Типы соединений VPN

Какие существуют разновидности VPN и чем они отличаются

Итак, в прошлый раз мы разобрались с тем, что такое технология VPN, где она нужна и зачем используется. В этот раз мы познакомимся с ее конкретными реализациями и кратко расскажем об их преимуществах и недостатках.

Само по себе определение VPN (виртуальная частная сеть) довольно широко, и с ходу трудно сказать, что можно считать VPN, а что нет. С определенной натяжкой VPN можно назвать и прародительницу Интернета ARPANET.

Любопытно, что почти все технологии, а чаще всего все-таки протоколы, изначально применявшиеся для построения распределенных корпоративных сетей, постепенно становились основными способами доступа в Сеть для обычных пользователей.

Впрочем, ни дела давно минувших дней, ни заботы корпоративные нас не волнуют. С чисто практической точки зрения следует кратко познакомиться с теми вариациями VPN, которые неподготовленный и не шибко разбирающийся в сетевых технологиях пользователь сможет встретить на своем пути.

Очень актуально для всех без исключения! Что такое VPN и зачем он нужен: //t.co/ALen79ESla pic..com/15ObImJTzH

— Kaspersky Lab (@Kaspersky_ru) January 27, 2016

В первую очередь стоит рассмотреть те из них, что помогут защититься при использовании публичного Wi-Fi-доступа и позволят обойти блокировки тех или иных ресурсов. Как правило, доступные частным пользователям VPN-сервисы опираются на возможности популярных ОС и предлагают самостоятельно настроить с помощью пошаговой инструкции подключение к ним.

Настройки VPN в операционных системах Android (слева) и Windows (справа)

Популярные типы VPN

PPTP (Point-to-Point Tunneling Protocol) появился 20 лет назад, и в этом заключаются как его достоинства, так и недостатки. Несомненный плюс этого протокола — он поддерживается буквально всеми ОС, даже очень старыми. За счет этого достигается определенная универсальность и доступность. К тому же по современным меркам он очень нетребователен к вычислительным ресурсам.

Обратная сторона медали — из-за столь солидного возраста нынче он предлагает низкий уровень защиты пользователя. Казавшиеся достаточно надежными в середине 1990-х методы шифрования по нынешним меркам слабы и сочетаются с не самой удачной архитектурой и рядом ошибок в самой популярной реализации протокола от Microsoft.

Кроме того, по умолчанию шифрование вообще не предлагается, а взлом пароля на современном аппаратном обеспечении возможен менее чем за сутки. Тем не менее в тех случаях, когда защита подключения не так важна или когда нет иных вариантов VPN-подключений, то уж лучше использовать PPTP с шифрованием, чем вообще без него.

Мне однажды удалось попасть в не очень приятную ситуацию в одной из стран с особым (если вы понимаете, о чем я) отношением к Интернету.

Отправка электронной почты через корпоративный PPTP-сервер на родине закончилась тем, что письма, высланные в течение одного дня, были доставлены адресату с задержкой от пары дней до пары недель.

Где и почему они «путешествовали», читатель может предположить сам. Использование же иных, более надежных вариантов VPN пресекалось.

Китайцы классно придумали: для масштабирования своей VPN-сети они просто взламывают чужие Windows-серверы — //t.co/6uLwtNNl7p

— Kaspersky Lab (@Kaspersky_ru) August 6, 2015

L2TP (Layer 2 Tunneling Protocol) во многом схож с PPTP.

Эти стандарты разрабатывались и были приняты практически одновременно, но L2TP считается более эффективным для построения виртуальных сетей, хотя и чуточку более требователен к вычислительным ресурсам по сравнению с PPTP.

IPSec (Internet Protocol Security) — это целый набор протоколов, стандартов и рекомендаций, специально разработанный для создания безопасных соединений в Сети. Первые наработки тоже появились в начале 1990-х годов, однако изначально была поставлена цель не «высечь IPSec в граните», а регулярно дорабатывать его для соответствия духу времени.

