонимность в сети и возможность каждый раз выбрать для работы новый ip-адрес и его географическую локализацию. В этом технология отличается от услуги анонимайзера, который обычно привязан к какой-то конкретной стране. Как можно использовать это преимущество? Например, при покупке в интернет-магазинах или виртуальных билетных кассах, где по умолчанию предоставляются скидки жителям определённых стран.
- Настроить защищенное VPN-соединение целесообразно при исполнении различных финансовых транзакций, например, при проведении платежей с банковских карт и счетов, электронных кошельков и т.д.
- Если пользователь находится, например, в отеле c бесплатным Wi-Fi и хочет пообщаться с кем-то по скайпу, предварительное подключение к VPN защитит его от прослушивания. На качестве звука и изображения это практически не скажется.
- Услуга виртуального выхода в интернет с разных ip-адресов может пригодиться фрилансерам и вообще участникам любых электронных аукционов, не требующих постоянной регистрации на виртуальной торговой площадке. Поставщики услуг или товаров подаёт несколько заявок с разных адресов и повышает шансы победить в торгах.
VPN для корпораций
Ещё больше преимуществ могут приобрести при пользовании виртуальными сетями корпоративные клиенты.
Самое главное из них – надёжная защита данных, в том числе коммерческого и финансового характера. По VPN передаётся вся служебная информация банков, страховых компаний, финансовых трейдеров, инвестиционных фондов. При этом пользователи VPN могут находиться как внутри безопасной сети, так и на любом удалении от неё. Сеть обеспечивает моментальный обмен данных между головным офисом, филиалами, ATM-терминалами и сотрудниками, которые работают удалённо или находятся в командировке.
Даже если пользователь с ноутбуком решил поработать в зоне уязвимого общественного Wi-Fi где-нибудь в кафе, служебная информация, передаваемая в офис с его компьютера или планшета будет надёжно защищена кодом шифрования. Пользователю лишь нужно перед началом сеанса связи авторизоваться в корпоративной сети.
Свой – чужой. Протоколы идентификации и передачи данных
Существует несколько протоколов идентификации участников корпоративных виртуальных сетей. В одних случаях требуется лишь изначальная авторизация, в других подтверждения требует приём и отправка каждого пакета. Чем больше запросов нужно сделать серверу и клиенту, тем медленнее работает VPN, однако тем надёжнее канал с точки зрения информационной безопасности.
Самый простой и быстрый протокол, подходящий практически всем частным пользователям и многим пользователям корпоративным – технология OpenVPN, разработанная Джеймсом Йонаном. Она использует открытый код создания шифрованных каналов и не требует менять настройки компьютеров или других терминальных устройств. С помощью OpenVPN можно настроить туннели типа точка-точка и точка-сервер.
OpenVPN использует криптографический пакет OpenSSL и может обеспечивать два типа транспортировки – TCP и UDP. Первый считается более надёжным, второй – более скоростным. Идентификация в сети осуществляется по предустановленному ключу, сертификату и/или логину-паролю.
Для обеспечения безопасности соединений и сохранности данных используются также следующие протоколы:
- IPSec, самый старый протокол идентификации и шифрования, разработанный ещё специалистами Пентагона в то время, когда Интернет использовался исключительно в интересах оборонного ведомства США;
- PPPtP (point to point tunneling protocol) – протокол передачи зашифрованных данных “точка-точка”;
- PPPoE (point to point protocol over Ethernet) – передача пакетов по проводным каналам с использованием широкополосной технологии DSL;
- L2TPv3 – протокол сеансового уровня, позволяющий создавать соединения не только между IP, но и в других системах коммутации;
- MPLS – multiprotocol label switching, технология передачи данных, где каждому информационному пакету присваивается своя идентификационная метка, при этом содержимое и размер пакета особого значения не имеет и пакет может передаваться по любому доступному протоколу.
При всём многообразии способов работы частных виртуальных сетей всё более популярным у провайдеров и разработчиков становится технология OpenVPN. Она универсальна, подходит частным и корпоративным сетям любой архитектуры и оптимальна с экономической точки зрения.
Помимо частных и корпоративных нужд услугу VPN по протоколам PPP и Bridge предлагают в рамках устройства так называемой “последней мили” поставщики услуг широкополосного доступа, обслуживающие многоквартирные дома и объекты нежилой недвижимости.
Анонимность и комфорт в Сети
Сегодня услуга VPN доступна практически любому пользователю независимо от типа устройства и способа выхода в Интернет. Возможность устанавливать защищённое соединение, оставаясь в режиме инкогнито стоит всего порядка 10$ в месяц.
Большие расходы лишь для высокоорганизованных корпоративных сетей, а также нестандартных процедур, связанных с повышенными требованиями пользователя к анонимности и безопасности.
Создание собственной частной виртуальной сети занимает лишь несколько минут, а пользоваться ею можно в любой точке мира.
Комментарии0
Оставить комментарий