На сегодняшний день в общественных местах большим спросом пользуются бесплатные (открытые) сети Wi-Fi. Количество мобильных устройств c подключением к сети Интернет постоянно растет. С их помощью можно проверить почтовый ящик, узнать новости, пообщаться в социальных сетях. Но насколько это безопасно? Оказывается, что провести анализ незащищенного трафика, получить доступ к личным данным и даже установить контроль над чужим компьютером не так уж и сложно.
Чтобы предотвратить несанкционированный доступ, существует технология VPN, позволяющая повысить конфиденциальность и безопасность пользования Интернетом. VPN сеть представляет собой защищенную виртуальную частную сеть, организованную внутри или поверх публичной сетевой или телекоммуникационной инфраструктуры.
Что такое VPN
Virtual Private Network — виртуальная частная сеть. Частная — потому что предполагается такой уровень безопасности, какой был бы у отдельной сети, вообще не имеющей выхода в интернет. Виртуальная — потому что на самом деле трафик между участниками сети проходит по открытым интернет-каналам, но в зашифрованном виде. VPN-серверы используют для объединения удаленных сетей (офисов, региональных отделений), подключения удаленных сотрудников. Как бы далеко при этом не находились узлы или сотрудники, сеть они используют как если бы находились в соседних комнатах, вплоть до общих папок и принтеров.
Создать VPN-сервер можно с использованием встроенных средств даже домашней операционной системы, но функционал его будет ограничен.
Возможности виртуальной частной сети
Многие из тех, кто не сталкивался с хакерскими атаками, отслеживанием трафика или блокировкой доступа к тем или иным ресурсам, задаются вопросом, для чего нужен VPN. Следует четко понимать, что большинство провайдеров сегодня занимается логированием деятельности своих клиентов. Если вы хотите избежать регистрации информации о посещениях сайтов, соединение с сервером нужно зашифровать.
VPN формирует новую сеть, при подключении к которой IP-адрес пользователя заменяется на адрес нового сервера. Таким образом формируется искусственное защищенное соединение между ПК и VPN-сервером, передача данных по которому полностью зашифрована динамично изменяемыми кодами. Защита информации в новой сети осуществляется комплексно: коды невозможно взломать, несанкционированное подключение посторонних пользователей полностью исключено, а все входящие и исходящие пакеты постоянно проверяются на целостность.
Реализация VPN доступа
Виртуальная частная сеть представляет собой туннель, на входе которого расположен VPN клиент, установленный на пользовательском компьютере (или устройстве), на выходе — ВПН сервер (выходов у туннеля может быть несколько). VPN туннель отвечает за передачу информации между источником и приемником данных. Основное назначение — обеспечить конфиденциальность сессии.
Внутри туннеля средствами VPN реализуется технология, которая решает стратегически важные задачи информационной безопасности. Классификацию VPN технологии можно провести по 3-м основным способам: по способу ее реализации (аутентификация источника данных, туннелирование и шифрование IP-пакетов), по архитектуре технического решения, по рабочему уровню модели OSI. Как правило, VPN использует смешанные варианты, когда все три способа используются совместно.
На входе и выходе туннеля устанавливается аппаратно-программное обеспечение, которое обеспечивает высокую защиту передаваемой по выделенному частному каналу информации.
Чтобы подключиться к сети VPN нужно пройти процедуру идентификации и аутентификации. В случае успеха происходит авторизация пользователя с правом VPN доступа к работе в сети.
VPN-клиент и VPN-сервер. Внешние и локальные сети
ВПН сеть совмещает в себе внешнюю и внутреннюю конфигурацию.
Локальная (внутренняя) конфигурация позволяет объединять в себя достаточное множество отдельных компьютеров, которые могут работать с любыми сетевыми приложениями и иметь выход в Internet через один единственный IP-адрес.
Внешняя структура подразумевает выход за пределы локальной сети.
Любой удаленный пользователь может подключиться к ВПН серверу, как через произвольную другую внешнюю сеть, так и через внутреннюю, причем их может быть несколько и они могут быть логически не связаны между собой. Внешней сетью может быть и обычный Интернет.
Клиентами VPN сервера могут стать любые компьютеры под управлением Windows, Linux и BSD.
Как правило, установка VPN сервера и настройка VPN соединения производятся опытным администратором. Несмотря на кажущуюся простоту, простым пользователям не стоит проводить настройку VPN своими руками, так как они могут допустить ошибки и неточности, которые впоследствии скажутся на работоспособности и защищенности VPN соединения.
Примеры использования VPN
- Объединение 2-х или более локальных сетей офисов одной организации, территориально удаленных друг от друга. Важно, чтобы в офисах было быстрое подключение к сети Интернет, так как доступ к сетевым ресурсам осуществляется через Всемирную сеть.
- Подключение к офисной сети удаленных пользователей: сотрудников, находящихся в командировке, или внештатных работников.
- Объединение типа компьютер-компьютер для обеспечения дополнительной безопасности. К примеру, протокол FTP без шифрования. Или можно использовать VPN для обхода файерволов, ограничивающих определенные типы трафика.
По данным, полученным исследовательской компанией Forrester Research, применение VPN позволяет снизить многие затраты, такие как закупка коммуникационного оборудования, оплата услуг Интернет-провайдера и другие. Кроме того, получить анонимный VPN доступ — значит получить безопасность, анонимность и свободу в Интернете.
Организация VPN-сервера через ИКС
В ИКС реализована возможность организации зашифрованного соединения, для которого существует специальный набор протоколов IP Security. Как уже объяснялось выше, оно создается при помощи VPN — технологии, позволяющей создать анонимный канал между несколькими персональными компьютерами. Для удобства пользователей ИКС соединение между ПК, располагающимися за NAT-firewall, может быть установлено по умолчанию, без изменения каких-либо настроек.
Организация зашифрованного канала в этой программе станет идеальным решением задачи обеспечения конфиденциальности. ИКС не требует указания себя в качестве шлюза при доступе к хосту внутри корпоративной сети, поддерживает широкий ряд протоколов для создания туннелей, а также обеспечивает максимальную простоту авторизации разных пользователей без необходимости ввода дополнительных данных. В нем также реализован достаточно удобный контроль доступа пользователей к частному соединению, увеличен спектр оборудования для повышения безопасности, установлена динамическая адресация клиентов и автоматизация создания маршрутов.