И да, в связи со всякими известными событиями в очередной раз рекомендуем всем вам почаще использовать VPN: //t.co/kdx7t7tQzb

— Kaspersky Lab (@Kaspersky_ru) December 31, 2014

Нетрудно догадаться, для ведомств какого характера велись эти разработки. Набор IPSec состоит из десятков стандартов (и каждый из них внутри себя имеет не одну версию), описывающих различные этапы работы с защищенными соединениями. Он действительно хорош и с точки зрения архитектуры, и с точки зрения надежности используемых алгоритмов, и с точки зрения возможностей.

При всех достоинствах IPSec у него есть и недостатки. Во-первых, для неподготовленного пользователя он очень сложен в настройке, что, в свою очередь, чревато снижением уровня защиты в том случае, если что-то сделано неправильно. К тому же, как было отмечено, он нередко используется в совокупности с другими технологиями.

Во-вторых, он гораздо требовательнее к вычислительным ресурсам.

Отчасти этот недостаток компенсируется использованием аппаратного ускорения некоторых вариантов алгоритма шифрования AES — именно он предлагается в современных версиях IPSec, хотя есть и другие варианты алгоритмов. Подобные ускорители уже есть в современных процессорах как для настольных, так и для мобильных устройств, а также для Wi-Fi-роутеров.

К сожалению, то, что хорошо продумали теоретики (математики в первую очередь), в жизнь претворяют практики, далеко не всегда обладающие достаточным уровнем знания и понимания предметной области.

Исследование, опубликованное в октябре 2015 года, показывает, что до 66% IPSec-подключений могут быть относительно легко взломаны и что АНБ США может обладать подходящим аппаратным обеспечением для такого взлома.

Непростые простые числа, криптография в HDD, патчи Adobe и другие интересные события недели //t.co/yxQcGKECLd pic..com/1cUaKH1kSn

— Kaspersky Lab (@Kaspersky_ru) October 23, 2015

Да, для реализации подобной атаки требуются довольно долгие приготовления и хорошие вычислительные ресурсы, но в данном случае примечательно, что исследователи использовали облачные технологии Amazon и, судя по всему, потратили сумму, вполне подъемную и для частного лица.

После такой подготовки время на атаку сокращается до минуты в лучшем случае или до месяца — в худшем.

Впрочем, некоторые эксперты скептически отнеслись к данному исследованию — они утверждают, что в реальности процент уязвимых систем не так велик, хотя к некоторым аспектам исследования действительно стоит отнестись очень серьезно, а разработчики потенциально уязвимого ПО уже выпустили или планируют обновления и предупредили пользователей.

Интересно, хотя и немного сложное в понимании, продолжение истории с расшифровкой VPN-трафика: //t.co/PcuUNyLURw

— Kaspersky Lab (@Kaspersky_ru) December 24, 2015

SSL (Secure Sockets Layer) и TLS (Transport Layer Security) VPN, как видно из названия, представляют целый класс решений, опирающихся на соответствующие протоколы SSL и TLS, иногда дополненные другими методами защиты. Собственно говоря, SSL/TLS каждый из вас встречал в первую очередь на веб-сайтах, включая и тот, что вы читаете прямо сейчас: префикс https и зеленый замочек в адресной строке говорят об использовании именно этих протоколов защиты соединения.

Первые версии протокола появились еще в прошлом веке, но активно использоваться стали только в этом.

Широкая распространенность этих протоколов способствовала их детальному изучению и последовательному выявлению все новых и новых уязвимостей как в архитектуре, так и в конкретных реализациях. SSL 3.0 был упразднен в июне 2015 года, актуальной на текущий момент является версия TLS 1.

2, однако полностью безопасной считать ее нельзя — многое опять-таки зависит от реализации (см. IPSec). Кроме того, оба протокола вынуждены нести на себе тяжкий груз обратной совместимости.

Плюсом SSL/TLS VPN является то, что из-за широкого применения этих протоколов в Интернете они беспрепятственно пропускаются практически всеми публичными сетями. Минус — не слишком высокая производительность на практике и сложность в настройке, а также необходимость установки дополнительного ПО.

Популярными реализациями SSL/TLS VPN являются OpenVPN (SSL 3.0/TLS 1.2) и Microsoft SSTP (SSL 3.0). Фактически SSTP привязан к платформе Windows. OpenVPN в силу своей открытости имеет множество реализаций практически для всех платформ и к тому же на данный момент считается наиболее надежным вариантом VPN.

Заключение

Мы перечислили лишь самые популярные у частных пользователей типы VPN. Впрочем, за годы развития этой технологии у нее появилось бессчетное множество вариаций. Одни только решения для корпоративного и телекоммуникационного секторов чего стоят.

И три главных совета от нашего эксперта напоследок: шифруйте свои данные, используйте VPN и регулярно обновляйте ПО #KasperskySMB

— Kaspersky Lab (@Kaspersky_ru) July 7, 2014

Обычному же пользователю я советую использовать, если это вообще возможно, только OpenVPN в силу его открытости, надежности и защищенности. Впрочем, и для него, и для других типов VPN есть еще ряд хитрых нюансов технического и юридического характера, о которых мы поговорим в следующем материале.

Источник: //www.kaspersky.ru/blog/vpn-implementations/11156/

Типы соединений VPN

Бывает, для работы интернета достаточно подключить сетевой кабель к компьютеру, но иногда требуется сделать и что-то ещё. Соединения PPPoE, L2TP и PPTP используются до сих пор. Часто интернет-провайдер предоставляет инструкции по настройке конкретных моделей маршрутизаторов, но если понять принцип того, что нужно настраивать, это можно будет сделать практически на любом роутере.

• Настройка PPPoE
• Настройка L2TP
• Настройка PPTP
• Заключение

Настройка PPPoE

PPPoE — это один из типов соединения с интернетом, чаще всего использующийся при работе DSL.

1. Отличительной особенностью любого VPN-соединения является использование логина и пароля. Некоторые модели роутеров требуют ввод пароля два раза, другие — один раз. При первичной настройке взять эти данные можно из договора с интернет-провайдером.
2. В зависимости от требований провайдера, IP-адрес роутера будет статическим (постоянным) или динамическим (может меняться при каждом подключении к серверу). Динамический адрес выдаётся провайдером, поэтому тут ничего заполнять не нужно.
3. Статический адрес нужно прописать вручную.
4. «AC Name» и «Service Name» — это параметры, относящиеся только к PPPoE. Они указывают имя концентратора и тип сервиса, соответственно. Если их нужно использовать, провайдер обязательно должен упомянуть это в инструкции.

   В некоторых случаях используется только «Service Name».

5. Следующей особенностью является настройка переподключения. В зависимости от модели роутера, будут доступны следующие варианты:
   • «Connect automatically» — маршрутизатор всегда будет подключаться к интернету, а при обрыве соединения будет переподключаться.
   • «Connect on Demand» — если интернетом не пользоваться, роутер отключит соединение. Когда браузер или другая программа попытается получить доступ в интернет, роутер восстановит соединение.
   • «Connect Manually» — как и в предыдущем случае, роутер будет разрывать соединение, если какое-то время не пользоваться интернетом. Но при этом когда какая-нибудь программа запросит доступ в глобальную сеть, маршрутизатор не восстановит соединение. Чтобы это исправить, придётся заходить в настройки роутера и нажимать на кнопку «подключить».
   • «Time-based Connecting» — здесь можно указать, в какие временные промежутки соединение будет активно.
   • Ещё один из возможных вариантов — «Always on» — подключение всегда будет активно.
6. В некоторых случаях интернет-провайдер требует указать сервера доменных имён («DNS»), которые преобразуют именные адреса сайтов (ldap-isp.ru) в цифровые (10.90.32.64). Если это не требуется, можно проигнорировать этот пункт.
7. «MTU» — это количество переданной информации за одну операцию пересылки данных. Ради увеличения пропускной способности можно поэкспериментировать со значениями, но иногда это может привести к проблемам. Чаще всего интернет-провайдеры указывают необходимый размер MTU, но если его нет, лучше не трогать этот параметр.
8. «MAC-адрес». Бывает так, что изначально к интернету был подключен только компьютер и настройки провайдера привязаны к определённому MAC-адресу. С тех пор, как смартфоны и планшеты получили широкое распространение, такое встречается редко, тем не менее это возможно. И в данном случае может потребоваться «клонировать» MAC-адрес, то есть, сделать так, чтобы у роутера был точно такой же адрес, как у компьютера, на котором изначально был настроен интернет.
9. «Вторичное соединение» или «Secondary Connection». Данный параметр характерен для «Dual Access»/«Russia PPPoE». С его помощью можно подключаться к локальной сети провайдера. Включать его нужно только тогда, когда провайдер рекомендует настраивать именно «Dual Access» или «Russia PPPoE». В противном случае он должен быть выключен. При включении «Dynamic IP» интернет-провайдер выдаст адрес автоматически.
10. Когда включен «Static IP», IP-адрес и иногда маску нужно будет прописать самому.

Настройка L2TP

L2TP — ещё один VPN-протокол, он даёт большие возможности, поэтому имеет широкое распространение среди моделей роутеров.

1. В самом начале настройки L2TP можно определиться, какой должен быть IP-адрес: динамический или статический. В первом случае настраивать его не придётся.

Во втором — необходимо прописать не только сам IP-адрес и иногда его маску подсети, но и шлюз — «L2TP Gateway IP-address».

2. Затем можно указать адрес сервера — «L2TP Server IP-Address». Может встречаться как «Server Name».
3. Как и полагается VPN-соединению, нужно указать логин или пароль, взять которые можно из договора.
4. Далее настраивается подключение к серверу, которое происходит в том числе после обрыва соединения. Можно указать «Always on», чтобы оно всегда было включено, или «On demand», чтобы подключение устанавливалось по требованию.
5. Настройку DNS нужно выполнять в том случае, если этого требует провайдер.
6. Параметр MTU обычно менять не требуется, в противном случае интернет-провайдер указывает в инструкциях, какое значение нужно поставить.
7. Указывать MAC-адрес требуется не всегда, а для особых случаев существует кнопка «Clone your PC’s MAC Address». Она назначает маршрутизатору MAC адрес компьютера, с которого выполняется настройка.

Настройка PPTP

PPTP — это ещё одна разновидность VPN-соединения, внешне она настраивается почти так же, как и L2TP.

1. Начать конфигурацию данного типа соединения можно с указания типа IP-адреса. При динамическом адресе настраивать далее ничего не нужно.

Если же адрес статический, кроме внесения самого адреса иногда требуется указать маску подсети — это нужно тогда, когда маршрутизатор не в состоянии посчитать её сам. Затем указывается шлюз — «PPTP Gateway IP Address».

2. Затем нужно указать «PPTP Server IP Address», на котором будет происходить авторизация.
3. После этого можно указать логин и пароль, выданные провайдером.
4. При настройке переподключения можно указать «On demand», чтобы соединение с интернетом устанавливалось по требованию и отключалось, если им не пользуются.
5. Настройка серверов доменных имён чаще всего не обязательна, но иногда требуется провайдером.
6. Значение MTU лучше не трогать, если в этом нет необходимости.
7. Поле «MAC Address», скорее всего, заполнять не придётся, в особенных случаях можно использовать кнопку внизу, чтобы указать адрес компьютера, с которого выполняется настройка роутера.

Помогла ли вам эта статья?

ДА НЕТ

Источник: //lumpics.ru/vpn-connection-types/

Типы подключений VPN

VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.
 

Заметка про длину ключа шифрования

Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).

Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит.

Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Краткий ответ таков: при практическом применении – нет. Это правда, что взлом 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа.

51 петафлопс), нам потребовалось бы 1.02х1018 (около 1 миллиарда) лет, чтобы взломать 128-битный AES-ключ путем перебора.

Так как на практике 128-битный шифр не может быть взломан путем перебора, было бы правильно говорить, что ключа такой длины более чем достаточно для большинства применений.

Только настоящие параноики (например, чиновники в правительстве, имеющие дело со сверхсекретными документами, которые должны оставаться в тайне в течение следующих 100 или более лет) могут использовать 256-битное шифрование (правительство США, например, использует сертифицированный NIST 256-битный AES-шифр).

Так почему же все более часто встречаются VPN-провайдеры, предлагающие 256-битное шифрование (не говоря уже о 2048-битном)? Особенно если учесть, что использование шифрования с 256-битным или более длинным ключом требует больше вычислительных ресурсов. Ответ прост – маркетинг. Проще продать VPN-услуги с более длинным ключом шифрования.

Крупные корпорации и правительства могут испытывать потребность в дополнительной безопасности, обеспечиваемой длинными ключами, но для среднего домашнего пользователя VPN с ключом 128 бит более чем достаточно.

Различные шифры имеют уязвимости, которые могут быть использованы для быстрого взлома. Также могут быть использованы специальные программы, такие как клавиатурные шпионы. Подводя итоги, можно сказать, что использование шифрования с ключом более 128 бит на самом деле вряд ли имеет значение для большинства пользователей.
 

PPTP

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет.

Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2).

Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения.

PPTP остается популярным выбором как предприятий, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.

2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.

Плюсы:

• клиент PPTP встроен почти во все операционные системы
• очень прост в настройке
• работает быстро

Минусы:

• небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)

L2TP и L2TP/IPsec

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент).

Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов).

Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.

Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.

Плюсы:

• очень безопасен
• легко настраивается
• доступен в современных операционных системах

Минусы:

• работает медленнее, чем OpenVPN
• может потребоваться дополнительная настройка роутера

OpenVPN

OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения.

Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках.

Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.

Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish.

AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные.

То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.

С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке.

В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.

Плюсы:

• гибко настраивается
• очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
• может работать сквозь файрволлы
• может использовать широкий спектр алгоритмов шифрования

Минусы:

• необходимо стороннее программное обеспечение
• может быть неудобен в настройке
• ограниченная поддержка портативными устройствами

SSTP

Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.

Плюсы:

• очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
• полностью интегрирован в Windows (начиная с Windows Vista SP1)
• имеет поддержку Microsoft
• может работать сквозь файрволлы

Минусы:

• работает только в Windows-среде

Типы подключений VPN и проверки безопасности

Технология виртуальной частной сети (VPN) позволяет установить защищенное соединение в потенциально небезопасном сегменте общедоступной сети, такой как Интернет.

Эта технология изначально была предназначена для предоставления удаленным пользователям доступа к ресурсам корпоративной сети, тогда как ее дальнейшая эволюция позволила объединить разные дочерние компании компании в единую сеть.

Давайте рассмотрим основные способы настройки VPN в корпоративной сети в целом и сети оператора связи в частности.

Плюсы и минусы использования VPN

Основополагающее преимущество использования решения VPN сводится к обеспечению надежной защиты сети, когда информационные системы дистанционно доступны через общедоступную сеть.

Когда обычное сетевое оборудование не может гарантировать конфиденциальность передачи данных, VPN способен шифровать трафик в защищенном канале.

Экономическая эффективность также является плюсом для такого решения. В то время как создание частной сети, связывающей удаленные офисы, может стоить десятки тысяч долларов, стоимость использования решения VPN начинается с нуля, однако не рекомендуется использовать бесплатные сторонние решения.

С другой стороны, ограниченная производительность является основным недостатком среднего решения VPN. Это зависит, в частности, от скорости интернет-соединения, метода шифрования и типов протоколов, используемых поставщиком интернет-услуг (ISP).

Протоколы VPN

Существует несколько протоколов VPN для безопасного удаленного доступа и шифрования передаваемых корпоративных данных.

Наиболее часто используются:

• IP-security (IPsec);
• Secure Sockets Layer (SSL) и безопасность транспортного уровня (TLS);
• Протокол туннелирования «точка-точка» (PPTP);
• Протокол туннелирования уровня 2 (L2TP);
• OpenVPN.

Наиболее распространенными типами подключения являются VPN удаленного доступа и VPN-соединение между узлами.

Остановимся на этих двух в подробностях.

Удаленный доступ к VPN

Эта технология используется для обеспечения сотрудникам компании безопасного доступа к корпоративной сети и ее ресурсам через Интернет.

Это особенно важно, когда пользователь переходит в Интернет через общедоступную точку доступа Wi-Fi или другие небезопасные каналы подключения.

Решение VPN-клиента, установленное на удаленном компьютере или мобильном устройстве, подключается к шлюзу службы VPN сети компании, который выполняет аутентификацию и авторизацию пользователя.

Если сотрудник успешно прошел эту процедуру, они получают доступ к внутренним сетевым ресурсам (файловый сервер, база данных, принтеры и т. д.), как если бы они были подключены к локальной сети.

В этом случае удаленный доступ обычно защищается с помощью протоколов IPsec или SSL, хотя последний сосредоточен на обеспечении соединения с одним приложением (например, SharePoint или электронной почтой), а не всей внутренней сетью.

Использование протоколов Layer2 over IPsec, связывающих туннелирование, таких как PPTP или L2TP, также довольно распространено.

VPN-соединение точка-точка

VPN-соединение «точка-точка» используется для подключения всей локальной сети, расположенной в одном месте, к локальной сети в другом месте.

Обычный сценарий сводится к подключению удаленных дочерних компаний к корпоративным штабам или к дата-центру компании.

Этот метод не требует установки VPN-сервисов на устройства пользователей, поскольку соединение обрабатывается шлюзом VPN, а передача данных между устройствами в разных сетях происходит прозрачно.

В последнем случае применимы соединения Layer3 (MPLS IP VPN) или Layer2 (Virtual Private LAN Service — VPLS).

Существует несколько других сценариев использования VPN-подключений:

• Между двумя автономными устройствами, такими как серверы, расположенными в двух удаленных центрах обработки данных, когда стандартных требований безопасности корпоративной сети недостаточно;
• Подключение к ресурсам облачной инфраструктуры (infrastructure-as-a-service);
• Разворачивание VPN-шлюза в облаке и аутсорсинг доступа к поставщику облака.

Проверка безопасности VPN-подключения

Независимо от того, какой тип VPN вы выбираете, вам необходимо провести собственный осмотр, чтобы убедиться, что уровень безопасности достаточно высок.

Несколько простых шагов позволят вам защитить вашу сеть от нарушения конфиденциальности.

Разведка

Выясните, какой тип VPN вы используете, и какой порт VPN-сервиса привлекает для прослушивания ваших соединений.

Для этого вы можете использовать любой сканер портов, например Nmap.

В зависимости от типа VPN может быть UDP-порт 500 (IPsec), порт TCP 1723, порт TCP 443 (SSL VPN), порт UDP 1194 (OpenVPN) или любой другой нестандартный порт.

Использование

Определив порт VPN, вы должны отсканировать его, чтобы определить поставщика и версию службы VPN.

С этой целью вы можете использовать инструмент сканирования ike.

Как только вы узнаете о необходимых деталях, выполните поиск в Интернете и просмотрите веб-сайт поставщика, а также каталог CVE уязвимостей данной службы, которые могут быть использованы для проникновения через существующие или зеро-дэй эксплойты.

Аутентификация

Служба VPN, которая контролирует все входящие подключения, должна правильно проверять учетные данные, предоставленные клиентом.

Просто проверить имя пользователя и пароль недостаточно — более эффективный подход заключается в использовании сертификатов безопасности.

Также рекомендуется применять надежную политику паролей (длина пароля, достоверность, автоматическая генерация и т. д.), которые вместе с сертификатом предотвратят хакерские атаки и атаки по словарю.

VPN-соединение является важным компонентом архитектуры корпоративной сети, это находка для подключения сотрудников, работающих на удаленных местах за пределами площадки, но вам нужно помнить, что они поддерживаються сетевым оператором или интернет-провайдером.

Многие из них обеспечивают доступ при трансляции сетевых адресов (NAT), а большинство устройств поддерживают протокол туннелирования GRE (Generic Routing Encapsulation).

Стоит отметить, что процесс создания VPN-сетей может также включать протоколы PPTP, которые требуют, чтобы оборудование NAT поддерживало ALG (шлюз уровня приложения).

См. также:

Источник: //itsecforu.ru/2018/11/27/%D1%82%D0%B8%D0%BF%D1%8B-%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B9-vpn-%D0%B8-%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B8-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD/

VPN – типы подключения и проверка безопасности

21.06.2017 | Владимир Хазов

Технология виртуальной частной сети (VPN) позволяет создавать защищенное безопасное соединение в потенциально опасном сегменте общедоступной сети, такой как Интернет.

Разработка технологии велась для предоставления удаленным пользователям доступа к приложениям корпоративной сети, однако ее развитие дало возможность объединять в одну сеть филиалы компании.

Рассмотрим основные способы организации VPN в корпоративной сети и с использованием сети оператора связи.

Плюсы и минусы использования VPN

Основным преимуществом использования VPN является обеспечение необходимого уровня сетевой безопасности при удаленном доступе к информационным системам через публичную сеть. Когда сетевое оборудование не может обеспечить приватность передачи данных, VPN позволяет зашифровать трафик внутри защищенного канала.

Еще одним плюсом можно назвать стоимость решения: в то время как прокладка частной сети между удаленными офисами может стоить сотни тысяч рублей, цена за использование VPN-решения начинается с нуля, тем более это актуально для подключения к корпоративной сети отдельных сотрудников, работающих «в поле».

К минусу можно отнести ограниченную производительность решения VPN: на нее влияет скорость доступа к сети Интернет, типы протоколов, которые использует интернет-провайдер, и способ шифрования. Также на производительности могут сказываться и другие факторы.

Протоколы VPN

Существует несколько протоколов для безопасного уделенного доступа и шифрования передаваемых корпоративных данных:

• IP security (IPsec);
• Secure Sockets Layer (SSL) и Transport Layer Security (TLS);
• Point-To-Point Tunneling Protocol (PPTP);
• Layer 2 Tunneling Protocol (L2TP);
• OpenVPN.

А к наиболее часто используемым типам подключения можно отнести удаленный доступ пользователя к корпоративной сети (remote-access VPN) и соединение двух площадок «точка – точка» (site-to-site VPN). Остановимся на них подробнее.

Удаленный доступ VPN

Данная технология используется для предоставления сотрудникам компании безопасного доступа к корпоративной сети и ее ресурсам через публичную сеть Интернет. Это особенно актуально, когда для подключения к Интернету используется общественная точка доступа Wi-Fi или другие небезопасные способы подключения.

Приложение – клиент VPN на удаленном компьютере или мобильном устройстве подключается к VPN-шлюзу сети компании, на котором производится аутентификация и авторизация пользователя.

После успешного прохождения этой процедуры пользователь получает доступ к внутренним сетевым ресурсам (файловый сервер, базы данных, принтеры и другие) так, будто он подключен к локальной сети.

Для защиты удаленного доступа чаще всего применяются протоколы IPsec или SSL, хотя SSL больше ориентирован на обеспечение безопасного подключения к одному приложению (например, SharePoint или электронная почта), а не ко всей внутренней сети. Также возможно соединение Layer2 с применением протоколов туннелирования, таких как PPTP и L2TP, через соединение IPsec.

Схема удаленного доступа VPN

VPN-соединение «точка – точка»

Соединение «точка – точка» применяется для подключения всей локальной сети в одной локации к локальной сети в другой.

Стандартный сценарий – подключение удаленных филиалов к центральному офису или дата-центру компании.

При этом не требуется установка VPN-клиентов на устройства пользователей, так как соединение обрабатывает VPN-шлюз, и передача данных между устройствами в разных сетях происходит прозрачно.

Существует еще несколько сценариев использования VPN-соединений:

• между двумя отдельными устройствами, например серверами, в двух разнесенных дата-центрах, когда требований безопасности стандартной корпоративной сети недостаточно;
• подключение к ресурсам облачной инфраструктуры (infrastructure-as-a-service);
• размещение VPN-шлюза в облаке и предоставление доступа облачным провайдером.

Схема VPN-соединения «точка – точка»

Проверка безопасности VPN-соединения

Независимо от того, какой тип VPN вы используете, чтобы обеспечить высокий уровень защищенности, необходимо выполнить самостоятельную проверку. Проведя несколько простых действий, вы обезопасите свою сеть от незаконного проникновения.

Определите тип используемого VPN и порт, на котором VPN-служба прослушивает соединения. Это можно сделать с помощью любого инструмента для сканирования портов, например Nmap. В зависимости от типа VPN это может быть порт UDP 500 (IPSec), порт TCP 1723, порт TCP 443 (SSL VPN), порт UDP 1194 (OpenVPN) или любой другой нестандартный порт.

После успешного определения порта VPN вы должны просканировать его, чтобы определить производителя и версию VPN-службы. Для этого воспользуйтесь ike-scan-инструментом.

Когда вы узнаете требуемую информацию, поищите в Интернете, на сайте производителя и в каталоге CVE сведения об уязвимостях данной службы, которые могут быть использованы для проникновения с помощью существующих эксплоитов или создания новых.

VPN-служба, которая прослушивает входящие соединения, должна правильно проверять учетные данные, предоставляемые клиентом.

Недостаточно просто проверить логин и пароль, для повышения надежности необходимо использовать сертификаты безопасности.

Также требуется использовать грамотную политику паролей (сложность, сроки хранения, автоматическая генерация и т. п.), которая совместно с сертификатом исключит атаки и взлом подбором пароля.

VPN-соединение – важный инструмент при организации корпоративных сетей, однако необходимо помнить, что его поддержку должен обеспечивать оператор связи или интернет-провайдер.

Многие из них предоставляют доступ, используя трансляцию адресов NAT, и большинство устройств поддерживают туннелирование GRE (Generic Routing Encapsulation).

Для создания VPN-сетей применяются, в частности, протоколы PPTP, требующие от оборудования NAT поддержки ALG (Application-level gateway).

В новой версии СКАТ DPI 7.0, помимо уже существующей функции CG-NAT для трансляции адресов, разработчик VAS Experts добавил поддержку туннелирования GRE через встроенный NAT (PPTP/GRE ALG). Теперь платформа СКАТ DPI не препятствует созданию VPN-туннелей.

О новых возможностях СКАТ DPI 7.0 вы можете узнать, записавшись на вебинар «Обзор новой версии СКАТ DPI 7.0. Дорожная карта по продукту СОРМ», который состоится 22.06.17 в 11:00 (мск).

По любым вопросам сетевой безопасности и управлению трафиком вы можете обратиться к специалистам компании VAS Experts – разработчика и поставщика системы анализа трафика СКАТ DPI.

Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

в социальных сетях

Источник: //vasexperts.ru/blog/vpn-tipy-podklyucheniya-i-proverka-bezopasnosti/